डेटा संरक्षण क़ानून की ख़ामियों पर विचार करना ज़रूरी है

डिजिटल निजी डेटा सुरक्षा (डीपीडीपी) विधेयक का वह संस्करण जिसे कैबिनेट की मंज़ूरी मिली है, सार्वजनिक डोमेन में नहीं है. फिर भी यह सुनिश्चित करना ज़रूरी है कि क़ानून में वो ख़ामियां न हों, जो पिछले मसौदे में थीं.

/
(फोटो साभार: Stock Catalog/CC BY 2.0)

डिजिटल निजी डेटा सुरक्षा (डीपीडीपी) विधेयक का वह संस्करण जिसे कैबिनेट की मंज़ूरी मिली है, सार्वजनिक डोमेन में नहीं है. फिर भी यह सुनिश्चित करना ज़रूरी है कि क़ानून में वो ख़ामियां न हों, जो पिछले मसौदे में थीं.

(फोटो साभार: Stock Catalog/CC BY 2.0)

बीते दिनों डिजिटल निजी डेटा सुरक्षा (डीपीडीपी) विधेयक को मॉनसून सत्र में संसद में पेश किया गया. इलेक्ट्रॉनिक्स एंड इंफॉर्मेशन टेक्नोलॉजी मंत्रालय ने नवंबर, 2022 में विधेयक का जो मसौदा विचार-विमर्श के लिए वितरित किया था, उसमें कई समस्याएं थीं और पारदर्शिता के पैरोकारों और निजता के अधिकार के लिए अभियान चलाने वाले कार्यकर्ताओं द्वारा इसकी समान रूप से आलोचना की गई थी.

हालांकि, विधेयक को जिस रूप में कैबिनेट से स्वीकृति मिली है, वह अभी सार्वजनिक दायरे में नहीं है, लेकिन यह सुनिश्चित करना जरूरी है कि डेटा सुरक्षा या डेटा प्रोटेक्शन विधेयक में वे खामियां न हों, जो पहले वाले मसौदे में थी.

पहली बात, यह सुनिश्चित किया जाना चाहिए कि इस कानून द्वारा सूचना का अधिकार (आरटीआई) अधिनियिम को कमजोर न किया जाए, जिसने 2005 में लागू होने के बाद से करोड़ों भारतीयों का सशक्तीकरण किया है.

किसी लोकतंत्र में सरकारों को प्रभावशाली ढंग से जवाबदेह ठहराने के लिए जनता के पास सूचनाओं, जिसमें कई प्रकार का निजी डेटा भी शामिल है, का होना बेहद अहम है. मिसाल के लिए, सुप्रीम कोर्ट ने कहा कि नागरिकों को जानबूझकर कर्ज न चुकाने वाले लोगों (विलफुल डिफॉल्टर) के नामों को जानने का और सार्वजनिक क्षेत्र के बैंकों के एनपीए के बारे में जानने का अधिकार है.

लोकतंत्रों में नियमित रूप से नाम, पता और अन्य निजी जानकारियों वाली मतदाता सूचियों को सार्वजनिक किया जाता है ताकि उनकी जांच की जा सके और चुनावी धांधली को रोका जा सके. भारत में सूचना का अधिकार अधिनियम के इस्तेमाल के अनुभव ने दिखाया है कि लोगों, खासकर गरीबों और हाशिये पर खड़े वंचित लोगों के लिए सरकारी योजनाओं और कल्याणकारी कार्यक्रमों का लाभ उठा सकने की स्थिति तभी बन सकती है, जब उनके पास प्रासंगिक और श्रेणीकृत सूचनाएं हों. इसके बिना वे इनका लाभ उठाने की कोई उम्मीद नहीं रख सकते.

मिसाल के लिए, सार्वजनिक वितरण प्रणाली(पीडीएस) नियंत्रण आदेश राशनकार्ड धारियों और राशन की दुकानों का रिकॉर्ड सार्वजनिक करने की जरूरत को स्वीकार करता है ताकि पीडीएस की सार्वजनिक जांच और सोशल ऑडिट किए जा सकें. सार्वजनिक आंकड़ों की गैरमौजूदगी में लक्षित लाभार्थियों के लिए खाद्यान्न के अधिकार को हासिल कर पाना नामुमकिन है.

लोगों के निजता के अधिकार की रक्षा करने के लिए आरटीआई अधिनियम में धारा 8 (1) (जे) के तहत एक छूट का प्रावधान किया गया है. इस धारा के तहत निजी सूचना देने से इनकार  करने के लिए निम्नलिखित आधारों में से किसी एक को साबित करना जरूरी है: मांगी गई सूचना का सार्वजनिक क्रियाकलाप से कोई संबंध नहीं है या इसका जनहित से कोई वास्ता नहीं है या मांगी गई सूचना ऐसी है, जो बिना वजह किसी की निजता का अतिक्रमण करेगी और सूचना अधिकारी यह समझता है कि ऐसा कोई व्यापक सार्वजनिक हित नहीं है, जो इस सूचना को जाहिर करने से पूरा होता है.

2022 के डेटा प्रोटेक्शन विधेयक में धारा 8(1) (जे) में संशोधन करने और इसकी संभावना को विस्तार देने और सभी निजी सूचनाओं को आरटीआई अधिनियम के दायरे से बाहर रखने के लिए एक प्रावधान जोड़ा गया है. यह देश में शासन की पारदर्शिता के लिए बहुत बड़ा आघात होगा.

डेटा प्रोटेक्शन विधेयक को आरटीआई अधिनियम के प्रावधानों और लक्ष्यों के साथ सामंजस्य में लाना जरूरी है. यह निजता (प्राइवेसी) पर जस्टिस एपी शाह की सिफारिशों के अनुरूप होगा जिसमें कहा गया था, ‘प्राइवेसी अधिनियम को यह स्पष्ट करना चाहिए कि लोकहित के लिए निजी डेटा का प्रकाशन और सूचना के अधिकार के तहत सूचना का सार्वजनीकरण निजता का अतिक्रमण न करे.’

न ही निजता के अधिकार की मान्यता और न ही डेटा सुरक्षा कानून का लागू करने के लिए वर्तमान आरटीआई कानून में किसी तरह का संशोधन करना आवश्यक है.

दूसरी बात, इस तथ्य को देखते हुए कि सरकार के पास सबसे ज्यादा डेटा जमा है, कानून द्वारा कार्यपालिका को व्यापक विवेकाधीन शक्तियां प्रदान नहीं  की जानी चाहिए.

लेकिन, 2022 का डीपीडीपी विधेयक सरकार को विभिन्न मुद्दों पर नियम बनाने की शक्ति देता है. मिसाल के लिए, केंद्र सरकार किसी भी सरकारी या निजी क्षेत्र के प्रतिष्ठान को महज अधिसूचना निकालकर इस कानून से मुक्त रख सकता है. यह भविष्य में नागरिकों की निजता में व्यापक उल्लंघन का दरवाजा खोल देगा.

दूसरी तरफ, छोटे गैर-सरकारी संगठनों/एनजीओ, शोध संस्थानों, संघों और विपक्षी पार्टियों जिन्हें सरकार ने अधिसूचना में शामिल नहीं किया है, को डेटा कानून में वर्णित डेटा संग्रह के कठोर शर्तों का अनुपालन करने की व्यवस्था बनानी होगी.

तीसरी बात, यह भी जरूरी है कि इस कानून के तहत गठित ओवरसाइट कमेटी को सरकारी प्रतिष्ठानों द्वारा कानून का उल्लंघन करने पर कार्रवाई करने की पर्याप्त स्वतंत्रता दी जाए.

गौरतलब है कि विधेयक के मसौदे में डेटा प्रोटेक्शन बोर्ड की स्वायत्तता को सुनिश्चित नहीं किया गया है. यह बोर्ड ही कानून के प्रावधानों के अमल के लिए जिम्मेदार होगा.

बोर्ड की सदस्य संख्या और उसके गठन के साथ ही साथ इसके अध्यक्ष और सदस्यों की नियुक्ति और उन्हें हटाने की प्रक्रिया तय करने शक्ति केंद्र सरकार के पास होगी. इसके अलावा इस बोर्ड के चीफ एक्जीक्यूटिव को भी सरकार द्वारा ही नियुक्त किया जाएगा, जिससे यह संस्थान सीधे इसके नियंत्रण में आ जाएगा.

केंद्र सरकार के पास ‘इस अधिनियम या किसी दूसरे कानून के प्रावधानों के तहत’ बोर्ड को कोई भी कार्य सौंपने की शक्ति है.

एक पूरी तरह से सरकार द्वारा नियंत्रित डेटा प्रोटेक्शन बोर्ड का निर्माण, जिसके पास सिविल कोर्ट की शक्तियां होंगी और जिसके पास 500 करोड़ तक का जुर्माना लगाने तक की शक्तियां होंगी, इस आशंका को जन्म देगा कि कहीं यह भी एक और पिंजरे में बंद तोता में तब्दील न हो जाए! कार्यपालिका द्वारा इसका दुरुपयोग करना आसान होगा.

चौथी बात, इस कानून द्वारा शिकायत निपटारे के जन हितैषी फ्रेमवर्क की भी व्यवस्था की जानी चाहिए ताकि प्रभावित व्यक्ति के लिए ओवरसाइट कमेटी की शरण में जाना मुश्किल न हो. 2022 के विधेयक में यह व्यवस्था दी गई है कि डेटा प्रोटेक्शन बोर्ड अपने स्वरूप में डिजिटल होगा. शिकायतें करना और शिकायतों का निपटारा दोनों ही डिजिटल रूप में होगा.

हालिया पारिवारिक स्वास्थ्य सर्वे-5 के मुताबिक तीन में से सिर्फ एक महिला ने कभी इंटरनेट का इस्तेमाल किया है. इस तरह से देखें तो डीपीडीपी विधेयक देश के उन लाखों-करोड़ों लोगों के साथ न्याय नहीं करता है, जिनकी पहुंच इंटरनेट तक नहीं है.

और अंतिम बात, कानून में डेटा में सेंधमारी की स्थिति में पीड़ित के पास मौद्रिक मुआवजे की मांग करने की शक्ति होनी चाहिए. डीपीडीपी विधेयक में किसी भी प्रकार के मुआवजे का कोई प्रावधान नहीं है.

दरअसल यह विधेयक डेटा प्रिंसिपल (वे लोग जिनके निजी डेटा का संग्रह किया जा रहा है) के कर्तव्यों का उल्लेख करता है और बचकानी शिकायतें दायर करने के लिए उन पर जुर्माना लगाने का प्रावधान करता है.

(दोनों लेखक नेशनल कैंपेन फॉर पीपुल्स राइट टू इंफॉर्मेशन और सतर्क नागरिक संगठन से जुड़ी हुई हैं.)

(इस लेख को अंग्रेज़ी में पढ़ने के लिए यहां क्लिक करें.)