नागरिकों की डेटा सिक्योरिटी और प्राइवेसी

स्टैंडिंग कमिटी की रिपोर्ट का सारांश

• संचार और सूचना प्रौद्योगिकी संबंधी स्टैंडिंग कमिटी (चेयर: श्री प्रतापराव जाधव) ने 1 अगस्त, 2023 को 'नागरिकों की डेटा सिक्योरिटी और प्राइवेसी' पर अपनी रिपोर्ट पेश की। कमिटी ने पर्सनल डेटा के दुरुपयोग के बढ़ते जोखिम पर गौर किया और इस बात पर प्रकाश डाला कि एक डेटा प्रोटेक्शन कानून तत्काल लागू किया जाना चाहिए। कमिटी के एक सदस्य ने केंद्र सरकार की नियम बनाने की शक्तियों, सरकारी एजेंसियों को छूट और नॉन-पर्सनल डेटा को शामिल न करने के संबंध में असहमति का एक नोट प्रस्तुत किया। कमिटी के मुख्य निष्कर्षों और सुझावों में निम्नलिखित शामिल हैं:

• ड्राफ्ट डिजिटिल पर्सनल डेटा प्रोटेक्शन बिल, 2022: कमिटी ने कहा कि मंत्रालय ने डेटा प्रोटेक्शन कानून के लिए पिछले परामर्श के दौरान उठाए गए सवालों को 2022 के ड्राफ्ट बिल में शामिल किया है। इन सवालों में केंद्र सरकार की नियम बनाने की शक्तियां, डेटा प्रोसेस करने वालों से क्षतिपूर्ति, सहमति प्रदान करने के लिए न्यूनतम आयु और डेटा प्रिंसिपल के लिए शिकायत निवारण तंत्र का निर्माण शामिल हैं। कमिटी ने सुझाव दिया कि मंत्रालय उन लोगों को लाभ देने के लिए सहमति और नोटिस व्यवस्था में दृश्य तत्वों (विजुअल एलिमेंट्स) को शामिल करे, जो डिजिटल रूप से साक्षर नहीं हैं।

• कमिटी ने कहा कि मंत्रालय एक बिल लाने की प्रक्रिया में है ताकि डिजिटल पर्सनल डेटा की प्रोसेसिंग के साथ-साथ पर्सनल डेटा की सुरक्षा को संतुलित करने के लिए एक फ्रेमवर्क बनाया जा सके। उसने कहा कि एक उपयुक्त कानून से डेटा सिक्योरिटी बढ़ेगी और यह सुनिश्चित होगा कि पर्सनल इनफॉरमेशन सुरक्षित है। उसने यह भी कहा कि 2022 का ड्राफ्ट बिल पर्सनल डेटा को वर्गीकृत किए बिना, समग्र रूप से सुरक्षा प्रदान करता है। इससे व्याख्या और वर्गीकरण-आधारित सुरक्षा के मुद्दों से बचा जा सकता है।

• पर्सनल डेटा प्रोसेसिंग के लिए छूट: प्रस्तावित डेटा प्रोटेक्शन बिल के तहत राज्य वैध उपयोग के लिए पर्सनल डेटा को प्रोसेस कर सकता है। इनमें निम्नलिखित शामिल हैं: (i) कानून के तहत कार्य करना, (ii) सबसिडी, लाभ या लाइसेंस प्रदान करना, (iii) राज्य की संप्रभुता, अखंडता और सुरक्षा की रक्षा करना। यह देखते हुए कि प्राइवेसी का अधिकार पूर्ण नहीं है, कमिटी ने कहा कि ऐसे प्रावधानों का दुरुपयोग होने की आशंका है। उसने सुझाव दिया कि ऐसे अपवाद सामान्य नियम न बनें और उनका उपयोग केवल अपवादस्वरूप ही किया जाए, मंत्रालय को यह सुनिश्चित करना चाहिए। कमिटी ने मंत्रालय की नियम बनाने की शक्तियों की जरूरत को स्वीकार किया ताकि कानून मौजूदा बदलावों के अनुरूप बना रहे। हालांकि कमिटी ने मंत्रालय से आग्रह किया कि वह नियम बनाने की शक्तियों का उपयोग विवेकपूर्ण और जिम्मेदारी से करे।

• डिजिटल भारत बिल पर प्रगति: पर्सनल डेटा वर्तमान में सूचना प्रौद्योगिकी एक्ट, 2000 (आईटी एक्ट) के तहत संरक्षित है। कमिटी ने कहा कि आईटी एक्ट पुराना हो चुका है और डिजिटल पर्सनल डेटा के मामले में अधिकारों और जिम्मेदारियों को निर्दिष्ट करने के लिए एक व्यापक ढांचे की आवश्यकता है। मंत्रालय ने कहा कि वह डिजिटल भारत बिल पर काम कर रहा है, जो आईटी एक्ट की जगह लेगा। कमिटी ने सुझाव दिया कि मंत्रालय डिजिटल भारत बिल को तुरंत अंतिम रूप दे और उसे लागू करे।

• फौजदारी और दीवानी दायित्व: 2022 का ड्राफ्ट बिल और पर्सनल डेटा प्रोटेक्शन बिल, 2023 वैकल्पिक विवाद समाधान का प्रावधान करता है और डेटा फिड्यूशरी की तरफ से ब्रीच को दीवानी भूल मानता है। कमिटी ने कहा कि बिल्स में फौजदारी दायित्व का कोई प्रावधान नहीं है। फौजदारी दायित्वों के लिए भारतीय दंड संहिता (आईपीसी) की कुछ धाराओं, जैसे 405 (डेटा की चोरी) का उपयोग किया जा सकता है। कमिटी ने मंत्रालय से आईपीसी के तहत ऐसे प्रावधानों और वैकल्पिक उपायों के बारे में जागरूकता फैलाने का आग्रह किया। उसने यह सुझाव भी दिया कि इस तरह का मार्गदर्शन प्रदान करने के लिए एक हेल्पलाइन नंबर या एआई-आधारित चैटबॉट स्थापित किया जाना चाहिए।

• केंद्र सरकार की नियम बनाने की शक्तियां: 2022 के ड्राफ्ट बिल में ऐसे प्रावधान हैं जो नियमों को निर्धारित करके कानून के प्रत्यायोजन (डेलिगेशन ऑफ लेजिसलेशन) की अनुमति देते हैं। सूचना प्रौद्योगिकी की गतिशील प्रकृति को ध्यान में रखते हुए कमिटी ने अधीनस्थ कानून की गुंजाइश की सराहना की। हालांकि उसने मंत्रालय को आगाह किया कि नियम बनाने की शक्तियों का विवेकपूर्ण ढंग से उपयोग और उन्हें अत्यधिक सावधानी और जिम्मेदारी के साथ लागू किया जाए। असहमति के नोट के अनुसार, ड्राफ्ट बिल में प्रत्यायोजित कानून का अत्यधिक उपयोग किया गया था जिसमें कुछ प्रावधानों के कार्यान्वयन का दायरा और तरीका निर्दिष्ट नहीं किया गया था।