What next on Data protection?

संसद से पर्सनल डेटा प्रोटेक्शन बिल को वापस लेना एक आश्चर्य के रूप में आया, खासकर पिछले पांच वर्षों में इसमें इतना प्रयास किए जाने के बाद। अगस्त 2017 और जुलाई 2018 के बीच, सुप्रीम कोर्ट के एक पूर्व न्यायाधीश की अध्यक्षता में 10 सदस्यीय समिति ने विधेयक का मसौदा तैयार किया। समिति में चार वरिष्ठ सरकारी अधिकारी शामिल थे। इसके बाद सरकार ने विधेयक को संशोधित किया, कैबिनेट द्वारा अनुमोदित किया गया और दिसंबर 2019 में संसद में पेश किया गया। इसके बाद, भाजपा के अधिकांश सदस्यों वाली एक संयुक्त संसदीय समिति ने विधेयक की समीक्षा की और दिसंबर 2021 में अपनी रिपोर्ट सौंपी। विधेयक को वापस लेना सरकार के लिए अच्छा नहीं दर्शाता है, पूरी प्रक्रिया उसके शासन के तहत खेली गई है। इससे भारत में प्राइवेसी रेगुलेशन के भविष्य को लेकर अनिश्चितता भी बढ़ जाती है।

इस फैसले को समझने का एक तरीका इस कानून की उत्पत्ति पर वापस जाना है, जो न्यायमूर्ति केएस पुट्टास्वामी बनाम भारत संघ मामले से उत्पन्न हुआ था, जहां अदालत ने माना था कि निजता के अधिकार का सकारात्मक और नकारात्मक दोनों पहलू है। पूर्व का तात्पर्य देश को किसी व्यक्ति की गोपनीयता की रक्षा के लिए सक्रिय रूप से उपाय करने की आवश्यकता है। इस प्रकार, सरकार को कमोबेश डेटा संरक्षण कानून का मसौदा तैयार करने के लिए मजबूर होना पड़ा। यह अनुभव हमें विनियमन के लिए न्यायिक प्रलोभन की सीमाओं के बारे में भी कुछ बताता है, जिसके लिए राज्य की अन्य दो शाखाओं के सक्रिय प्रयास की आवश्यकता है। देरी और कमजोर पड़ने के विकल्प हमेशा उपलब्ध होते हैं।

कानून का दायरा

डिजिटल अर्थव्यवस्था के बढ़ते महत्व और प्रस्तावित कानून के व्यापक दायरे ने भी हितधारकों के बीच प्रतिस्पर्धा में योगदान दिया क्योंकि कानून पर विचार-विमर्श किया जा रहा था। विभिन्न हितों और प्रोत्साहनों के आकार, राज्य, उद्योग और वकालत समूहों में सभी की बहुत अलग अपेक्षाएं हैं कि डेटा संरक्षण कानून कैसा दिखना चाहिए। उदाहरण के लिए, घरेलू उद्योग के लिए ऐसा कानून अनुपालन बाधा का प्रतिनिधित्व करता है जो इसे नुकसान में डाल सकता है। हालांकि, एक कानून नियामक निश्चितता को भी बढ़ावा दे सकता है, जिससे डेटा प्रवाह में वृद्धि और डेटा प्रोसेसिंग व्यवसाय की वृद्धि की संभावना खुल सकती है। देश के लिए, एक कानून राज्य एजेंसियों द्वारा घुसपैठ डेटा प्रोसेसिंग को सीमित कर सकता है, लेकिन यह भू-राजनीतिक, रणनीतिक या नियामक हितों को भी बढ़ावा दे सकता है। इसी तरह, व्यक्ति हानिकारक डेटा प्रोसेसिंग पर प्रतिबंधों से लाभान्वित हो सकते हैं, लेकिन दूसरी ओर, एक खराब मसौदा कानून कुछ घुसपैठ प्रथाओं को वैध बना सकता है।

कानून के प्रत्येक संस्करण – श्रीकृष्ण समिति के 2018 के विधेयक, संसद में पेश 2019 विधेयक और 2021 में जेपीसी के संस्करण को विभिन्न हितधारकों से विभिन्न प्रकार की आलोचना का सामना करना पड़ा। उदाहरण के लिए, 2018 के मसौदे द्वारा कानून प्रवर्तन हितों को बाधित होने के रूप में देखा गया था, जिससे 2019 के विधेयक में व्यापक छूट प्रदान की गई थी।

हालांकि, 2018 संस्करण से डेटा गोपनीयता पर ध्यान केंद्रित करने का लगातार कमजोर पड़ना ध्यान देने योग्य प्रतीत होता है। कानून का केंद्र बिंदु होने से, गोपनीयता संरक्षण को तेजी से पीछा किए जा रहे कई उद्देश्यों में से एक के रूप में देखा जा रहा था। यह जेपीसी की सिफारिशों में सबसे स्पष्ट रूप से देखा गया था, जिसमें कानून के दायरे को काफी संशोधित करने की मांग की गई थी। जेपीसी ने व्यक्तिगत डेटा संरक्षण कानून से हटकर पूरे डेटा पारिस्थितिकी तंत्र को नियंत्रित करने के लिए एक कानून की ओर बढ़ने की सिफारिश की। इसमें सोशल मीडिया और अन्य संस्थाओं पर कई व्यापक प्रतिबंध लगाने का भी सुझाव दिया गया है। डिजिटल पारिस्थितिकी तंत्र में कई समस्याओं को हल करने के इस प्रयास ने पहले से ही व्यापक कानून को सर्वव्यापी विधेयक में बदल दिया। इसने इसे ठीक से लागू करने की क्षमता पर सवाल उठाया। इसके अलावा, कई मुद्दों से संबंधित प्रावधानों का विस्तार से अभाव था। उदाहरण के लिए, राज्य द्वारा डेटा के प्रसंस्करण, गैर-व्यक्तिगत डेटा के शासन और सोशल मीडिया के विनियमन से संबंधित प्रावधानों को अधिक ठोस और प्रक्रियात्मक विवरण के साथ तैयार किया जा सकता था, जो हाथ में जटिल प्रतिस्पर्धी हितों को संतुलित करने के लिए आवश्यक है।

आगे बढ़ने का रास्ता

आगे देखते हुए, दो महत्वपूर्ण मुद्दे हैं – वह रूप जो एक नया कानून लेगा, और सुरक्षा की प्रकृति जो यह प्रदान करेगा।

पहले मुद्दे पर, सरकार ने सुझाव दिया है कि वह एक नए व्यापक कानूनी ढांचे सहित कई कानून पेश करेगी। यह सही दृष्टिकोण है, क्योंकि डिजिटल पारिस्थितिकी तंत्र या यहां तक कि डेटा गवर्नेंस से संबंधित सभी उद्देश्यों को एक विधेयक में फिट करने की कोशिश करना एक गलती होगी। एक जटिल डिजिटल अर्थव्यवस्था के शासन में कुछ बहुकेंद्रितता बनाए रखना स्वस्थ है, और विभिन्न कानूनों और एजेंसियों को सह-अस्तित्व में रहना चाहिए। यह आदर्श होगा यदि प्रत्येक बिल उद्देश्यों के एक एकल सुसंगत सेट को संबोधित करता है: उदाहरण के लिए, एक व्यक्तिगत डेटा संरक्षण बिल को अन्य उद्देश्यों से बोझ नहीं डाला जाना चाहिए। इसी तरह, अलग-अलग कानून राज्य निगरानी से संबंधित मुद्दों, या डेटा अर्थव्यवस्था में मुद्दों से निपट सकते हैं जैसे कि कुछ संस्थाओं द्वारा डेटा के एकाधिकार से उत्पन्न प्रतिस्पर्धा से संबंधित चिंताओं से निपटना। समय के साथ, ऐसी प्रणाली अधिक संतुलित और लाभकारी परिणाम दे सकती है। अल्पावधि में, हालांकि, सरकार एक विशिष्ट व्यक्तिगत डेटा संरक्षण कानून बनाने के लिए अच्छा करेगी – पहले से ही इसके लिए समर्पित प्रयास (और हितधारकों के बीच समझौते के महत्वपूर्ण क्षेत्रों) को देखते हुए।

दूसरा मुद्दा गोपनीयता संरक्षण की प्रकृति है जो कोई भी नया कानून व्यक्तियों को प्रदान करेगा। 2018 कानून, जिस पर भविष्य के ड्राफ्ट आधारित थे, अधिकार-आधारित यूरोपीय सामान्य डेटा संरक्षण विनियमन से भारी मात्रा में कॉपी किए गए थे। हालांकि भारतीय संदर्भ में इसकी कथित अव्यवहार्यता के कारण कुछ लोगों द्वारा इस ढांचे की आलोचना की गई थी। उदाहरण के लिए, महत्वपूर्ण दंडात्मक कार्रवाई करने की शक्ति के साथ एक क्रॉस-सेक्टोरल डेटा संरक्षण इकाई बनाने को भारत में कानून के शासन, क्षमता और नियामक बाधाओं को देखते हुए समस्याग्रस्त के रूप में देखा जाता है। इनमें से कुछ मुद्दों को एक नया डेटा गोपनीयता कानून बनाने में संबोधित किया जा सकता है।

सबसे पहले, इसे डेटा संरक्षण के लिए जोखिम-आधारित दृष्टिकोण में निर्माण करना चाहिए, ताकि नियामक फोकस संभावित नुकसान के स्रोतों को संबोधित करने की दिशा में निर्देशित हो। दूसरा, जोखिम आकलन के आधार पर, कानून सह-विनियमन और स्व-विनियमन (नियामक के साथ, जो बैकस्टॉप के रूप में कार्य करता है) को सक्षम कर सकता है। ये अधिकार संरक्षण को महत्वपूर्ण रूप से प्रभावित किए बिना संस्थाओं पर अनुपालन बोझ को कम कर सकते हैं। तीसरा, कानून का वर्तमान संस्करण डेटा संरक्षण नियामक के लिए जवाबदेही उपायों पर कमजोर था। नए विधेयक में यह सुनिश्चित करने के लिए और प्रावधान शामिल होने चाहिए कि नियामक अपनी शक्तियों का अच्छी तरह से उपयोग करे। इनमें नियुक्तियों, परामर्श, रिपोर्टिंग आदि से संबंधित प्रावधान शामिल हैं। चौथा, कानून का मसौदा तैयार होने के बावजूद, सरकार को इसे लागू करने के लिए कुछ प्रशासनिक क्षमता बनाने में निवेश करना चाहिए, ताकि जब अंततः कानून पारित हो जाए, तो कार्यान्वयन जल्द ही शुरू हो सके। यह पहले  और SEBI PFRDA के साथ किया गया है। अंत में, यह महत्वपूर्ण है कि कोई भी नया कानून सभी हितधारकों के साथ पारदर्शी और सार्थक परामर्श के आधार पर बनाया जाए।