भारत में डेटा संरक्षण फ्रेमवर्क पर व्हाइट पेपर

रिपोर्ट का सारांश

  • भारत में डेटा संरक्षण फ्रेमवर्क पर विशेषज्ञों की एक कमिटी (चेयर : जस्टिस बी.एन.श्रीकृष्ण) ने 27 नवंबर, 2017 को व्हाइट पेपर जारी किया। डेटा संरक्षण से जुड़े मसलों की जांच करने, उन्हें सुलझाने के तरीके सुझाने और डेटा संरक्षण बिल का मसौदा तैयार करने के लिए इस कमिटी का गठन अगस्त 2017 में किया गया। इसका उद्देश्य नागरिकों के व्यक्तिगत डेटा को सुरक्षित और संरक्षित रखने के साथ डिजिटल अर्थव्यवस्था की वृद्धि सुनिश्चित करना था। कमिटी ने 31 दिसंबर, 2017 तक कुछ मुद्दों पर टिप्पणियों की मांग की है। फिर फीडबैक के आधार पर कमिटी भारत में डेटा संरक्षण पर एक कानून का मसौदा तैयार करेगी।
     
  • सिद्धांत : कमिटी ने सुझाव दिया कि देश में डेटा संरक्षण के लिए फ्रेमवर्क को सात सिद्धांतों पर आधारित होना चाहिए: (i) बदलती तकनीक को ध्यान में रखते हुए कानून को फ्लेक्सिबल होना चाहिए, (ii) कानून सरकारी और निजी क्षेत्र, दोनों पर लागू होना चाहिए, (iii) डेटा वास्तविक (जेनुइन) होना चाहिए यानी जिसका नाम है, डेटा उसी का होना चाहिए और जिससे डेटा लिया जा रहा है, उसे पूरी सूचना दी जानी चाहिए, (iv) डेटा प्रोसेसिंग कम से कम होनी चाहिए और सिर्फ उसी उद्देश्य के लिए की जानी चाहिए जिसके लिए उसे मांगा गया है, (v) डेटा को नियंत्रित करने वाली संस्थाओं को किसी भी डेटा प्रोसेसिंग के लिए जिम्मेदार होना चाहिए, (vi) डेटा संरक्षण फ्रेमवर्क को लागू करने का काम हाई पावर्ड स्टैट्यूटरी अथॉरिटी द्वारा किया जाना चाहिए, और (vii) किसी भी गलत कार्य को हतोत्साहित करने के लिए पर्याप्त दंड होने चाहिए।

फ्रेमवर्क का दायरा और उसके अंतर्गत छूट

  • एप्लीकेबिलिटी : कमिटी ने गौर किया कि देश अपने क्षेत्राधिकार में कानूनों का प्रवर्तन कर सकते हैं। हालांकि डेटा प्रोसेसिंग का काम विभिन्न देशों और क्षेत्राधिकारों के भीतर किया जा सकता है। कमिटी ने निम्नलिखित से संबंधित प्रश्न भी पूछे: (i) कानून की टेरिटोरियल एप्लीकेबिलिटी, (ii) कोई कानून भारत के बाहर किस हद तक लागू होना चाहिए, और (iii) ऐसे उपाय, जिन्हें कानून में विदेशी संस्थाओं के अनुपालन को सुनिश्चित करने हेतु शामिल किया जाना चाहिए।
     
  • व्यक्तिगत डेटा की परिभाषा : कमिटी ने गौर किया कि व्यक्तिगत सूचना को पारिभाषित करना महत्वपूर्ण है। डेटा संरक्षण कानून के अंतर्गत किस हद तक सूचना की गोपनीयता की गारंटी दी जाएगी, यह निर्धारित करना महत्वपूर्ण है। कमिटी ने निम्नलिखित से संबंधित प्रश्नों पर टिप्पणियां मांगी हैं : (i) किस प्रकार की सूचना व्यक्तिगत डेटा के रूप में क्वालिफाई होती है, (ii) क्या यह परिभाषा इस बात पर केंद्रित होनी चाहिए कि व्यक्ति को डेटा के आधार पर चिन्हित किया जाए, और (iii) संवेदनशील व्यक्तिगत डेटा का इस्तेमाल। संवेदनशील डेटा उन अंतरंग मामलों से संबंधित होता है जिनमें निजता की अत्यधिक संभावना होती है (जैसे जाति, धर्म और सेक्सुअल ओरिएंटेशन)।
     
  • छूट : कमिटी ने टिप्पणी की कि डेटा संरक्षण फ्रेमवर्क के अंतर्गत आने वाली संस्थाओं को कुछ बाध्यताओं से छूट दी जा सकती है (जैसे राज्य द्वारा उठाए जाने वाले कुछ कदमों को)। कमिटी ने इस संबंध में भी टिप्पणियां मांगी हैं कि किन वर्गों में छूट को कानून के अंतर्गत शामिल किया जाना चाहिए और यह भी कि इन वर्गों में डेटा प्रोसेसिंग करते समय किन मूलभूत सुरक्षात्मक उपायों को सुनिश्चित किया जाना चाहिए।

डेटा प्रोसेसिंग के आधार, संस्थाओं की बाध्यताएं और व्यक्तियों के अधिकार

  • सहमति : कमिटी ने टिप्पणी की कि व्यक्तिगत डेटा की प्रोसेसिंग के कुछ आधारों में से एक सहमति है। हालांकि अक्सर जिससे डेटा लिया जाता है, उसे पूरी सूचना नहीं दी जाती। इस संबंध में कमिटी ने उन शर्तों पर टिप्पणियां मांगीं, जो सहमति को वैध साबित करने के लिए जरूरी हों। इसके अतिरिक्त विश्व में हर तीन इंटरनेट यूजर्स में से एक 18 वर्ष से कम उम्र का है। एक डेटा संरक्षण कानून को उनकी संवेदनशीलता और ऑनलाइन जोखिमों को देखते हुए उनके हितों को पर्याप्त रूप से सुरक्षित रखना चाहिए।
     
  • कलेक्शन का उद्देश्य : कमिटी ने इस सिद्धांत पर चर्चा की कि व्यक्तिगत डेटा विशिष्ट उद्देश्य के लिए कलेक्ट किए जाने चाहिए और ऐसे डेटा को किसी अन्य उद्देश्य के लिए प्रोसेस नहीं किया जाना चाहिए। इसके अतिरिक्त एक संबंधित सिद्धांत में यह अपेक्षा की गई है कि एक बार डेटा कलेक्ट करने का उद्देश्य समाप्त हो जाए तो व्यक्तिगत डेटा को मिटा दिया जाए।
     
  • भागीदारी का अधिकार : कमिटी ने टिप्पणी की कि डेटा संरक्षण का एक सिद्धांत यह भी है कि जिस व्यक्ति के डेटा को प्रोसेस किया गया है, उसे प्रोसेसिंग को प्रभावित करने में सक्षम होना चाहिए। इसमें डेटा की पुष्टि करने, उस तक पहुंचने और उसमें सुधार करने का अधिकार शामिल है। कमिटी ने गौर किया कि यूरोपीय संघ के रेगुलेशनों ने अन्य अधिकारों, जैसे डेटा प्रोसेसिंग पर आपत्ति करने का अधिकार, को मान्यता दी है। भारतीय कानून में ऐसे अधिकारों को शामिल करने के लिए अतिरिक्त विश्लेषण की जरूरत होगी। यह टिप्पणी भी की गई कि राइट टू बी फॉरगॉटन (यानी एक बार प्रयोग किए जाने के बाद किसी का व्यक्तिगत डेटा मिटा दिया जाए या उस डेटा को अनाम बता दिया जाए) डेटा संरक्षण कानूनों में एक विवादास्पद मुद्दे के रूप में उभरा है।

रेगुलेशन और उनका प्रवर्तन

  • प्रवर्तन के तरीके : कमिटी ने टिप्पणी की कि एक बार कानून के प्रावधान विधिसंगत बन जाएं तो अनुपालन सुनिश्चित करने के लिए प्रवर्तन की प्रक्रिया तैयार की जानी चाहिए। इस संबंध में कमिटी ने (i) आचार संहिता, (ii) व्यक्तिगत डेटा के लीक होने, (iii) विभिन्न डेटा कंट्रोलर्स के वर्गीकरण, (iv) और एक अलग डेटा संरक्षण अथॉरिटी के निर्माण के लिए प्रवर्तन संबंधी साधनों पर टिप्पणियों की मांग की। अथॉरिटी : (i) निरीक्षण, प्रवर्तन और जांच, (ii) मानकों के निर्धारण, और (iii) जागरूकता उत्पन्न करने के लिए उत्तरदायी हो सकती है।
     
  • दंड और मुआवजा : कमिटी ने प्रस्तावित कानून के अंतर्गत अपराधों के लिए दंड पर चर्चा की, साथ ही इस बात पर भी चर्चा की कि किस अथॉरिटी के पास सुनवाई और शिकायतों पर निर्णय लेने की शक्ति होनी चाहिए। इसके अतिरिक्त कमिटी ने टिप्पणी की कि डेटा कंट्रोलर्स की गलतियों के कारण जिन लोगों को नुकसान या क्षति पहुंची हो, उन्हें मुआवजा प्रदान करना ऐसा महत्वपूर्ण उपाय है, जिसे कानून के अंतर्गत विर्निदिष्ट होना चाहिए।

 

 

अस्वीकरणः प्रस्तुत रिपोर्ट आपके समक्ष सूचना प्रदान करने के लिए प्रस्तुत की गई है। पीआरएस लेजिसलेटिव रिसर्च (पीआरएस) की स्वीकृति के साथ इस रिपोर्ट का पूर्ण रूपेण या आंशिक रूप से गैर व्यावसायिक उद्देश्य के लिए पुनःप्रयोग या पुनर्वितरण किया जा सकता है। रिपोर्ट में प्रस्तुत विचार के लिए अंततः लेखक या लेखिका उत्तरदायी हैं। यद्यपि पीआरएस विश्वसनीय और व्यापक सूचना का प्रयोग करने का हर संभव प्रयास करता है किंतु पीआरएस दावा नहीं करता कि प्रस्तुत रिपोर्ट की सामग्री सही या पूर्ण है। पीआरएस एक स्वतंत्र, अलाभकारी समूह है। रिपोर्ट को इसे प्राप्त करने वाले व्यक्तियों के उद्देश्यों अथवा विचारों से निरपेक्ष होकर तैयार किया गया है। यह सारांश मूल रूप से अंग्रेजी में तैयार किया गया था। हिंदी रूपांतरण में किसी भी प्रकार की अस्पष्टता की स्थिति में अंग्रेजी के मूल सारांश से इसकी पुष्टि की जा सकती है।