रिपोर्ट का सारांश
- भारत के लिए डेटा प्रोटेक्शन फ्रेमवर्क पर गठित विशेषज्ञ कमिटी (चेयर: जस्टिस बी.एन. श्रीकृष्ण) ने 27 जुलाई, 2018 को इलेक्ट्रॉनिक्स और इनफॉरमेशन टेक्नोलॉजी मंत्रालय को अपनी रिपोर्ट और ड्राफ्ट बिल सौंपा। डेटा प्रोटेक्शन से जुड़े मुद्दों की जांच करने, उनसे निपटने के तरीके सुझाने और डेटा प्रोटेक्शन बिल का मसौदा तैयार करने के लिए अगस्त, 2017 में इस कमिटी का गठन किया गया था।
- भरोसे का रिश्ता (फिड्यूशरी रिलेशनशिप): कमिटी ने गौर किया कि रेगुलेटरी फ्रेमवर्क को व्यक्तियों और सर्विस प्रोवाइडर कंपनियों, दोनों के हितों के बीच संतुलन कायम करना होता है। व्यक्तियों के पर्सनल डेटा सर्विस प्रोवाइडर कंपनियों के पास होते हैं और वे कंपनियां उस डेटा को एक्सेस करती हैं। यह कहा गया कि व्यक्ति और सर्विस प्रोवाइडर के बीच के रिश्ते को भरोसे के रिश्ते (फिड्यूशरी रिलेशनशिप) के तौर पर देखा जाना चाहिए। सर्विस प्रोवाइडर पर किसी व्यक्ति की निर्भरता का कारण यह है कि उसे सर्विस हासिल करनी होती है। इसलिए डेटा प्रोसेस करने वाले सर्विस प्रोवाइडर पर यह बाध्यता है कि वह किसी व्यक्ति के पर्सनल डेटा के साथ निष्पक्ष तरीके से पेश आए और उसे केवल अधिकृत उद्देश्यों के लिए प्रयोग करे।
- फिड्यूशरीज़ की बाध्यताएं: सर्विस प्रोवाइडर्स अपनी शक्तियों का दुरुपयोग न करें, इसके लिए कानून को उनकी बुनियादी बाध्यताएं तय करनी होंगी, जिनमें निम्नलिखित शामिल हैं: (i) डेटा को निष्पक्ष और उचित तरीके से प्रोसेस करने की बाध्यता, और (ii) डेटा कलेक्ट करने से बाद समय-समय पर व्यक्ति को सूचित करने की बाध्यता।
- पर्सनल डेटा की परिभाषा: कमिटी ने कहा कि यह परिभाषित करना महत्वपूर्ण है कि पर्सनल इनफॉमेशन क्या होती है। कमिटी ने पर्सनल डेटा को इस प्रकार परिभाषित किया कि उसमें वह डेटा शामिल है जिससे व्यक्ति प्रत्यक्ष या अप्रत्यक्ष, किसी भी रूप में पहचाना जाता हो या पहचाना जा सकता हो। कमिटी ने पर्सनल डेटा प्रोटेक्शन को संवेदनशील पर्सनल डेटा प्रोटेक्शन से अलग करने की मांग की, चूंकि संवेदनशील डेटा की प्रोसेसिंग से व्यक्ति को अधिक नुकसान हो सकता है। संवेदनशील डेटा अंतरंग (इंटिमेट) मामलों से संबंधित होता है जिसमें निजता की अधिक अपेक्षा की जाती है (जैसे जाति, धर्म और व्यक्ति का सेक्सुअल ओरिएंटेशन)।
- सहमति आधारित प्रोसेसिंग: कमिटी ने कहा कि सहमति को पर्सनल डेटा की प्रोसेसिंग की पूर्व शर्त माना जाना चाहिए। यह सहमति इनफॉर्म्ड या अर्थपूर्ण होनी चाहिए। इसके अतिरिक्त कुछ संवेदनशील समूहों, जैसे बच्चों, और संवेदनशील व्यक्तिगत डेटा के लिए एक डेटा प्रोटेक्शन कानून होना चाहिए जोकि उनकी संवेदनशीलता और ऑनलाइन जोखिम की आशंका को देखते हुए पर्याप्त रूप से उनके हितों का संरक्षण करे। साथ ही संवेदनशील पर्सनल इनफॉरमेशन के लिए व्यक्ति की स्पष्ट सहमति मिलनी चाहिए।
- सहमति के बिना प्रोसेसिंग: कमिटी ने कहा कि हर परिस्थिति में लोगों की सहमति हासिल करना संभव नहीं है। इसलिए सहमति के बिना डेटा प्रोसेसिंग के लिए अलग आधार तय किए जा सकते हैं। कमिटी ने सहमति के बिना डेटा प्रोसेसिंग के लिए चार आधार चिन्हित किए: (i) जब सरकार को लोक कल्याण के कार्य के लिए डेटा को प्रोसेस करना हो, (ii) जब भारत में कानून और अदालती आदेशों का पालन करना हो, (iii) जब फौरन काम करने की जरूरत हो (जैसे जीवन बचाने के लिए), और (iv) कुछ मामलों में, रोजगार के कॉन्ट्रैक्ट्स में (जैसे जब सहमति हासिल करने के लिए इम्प्लॉयर को अत्यधिक, अकारण प्रयास करने पड़ें)।
- भागीदारी का अधिकार: किसी व्यक्ति के व्यक्तिगत अधिकार स्वायत्तता, स्व निर्धारण, पारदर्शिता और जवाबदेही के सिद्धांतों पर आधारित होते हैं जो उसे अपने डेटा पर नियंत्रण प्रदान करते हैं। कमिटी ने इन अधिकारों को तीन श्रेणियों में वर्गीकृत किया: (i) डेटा को एक्सेस, प्रमाणित और संशोधित करने का अधिकार, (ii) डेटा प्रोसेसिंग, ऑटोमेटेड फैसले, डायरेक्ट मार्केटिंग पर आपत्ति करने का अधिकार और डेटा पोर्टेबिलिटी का अधिकार, और (iii) द राइट टू बी फॉरगॉटन (यानी एक बार प्रयोग किए जाने के बाद किसी का व्यक्तिगत डेटा मिटा दिया जाए या उस डेटा को अनाम बता दिया जाए)।
- प्रवर्तन के मॉडल्स: कमिटी ने यह सुझाव भी दिया कि रेगुलेटरी फ्रेमवर्क को लागू करने के लिए एक रेगुलेटर का गठन किया जाना चाहिए। इस अथॉरिटी के पास डेटा प्रोटेक्शन की व्यवस्था का उल्लंघन करने पर जांच करने का अधिकार होगा और वह इसके लिए जिम्मेदार डेटा फिड्यूशरी के खिलाफ कार्रवाई कर सकेगी। अथॉरिटी कुछ फिड्यूशरीज़ को महत्वपूर्ण डेटा फिड्यूशरीज़ के तौर पर वर्गीकृत कर सकती है जोकि लोगों को अधिक नुकसान पहुंचाने की उसकी क्षमता पर आधारित होगा। इन फिड्यूशरीज़ से अधिक बाध्यताओं की अपेक्षा की जाएगी।
- अन्य कानूनों में संशोधन: कमिटी ने कहा कि कई संबद्ध कानून डेटा प्रोटेक्शन के संदर्भ में प्रासंगिक हैं क्योंकि उनमें या तो पर्सनल डेटा की प्रोसेसिंग की अपेक्षा की गई है या उन्हें इसके लिए अधिकृत किया गया है। इन कानूनों में इनफॉरमेशन टेक्नोलॉजी एक्ट, 2000 और जनगणना एक्ट, 1948 शामिल हैं। कमिटी ने कहा कि बिल देश में सभी प्रकार की डेटा प्रोसेसिंग के लिए डेटा प्रोटेक्शन के न्यूनतम मानदंडों का प्रावधान करता है। किसी भी प्रकार की असंगति होने पर डेटा प्राइवेसी कानून में निर्दिष्ट किए गए मानदंडों को डेटा प्रोसेसिंग में लागू किया जाएगा। कमिटी ने डेटा प्रोटेक्शन फ्रेमवर्क को मजबूती देने के लिए आधार एक्ट, 2016 में संशोधन का सुझाव भी दिया।
बिल का सारांश
ड्राफ्ट पर्सनल डेटा प्रोटेक्शन बिल, 2018
- व्यक्ति के अधिकार: बिल में व्यक्ति को कुछ अधिकार दिए गए हैं। इनमें निम्नलिखित शामिल हैं: (i) फिड्यूशरी से इस बात की पुष्टि करने का अधिकार कि उसके पर्सनल डेटा को प्रोसेस किया गया है, (ii) गलत, अधूरे या आउट-ऑफ-डेट पर्सनल डेटा में संशोधन की मांग करने का अधिकार, और (iii) विशेष परिस्थितियों में दूसरे डेटा फिड्यूशरी को पर्सनल डेटा ट्रांसफर करने का अधिकार।
- डेटा फिड्यूशरी की बाध्ताएं: बिल में उन एंटिटीज़ की बाध्याएं निर्धारित की गई हैं जो पर्सनल डेटा को एक्सेस करते हैं (डेटा फिड्यूशरी)। इनमें निम्नलिखित शामिल हैं: (i) डेटा प्रोसेसिंग के संबंध में नीतियों को लागू करना, (ii) अपनी डेटा प्रोसेसिंग प्रणाली में पारदर्शिता बरतना, (iii) सिक्योरिटी सेफगार्ड्स को लागू करना (जैसे डेटा एनक्रिप्शन), और (iv) शिकायत निवारण तंत्र की स्थापना करना जिससे व्यक्तियों द्वारा दर्ज की गई शिकायतों से निपटा जा सके।
- डेटा प्रोटेक्शन अथॉरिटी: बिल डेटा प्रोटेक्शन अथॉरिटी की स्थापना का प्रावधान करता है। अथॉरिटी को: (i) लोगों के हितों की रक्षा करने के लिए कदम उठाने, (ii) पर्सनल डेटा के दुरुपयोग को रोकने, और (iii) बिल का अनुपालन सुनिश्चित करने का अधिकार है। इस अथॉरिटी में एक चेयरपर्सन और छह सदस्य होंगे, जिन्हें डेटा प्रोटेक्शन और इनफॉरमेशन टेक्नोलॉजी के क्षेत्र में कम से कम 10 वर्ष का अनुभव हो। इस अथॉरिटी के आदेशों के खिलाफ अपीलीय ट्रिब्यूनल में अपील की जा सकेगी जिसे केंद्र सरकार द्वारा स्थापित किया जाएगा और ट्रिब्यूनल के आदेशों के खिलाफ सर्वोच्च न्यायालय में अपील की जा सकेगी।
- पर्सनल डेटा की प्रोसेसिंग के आधार: बिल के अंतर्गत सहमति मिलने पर फिड्यूशरीज़ को डेटा प्रोसेसिंग की अनुमति दी गई है। हालांकि कुछ मामलों में व्यक्ति की सहमति के बिना भी डेटा प्रोसेसिंग की अनुमति दी जा सकती है। जिन आधारों पर यह अनुमति दी जा सकती है, उनमें निम्नलिखित शामिल हैं: (i) अगर संसद या राज्य विधानसभा के कार्यों के लिए यह जरूरी है, या अगर राज्य द्वारा लोगों को सुविधाएं प्रदान करने के लिए यह अपेक्षित है, (ii) अगर कानून के अंतर्गत ऐसा करना अपेक्षित है या किसी अदालती आदेश के अनुपालन के लिए यह जरूरी है, (iii) मेडिकल इमरेंसी की स्थिति में जरूरी कदम उठाने के लिए, सार्वजनिक स्वास्थ्य पर खतरा होने पर या कानून व्यवस्था भंग होने पर, या (iv) किन्हीं दूसरे उपयुक्त उद्देश्यों के लिए जिसे अथॉरिटी द्वारा निर्दिष्ट किया जाएगा, जैसे धोखाधड़ी का पता लगाने, ऋण की वसूली करने और व्हिसिल ब्लोइंग के मामलों में।
- संवेदनशील पर्सनल डेटा की प्रोसेसिंग के आधार: संवेदनशील पर्सनल डेटा की प्रोसेसिंग की अनुमति जिन आधारों पर दी जा सकती है, उनमें निम्नलिखित शामिल हैं: (i) व्यक्ति की स्पष्ट सहमति मिलने पर, (ii) अगर संसद या राज्य विधानसभा के कार्यों के लिए यह जरूरी है, या अगर राज्य द्वारा लोगों को सुविधाएं प्रदान करने के लिए यह अपेक्षित है, या (iii) अगर कानून के अंतर्गत ऐसा करना अपेक्षित है या किसी अदालती आदेश के अनुपालन के लिए यह जरूरी है।
- संवेदनशील पर्सनल डेटा में पासवर्ड्स, फाइनांशियल डेटा, बायोमीट्रिक डेटा, जेनेटिक डेटा, जाति, धार्मिक या राजनीतिक विचारधारा या ऐसी किसी भी श्रेणी का डेटा शामिल है जिसे अथॉरिटी द्वारा विनिर्दिष्ट किया जाए। इसके अतिरिक्त बच्चों के संवेदनशील डेटा को प्रोसेस करने से पहले फिड्यूशरीज़ से यह अपेक्षा की जाती है कि वे आयु सत्यापन (एज वैरिफिकेशन) और माता-पिता की सहमति लेने के लिए उपयुक्त प्रणाली की स्थापना करें।
- भारत से बाहर डेटा का ट्रांसफर: विशेष स्थितियों में पर्सनल डेटा (संवेदनशील पर्सनल डेटा के अतिरिक्त) भारत से बाहर ट्रांसफर किया जा सकता है। इनमें निम्नलिखित शामिल हैं: (i) जब केंद्र सरकार ने यह निर्दिष्ट किया हो कि किसी विशेष देश में डेटा ट्रांसफर की अनुमति है, या (ii) जब अथॉरिटी ने आवश्यकता पड़ने पर ट्रांसफर को मंजूरी दी हो।
- छूट: बिल कुछ प्रावधानों के अनुपालन से छूट प्रदान करता है। यह छूट जिन कारणों से प्रदान की गई है, उनमें निम्नलिखित शामिल हैं: (i) देश की सुरक्षा, (ii) किसी अपराध को रोकने, उसकी जांच या कानूनी कार्यवाही के लिए, या (iii) व्यक्तिगत, घरेलू या पत्रकारिता संबंधी उद्देश्यों के लिए।
- अपराध और जुर्माना: बिल के अंतर्गत फिड्यूशरी द्वारा किए गए अपराधों के लिए अथॉरिटी उन पर जुर्माना लगा सकती है। इन अपराधों में निम्नलिखित शामिल हैं (i) अपने कर्तव्य निभाने में असफल रहना, (ii) बिल के प्रावधानों का उल्लंघन करते हुए डेटा प्रोसेस करना, और (iii) अथॉरिटी द्वारा जारी निर्देशों का पालन न करना। उदाहरण के लिए बिल के अंतर्गत, फिड्यूशरी से यह अपेक्षा की जाती है कि अगर किसी व्यक्ति के पर्सनल डेटा का अतिक्रमण (ब्रीच) होता है, जिससे उसके नुकसान की आशंका हो, तो वह अथॉरिटी को सूचित करे। अगर अथॉरिटी को तत्काल सूचित नहीं किया गया तो फिड्यूशरी पर 5 करोड़ रुपए तक या उसके वर्ल्डवाइड टर्नओवर की 2% राशि का जुर्माना लगाया जा सकता है।
- अन्य कानूनों में संशोधन: बिल इनफॉरमेशन टेक्नोलॉजी एक्ट, 2000 में महत्वपूर्ण संशोधन करता है। वह सूचना के अधिकार एक्ट, 2005 में भी संशोधन करता है और पर्सनल इनफॉरमेशन का खुलासा न करने की अनुमति देता है, जब व्यक्ति का नुकसान सार्वजनिक हित से अधिक महत्व रखता हो।
अस्वीकरणः प्रस्तुत रिपोर्ट आपके समक्ष सूचना प्रदान करने के लिए प्रस्तुत की गई है। पीआरएस लेजिसलेटिव रिसर्च (पीआरएस) की स्वीकृति के साथ इस रिपोर्ट का पूर्ण रूपेण या आंशिक रूप से गैर व्यावसायिक उद्देश्य के लिए पुनःप्रयोग या पुनर्वितरण किया जा सकता है। रिपोर्ट में प्रस्तुत विचार के लिए अंततः लेखक या लेखिका उत्तरदायी हैं। यद्यपि पीआरएस विश्वसनीय और व्यापक सूचना का प्रयोग करने का हर संभव प्रयास करता है किंतु पीआरएस दावा नहीं करता कि प्रस्तुत रिपोर्ट की सामग्री सही या पूर्ण है। पीआरएस एक स्वतंत्र, अलाभकारी समूह है। रिपोर्ट को इसे प्राप्त करने वाले व्यक्तियों के उद्देश्यों अथवा विचारों से निरपेक्ष होकर तैयार किया गया है। यह सारांश मूल रूप से अंग्रेजी में तैयार किया गया था। हिंदी रूपांतरण में किसी भी प्रकार की अस्पष्टता की स्थिति में अंग्रेजी के मूल सारांश से इसकी पुष्टि की जा सकती है।.