साक्षात्कार: सुप्रीम कोर्ट के पूर्व जस्टिस बीएन श्रीकृष्णा का कहना है कि अगर पुलिस बिना सहमति के डेटा इकट्ठा करती है, तो इसे अनिवार्य तौर पर इसकी ज़रूरत का वाजिब कारण बताने में समर्थ होना चाहिए. सिर्फ यह कह देना काफी नहीं है कि ऐसा करने का मक़सद आपराधिक जांच करना है.
मुंबई: 31 अक्टूबर, 2022 को दिल्ली पुलिस ने नई दिल्ली एवं मुंबई स्थित द वायर के संस्थापक संपादकों सिद्धार्थ वरदराजन, एमके वेणु, सिद्धार्थ भाटिया, डिप्टी एडिटर जाह्नवी सेन और बिजनेस हेड मिथुन किदांबी के घरों पर छापे मारे और उनके फोन, कंप्यूटर और आईपैड आदि अपने साथ ले गए.
ये छापे द वायर में छपी रिपोर्टों की एक श्रृंखला, जिसमें तथ्यात्मक गलतियां सामने आने पर द वायर ने उन्हें वापस ले लिया था, को लेकर भारतीय जनता पार्टी के अमित मालवीय की एक शिकायत के आधार पर संपादकों के खिलाफ कथित मानहानि, जालसाजी और ठगी के आरोपों के सिलसिले में मारे गए.
कंपनी के एकाउंट कर्मचारियों द्वारा इस्तेमाल किए जाने वाले दो कंप्यूटरों की हार्ड डिस्क भी जब्त कर ली गईं. छापा मारने वाली टीम ने एक या ज्यादा कर्मचारियों के आधिकारिक और निजी ईमेल खातों का पासवर्ड मांगा और उन्हें दिया गया, साथ ही जिन पर छापे मारे गए उन्हें अपने डिवाइस (यंत्रों) से पासकोडों को डिसेबल करने के लिए कहा.
द वायर द्वारा जारी एक वक्तव्य के अनुसार जब्ती के समय कोई हैश वैल्यू (किसी भी फाइल के फिंगरप्रिंट यानी विशिष्ट पहचान या एक यूनीक संख्या) या क्लोन्ड कॉपी नहीं दी गई.
आर्टिकल 14 ने इससे पहले एक रिपोर्ट में बताया था कि भारत में तलाशी, जब्ती और इलेक्ट्रॉनिक साक्ष्य की स्वीकार्यता (एडमिसिबिलिटी) से संबंधित नियम डिजिटल साक्ष्यों की अपनी अलग और जोखिम से भरी प्रकृति से जुड़े सवालों का समाधान नहीं करते हैं. भारत में साक्ष्य जमा करने को लेकर न्यूनतम मानकों का अभाव है, जो ऐसे डिजिटल साक्ष्यों को स्वीकार्य बना सकें.
2021 में शिक्षाविदों के एक समूह ने सुप्रीम कोर्ट में एक रिट याचिका दायर की जिसमें पुलिस के छापे और जब्ती के बाद डिजिटल यंत्रों में रखे गए अकादमिक कार्यों के साथ किए जाने वाले व्यहवार के बारे में दिशानिर्देश जारी करने की मांग की गई थी.
इस याचिका के जवाब में केंद्रीय गृह मंत्रालय ने कहा कि ‘एक आरोपी निजता के अधिकार का दावा नहीं कर सकता है’, जब कंप्यूटर, टैबलेट, लैपटॉप, मोबाइल फोन्स आदि का इस्तेमाल अपराध को अंजाम देने के लिए किया गया हो या जिनमें जांच के अधीन अपराध के संबंध में अहम सूचना हो.
अगस्त, 2022 में सुप्रीम कोर्ट ने सरकार से डिजिटल डेटा की तलाशी, जब्ती और उनके संरक्षण को लेकर अंतरराष्ट्रीय स्तर पर अपनाए जाने वाले मानकों के बारे में एक विस्तृत हलफनामा दायर करने के लिए कहा. 2 नवंबर को दिल्ली की एक अदालत ने फैसला सुनाया कि किसी जांच एजेंसी का इलेक्ट्रॉनिक डिवाइस के पासवर्ड की मांग करना असंवैधानिक है।
जुलाई, 2018 की डेटा प्रोटेक्शन फ्रेमवर्क फॉर इंडिया के विशेषज्ञों की एक समिति ने अपनी रिपोर्ट में निजी डेटा की प्रोसेसिंग के लिए ‘सूचित सहमति’ (informed consent) पर बल दिया था और प्रवर्तन के लिए एक उच्च अधिकार प्राप्त वैधानिक प्राधिकरण के अलावा डेटा की गलत तरीके से प्रोसेसिंग को रोकने के लिए जुर्माने की सिफारिश की थी.
समिति द्वारा जमा कराए गए बिल के मसौदे (ड्राफ्ट बिल) को संशोधित रूप में संसद में पेश किया गया और बाद में सरकार द्वारा वापस ले लिया गया. समिति के अध्यक्ष सुप्रीम कोर्ट के सेवानिवृत्त जस्टिस बीएन श्रीकृष्णा ने आर्टिकल 14 से कहा कि डेटा प्राइवेसी की रक्षा करने को लेकर कानून का न होना पुलिस को तलाशी और जब्ती को लेकर वर्तमान कानूनों की व्याख्या अपने तरह से करने की छूट देता है. असल में पुलिस को यंत्रों से कोई भी डिजिटल साक्ष्य जमा करने के लिए एक अलग तलाशी और जब्ती प्रक्रिया का अनुसरण करना चाहिए.
81 वर्षीय श्रीकृष्णा ने कहा, अगर पुलिस बिना सहमति के डेटा इकट्ठा करती है, तो इसे अनिवार्य तौर पर इस डेटा को जमा करने की जरूरत का वाजिब कारण बताने में समर्थ होना चाहिए. ‘मेरी राय में सिर्फ यह कह देना काफी नहीं है कि ऐसा करने का मकसद आपराधिक जांच करना है.’
उन्होंने कहा कि संवैधानिकता की जांच में खरे उतरने वाले ऐसे कानूनी ढांचे की गैरमौजूदगी में किसी जांच के दौरान निजी डेटा का संग्रह करने में किया गया बल प्रयोग निजता का हनन और संविधान द्वारा गारंटी दिए गए निजी डेटा की प्राइवेसी त्के मौलिक अधिकार का उल्लंघन होगा. इस बातचीत का अंश:
आज की तारीख में हमारे डिवाइस के डेटा की निजता को प्रशासित करने वाले संहिताबद्ध नियम और कानून क्या हैं?
वर्तमान में निजी डेटा की प्राइवेसी के लिए कोई कानून नहीं है. आज एकमात्र कानून आईटी नियमों के तहत है, जो अपूर्ण, अपर्याप्त और समग्रता से रहित हैं. पर्सनल डेटा सुरक्षा पर एक कानून की सिफारिश कमेटी ऑन डेटा प्रोटेक्शन फ्रेमवर्क फॉर इंडिया, जिसकी अध्यक्षता मैंने की, ने की थी. कमेटी ने 2018 में बिल के मसौदे के साथ यह सिफारिश की थी. पर्सनल डेटा प्रोटेक्शन बिल, 2019 के रूप में आने से पहले इसमें नौकरशाहों और मंत्रियों के हाथों कई संशोधन हुए. संसद द्वारा इस विधेयक को एक संयुक्त संसदीय समिति को भेजा गया, जिसने हमारे मसौदे में व्यापक बदलाव किए और इसमें 85 के करीब संशोधन जोड़े. लेकिन बाद में चौतरफा आलोचना के बाद इसे वापस ले लिया गया.
आज आईटी नियमों के अलावा, भारत में कोई भी ऐसा कानून नहीं है जो निजी डेटा की सुरक्षा से संबंधित हो. भारतीय दंड संहिता के प्रावधानों को सीधे तौर पर डेटा पर लागू नहीं किया जा सकता है.
उन प्रावधानों को किसी अपराध की जांच करते वक्त भौतिक वस्तु पर लागू किया जा सकता है. एक समग्र कानून की गैरमौजूदगी में डेटा को कैसे जब्त किया जाए, इसको लेकर कोई स्पष्ट नहीं है.
डेटा प्राइवेसी कानून की गैर-मौजूदगी नागरिकों को किन खतरों में डालती है?
एक सुस्पष्ट कानून न होने का खतरा यह है कि पुलिस कानून की अपनी सुविधा के हिसाब से मनमानी व्याख्या करेगी. जो डेटा आपके कंप्यूटर पर है, उसे पुलिस आपकी इजाजत के बगैर छू नहीं सकती है. यहां तक कि आईटी नियमों के तहत भी सहमति का प्रावधान है. किसी डिवाइस को जब्त करने के लिए एक अलग वॉरंट होना चाहिए और डेटा की इलेक्ट्रॉनिक तरीके से जांच और जब्ती के लिए एक अलग प्रक्रिया होनी चाहिए.
निजी डेटा की प्राइवेसी को एक मौलिक अधिकार घोषित किया गया है. यह मौलिक अधिकार भारत के संविधान के अनुच्छेद 21 का विस्तार है, जो आपके जीवन एवं स्वतंत्रता के अधिकार की गारंटी देता है. पुलिस यह नहीं कह सकती है कि वह आप पर गोली दाग सकती है और आपकी जान ले सकती है. न ही वह यह कह सकती है कि हम आएंगे और आपको उठाकर ले जाएंगे, क्योंकि एक कानून है जो अनुच्छेद 21 के तहत दिए गए मौलिक अधिकारों का उल्लंघन करने की स्थितियां और उसकी हदें तय करता है. मिसाल के तौर पर आपराधिक प्रक्रिया संहिता (सीआरपीसी) 1973 को लिया जा सकता है.
सीआरपीसी के तहत पुलिस के पास आपके घर में दाखिल होने या आपको गिरफ्तार करने के लिए वॉरंट लेकर आना जरूरी है. डेटा के मामले में भी यही सिद्धांत लागू होना चाहिए, क्योंकि अनुच्छेद 21 के तहत डेटा प्राइवेसी एक मौलिक अधिकार है. यह किसी के जीवन और स्वतंत्रता के अधिकार की तरह ही अनुल्लंघनीय है. ये दोनों अनुच्छेद 21 से रक्षित हैं.
इसलिए डेटा प्राइवेसी को तब तक छीना नहीं जा सकता है, जब तक कि एक समुचित विधायी प्रक्रिया द्वारा इस संबंध में एक वैध कानून पारित न कर दिया जाए. पहली बात यह कि ऐसा कानून विधायिका द्वारा पारित होना चाहिए और कोई भी कार्यपालिका कार्रवाई इस मौलिक अधिकार का हनन नहीं कर सकती है. दूसरी बात, कानून में अनिवार्य रूप से इस बात की घोषणा होनी चाहिए कि आखिर यह अनुच्छेद 21 के तहत गारंटी किए गए अधिकार का हनन क्यों करना चाहता है.
अंतिम बात, ऐसा किया जाना जरूरी था और यह काम किसी अन्य तरीके से नहीं किया जा सकता था. अगर आपको मच्छर मारना है, तो आप अख़बार का इस्तेमाल कर सकते हैं न कि तोप का. इसे आनुपातिकता के सिद्धांत के तौर पर जाना जाता है, जिसका पालन किया जाना चाहिए.
जब इन तीनों सिद्धांतों का निष्ठापूर्वक पालन किया जाएगा, तभी कोई कानून संवैधानिकता की कसौटी पर खरा उतर पाएगा. तब यह कहा जा सकता है कि सरकार के पास आपकी सहमति के बगैर, एक जायज उद्देश्य से और ऐसे तरीके से जो कि आनुपातिक हो और एक मकसद को पूरा करने के लिए, आपका डेटा लेने का अधिकार है.
क्या भारतीय नागरिकों के पास खुद को दोषी ठहराए जाने से बचाने का अधिकार है?
यह संविधान में ही लिखा है. अनुच्छेद 20 (3) के तहत किसी अपराध के आरोपी को अपने खिलाफ गवाही देने के लिए मजबूर नहीं किया जा सकता है. खुद को ही फंसाने से बचाने के अधिकार को सीआरपीसी के साथ पढ़ा जाना चाहिए, जिसमें समान प्रावधान हैं.
नागरिकों को, जो कभी पुलिस के छापे का सामना कर सकते हैं, समझाने के लिए यह बताइए कि डेटा सुरक्षा कानून की गैर-मौजूदगी में संविधान से कौन-कौन से अधिकार हैं. क्या वे यह कह सकते हैं कि मैं अपना पासवर्ड नहीं दूंगा?
न्यायायलों ने अब यह कहा है कि आपराधिक मामले में आरोपी को उसके इलेक्ट्रॉनिक डिवाइस का पासवर्ड देने के लिए मजबूर नहीं किया जा सकता है, उस सूरत में भी जब कि जांच एजेंसियां इसे अपने साथ ले जाएं. वे अपने हिसाब से जो चाहें कर सकते हैं, यहां तक कि इसे तोड़ तक सकते हैं, लेकिन आरोपी के लिए पासवर्ड देना जरूरी नहीं है.
हाल ही में इस बारे में एक कोर्ट का एक फैसला अखबारों में छपा था. पुलिस आरोपी को पासवर्ड देने के लिए बाध्य नहीं कर सकती है.
पुलिस को शायद यह पता भी नहीं है, न ही नागरिकों को यह पता है. ठीक उसी तरह से जैसे कि नार्को विश्लेषण के लिए सहमति की दरकार होती है, उसी तरह से यह बात डेटा सुरक्षा पर भी लागू होती है. आरोपी की सहमति के बगैर नार्को जांच की इजाजत नहीं है, क्योंकि यह आरोपी के मौलिक अधिकार का हनन है. यही बात पासवर्ड्स पर भी लागू होती है. दोनों ही स्थितियों को संविधान के अनुच्छेद 20 (3) की सुरक्षा हासिल है.
क्या ऐसी जोर-जबरदस्ती नागरिक के अधिकार का हनन है?
हां. काफी हद तक यह मौलिक अधिकार पर हमला और उसका हनन है. हर व्यक्ति के पास अपने निजी डेटा की रक्षा का संवैधानिक अधिकार है. और डेटा की जब्ती का अधिकार संवैधानिक तरीके से वैध कानून से मिलना चाहिए. अपनी रिपोर्ट में हमने यही सिफारिश की थी. ठीक यही बात सुप्रीम कोर्ट ने भी कही है. निजता के अधिकार जैसा मौलिक अधिकार एक वैध विधायी आदेश के अलावा किसी भी अन्य तरीके से छीना नहीं जा सकता है और कानून में यह घोषणा अवश्य होनी चाहिए कि यह इस अधिकार को क्यों छीन रहा है.
अगर आप 2019 के बिल को याद करें तो इसमें बस इतना कहा गया था कि सरकार अस्पष्ट आधारों पर, मसलन संप्रभुता की रक्षा आदि के नाम पर बगैर सहमति के निजी डेटा को अपने अधिकार में ले सकती है. मेरे हिसाब से यह पूरी तरह से गैरकानूनी था. खुशकिस्मती से 2019 के बिल को वापस ले लिया गया.
पुलिस को निश्चित तौर पर बगैर सहमति के डेटा इकट्ठा करने की जरूरत को साबित करने में समर्थ होना चाहिए. महज यह कह देना कि यह आपराधिक जांच के उद्देश्य से किया जा रहा है, मेरे हिसाब से काफी नहीं है.
जब पुलिस आपके दरवाजे को खटखटाती है, तब आप उसे क्या कहते हैं? आप यहां क्यों आए हैं? अगर वह आपको पुलिस स्टेशन लेकर जाना चाहे, तो आप उसे वॉरंट दिखाने के लिए कहेंगे. सुप्रीम कोर्ट के अनेक फैसले हैं, जिसमें इस बाबत दिशानिर्देश दिया गया है कि किसी जांच के दौरान पुलिस अधिकारियों को किस तरह से पेश आना चाहिए. लेकिन दुर्भाग्यपूर्ण तरीक से उनका पालन नहीं किया जा रहा है.
चाहे भीमा कोरेगांव जांच का मामला हो या फिर द वायर का, जांच अधिकारियों और छापा मारने वाली टीम ने हैश वैल्यू या डिजिटल साक्ष्य की क्लोन्ड कॉपी मुहैया नहीं कराई. प्रक्रिया का यह उल्लंघन कितना गंभीर है?
अगर वे किसी दफ्तर पर छापा मारते हैं और दस्तावेज आदि ले जाते हैं, तो उन्हें उसकी प्रति, उसकी हस्ताक्षरित प्रति देनी ही होती है, वे बाध्य हैं. डेटा की जब्ती या डेटा वाले डिवाइस की जब्ती के दौरान इस सिद्धांत का पालन न करने का कोई कारण नहीं है.
एक नई विधायी कवायद में नए कानून का मसौदा तैयार करने वाले का बुनियादी रवैया संवैधानिकता की शर्त को पूरा करने को सुनिश्चित करने का होना चाहिए. ये वही तीन सिद्धांत हैं, जो मैंने आपको बताए.
निजी डेटा को मांगने का एक कारण जांच को आगे बढ़ाने का हो सकता है. लेकिन जब अधिकारी यह डेटा लेने के लिए आते हैं तो वे सीआरपीसी द्वारा लगाई गई बाध्यताओं का पालन क्यों नहीं करते हैं? एक आपराधिक मामले में जांचकर्ता पहला, हथियार, दूसरी वस्तु मसलन जहर की शीशी आदि को जब्त करेंगे और पंचनामा भरेंगे. अगर जब्त की जाने वाली सामग्री डेटा है, तो इस मामले में भी यही प्रक्रिया क्यों नहीं अपनाई जानी चाहिए? दोनों में अंतर क्या है? डेटा की प्राइवेसी का अधिकार भी संविधान के उसी अनुच्छेद से मिलता है.
जिस विधेयक को वापस ले लिया गया, वह हमें एक दमनकारी स्थिति में लेकर जाता, जहां निजी डेटा को संवैधानिक सिद्धांतों और व्यक्तिगत डेटा की प्राइवेसी के अधिकार का उल्लंघन करते हुए प्रकट तौर पर जांच के लिए जब्त किया जाता और यह सत्ताधारियों को नागरिकों पर सतत निगरानी बैठाने के लिए आजाद छोड़ देता.
मैंने यह बात पहले भी कही है. वैश्विक महामारी के दौरान एक आदेश आया जिसके तहत कुछ चीजों के लिए आरोग्य सेतु ऐप को अनिवार्य बना दिया गया और मैंने इस पर आवाज उठाते हुए कहा कि यह पूरी तरह से गैरकानूनी है. प्राधिकारियों ने तुरंत आदेश को संशोधित किया और कहा कि आरोग्य सेतु अनिवार्य न होकर ऐच्छिक है.
सिविल सोसाइटी को क्या करना चाहिए?
लोगों को शिक्षित कीजिए. कोर्ट का दरवाजा खटखटाइए. संवैधानिक अदालतों की स्थापना राज्य के प्राधिकारियों के असंवैधानिक और गैरकानूनी कार्यों के खिलाफ प्रतिरक्षा कवच के तौर पर करने के लिए की गई है. अगर न्यायालय संवेदनशील नहीं है, तो लोगों को शिक्षित कीजिए और कानून की लक्ष्मण रेखा को पार किए बगैर लोकतांत्रिक तरीके से विरोध प्रकट कीजिए. लोगों के यही एकमात्र दूसरा रास्ता है.
(यह साक्षात्कार मूल रूप से आर्टिकल 14 वेबसाइट पर प्रकाशित हुआ है, जिसे उनकी सहमति से पुनर्प्रकाशित किया गया है.)