• +91- 9058885358
  • enquiry@manvendraias.com
  • E-146/1, SN Complex, Kamla Nagar, Agra- 282004

नया डेटा संरक्षण विधेयक

GS 2

नया डेटा संरक्षण विधेयक

डिजिटल पर्सनल डेटा प्रोटेक्शन बिल, 2022 का नवीनतम ड्राफ्ट पिछले पर्सनल डेटा प्रोटेक्शन बिल, 2019 से कितना अलग है? क्या डेटा प्रिंसिपल्स के अधिकारों को बढ़ाया गया है? क्या विधेयक के वर्तमान संस्करण से 'संवेदनशील व्यक्तिगत डेटा' की अवधारणा को हटा दिया गया है?

क्या है कहानी: डेटा संरक्षण कानून का नवीनतम मसौदा - डिजिटल पर्सनल डेटा प्रोटेक्शन बिल, 2022 (DPDP बिल, 2022) - अब सार्वजनिक टिप्पणियों के लिए खुला है और सरकार से बजट में संसद में बिल पेश करने की उम्मीद है। 2023 का सत्र।

पृष्ठभूमि
 यह भारत में डेटा संरक्षण कानून का चौथा पुनरावृत्ति है।
कानून का पहला मसौदा - व्यक्तिगत डेटा संरक्षण विधेयक, 2018, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) द्वारा स्थापित न्यायमूर्ति श्रीकृष्ण समिति द्वारा भारत के लिए डेटा संरक्षण कानून स्थापित करने के जनादेश के साथ प्रस्तावित किया गया था।
 सरकार ने इस मसौदे में संशोधन किया और इसे 2019 में लोकसभा में व्यक्तिगत डेटा संरक्षण विधेयक, 2019 (पीडीपी विधेयक, 2019) के रूप में पेश किया। उसी दिन, लोकसभा ने पीडीपी विधेयक, 2019 को संदर्भित करने के लिए एक प्रस्ताव पारित किया। संसद के दोनों सदनों की एक संयुक्त समिति के लिए।
 महामारी के कारण हुई देरी के कारण, पीडीपी विधेयक, 2019 (जेपीसी) पर संयुक्त समिति ने दो साल बाद दिसंबर, 2021 में विधेयक पर अपनी रिपोर्ट प्रस्तुत की। रिपोर्ट के साथ एक नया मसौदा विधेयक, अर्थात् डेटा संरक्षण बिल, 2021 जिसमें जेपीसी की सिफारिशों को शामिल किया गया था।

इतने संशोधन और परिवर्तन क्यों हुए हैं?
 डिजिटल उपकरणों के साथ लगातार बातचीत ने उपयोगकर्ताओं (डेटा प्रिंसिपल) द्वारा चौबीसों घंटे व्यक्तिगत डेटा की अभूतपूर्व मात्रा उत्पन्न की है।
 जब कंपनियों (डेटा न्यासी) के पास आज उपलब्ध कम्प्यूटेशनल शक्ति के साथ युग्मित किया जाता है, तो इस डेटा को उन तरीकों से संसाधित किया जा सकता है जो डेटा प्रिंसिपल की स्वायत्तता, आत्मनिर्णय, पसंद की स्वतंत्रता और गोपनीयता को तेजी से क्षीण करते हैं।
 सूचना प्रौद्योगिकी नियम, 2011 (आईटी नियम, 2011) में निहित गोपनीयता के लिए वर्तमान कानूनी ढांचा डेटा प्रिंसिपलों को इस तरह के नुकसान से निपटने के लिए पूरी तरह से अपर्याप्त है, खासकर जब से सूचनात्मक गोपनीयता के अधिकार को सर्वोच्च न्यायालय द्वारा मौलिक अधिकार के रूप में बरकरार रखा गया है। (के.एस. पुट्टास्वामी बनाम भारत संघ [2017])।
 यह चार स्तरों पर अपर्याप्त है:-
1) मौजूदा ढांचा निजता को मौलिक अधिकार के बजाय एक वैधानिक अधिकार होने पर आधारित है और सरकार द्वारा व्यक्तिगत डेटा के प्रसंस्करण पर लागू नहीं होता है।
2) संरक्षित किए जाने वाले डेटा के प्रकारों की इसकी सीमित समझ है।
3) यह डेटा फिड्यूशरीज़ पर कम दायित्व रखता है, इसके अलावा, अनुबंध द्वारा ओवरराइड किया जा सकता है।
4) इन दायित्वों के उल्लंघन के लिए डेटा न्यासी के लिए केवल न्यूनतम परिणाम हैं।

 भारत अन्य न्यायालयों की तरह कई कारणों से एक इष्टतम फॉर्मूलेशन के साथ आने के लिए संघर्ष कर रहा है।
1) डेटा प्रिंसिपल के अधिकारों की रक्षा करते समय, डेटा संरक्षण कानूनों को यह सुनिश्चित करने की आवश्यकता है कि डेटा न्यासियों के लिए अनुपालन इतना कठिन नहीं है कि वैध प्रसंस्करण को भी अव्यवहारिक बना दे।
2) चुनौती डेटा प्रिंसिपलों की निजता के अधिकार और उचित अपवादों के बीच पर्याप्त संतुलन खोजने में निहित है, विशेष रूप से जहां व्यक्तिगत डेटा के सरकारी प्रसंस्करण का संबंध है।
3) जिस दर पर प्रौद्योगिकी विकसित होती है, एक इष्टतम डेटा संरक्षण कानून डिजाइन को भविष्य का प्रमाण होना चाहिए - यह अनावश्यक रूप से विस्तृत नहीं होना चाहिए और समस्याओं की अनदेखी करते हुए समकालीन चिंताओं के समाधान प्रदान करने पर केंद्रित होना चाहिए जो आगे चलकर उभर सकती हैं।
4) कानून को अधिकारों और उपचारों के एक ढांचे के लिए डिज़ाइन करने की आवश्यकता है जो डेटा प्रिंसिपलों द्वारा डेटा फ़िड्यूशरी के संबंध में उनकी असमान सौदेबाजी की शक्ति को देखते हुए आसानी से प्रयोग करने योग्य हो।

विधेयक के वर्तमान सूत्रीकरण का दायरा

डीपीडीपी बिल, 2022 व्यक्तिगत डेटा के सभी प्रसंस्करण पर लागू होता है जो डिजिटल रूप से किया जाता है। इसमें ऑनलाइन एकत्र किए गए व्यक्तिगत डेटा और ऑफ़लाइन एकत्र किए गए व्यक्तिगत डेटा दोनों शामिल होंगे, लेकिन प्रसंस्करण के लिए डिजिटाइज़ किया गया है।
 मैन्युअल रूप से संसाधित डेटा के लिए पूरी तरह से अनुपयुक्त होने के कारण, यह कुछ हद तक कम सुरक्षा प्रदान करता है क्योंकि पहले के मसौदों में केवल विशेष रूप से "छोटी संस्थाओं" द्वारा मैन्युअल रूप से संसाधित किए गए डेटा को शामिल नहीं किया गया था और आम तौर पर नहीं।
 इसके अलावा, जहां तक कानून के क्षेत्रीय अनुप्रयोग का संबंध है, विधेयक व्यक्तिगत डेटा के प्रसंस्करण को शामिल करता है जो भारत के क्षेत्र के भीतर डेटा न्यासियों द्वारा एकत्र किया जाता है और जिसे भारत के भीतर वस्तुओं और सेवाओं की पेशकश करने के लिए संसाधित किया जाता है।
 मौजूदा वाक्यांश, अनजाने में, भारत में स्थित नहीं होने वाले डेटा प्रिंसिपलों के भारत के बाहर व्यक्तिगत डेटा एकत्र और संसाधित करने वाले भारतीय डेटा फिड्यूशरीज़ द्वारा डेटा प्रोसेसिंग को बाहर करने लगता है। यह विदेशों में काम कर रहे भारतीय स्टार्ट-अप के ग्राहकों के लिए उपलब्ध वैधानिक सुरक्षा को प्रभावित करेगा, जिससे उनकी प्रतिस्पर्धात्मकता प्रभावित होगी। इस स्थिति को डीपीडीपी बिल, 2022 द्वारा भारत में डेटा न्यासियों द्वारा भारत के अनिवासियों के व्यक्तिगत डेटा प्रसंस्करण के लिए इसके अधिकांश संरक्षणों के आवेदन से छूट देने पर जोर दिया गया लगता है।

डीपीडीपी बिल, 2022 डेटा प्रिंसिपल्स की कितनी अच्छी तरह रक्षा करता है?
 अधिकांश डेटा संरक्षण विधानों के उभार में उनके व्यक्तिगत डेटा पर डेटा प्रिंसिपल को अधिकतम नियंत्रण की अनुमति देना शामिल है। यह डेटा प्रिंसिपल को डेटा प्रोसेसिंग के विभिन्न पहलुओं पर एक व्यापक नोटिस देने के लिए अनिवार्य है, जिसके आधार पर डेटा प्रिंसिपल ऐसी प्रोसेसिंग के लिए स्पष्ट सहमति प्रदान कर सकता है।
 जबकि व्यक्तिगत डेटा की गैर-सहमति आधारित प्रसंस्करण के लिए सीमित परिस्थितियां मौजूद हैं, फिर भी यह डेटा प्रिंसिपल को उनके डेटा तक पहुंचने, सही करने, हटाने आदि का अधिकार देता है।
 डेटा न्यासी को, अन्य बातों के साथ-साथ, डेटा न्यूनीकरण के दायित्व के साथ रखा गया है, जो केवल ऐसे व्यक्तिगत डेटा को एकत्र करना है, जो प्रसंस्करण (संग्रह सीमा) के उद्देश्य को पूरा करने के लिए आवश्यक है; इसे केवल बताए गए उद्देश्यों के लिए संसाधित करें और अधिक नहीं (उद्देश्य सीमा) और इसे अपने सर्वर में केवल तब तक बनाए रखने के लिए जब तक बताए गए उद्देश्य (भंडारण सीमा) को पूरा करने के लिए आवश्यक हो।
 वर्तमान मसौदा संग्रह सीमा जैसे कुछ डेटा सुरक्षा सिद्धांतों के स्पष्ट संदर्भ को हटा देता है। यह एक डेटा प्रत्ययी को डेटा प्रिंसिपल द्वारा सहमति देने वाले किसी भी व्यक्तिगत डेटा को एकत्र करने की अनुमति देगा।
 संग्रह को पूरी तरह से सहमति पर निर्भर करना, इस तथ्य को अनदेखा करता है कि डेटा प्रिंसिपलों को अक्सर अपेक्षित जानकारी नहीं होती है कि किसी विशेष उद्देश्य के लिए किस प्रकार का व्यक्तिगत डेटा प्रासंगिक है। उदाहरण के लिए, एक फोटो फ़िल्टर ऐप आपके स्थान या आपके संपर्कों पर जानकारी से संबंधित डेटा को संसाधित कर सकता है, भले ही उसे फ़िल्टर लागू करने के अपने प्राथमिक कार्य को जारी रखने के लिए ऐसी जानकारी की आवश्यकता न हो।
 यह "संवेदनशील व्यक्तिगत डेटा" की अवधारणा को भी दूर करता है। व्यक्तिगत डेटा की कुछ श्रेणियों के गैरकानूनी प्रसंस्करण के परिणामस्वरूप होने वाली हानि की बढ़ती संभावना के आधार पर, अधिकांश डेटा संरक्षण कानून इन श्रेणियों को "संवेदनशील व्यक्तिगत डेटा" के रूप में वर्गीकृत करते हैं। उदाहरण के तौर पर, इसमें बायोमेट्रिक डेटा, स्वास्थ्य डेटा, जेनेटिक डेटा आदि शामिल हैं। इस व्यक्तिगत डेटा को प्रसंस्करण और अनिवार्य डेटा सुरक्षा प्रभाव आकलन से पहले स्पष्ट सहमति की आवश्यकता के संदर्भ में उच्च स्तर की सुरक्षा प्रदान की जाती है। इस भेद को समाप्त करके, DPDP बिल, 2022 इन अतिरिक्त सुरक्षाओं को समाप्त करता है।
 बिल उस जानकारी को भी कम करता है जो डेटा प्रिंसिपल को प्रदान करने के लिए एक डेटा फिड्यूशरी की आवश्यकता होती है। जबकि पिछले पुनरावृत्तियों को डेटा प्रिंसिपल के अधिकारों, शिकायत निवारण तंत्र, सूचना की प्रतिधारण अवधि, एकत्रित जानकारी के स्रोत आदि के संदर्भ में डेटा प्रिंसिपल के लिए पर्याप्त जानकारी की आवश्यकता होती है, वर्तमान ड्राफ्ट इस जानकारी के दायरे को कम कर देता है। व्यक्तिगत डेटा एकत्र करने की मांग और डेटा को संसाधित करने का उद्देश्य। हालांकि यह नोटिस को सरल बनाने और जानकारी के अधिभार से बचने के प्रयास में किया गया हो सकता है, ऐसे अन्य तरीके हैं जैसे इन्फोग्राफिक्स, समय-समय पर नोटिस इत्यादि जो डेटा सुरक्षा अधिकारियों द्वारा एक व्यापक लेकिन बोधगम्य नोटिस सुनिश्चित करने के लिए अनुशंसित किए जा रहे हैं।
 डीपीडीपी बिल, 2022 से लगता है कि डेटा प्रिंसिपल की सहमति लेने के लिए ही नोटिस दिया जाना है। यह नोटिस के उद्देश्य की सीमित समझ है। डेटा प्रिंसिपल के लिए डेटा सुरक्षा अधिकारों का उपयोग करने के लिए एक नोटिस भी महत्वपूर्ण है जैसे कि यह जानने का अधिकार कि कौन सा व्यक्तिगत डेटा किसके द्वारा संसाधित किया जा रहा है, क्या उस डेटा को सुधार या अद्यतन करने की आवश्यकता है और डेटा को हटाने का अनुरोध करने के लिए जो प्रासंगिक नहीं हो सकता है प्रसंस्करण का उद्देश्य। डेटा के गैर-सहमति आधारित प्रसंस्करण के मामलों में भी ये अधिकार मौजूद हैं। इस प्रकार, नोटिस को केवल सहमति आधारित व्यक्तिगत डेटा प्रोसेसिंग तक सीमित करने से इन अधिकारों के प्रयोग की गुंजाइश सीमित हो जाएगी।
 डीपीडीपी बिल, 2022 भी "समझी गई सहमति" की अवधारणा को पेश करता है। असल में, यह प्रसंस्करण के उद्देश्यों को बंडल करता है जिन्हें या तो सहमति आधारित प्रसंस्करण से छूट दी गई थी या जिन्हें "उचित उद्देश्य" माना जाता था, जिसके लिए व्यक्तिगत डेटा प्रसंस्करण "डीम्ड सहमति" के आधार पर किया जा सकता था। हालाँकि, "सार्वजनिक हित" जैसे प्रसंस्करण के लिए अस्पष्ट शब्दों के आधार और डेटा प्रिंसिपल के हितों की सुरक्षा के लिए अतिरिक्त सुरक्षा उपायों को हटाने के कारण इसके आसपास कुछ चिंताएँ मौजूद हैं।
 डेटा प्रिंसिपल्स के अधिकार में एक महत्वपूर्ण जोड़ यह है कि यह पोस्टमार्टम गोपनीयता के अधिकार को मान्यता देता है जो पीडीपी बिल, 2019 से गायब था लेकिन जेपीसी द्वारा इसकी सिफारिश की गई थी। पोस्टमॉर्टम गोपनीयता का अधिकार डेटा प्रिंसिपल को मृत्यु या अक्षमता के मामले में किसी अन्य व्यक्ति को नामांकित करने की अनुमति देगा।

स्रोत: टीएच
टीम मानवेंद्र आई.ए.एस