श्रीकृष्णा समिति रिपोर्टः निजता तथा सूचना के अधिकार की एक नई समझ
श्रीकृष्णा समिति को भारत के लिए डेटा संरक्षण कानून तैयार करने का ज़िम्मा सौंपा गया था जिसने डेटा प्रोटेक्शन बिल 2018 का अपना अंतिम रिपोर्ट शुक्रवार को सौंप दिया। इस समिति द्वारा जनता से उनके विचार आमंत्रित किए जाने के लिए जारी किए गए एक श्वेत पत्र के आठ महीने बाद ये रिपोर्ट आई है। मौजूदा क़ानूनों में संशोधन की सिफारिश करने के अलावा इस समिति ने डेटा गोपनीयता संबंधित कार्यों का निपटारा करने के लिए डेटा प्रोटेक्शन अथॉरिटी (डीपीए) नामक एक नया नियामक निकाय स्थापित करने की भी सिफारिश की है। हालांकि नागरिकों के लिए प्रमुख गोपनीयता मामले का प्रतिनिधित्व करने के बावजूद इस समिति ने आधार को निरस्त या सीमित करने की सिफारिश नहीं की।
अधिकारक्षेत्र तथा प्रयोज्यता
समिति ने सिफारिश की कि भारत में प्रक्रियाबद्ध सभी व्यक्तिगत आंकड़ों पर भारतीय क़ानून में अधिकार क्षेत्र होना चाहिए। जहां तक भारत के बाहर काम करने वाली न्यासी के लिए इसके प्रयोज्यता की बात है तो ये क़ानून केवल उन लोगों के लिए लागू होगा जो भारत में व्यवसाय कर रहे हैं, या जिन्होंने महत्वपूर्ण डेटा एकत्र किया है जिसका इस्तेमाल देश या नागरिकों को नुकसान पहुंचाने के लिए किया जा सकता है। भारतीय संस्थाओं द्वारा एकत्रित और प्रक्रियाबद्ध आंकड़ों के संबंध में ये क़ानून लागू होगा चाहे प्रक्रिया भारत में हो या न हो। इस समिति ने यह भी सिफारिश की कि भारत में स्थित कंपनियां जो विदेशियों के व्यक्तिगत डेटा की प्रक्रिया करती हैं उन्हें क़ानून से छूट दी जा सकती है। हालांकि इस क़ानून की पूर्वप्रभावी प्रयोज्यता नहीं होगी।
प्रक्रिया
जहां तक प्रक्रिया का संबंध है तो ये क़ानून निजी के साथ ही सार्वजनिक क्षेत्रों पर भी लागू होगा। डीपीए व्यक्तिगत डेटा, डेटा गुप्त रखने और डेटा की पहचान छुपाने के संबंध में दिशानिर्देश जारी करेगा। ये क़ानून डेटा गुप्त रखने के लिए लागू नहीं होगा जो डीपीए द्वारा निर्धारित मानकों को पूरा करता है।
समिति ने यह भी सिफारिश की कि सहमति वह आधार होगा जिस पर डेटा प्रक्रिया हो सकती है। दिलचस्प बात यह है कि समिति ने यह भी सिफारिश की है कि एक संशोधित सहमति ढांचा अपनाया जाएगा। इसका मतलब है कि अनुबंधों की प्रकृति में गोपनीयता नीतियों को वस्तुओं के रूप में माना जाएगा न कि शर्त की एक श्रृंखला के रूप में। इस तरह किसी व्यक्ति के पूर्ण ज्ञान के बिना दायित्व को उसी तरह लागू किया जा सकता है जैसे कि एक दोषपूर्ण उत्पाद- जैसे कि कोई कार - किसी व्यक्ति को दिया गया था। इस समिति ने यह भी सिफारिश की है कि जहां सहमति मांगी जाए इसे मुक्त और सूचित किया जाना चाहिए और साथ ही रद्द करने में सक्षम होना चाहिए। संवेदनशील व्यक्तिगत डेटा के मामले में आवश्यक सहमति स्पष्ट होनी चाहिए। इस प्रकार यह सामान्य प्रथा से स्वागत योग्य प्रस्थान है जो साइबर स्पेस में उपभोक्ता के संबंधों को परिभाषित करता है।
समिति ने इस हद तक बहुलता के क़ानून का आशय व्यक्त करने की सिफारिश की है कि अठारह वर्ष से कम आयु के लोगों को बच्चा माना जाएगा। बच्चों के व्यक्तिगत डेटा के लिए काम करने वाले डेटा न्यासी को गार्जियन डेटा न्यासी समझा जाएगा। सभी डेटा न्यासाियों को उपयुक्त आयु-सत्यापन अपनाना चाहिए;बच्चों के मामले में, माता-पिता की सहमति की आवश्यकता होगी। हालांकि काउंसलिंग या इसी तरह की अन्य सेवाओं के लिए ऑफर करने वाली गार्जियन डेटा न्यासी को माता-पिता की सहमति प्राप्त करने से छूट होगा।
समिति ने सामुदायिक डेटा की सुरक्षा के सिद्धांत की भी पहचान की है। हालांकि उन्होंने सिफारिश की कि सामुदायिक डेटा की रक्षा करने वाले क़ानून को बाद की तारीख़ में लागू किया जाना चाहिए और इसे व्यक्तिगत डेटा संरक्षण विधेयक 2018 में शामिल नहीं किया है।
डेटा न्यासी के दायित्व
समिति ने 'डेटा विषयों' तथा 'डेटा नियंत्रकों' से 'डेटा प्रिंसिपल' और 'डेटा न्यासी' तक व्यक्तियों और तकनीकी संस्थाओं के बीच संबंधों में सुधार की सिफारिश की। एकत्रित किए गए सभी डेटा निर्दिष्ट उद्देश्यों के लिए आवश्यक डेटा तक ही सीमित होंगे। यदि किसी उद्देश्य के लिए डेटा को प्रक्रियाबद्ध किया जा रहा है जो अब तक ज्ञात नहीं है तो यह स्पष्ट सहमति के साथ ही किया जा सकता है। एकत्र किए जा रहे डेटा से संबंधित कोई भी सूचना उस समय उपलब्ध कराना जाना होगा जब इसे एकत्र किया जा रहा हो। डेटा गुणवत्ता और भंडारण को बनाए रखने के लिए डेटा न्यासी बाध्य है, हालांकि डेटा प्रिंसिपल को सटीक डेटा प्रदान करने के लिए बाध्य किया जाता है। ऐसी परिस्थितियों में जहां डेटा में सेंध लगाता है तो डीपीए को डेटा न्यासी द्वारा अधिसूचित करना होगा; केवल कुछ परिस्थितियों में डेटा प्रिंसिपल को अधिसूचित किया जाएगा। समिति ने निरीक्षण के बाद इस पर फैसला किया कि डेटा में सेंध के सार्वजनिकता से डेटा न्यासी के काम करने की क्षमता पर नकारात्मक नतीजे हो सकते हैं अर्थात जनता विश्वास खो देती है।
डेटा प्रिंसिपल अधिकार
डेटा प्रिंसिपल को डेटा न्यासी द्वारा लिए गए डेटा को सुधारने, पहुंच रखने और डेटा की पुष्टि करने का अधिकार होगा। समिति ने यह भी स्वीकार किया कि डेटा पोर्टेबिलिटी- एक न्यासी से दूसरे तक स्थानांतरण- का अधिकार भी पहचाना जाना चाहिए लेकिन एक सीमा तक।
भारत के बाहर व्यक्तिगत डेटा का हस्तांतरण
महत्वपूर्ण व्यक्तिगत डेटा को छोड़कर सभी सीमा पार स्थानान्तरण मॉडल अनुबंध उपनियम के माध्यम से होंगे। डीपीए से सलाह लेने के बाद केंद्र सरकार के पास कुछ अधिकार क्षेत्र में स्थानान्तरण की अनुमति देने का विवेकाधिकार होगा। सभी व्यक्तिगत डेटा जिसे महत्वपूर्ण माना जाता है उसे भारत से बाहर स्थानांतरित करने की अनुमति नहीं दी जाएगी। केंद्र सरकार को यह निर्धारित करने का अधिकार होगा कि महत्वपूर्ण व्यक्तिगत डेटा क्या है - मानदंड यह है कि डेटा के रणनीतिक प्रभाव हो सकते हैं।
स्वास्थ्य से संबंधित व्यक्तिगत डेटा केवल आपातकाल में स्थानांतरित किया जाएगा, जबकि सरकार इसके अतिरिक्त अन्य डेटा के हस्तांतरण को मंजूरी दे सकती है। ग़ैर-महत्वपूर्ण डेटा को अन्य अधिकार क्षेत्र में स्थानांतरित किया जा सकता है बशर्ते कि एक प्रति भारत में संग्रहित हो।
संबद्ध क़ानून
समिति ने सिफारिश की है कि उसके विधेयक को उन अन्य कानूनों पर सबसे महत्वपूर्ण प्रभाव होना चाहिए जो इसकी सामग्री के साथ संघर्ष कर सकते हैं। समिति ने जिस विधेयक का मसौदा तैयार किया है वह सूचना प्रौद्योगिकी अधिनियम 2000 की धारा 43 ए साथ-साथ सूचना प्रौद्योगिकी (तर्कसंगत सुरक्षा प्रथाओं और प्रक्रियाओं और संवेदनशील व्यक्तिगत डेटा या सूचना) नियम 2011 को प्रतिस्थापित करेगा। इस कारण से समिति ने इन दोनों कानूनों को रद्द करने की सिफारिश की है।
समिति ने सूचना का अधिकार अधिनियम, 2005 की धारा 8 (1) (जे) में संशोधन करने की भी सिफारिश की है ताकि निजता के अधिकार और सूचना के अधिकार को सुसंगत बनाया जा सके। इस समिति ने 50 क़ानूनों की भी पहचान की जो डेटा संरक्षण ढांचे के साथ संघर्ष में आ सकते हैं। उन्होंने इन्हें भी संशोधित करने की सिफारिश की है। उन्होंने विशेष रूप से डेटा संरक्षण में सुधार के लिए आधार अधिनियम में संशोधन का भी उल्लेख किया है।
प्रक्रिया के लिए गैर-सहमतिजन्य आधार
समिति ने पांच आधारों पर प्रकाश डाला जिस पर व्यक्तिगत डेटा को गैर-सहमति से प्रक्रियाबद्ध किया जा सकता है। पहला आधार सरकार के कार्यों को निर्वहन करने को लेकर है। समिति ने इस मामले में सिफारिश की है कि सरकार की परिभाषा अनुच्छेद 12 में होनी चाहिए। हालांकि कानूनों के मामले की अधिकता के कारण इस परिभाषा को पिछले कुछ वर्षों में विस्तृत कर दिया गया है। दूसरी तरफ यदि प्रक्रिया कल्याण कार्यों से आगे नहीं है तो यह इस श्रेणी के अंतर्गत नहीं आएगा।
दूसरा आधार अदालत या ट्रिब्यूनल या क़ानून द्वारा अनिवार्य आदेश का अनुपालन करना है। T यह भारतीय अदालतों, ट्रिब्यूनल और कानूनों तक ही सीमित होगा। अनुबंध, विदेशी क़ानून, या विदेशी अदालतों से उत्पन्न होने वाले दायित्व लागू नहीं होंगे।
तीसरा आधार 'त्वरित कार्रवाई' है। यह ऐसी परिस्थिति को संदर्भित करता है जहां कोई व्यक्ति सहमति देने में सक्षम नहीं है और किसी आपात स्थिति से निपटने के लिए डेटा को प्रक्रियाबद्ध किया जाना चाहिए। समिति ने चेतावनी दी कि इस आधार को सख़्त शर्तों में वर्णित किया जाना चाहिए और कम से कम इस्तेमाल किया जाना चाहिए।
चौथा आधार रोज़गार है। समिति ने कहा कि यह आधार केवल कर्मचारी के पिछले उपस्थिति रिकॉर्ड, पूर्ववर्ती इत्यादि के मामले में उपलब्ध होगी। ऐसी परिस्थितियों में किसी नियोक्ता को अपने कर्मचारी के बारे में जानकारी लेने का अधिकार है कि वह एक सूचना आधारित निर्णय लेने में सक्षम है।
पांचवां आधार 'तर्कसंगत उद्देश्य' है। इस आधार को लागू किया जा सकता है जहां कोई परिस्थिति उत्पन्न होती है जो अन्य आधारों में नहीं आती है और समाज के हित में होती है। वह परिस्थिति जो इस आधार में आती है वह डीपीए द्वारा निर्धारित की जाएगी।
छूट
इस समिति ने सात आधार सूचीबद्ध किए जिन पर निजता क़ानून के अनुपालन को छूट दी जा सकती है। पहला 'सेक्युरिटी ऑफ स्टेट' है। समिति ने 'नेशनल सेक्युरिटी' के बदले 'सेक्युरिटी ऑफ स्टेट' शब्दावली को चुना क्योंकि बाद वाला अस्पष्ट है और अधिकारक्षेत्र में पर्याप्त रूप से परिभाषित नहीं किया गया है जितना पहले वाले का किया गया है। शब्दावली 'सेक्युरिटी ऑफ स्टेट' भी अपने दायरे में संकुचित है क्योंकि इसमें केवल उन पहलुओं को शामिल किया गया है जो राष्ट्र के अस्तित्व के लिए ख़तरनाक है। इश समिति ने यह भी सिफारिश की कि सरकार को ख़ुफिया एजेंसियों की निगरानी प्रदान करने वाला क़ानून लाना चाहिए।
दूसरी छूट क़नून के उल्लंघन के रोकथाम, पहचान, जांच और अभियोजन को लेकर है। समिति ने इस छूट का इस्तेमाल करने के लिए क़ानून प्रवर्तन एजेंसियों को सशक्त बनाने की सिफारिश की। समिति ने इस छूट का इस्तेमाल करने के लिए राजस्व को वैध आधार के रूप में भी मान्यता दी।
तीसरी छूट क़ानूनी कार्यवाही के उद्देश्य के लिए घोषणा करना है। जहां कहीं क़ानूनी अधिकार या दावे को लागू करने, राहत तलाश करने, आरोप का बचाव करने,दावा का विरोध करने या क़ानूनी सलाह प्राप्त करने की आवश्यकता है तो यह छूट लागू की जा सकती है। हालांकि भले ही लागू किया जाता है तो अन्य सभी सामान्य दायित्वों को संचालित करना जारी रहेगा।
चौथी छूट अनुसंधान गतिविधियां है। इस छूट को डीपीए द्वारा केवल इतनी सीमा तक अनुमति दी जाएगी कि अनुसंधान की वस्तु हासिल की जा सकती है। अनुसंधान की वस्तु से परे कुछ भी छूट नहीं दी जाएगी।
पांचवां छूट निजी या घरेलू उद्देश्यों के लिए है। यह फिर से उस उद्देश्य पर निर्भर करेगा जिसके लिए डेटा का इस्तेमाल किया जाना है। समिति ने सिफारिश की कि इसे एक व्यापक छूट के रूप में प्रदान किया जाना चाहिए।
छठी छूट पत्रकारिता गतिविधियां है। समिति 'पत्रकारिता गतिविधियों' के संबंध में छूट को लेकर सतर्क रही है। उन्होंने यह भी सिफारिश की है कि निजता के अधिकार के साथ सूचना के अधिकार को संतुलित करने के लिए नैतिक और पेशेवर मानकों को इस क़ानून में लिखा जाए।
अंतिम छूट छोटी इकाइयों द्वारा दस्ती प्रक्रिया है। समिति का मानना था कि डेटा की दस्ती और गैर-स्वचालित प्रक्रिया, जिसके ख़ास नुकसान का कारण बनने की संभावना नहीं है, को छूट दी जानी चाहिए क्योंकि अनुपालन बहुत बड़ा बोझ हो सकता है।
प्रवर्तन
नए क़ानून को लागू करने के लिए समिति ने एक नया नियामक प्राधिकरण डाटा प्रोटेक्शन अथॉरिटी (डीपीए) स्थापित करने की सिफारिश की। डीपीए चार कार्यों करेगा: निगरानी और प्रवर्तन; क़ानूनी मामले, नीति और मानकों को तैयार करना; अनुसंधान और जागरूकता; पूछताछ, शिकायत निवारण और न्यायिक निर्णय।
डीपीए को डेटा प्रिंसिपल को नुकसान पहुंचाने की उनकी क्षमता के आधार पर कुछ निश्चित न्यासियों को 'महत्वपूर्ण डेटा न्यासी' के रूप में वर्गीकृत करने का अधिकार दिया जाएगा - उदाहरण स्वरूप फेसबुक-कैम्ब्रिज एनालीटिका स्थिति से निपटने के लिए। इन महत्वपूर्ण डेटा न्यासियों को: खुद को डीपीए के साथ पंजीकृत करना; डेटा संरक्षण प्रभाव का आकलन करना; अभिलेख रखना; डेटा लेखा परीक्षा से गुज़रना; और डेटा प्रोटेक्शन ऑफिसर्स (डीपीओ) नियुक्त करना होगा। डीपीए इन आवश्यकताओं को अन्य डेटा न्यासियों के साथ भी विस्तार कर सकता है।
समिति ने यह भी सिफारिश की कि केंद्र सरकार डीपीए के आदेशों को सुनने और निपटाने के लिए अलग अपीलीय न्यायाधिकरण स्थापित करेगी। अपीलीय न्यायाधिकरणों की किसी भी अपील की सुनवाई सर्वोच्च न्यायालय में होगी।
वह दंड जिसकी सिफारिश समिति द्वारा की गई वह एक निश्चित ऊपरी सीमा या पिछले वित्तीय वर्ष के डेटा न्यासी का कुल विश्वव्यापी वार्षिक कारोबार का प्रतिशत, जो भी ज़्यादा हो वह होगा।
अपने टेलीग्राम ऐप पर जनवादी नज़रिये से ताज़ा ख़बरें, समसामयिक मामलों की चर्चा और विश्लेषण, प्रतिरोध, आंदोलन और अन्य विश्लेषणात्मक वीडियो प्राप्त करें। न्यूज़क्लिक के टेलीग्राम चैनल की सदस्यता लें और हमारी वेबसाइट पर प्रकाशित हर न्यूज़ स्टोरी का रीयल-टाइम अपडेट प्राप्त करें।
