डेटा संरक्षण विधेयकः सरकारी सर्विलांस के फंदे में आमजन की निजता, कंपनियों के हवाले होगी प्राइवेसी

इंडियन डेटा प्रोटेक्शन बिल-2022 के मसौदे को देखते हुए यह बात शीशे की तरह साफ है कि यह 2019 में आए मसौदे से अलग है। दोनों के उद्देश्य में बुनियादी फर्क है। सुप्रीम कोर्ट का पुट्टुस्वामी फैसला निजता को मूल अधिकार के तौर पर पहचान दिलाने के संदर्भ में था और 2019 के डेटा संरक्षण विधेयक का उद्देश्य इसके लिए जरूरी वैधानिक ढांचा तैयार करना था। जबकि 2022 के विधेयक का उद्देश्य इसके उलट है। यह सरकार को मौका देता है कि वह जब चाहे राष्ट्रीय सुरक्षा के नाम पर नागरिकों के निजता के अधिकार को कुचल दे। इसका दूसरा बड़ा उद्देश्य देशी-विदेशी कंपनियों के लिए हमारे डेटा का इस्तेमाल अपने फायदे के लिए करने की जमीन तैयार करना है। दूसरे शब्दों में कहें तो यह बिल निजता को सुरक्षा नहीं देता बल्कि एक सर्विलांस शासन व्यवस्था और सर्विलांस पूंजीवाद के लिए ढांचा बनाता है।

वैसे, 2019 का बिल भी कोई आदर्श नहीं था। संयुक्त संसदीय समिति (जेपीसी) ने इसमें 92 संशोधन सुझाए थे लेकिन तब इस पर जमकर चर्चा हुई- संसद में भी और इसके बाहर भी। फिर इसे अचानक वापस ले लिया गया। मौजूदा विधेयक की मंशा का अंदाजा हटाए गए खंडों से लगाया जा सकता है।

सबसे पहले व्यापक तस्वीर को देखें। एक अधिकार के तौर पर नागरिकों की निजता की रक्षा करने के लिए हमें परिभाषित करना होगा कि अधिकार है क्या और किन हालात में सरकार इसे सीमित कर सकती है। जैसा कि पुट्टुस्वामी के फैसले में सुप्रीम कोर्ट ने कहा है कि इस तरह अधिकार में कटौती के लिए तीन शर्तें पूरी होनी चाहिएः एक, इसकी वाजिब वजह हो; दो, कमी उतनी ही हो जितनी की जरूरत हो और तीन, इस अधिकार की रक्षा के लिए अपेक्षाकृत स्वतंत्र नियामक संस्था हो। इन संदर्भों में विधेयक का ताजा संस्करण सरकार के पक्ष में और नागरिकों के खिलाफ साफ झुका हुआ है।

सुप्रीम कोर्ट के सेवानिवृत्त जज बी. एन. श्रीकृष्ण ने 2018 में व्यक्तिगत डेटा संरक्षण विधेयक का मसौदा प्रस्तावित किया था। दि हिंदू के साथ हाल ही में एक साक्षात्कार में उन्होंने कहा कि 2022 के बिल में निजता के अधिकार में किसी भी कटौती के लिए पुट्टुस्वामी फैसले में जो जरूरत, तर्कसंगतता और आनुपातिकता के तीन मापदंड बताए गए थे, उन्हें नजरअंदाज कर दिया गया है।

2022 के विधेयक में जिस नियामक अधिकरण की बात है उसकी संरचना, नियुक्ति की प्रक्रिया और कार्यकाल सभी ‘नियम’ के दायरे में रखे गए हैं जिसे सरकार तय करती है। बोर्ड के अध्यक्ष और सदस्यों की नियुक्ति और कार्यकाल सरकार तय करेगी। इसी वजह से जस्टिस श्रीकृष्ण का कहना है कि यह प्राधिकरण सरकार के हाथों की कठपुतली होगा। 2019 के मसौदे में अपीलीय न्यायाधिकरण का प्रावधान था जिसे हटा दिया गया है।

2022 के विधेयक में 30 खंड हैं जबकि 2019 के मसौदे में 98 थे। इन 30 खंडों में भी 18 में ऐसी शर्तें हैं जिन्हें ‘सरकार तय कर सकती है’, लिहाजा इनका कोई मतलब नहीं। यह विधेयक सरकार को अधिकार देता है कि राष्ट्रीय सुरक्षा के नाम पर एक साधारण अधिसूचना के जरिये अपनी एजेंसियों को इसके प्रावधानों से बाहर कर ले। गौर करने की बात है कि आईटी कानून के आधार पर एजेंसियों को हमारे संचार, टेलीफोन या डेटा को सुनने-पढ़ने की ताकत पहले से ही है।

2022 के मसौदे का शुरुआती हिस्सा पुराना ही है जिसमें डेटा क्या है और उसका इस्तेमाल करने वालों यानी ‘फिड्यूशरी’ को परिभाषित किया गया है। इस लेख में मेरा विषय नागरिकों का डेटा होगा। डेटा फिड्यूशरी वह है जो किसी एप्लिकेशन या प्लेटफॉर्म पर कोई काम करते समय डेटा को साझा करता है। ज्यादातर मामलों में यह एक कंपनी या सरकार की कोई एजेंसी होती है। यह नागरिकों का डेटा है जिसका उपयोग कंपनियां या सरकारी एजेंसियां अपने उद्देश्य के लिए करती हैं। गूगल और फेसबुक जैसी कंपनियों के मामले में देखें तो वे लोगों के डेटा का उपयोग विज्ञापन चुनने-दिखाने के लिए करती हैं। कुछ कंपनियां डेटा ब्रोकर के रूप में काम करती हैं और लोगों के डेटा को दूसरी कंपनियों या संस्थाओं को बेच देती हैं।

डेटा के दुरुपयोग का मतलब यह है कि किसी व्यक्ति ने इसके जिस तरह से उपयोग की अनुमति दे रखी है, उसके अलावा हुआ इस्तेमाल। ऐसे दुरुपयोग की स्थिति में व्यक्ति को आर्थिक हानि से लेकर उसकी प्रतिष्ठा या व्यक्तिगत सुरक्षा को भी नुकसान पहुंच सकता है। किसे नागरिकों को हुए नुकसान के तौर पर लिया जाएगा, इसे परिभाषित करने वाले खंडों में 2019 के मसौदे की तुलना में श्रेणियों की संख्या काफी कम कर दी गई हैं।

इसके अलावा डेटा के दुरुपयोग के प्रभाव और उसकी निरंतरता या नुकसान की प्रकृति के आधार पर हानि या नुकसान को परिभाषित करने वाला खंड हटा दिया गया है। पहले के विधेयक में यह भी परिभाषित था कि संवेदनशील डेटा क्या है और इनके मामले में क्या सावधानी बरती जाएं। इस विधेयक में यह तय नहीं है कि संवेदनशील डेटा क्या है और इसलिए बिग डेटा कंपनियों द्वारा इसे संसाधित करने पर कोई अलग प्रावधान नहीं है। इन कारणों से इस बिल के प्रावधान कंपनियों के पक्ष में स्पष्ट झुके हैं।

मुझे ऐसे किसी डेटा संरक्षण बिल की जानकारी नहीं जिसमें नागरिकों के भी कर्तव्य तय किए गए हों लेकिन इसमें है। यह कहता है कि यह डेटा प्रिंसिपल, यानी नागरिकों का कानूनी दायित्व है कि वह सही डेटा दे। इसका मतलब यह है कि कोई भी व्यक्ति किसी भी डेटा सेवा का लाभ उठाते समय छद्म नाम का उपयोग नहीं कर सकता। छद्म नामों के उपयोग का सबसे बड़ा कारण यह है कि लिंग या धर्म के आधार पर किसी व्यक्ति की पहचान जाहिर होना उनके लिए खतरनाक हो सकता है। विभिन्न वेबसाइटों पर महिलाओं को चुप कराने के लिए ट्रोल किया जाता है। छद्म नामों को अस्वीकार करने से सरकारी एजेंसियों और बड़ी डेटा कंपनियों को मदद मिलेगी लेकिन अल्पसंख्यकों के लिए इसके गंभीर नतीजे होंगे।

इस विधेयक ने नागरिकों की गोपनीयता के संबंध में किसी भी जिम्मेदारी से सरकार को एक तरह से छूट दे दी है। दूसरा, इसने बिग डेटा कंपनियों के अपने उपयोगकर्ताओं के प्रति कर्तव्यों को कम कर दिया है। इसने डेटा के स्थानीयकरण को भी खत्म कर दिया है जिसके तहत भारतीयों का डेटा भारत में रखा जाता और भारतीय कानूनों के अधीन होता। पुराने विधेयक में वीजा, गूगल और फेसबुक जैसी कंपनियों को डेटा स्थानीयकरण को लेकर बड़ी आपत्ति थी।

यह विधेयक बड़ी डेटा कंपनियों को हमारे डेटा के उपयोग की अनुमति देता है। डेटा फिड्यूशरी के रूप में परिभाषित कंपनियां डेटा का उपयोग हमें सामान बेचने के लिए करती हैं और ऐसी बिक्री के मुनाफे का एक बड़ा हिस्सा पाती हैं। गूगल और फेसबुक आज विज्ञापन राजस्व की सबसे बड़ी हिस्सेदार हैं। इसके अलावा, सरकारी एजेंसियां भी निगरानी के लिए और अधिक डेटा चाहती हैं। यह भी नहीं भूलना चाहिए कि आज के चुनावों में धनबल की भूमिका कितनी अहम है। ऐसे में 2022 के इस निजता संरक्षण विधेयक के मूल में ‘सर्विलांस पूंजीवाद' है जो सरकार और पूंजीपतियों के बीच घनिष्ठ संबंधों को संस्थागत करता है।