वादा की गई गोपनीयता, विलंबित गोपनीयता: अंतरराष्ट्रीय डेटा गोपनीयता दिवस और भारत की डिजिटल दुविधा
28 जनवरी 2006 को, यूरोपियन काउंसिल ने डेटा सुरक्षा पर पहले कानूनी रूप से बाध्यकारी संधि Convention 108 के हस्ताक्षर की स्मृति में अंतरराष्ट्रीय डेटा गोपनीयता दिवस का उद्घाटन किया। दो दशकों बाद, भारत का डिजिटल पारिस्थितिकी तंत्र, जिसे 101.7 करोड़ से अधिक ब्रॉडबैंड उपभोक्ताओं के साथ समावेश का चमत्कार माना जाता है, नवाचार और संवेदनशीलता के बीच precariously poised दिखाई देता है। संविधान में गोपनीयता को मौलिक अधिकार के रूप में मान्यता मिलने के बावजूद, भारत में गोपनीयता को वास्तविकता में बदलने की प्रणाली, सर्वश्रेष्ठ होने पर भी, प्रारंभिक अवस्था में है।
भारत के गोपनीयता ढांचे की संस्थागत वास्तुकला
भारत का नागरिकों के डेटा की सुरक्षा के लिए मुख्य कानूनी उपकरण डिजिटल व्यक्तिगत डेटा सुरक्षा (DPDP) अधिनियम, 2023 है। जबकि यह अधिनियम व्यक्तिगत गोपनीयता और नवाचार के बीच संतुलन बनाने का प्रयास करता है, इसकी व्यावहारिक नींव कमजोर है। यह एक डेटा सुरक्षा बोर्ड (DPB) बनाता है जो शिकायतों का निपटारा करता है, लेकिन विवादास्पद रूप से इसके सदस्यों की नियुक्ति केवल कार्यपालिका द्वारा की जा सकती है। एक स्पष्ट रूप से स्वतंत्र निकाय पर उच्च प्रशासनिक नियंत्रण संस्थागत अस्पष्टता को बढ़ाता है और इसकी स्वायत्तता को कमजोर करने का जोखिम उठाता है।
महत्वपूर्ण बात यह है कि यह अधिनियम “वैध राज्य हितों” जैसे राष्ट्रीय सुरक्षा या सार्वजनिक व्यवस्था के बहाने व्यापक राज्य छूट को वैधता प्रदान करता है, जिससे नागरिकों के संवेदनशील व्यक्तिगत डेटा को प्रोफाइलिंग या निगरानी के लिए असुरक्षित छोड़ दिया जाता है। इसके अलावा, निजी कंपनियां, जो आधार-आधारित प्लेटफार्मों या UPI-आधारित वित्तीय सेवाओं के माध्यम से विशाल मात्रा में उपयोगकर्ता डेटा एकत्र करती हैं, कानून के तहत हल्की निगरानी के अधीन हैं। अनुमानित सुरक्षा—एक सहमति आधारित मॉडल—कोई प्रभाव नहीं डालता यदि शिकायतों का सामना संस्थागत विलंब या कॉर्पोरेट अनुपालन न होने से होता है।
डिजिटल सार्वजनिक अवसंरचना (DPI) — आधार, डिजीलॉकर, और कोविन जैसे अन्य — सरकारी नेतृत्व वाले डिजिटल शासन के लिए केंद्रीय है। हालांकि, उनकी वास्तुकला में गोपनीयता-के-निर्माण के सिद्धांत स्पष्ट रूप से अनुपस्थित हैं। विकेंद्रीकृत डेटा भंडारण तंत्र और मजबूत एन्क्रिप्शन मानकों के बिना, भारत का डिजिटल विस्तार एक ऐसी संरचना का निर्माण कर सकता है जिसकी अखंडता बढ़ने के साथ-साथ कमजोर होती जाए।
संख्याएँ जो एक परेशान करने वाली कहानी बताती हैं
नुकसान का संभावित पैमाना चौंकाने वाला है। CERT-In के अनुसार, 2022 में भारत में 13.9 लाख साइबर सुरक्षा घटनाएँ दर्ज की गईं। विशेष रूप से, 5 करोड़ कोविन उपयोगकर्ताओं का व्यक्तिगत डेटा मई 2023 में कथित रूप से लीक हुआ, जो ऑनलाइन काले बाजारों में बेचा जा रहा था। DPDP अधिनियम के तहत किए गए पूर्व-emptive सुरक्षा उपाय ऐसे उल्लंघनों को पूर्ववत नहीं कर सकते। समयबद्ध उल्लंघन सूचनाओं के लिए अनिवार्य आवश्यकता की अनुपस्थिति सार्वजनिक विश्वास की कमी को बढ़ाती है।
2024 के डिजिटल अवसंरचना बजट में निर्धारित ₹3,000 करोड़ बाहरी रूप से उदार दिखाई देते हैं, लेकिन सरकारी विभागों में संस्थागत डेटा स्वच्छता प्रथाओं को सुधारने के लिए सीमित संसाधन आवंटित किए गए हैं। नागरिकों के लिए जागरूकता अभियान, एक और स्पष्ट अंतर, प्रणालीगत होने के बजाय अस्थायी हैं।
इसे यूरोपीय संघ के सामान्य डेटा सुरक्षा विनियमन (GDPR) से तुलना करें, जो 72 घंटों के भीतर अनिवार्य उल्लंघन सूचनाएँ की मांग करता है। GDPR सार्वजनिक निकायों पर सख्त दंड लागू करता है और स्पष्ट डेटा न्यूनतमकरण सिद्धांतों को निर्धारित करता है। अंतर केवल प्रक्रियात्मक नहीं है बल्कि सांस्कृतिक भी है। भारत एक अनुपालन-प्रथम मॉडल के साथ संघर्ष करता है, जबकि यूरोपीय संघ में उल्लंघनों की स्वतंत्र जांच होती है, चाहे राजनीतिक संबद्धता कुछ भी हो।
लोकतांत्रिक महत्वाकांक्षाएँ, अधिकार-आधारित वास्तविकताएँ
भारत में गोपनीयता K.S. Puttaswamy निर्णय (2017) के बाद गहरी लोकतांत्रिक गूंज रखती है, जिसने इसे अनुच्छेद 21 के तहत मौलिक अधिकार के रूप में पुष्टि की। फिर भी, पांच साल बाद, वैधानिक गोपनीयता सुरक्षा कभी-कभी सौंदर्यात्मक स्पर्श की तरह प्रतीत होती है, न कि संरचनात्मक सुधार। उदाहरण के लिए, DPDP अधिनियम डिजिटल प्लेटफार्मों को “वैध उपयोगों” के लिए सहमति के बिना डेटा संसाधित करने की अनुमति देता है, यह एक खंड है जो अत्यधिक व्यापक और अस्पष्ट रूप से परिभाषित है।
ग्राउंड पर जोखिम कल्याण योजनाओं में स्पष्ट हैं। आधार को सार्वजनिक वितरण प्रणाली (PDS) और स्वास्थ्य रिकॉर्ड के साथ जोड़ने से, कुछ मामलों में, असंगत बायोमीट्रिक डेटा के कारण कमजोर जनसंख्या के लिए अधिकारों का बहिष्कार किया गया है। ये उदाहरण एक कल्याणकारी राज्य के लिए विडंबना को उजागर करते हैं जो डिजिटलाइजेशन का उपयोग कर ‘शामिल’ करने का प्रयास करता है जबकि गोपनीयता को कमजोर करता है और जमीनी स्तर पर अधिकारों को बाधित करता है। कानूनी विशेषज्ञों द्वारा की गई एक सिफारिश, लागू करने योग्य उद्देश्य सीमा की अनुपस्थिति इस संवेदनशीलता को और बढ़ाती है।
सरकार का अधिनियम के कुछ प्रावधानों से खुद को छूट देने का निर्णय गोपनीयता सिद्धांतों के प्रति एक अस्पष्ट प्रतिबद्धता को दर्शाता है। ऐसे छूटों के वास्तविक दुनिया के प्रभावों को पेगासस स्पाइवेयर मुद्दे द्वारा उजागर किया गया, जिसने भारत की वैश्विक लोकतंत्र के रूप में प्रतिष्ठा को नुकसान पहुँचाया और अनियंत्रित राज्य निगरानी तंत्र के बारे में मौलिक प्रश्न उठाए।
वैश्विक संदर्भ: जर्मनी से सबक
यदि कोई जर्मनी के मॉडल का अध्ययन करता है, तो भारत की दिशा से भिन्नता स्पष्ट है। जर्मनी GDPR के तहत कार्य करता है लेकिन इसे संघीय डेटा सुरक्षा अधिनियम (BDSG) के साथ पूरक करता है, जो अतिरिक्त नियामक विशिष्टता सुनिश्चित करता है। सार्वजनिक और निजी दोनों संस्थाएँ वार्षिक अनुपालन ऑडिट के अधीन होती हैं, जो अत्यधिक विकेंद्रीकृत डेटा सुरक्षा प्राधिकरणों के माध्यम से होती हैं (प्रत्येक राज्य के लिए एक)। भारत के केंद्रीकृत DPB के विपरीत, जर्मनी की शासन व्यवस्था में एकत्रीकरण से बचता है, जिससे निगरानी अधिक संतुलित और स्थानीय रूप से सुलभ होती है। इसके अलावा, उनकी सरकारी विभागों और नागरिकों के सक्रिय कौशल विकास से एक गोपनीयता-सचेत समाज सुनिश्चित होता है, केवल गोपनीयता-चिंतित नहीं।
अनसुलझे प्रश्न और आगे का रास्ता
तो, भारत के गोपनीयता ढांचे में सफलता कैसी होगी? न्यूनतम, इसके लिए तीन ठोस बदलावों की आवश्यकता है:
- एक स्वतंत्र और अच्छी तरह से संसाधित डेटा सुरक्षा बोर्ड, जिसमें पारदर्शी प्रदर्शन मापदंड हों।
- उल्लंघन सूचनाओं के लिए अनिवार्य समयसीमा, साथ ही दंड जो प्रभावी हों, यहां तक कि सरकारी निकायों के खिलाफ भी।
- एक मजबूत शिकायत निवारण प्रणाली जहां नागरिक सहजता से अपने कानूनी अधिकारों को बिना भारी प्रक्रियात्मक बाधाओं के समझ सकें।
बुनियादी रूप से, गोपनीयता को साइबर जार्गन से आगे बढ़कर भारतीय डिजिटल संरचना में संस्थागत बनाना चाहिए। संसद को “राष्ट्रीय हित” छूटों और संविधान में निहित मूल्यों के बीच संतुलन को फिर से आकलन करना चाहिए। एक वास्तविक विकेंद्रीकृत डेटा शासन मॉडल—भारत की संघीय संरचना को पूरा करते हुए—स्थानीय स्तर पर व्यक्तिगत डेटा पर संप्रभुता को प्राथमिकता देनी चाहिए, न कि केवल राष्ट्रीय स्तर पर।
अंतरराष्ट्रीय डेटा गोपनीयता दिवस एक प्रतीकात्मक इशारा हो सकता है। लेकिन एक ऐसे देश के लिए, जिसकी डिजिटल अर्थव्यवस्था इस दशक के अंत तक GDP का 20% योगदान करने के लिए तैयार है, केवल प्रतीक ही पर्याप्त नहीं हैं। वास्तविक वैधता तब आती है जब ऐसे सिस्टम बनाए जाएं जिन पर नागरिक भरोसा कर सकें, और इसके लिए, वाक्यांशों को अंततः सुधार में बदलना होगा।
UPSC अभ्यास प्रश्न
प्रारंभिक MCQs:
-
डिजिटल व्यक्तिगत डेटा सुरक्षा (DPDP) अधिनियम, 2023 के बारे में निम्नलिखित में से कौन सा सत्य है?
- (a) यह डेटा सुरक्षा बोर्ड के लिए एक संघीय ढांचा अनिवार्य करता है।
- (b) यह विशेष वैधानिक उद्देश्यों के तहत राज्य के लिए छूट प्रदान करता है।
- (c) यह खोज के 24 घंटे के भीतर डेटा उल्लंघन सूचनाएँ अनिवार्य करता है।
- (d) यह केवल निजी डिजिटल संस्थाओं पर लागू होता है।
उत्तर: (b)
-
डेटा गोपनीयता के संदर्भ में अक्सर संदर्भित Convention 108 पर हस्ताक्षर किसने किया था:
- (a) OECD
- (b) G20
- (c) यूरोपियन काउंसिल
- (d) UNCTAD
उत्तर: (c)
मुख्य प्रश्न: “डिजिटल व्यक्तिगत डेटा सुरक्षा (DPDP) अधिनियम, 2023 गोपनीयता अधिकारों और राज्य छूटों के बीच संरचनात्मक तनावों को किस हद तक संबोधित करता है? कृपया Puttaswamy निर्णय के संदर्भ में आलोचनात्मक मूल्यांकन करें।”