अपार गुप्ता
अगस्त 2024 में, जब भारत के.एस. पुट्टस्वामी के फैसले के छह साल पूरे होने जा रहे थे, जिसमें निजता को मौलिक अधिकार के रूप में फिर से पुष्टि की गई थी, इंटरनेट फ्रीडम फाउंडेशन ने अपना वार्षिक ‘प्राइवेसी सुप्रीम’ कार्यक्रम आयोजित किया – किसी जश्न के तौर पर नहीं, बल्कि अपने अधूरे वादे पर एक गंभीर चिंतन के तौर पर। सामाजिक कार्यकर्ता निखिल डे ने राजस्थान के अजमेर से चौंकाने वाले किस्से साझा किए, जिसमें बताया गया कि कैसे दक्षता के लिए प्रचारित आधार ने कमजोर निवासियों को पेंशन और राशन से वंचित कर दिया है। यह गंभीर वास्तविकता तकनीकी नीति चर्चाओं के केंद्र में होनी चाहिए, जिसमें ड्राफ्ट डिजिटल डेटा प्रोटेक्शन रूल्स, 2025 भी शामिल है।
कार्यपालिका का अतिक्रमण, अपर्याप्त पारदर्शितानियमन आम तौर पर कानून को स्पष्ट करता है, यह सुनिश्चित करता है कि संसद द्वारा पारित कानून प्रशासनिक लचीलेपन को बनाए रखते हुए लागू किए जा सकें। फिर भी, डेटा सुरक्षा नियमों का मसौदा कार्यकारी अतिक्रमण और अस्पष्ट शासन के सवालों पर चिंता पैदा करता है। यहां कुछ पहले के विश्लेषण दोहराए जाने चाहिए क्योंकि ये नियम अपने गुरु की आज्ञाकारिता में एक कर्तव्यनिष्ठ शिष्य हैं। यहां, इसका मूल डिजिटल व्यक्तिगत डेटा सुरक्षा अधिनियम, 2023 है, जिसे संसद में “लोकतांत्रिक प्रक्रिया के विध्वंस का एक उत्पाद” के रूप में पारित किया गया था। कानून कैसे बनाया गया, इस पर केवल विश्वास की कमी से कहीं अधिक है, क्योंकि इसके मूल प्रावधान “पूर्ण राज्य नियंत्रण – हमें खींचने और हमें भारत के संविधान के प्रस्तावना उद्देश्यों की सेवा करने के बजाय कतार में खड़ा करने के लिए एक डिजिटल पट्टा” की व्यापक नीति को आगे बढ़ाते हैं। इसके प्रावधान जानबूझकर अस्पष्ट हैं, जो अस्पष्ट वाक्यांश “जैसा कि निर्धारित किया जा सकता है” के तहत व्यापक विवेक प्रदान करते हैं।
9 अगस्त, 2023 को अधिनियम के शीघ्र पारित होने के बावजूद, इसका कार्यान्वयन अधर में लटका हुआ है। सोलह महीने बाद, परामर्श के लिए मसौदा नियमों का अनावरण किया गया है। लेकिन क्या वे वास्तव में ‘सार्वजनिक’ हैं? 51-पृष्ठ पीडीएफ (हिंदी/अंग्रेजी में राजपत्र अधिसूचना के रूप में) के रूप में प्रकाशित, तीन-पृष्ठ व्याख्यात्मक नोट के साथ जो एआई ग्लॉप के रूप में पढ़ता है, एक सरल और अस्पष्ट सारांश मसौदा तैयार करने के दौरान नीति विकल्पों में बहुत कम जानकारी देता है। टिप्पणियां केवल MyGov प्लेटफ़ॉर्म के माध्यम से प्रस्तुत की जा सकती हैं जो विशेषज्ञ इनपुट को प्रोत्साहित कर सकती हैं लेकिन व्यापक भागीदारी को प्रतिबंधित करती हैं। सबमिशन को प्रत्ययी मानने के सरकार के फैसले से पारदर्शिता कम हो गई है, जिससे सार्वजनिक प्रकटीकरण और प्रति-टिप्पणियां रोक दी गई हैं। यह नियंत्रित प्रतिक्रिया प्रक्रिया सार्वजनिक के बजाय ‘कॉर्पोरेट परामर्श’ जैसी है।
मूल रूप से, डेटा सुरक्षा नियम जानबूझकर अस्पष्टता और कार्यकारी प्रभुत्व के ढांचे पर आधारित हैं। कई अनुपालन दायित्व या तो व्यक्तिगत डेटा को संभालने वाली कंपनियों द्वारा स्वयं निर्धारित किए जाते हैं या सरकार के विवेक पर छोड़ दिए जाते हैं। नियम 3 पर विचार करें, जो सहमति नोटिस को नियंत्रित करता है। यह ‘स्पष्ट और सरल भाषा’ को अनिवार्य करता है, लेकिन इन शर्तों को परिभाषित करने में विफल रहता है, जिससे व्याख्या भारत की विशाल भाषाई और समझ की विविधता के अधीन हो जाती है। विशिष्ट मानकों के बिना, नोटिस अत्यधिक सामान्य या अति सरलीकृत होने का जोखिम उठाते हैं, जिससे महत्वपूर्ण विवरण छूट जाते हैं।
इसी तरह, जबकि नियमों में डेटा के ‘आइटमयुक्त विवरण’ की आवश्यकता होती है, वे यह स्पष्ट नहीं करते हैं कि प्रकटीकरण वित्तीय या स्वास्थ्य डेटा जैसी श्रेणियों के लिए है; या खाता संख्या या यहां तक कि मेटाडेटा और अनुमानित डेटा जैसे विशिष्ट डेटा बिंदुओं के लिए है। न ही वे उपयोगकर्ताओं को डेटा उल्लंघन सूचनाओं के लिए समयसीमा निर्धारित करते हैं, जिससे आपातकालीन स्थितियों में व्यक्तियों के लिए जोखिम बढ़ जाता है। ऐसी अस्पष्टताएँ, यदि विशुद्ध रूप से प्रशासनिक हैं, तो उन्हें एक स्वतंत्र नियामक प्राधिकरण की मानक निर्धारण शक्तियों द्वारा हल किया जाना चाहिए था जो मौजूद नहीं है।
डेटा संरक्षण बोर्ड को कोई स्वतंत्रता नहीं
अस्पष्टता गहरी संरचनात्मक खामियों को दर्शाती है। अधिनियम एक स्वतंत्र नियामक निकाय के निर्माण से बचता है, इसके बजाय, केंद्र सरकार के भीतर शक्ति को समेकित करता है। अनौपचारिक बातचीत और राजपत्र अधिसूचनाओं के माध्यम से, सरकार नागरिकों और डिजिटल बाज़ार पर अनियंत्रित अधिकार रखती है। यहां तक कि डेटा प्रोटेक्शन बोर्ड (DPB), जिसके पास उल्लंघनों पर निर्णय लेने के लिए अधिकार क्षेत्र का सीमित दायरा है, स्वतंत्रता का अभाव है। बोर्ड के अध्यक्ष का चयन कैबिनेट सचिव की अध्यक्षता वाली खोज और चयन समिति की सिफारिशों के आधार पर किया जाता है, जिससे गंभीर चिंताएँ पैदा होती हैं। समिति राजनीतिक नियंत्रण की आलोचनाओं को कैसे संबोधित करेगी जो समान नियुक्ति प्रक्रियाओं को प्रभावित करती है? खोज समिति क्या मूल्य प्रदान करती है जब उसे पहले से पता होता है कि उसकी सिफारिशें केंद्र सरकार के लिए बाध्यकारी नहीं हैं?
इसके गठन के बाद भी, DPB को सीमित कर दिया गया है। इसका अधिकार मुख्य रूप से डेटा उल्लंघनों का पता लगाने तक सीमित है, और इसकी स्वतंत्रता इसके सदस्यों की केंद्रीय सरकारी कर्मचारियों की सेवा शर्तों से समझौता करती है। यह लंबे समय से चली आ रही सिफारिशों का उल्लंघन करता है, जैसे कि विनियमन पर 2006 का योजना आयोग परामर्श पत्र, जिसमें इस बात पर जोर दिया गया था कि “अध्यक्षों और सदस्यों के चयन, नियुक्ति और निष्कासन को किसी भी कथित हस्तक्षेप या हेरफेर से अलग रखा जाना चाहिए जो परिणाम को प्रभावित कर सकता है”।
एक अधीनस्थ डीपीबी डेटा सुरक्षा को प्रभावी ढंग से कैसे लागू करेगा? नियम 5 सब्सिडी के लिए डेटा प्रोसेसिंग को सहमति आवश्यकताओं से छूट देता है। ऐसे मामलों में, क्या कोई सार्थक जवाबदेही हो सकती है? ऐसे परिदृश्यों की भविष्यवाणी करना अनुचित नहीं है जहाँ डीपीबी तुरंत या प्रभावी रूप से कार्य करने में विफल हो सकता है, खासकर जब शिकायतें यूआईडीएआई जैसी शक्तिशाली सरकारी संस्थाओं से संबंधित हों जो आधार को संभालती हैं। यह उन सामुदायिक संगठनों के लिए मौलिक संदेह पैदा करता है जो राशन प्राप्त करने के लिए डेटा रिकॉर्ड को सही करवाने जैसी सरल चीजों के लिए उपयोगकर्ता अधिकारों पर निवारण के लिए उससे संपर्क कर सकते हैं।
अंत में, नियम 22 के बारे में, जिसमें सरकार को सूचना मांगने का अधिकार है, सीमाओं और सुरक्षा उपायों का अभाव है। जैसा कि कई लोग इस कॉलम को पढ़ रहे हैं, वे अभी भी आश्चर्यचकित हो सकते हैं कि डेटा सुरक्षा नियम इतने देर से, इतने कम, इतने अस्पष्ट क्यों हैं? इसका उत्तर श्री डे द्वारा दिया जा सकता है, जिन्होंने भारतीय राज्य की डिजिटल नीतियों के बारे में अपनी व्याख्या थ्रू द लुकिंग-ग्लास के संदर्भ में तैयार की थी। जब एलिस हम्प्टी डम्प्टी से पूछती है कि एक ही शब्द के अलग-अलग अर्थ कैसे हो सकते हैं, तो उसका जवाब भारत की डेटा सुरक्षा व्यवस्था के मूल को पकड़ लेता है: “सवाल यह है… कौन मालिक होगा – बस इतना ही।” द हिंदू से साभार
अपार गुप्ता एक अधिवक्ता और इंटरनेट फ्रीडम फाउंडेशन के संस्थापक-निदेशक हैं
