सीमाओं के अंतर्गत और परे डेटा गोपनीयता पर कानून

« »

06-Sep-2023

भारत का संविधान, 1950 (COI)

परिचय

परस्पर संबद्ध और तेज़ी से डिजिटल होते विश्व में, डेटा सबसे मूल्यवान वस्तुओं में से एक बन गया है। व्यक्ति, व्यवसाय और सरकारें प्रतिदिन बड़ी मात्रा में डेटा उत्पन्न करती हैं तथा उसका आदान-प्रदान करती हैं, जिसमें व्यक्तिगत जानकारी से लेकर वित्तीय लेनदेन एवं संवेदनशील कॉर्पोरेट रहस्य शामिल हैं। डेटा के इस प्रसार के साथ, मज़बूत डेटा गोपनीयता कानूनों की आवश्यकता पहले कभी इतनी गंभीर नहीं रही। निजी जानकारी के दुरुपयोग की सुरक्षा के लिये घरेलू और अंतर्राष्ट्रीय रुख पर कई कानून बनाए गए हैं। ये कानून व्यक्तिगत अधिकारों की सुरक्षा, साइबर सुरक्षा सुनिश्चित करने और डिजिटल युग में विश्वास को बढ़ावा देने में महत्त्वपूर्ण भूमिका निभाते हैं।

प्रमुख अंतर्राष्ट्रीय गोपनीयता कानून

EU का सामान्य डेटा संरक्षण विनियमन (GDPR):
- GDPR, यूरोपीय संघ (EU) द्वारा अधिनियमित एक व्यापक डेटा सुरक्षा और गोपनीयता विनियमन है जो 25.05.2018 को लागू हुआ।
- GDPR, EU के अंतर्गत और बाहर सभी संगठनों पर लागू होता है, जो EU में रहने वाले व्यक्तियों के व्यक्तिगत डेटा को संसाधित करते हैं। इसमें ऑनलाइन खुदरा विक्रेताओं से लेकर सोशल मीडिया प्लेटफॉर्म और स्वास्थ्य सेवा प्रदाताओं तक डेटा प्रोसेसिंग गतिविधियों की एक विस्तृत श्रृंखला शामिल है।
- इसे गोपनीयता विनियमन के लिये स्वर्ण मानक माना जाता है।
- यह कई मूलभूत सिद्धांतों पर कार्य करता है, जिनमें शामिल हैं:
  - वैधानिकता, निष्पक्षता और पारदर्शिता: डेटा प्रोसेसिंग का एक कानूनी आधार होना चाहिये, इसे निष्पक्षता से संचालित किया जाना चाहिये और व्यक्तियों को इस बारे में सूचित किया जाना चाहिये कि उनके डेटा का उपयोग कैसे किया जा रहा है या किया जाएगा।
  - उद्देश्य का खुलासा: डेटा को विशिष्ट, वैध उद्देश्यों के लिये एकत्रित और संसाधित किया जाना चाहिये और किसी अन्य चीज़ के लिये उपयोग नहीं किया जाना चाहिये।
  - डेटा न्यूनतमकरण: संगठनों को केवल वही डेटा एकत्र करना और बनाए रखना चाहिये जो इच्छित उद्देश्य के लिये आवश्यक है।
  - भंडारण सीमा: व्यक्तिगत डेटा को आवश्यकता से अधिक समय तक संग्रहीत नहीं किया जाना चाहिये।
  - सत्यनिष्ठा और गोपनीयता: संगठनों को डेटा को उल्लंघनों से बचाने के लिये सुरक्षा उपायों को लागू करना चाहिये।
एशिया-प्रशांत गोपनीयता ढाँचा:
- यह ढाँचा एशिया प्रशांत आर्थिक निगम द्वारा शासित है जो 9 सिद्धांतों से संबंधित है जो जवाबदेही, हानि को रोकना, नोटिस, विकल्प, संग्रह सीमा, व्यक्तिगत जानकारी का उपयोग, व्यक्तिगत जानकारी की अखंडता, सुरक्षा उपाय और पहुँच तथा सुधार हैं।
कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम, 2018 (CCPA):
- कैलिफोर्निया में डेटा गोपनीयता से इस अधिनियम के तहत व्यवहार किया जाता है।
- यह कैलिफोर्निया के निवासियों को उनकी व्यक्तिगत जानकारी पर अधिक नियंत्रण देता है और व्यवसायों को डेटा संग्रह प्रथाओं का खुलासा करने की आवश्यकता होती है।

भारतीय गोपनीयता कानून

न्यायमूर्ति के.एस. पुट्टास्वामी (सेवानिवृत्त) और अन्य बनाम भारत संघ तथा अन्य (2019) में 9 न्यायाधीशों के सर्वसम्मत फैसले ने भारत के संविधान के अनुच्छेद 21 के तहत मौलिक अधिकार के रूप में निजता के अधिकार को बरकरार रखा।
भारत सरकार ने हाल ही में डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 के नाम से डेटा गोपनीयता को ध्यान में रखते हुए कानून बनाया है।
इसकी प्रमुख विशेषताएँ हैं:
- यह विधेयक भारत के अंदर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर ऐसी स्थिति में लागू होगा जहाँ इस तरह के डेटा को ऑनलाइन एकत्रित किया जाता है अथवा ऑफलाइन एकत्र कर डिजिटाइज किया जाता है। यह भारत के बाहर ऐसे प्रसंस्करण पर भी लागू होगा जो भारत में वस्तुओं या सेवाओं की पेशकश के लिये है।
- व्यक्तिगत डेटा का प्रसंस्करण केवल वैध उद्देश्य के लिये और किसी व्यक्ति की सहमति पर हो सकता है। किसी व्यक्ति द्वारा डेटा के स्वैच्छिक साझाकरण जैसे निर्दिष्ट वैध उपयोगों के लिये सहमति की आवश्यकता नहीं हो सकती है।
- डेटा फिड्यूशरी (Data fiduciaries) डेटा की परिशुद्धता बनाए रखने, डेटा को सुरक्षित रखने और उद्देश्य पूरा होने के बाद डेटा की समाप्ति करने के लिये उत्तरदायी होंगे।
- केंद्र सरकार राज्य की सुरक्षा, लोक व्यवस्था और अपराधों की रोकथाम जैसे निर्दिष्ट आधारों के हित में विधेयक के प्रावधानों के अनुप्रयोग से सरकारी एजेंसियों को छूट दे सकती है।
- केंद्र सरकार विधेयक के प्रावधानों का पालन न करने के संबंध में निर्णय लेने हेतु भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India) की स्थापना करने की आवश्यकता है।
- अधिनियम की अनुसूची विभिन्न अपराधों के लिये दंड निर्दिष्ट करती है जहाँ बोर्ड द्वारा अधिकतम 250 करोड़ रुपए का जुर्माना लगाया जा सकता है।

GDPR, CCPA और DPDP के बीच तुलना:

दायरा और प्रयोज्यता:
- GDPR: GDPR का एक व्यापक बाह्यक्षेत्रीय दायरा है, जो विश्व के उन संगठनों पर लागू होता है जो यूरोपीय संघ के निवासियों के व्यक्तिगत डेटा को संसाधित करते हैं।
- CCPA: CCPA मुख्य रूप से उन व्यवसायों पर लागू होता है जो कैलिफोर्निया के निवासियों की व्यक्तिगत जानकारी एकत्र और संसाधित करते हैं।
- DPDP:
  - यह भारतीय नागरिकों के व्यक्तिगत डेटा को संसाधित करने वाली भारतीय और विदेशी दोनों संस्थाओं पर लागू होता है।
  - इसमें डेटा स्थानीयकरण के प्रावधान शामिल हैं, जिसके लिये भारत में कुछ श्रेणियों के डेटा को संग्रहीत करने की आवश्यकता हो सकती है।
डेटा संरक्षण अधिकारी (DPO):
- GDPR: इसमें कुछ संगठनों के लिये डेटा संरक्षण अधिकारी (DPO) की नियुक्ति की आवश्यकता होती है।
- CCPA: यह DPO की नियुक्ति को अनिवार्य नहीं करता है।
- DPDP: यह अधिनियम कुछ डेटा प्रोसेसरों के लिये डेटा संरक्षण अधिकारी की नियुक्ति को कवर करता है।
सीमा पार डेटा स्थानांतरण:
- GDPR: विशिष्ट पर्याप्तता मानकों को पूरा करने या उचित सुरक्षा उपायों का उपयोग करने के लिये यूरोपीय आर्थिक क्षेत्र (EEA) के बाहर के देशों में डेटा स्थानांतरण की आवश्यकता होती है।
- CCPA: यह विशेष रूप से सीमा पार डेटा स्थानांतरण को विनियमित नहीं करता है।
- DPDP: यह कुछ प्रकार के डेटा के लिये डेटा स्थानीयकरण की आवश्यकता सहित सीमा पार डेटा स्थानांतरण के प्रावधान पेश करता है।
दंड:
- GDPR: यह गंभीर उल्लंघनों के लिये €20 मिलियन या वैश्विक वार्षिक कारोबार का 4% हिस्सा, जो भी अधिक हो, का जुर्माना लगाता है।
- CCPA: यह जानबूझकर उल्लंघन करने पर $7,500 तक के जुर्माने की अनुमति देता है।
- DPDP: इसमें अनुपालन न करने पर जुर्माना और कारावास सहित दंड शामिल हैं।

निष्कर्ष

तेज़ी से डिजिटल होते विश्व में, व्यक्तिगत डेटा की सुरक्षा के महत्त्व को कम करके आँका नहीं जा सकता है।
DPDP इस महत्त्वपूर्ण मुद्दे को संबोधित करने में एक महत्त्वपूर्ण भूमिका निभाता है, क्योंकि इसका उद्देश्य व्यक्तिगत डेटा के प्रबंधन के लिये व्यापक नियम और सुरक्षा उपाय प्रदान करना है।
दोनों अंतर्राष्ट्रीय कानून और भारत के कानून व्यक्तिगत डेटा की संवेदनशीलता के आलोक में बनाए गए थे।