डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक 2022

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) द्वारा 18 नवंबर, 2022 को जारी किया गया मसौदा डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक, 2022 ("DPDB") 17 दिसंबर, 2022 तक सार्वजनिक टिप्पणी के लिए उपलब्ध है। MeitY ने 4 अगस्त, 2022 को डेटा संरक्षण विधेयक 2021 को इस आधार पर वापस ले लिया कि संयुक्त समिति ने मूल मसौदे में महत्वपूर्ण बदलावों की सिफारिश की थी। इस कार्रवाई ने एक "व्यापक" कानूनी ढांचा बनाने की आवश्यकता पर प्रकाश डाला जो वर्तमान गोपनीयता कानूनों और डिजिटल पारिस्थितिकी तंत्र की लगातार बदलती बारीकियों के अनुरूप हो।

यदि डीपीडीबी को वर्तमान स्वरूप में कानून के रूप में पारित कर दिया जाए तो भारतीय डेटा संरक्षण कानून के मूलभूत तत्वों का विश्लेषण करना।

आवेदन और कवरेज:

डीपीडीबी निम्नलिखित पर लागू होगा:

1. डिजिटल व्यक्तिगत डेटा का सभी प्रसंस्करण छूट (भौतिक दायरे) के अधीन है,
2. समस्त प्रसंस्करण भारत के अंदर किया जाता है, और कुछ परिस्थितियों में, प्रसंस्करण भारत के बाहर (क्षेत्रीय दायरे में) किया जाता है।

सहमति और मानी गई सहमति:

डिजिटल व्यक्तिगत डेटा की प्रोसेसिंग वैध कारण से डेटा प्रिंसिपल की सहमति या निहित सहमति के साथ की जानी चाहिए। सहमति या समझी गई सहमति की आवश्यकताओं के परिणामस्वरूप 500 मिलियन रुपये (लगभग 6.1 मिलियन अमेरिकी डॉलर) तक का जुर्माना हो सकता है। सहमति प्रोसेसिंग के लिए मुख्य कानूनी औचित्य बनी हुई है, हालांकि कमजोर बाधाओं के साथ।

डीपीडीबी के अनुसार, सहमति अप्रतिबंधित, स्पष्ट, सूचित और स्पष्ट होनी चाहिए। इसे डेटा प्रिंसिपल द्वारा सकारात्मक कार्रवाई के माध्यम से स्वीकार किया जाना चाहिए और निर्दिष्ट उद्देश्यों तक सीमित होना चाहिए।

डेटा न्यासी को सहमति प्राप्त करने के समय या उससे पहले एक मदवार सूचना (अर्थात, अलग-अलग मदों की सूची के रूप में प्रदर्शित) देनी होगी, जिसमें स्पष्ट रूप से और स्पष्ट रूप से यह बताया गया हो कि किस व्यक्तिगत डेटा को संसाधित किया जाना है, साथ ही उसका इच्छित उपयोग भी बताया गया हो।

9 मामलों में, DPDB डेटा प्रिंसिपल की सहमति, या "मान्य सहमति" को प्रोसेसिंग के लिए कानूनी औचित्य के रूप में उपयोग करता है। इनमें शामिल हैं:

1. जब डेटा सिद्धांत स्वतंत्र रूप से व्यक्तिगत जानकारी प्रदान करता है, और यह मान लेना उचित है कि वे ऐसी जानकारी प्रदान करेंगे, जैसे कि जब कोई अनुबंध किया जाता है या निष्पादित किया जाता है;
2. किसी भी वैधानिक कर्तव्य की पूर्ति के भाग के रूप में डेटा प्रिंसिपल को सेवाएं या लाभ (जैसे सामाजिक कल्याण कार्यक्रम) प्रदान करना, किसी भी उद्देश्य के लिए राज्य द्वारा प्रसंस्करण करना;
3. डेटा प्रिंसिपल को प्रमाणपत्र, लाइसेंस या परमिट प्रदान करना (जैसे आधार जारी करने के लिए बायोमेट्रिक जानकारी एकत्र करना);
4. किसी भी निर्णय या निर्देश का पालन करना;
5. डेटा प्रिंसिपल या किसी अन्य व्यक्ति के जीवन या स्वास्थ्य के लिए खतरा पैदा करने वाली चिकित्सा आपात स्थिति का प्रत्युत्तर;
6. किसी महामारी, बीमारी के प्रकोप, या सार्वजनिक स्वास्थ्य आपातकाल के दौरान किसी भी व्यक्ति को चिकित्सा देखभाल या स्वास्थ्य सेवाएं प्रदान करना, जैसे संपर्क अनुरेखण;
7. आपदा प्रबंधन, या सार्वजनिक अव्यवस्था;
8. रोजगार संबंधी उद्देश्य; सार्वजनिक हित में (डीपीडीबी "सार्वजनिक हित" को भारत की संप्रभुता और अखंडता, राज्य सुरक्षा, विदेशी राज्यों के साथ मैत्रीपूर्ण संबंध, सार्वजनिक व्यवस्था का रखरखाव, पूर्वोक्त हितों के संबंध में किसी भी संज्ञेय अपराध को करने के लिए उकसावे को रोकने में रुचि के रूप में परिभाषित करता है,
9. तथा झूठे बयानों या तथ्यों के प्रसार को रोकने के लिए, तथा किसी भी निष्पक्ष और उचित उद्देश्य के लिए, जैसा कि बाद में निर्धारित किया जा सकता है) जबकि यह गैरकानूनी नहीं है।

ऊपर बताई गई आवश्यकताओं के अलावा, अन्य प्रत्ययी दायित्वों का पालन न करने पर जुर्माना 500 मिलियन रुपये (लगभग 6.1 मिलियन अमेरिकी डॉलर) तक पहुंच सकता है। DPDB में डेटा प्रत्ययी पर पिछले कानून की तुलना में कम प्रतिबंध हैं। शायद इसका लक्ष्य स्व-नियमन को प्रोत्साहित करना, उद्यमों की लागत और अनुपालन के बोझ को कम करना है। साथ ही, यह पहले से मौजूद गोपनीयता शासन संरचनाओं को प्रभावित कर सकता है।

महत्वपूर्ण डेटा प्रत्ययी की अधिसूचना:

केंद्र सरकार डेटा फ़िड्युशियरी के किसी भी वर्ग को महत्वपूर्ण डेटा फ़िड्युशियरी (एसडीएफ) के रूप में नामित कर सकती है। संसाधित किए जाने वाले डेटा की मात्रा और संवेदनशीलता, डेटा प्रिंसिपल को नुकसान पहुँचाने का जोखिम, भारत की संप्रभुता और अखंडता पर संभावित प्रभाव, राज्य सुरक्षा, चुनावी लोकतंत्र जोखिम और अन्य मैट्रिक्स जैसे चर का मूल्यांकन इन निर्णयों को लेते समय किया जाएगा।

मानदंडों के पिछले संस्करणों में अधिक विशिष्टताएं शामिल थीं और कुछ सोशल मीडिया मध्यस्थों को एसडीएफ के दायरे में शामिल करने का प्रयास किया गया था; वर्तमान में, इसे खुला छोड़ दिया गया है। एसडीएफ को अपने डेटा सुरक्षा अधिकारी (डीपीओ) के रूप में काम करने के लिए भारत में रहने वाले किसी व्यक्ति का चयन करना होगा।

डेटा सिद्धांत का दायरा:

उनके डेटा से जुड़े अधिकारों को डीपीडीबी द्वारा सीमित किया गया है, और संगठन का उद्देश्य उन पर कुछ कर्तव्य भी थोपना है। एक डेटा प्रिंसिपल को यह अधिकार है:

1. प्रसंस्करण की पुष्टि; संसाधित व्यक्तिगत डेटा के सारांश तक पहुंच; प्रसंस्करण गतिविधियां;
2. सभी डेटा प्रत्ययी व्यक्तियों की पहचान; तथा ऐसी जानकारी जो अपेक्षित हो;
3. झूठी या भ्रामक व्यक्तिगत जानकारी का सुधार;
4. व्यक्तिगत डेटा अद्यतन करना;
5. अपूर्ण व्यक्तिगत डेटा को पूरा करना;
6. व्यक्तिगत जानकारी को हटाना जो अब प्रसंस्करण या किसी कानूनी उद्देश्य के लिए आवश्यक नहीं है; ध्यान दें कि यदि व्यावसायिक उद्देश्यों के लिए आवश्यक हो तो न्यासी को व्यक्तिगत जानकारी रखने की अनुमति है; परिणामस्वरूप, यह स्पष्ट नहीं है कि क्या मिटाने का अधिकार न्यासी के इस अधिकार का स्थान लेगा, और इसे स्पष्ट किए जाने की आवश्यकता है;
7. डेटा फिड्युसरी के पास शिकायत दर्ज कराएं;
8. यदि डेटा फिड्युसरी उनकी पंजीकृत शिकायतों का जवाब नहीं देता है या असंतोषजनक तरीके से ऐसा करता है तो डीपीबीआई के पास शिकायत दर्ज करें;
9. तथा उनकी मृत्यु या अक्षमता की स्थिति में उनका प्रतिनिधित्व करने के लिए किसी अन्य व्यक्ति को नामित करें।

डेटा प्रिंसिपल को भूल जाने का कोई अधिकार नहीं है, कुछ प्रकार के प्रसंस्करण पर आपत्ति करने का कोई अधिकार नहीं है (स्वचालित डेटा प्रसंस्करण विनियमन का प्रमुख क्षेत्र है, जिस पर प्रिंसिपल द्वारा आपत्ति नहीं की जा सकती है), या डेटा पोर्टेबिलिटी का कोई अधिकार नहीं है, जो कि दुनिया भर में एक विवादास्पद मुद्दा रहा है।

अधिकारों का प्रयोग किस तरह से किया जा सकता है, इस बारे में तरीके, समयसीमा, प्रारूप और अन्य विवरण नियम बनाने पर छोड़ दिए गए हैं। फिर भी, इन अधिकारों का प्रयोग करने के लिए, डेटा प्रिंसिपल को कुछ कर्तव्यों का पालन करना अनिवार्य है। उनमें से एक के लिए डेटा प्रिंसिपल को सभी लागू कानूनों के प्रावधानों का पालन करना आवश्यक है।

सीमापार डेटा स्थानांतरण:

हितधारकों ने पिछले कानूनों के तहत सीमा पार डेटा हस्तांतरण की बारीकियों पर व्यापक रूप से बहस की है, जिसमें नरम और कठोर डेटा स्थानीयकरण मानकों का महत्वपूर्ण विरोध किया गया है। ऐसे स्थानीयकरण मानकों को DPDB द्वारा समाप्त कर दिया गया है, जो एक सकारात्मक विकास है।

इसमें प्रावधान किया गया है कि केंद्र सरकार को किसी भी क्षेत्राधिकार को अधिसूचित करना होगा, जिसमें व्यक्तिगत डेटा को किसी भी लागू नियमों और शर्तों के तहत स्थानांतरित किया जा सकता है, तथा इसके लिए उसे उन सभी विचारों की जांच करनी होगी, जिन्हें वह आवश्यक समझती है।

इसमें सुझाव दिया गया है कि केंद्र सरकार को यह तय करने का पूरा विवेकाधिकार होगा कि अधिकार क्षेत्र उपयुक्त है या नहीं, साथ ही डेटा ट्रांसफर के लिए कब आवश्यकताएँ निर्धारित करनी हैं। सीमा पार ट्रांसफर के लिए वैकल्पिक विकल्प, जैसे अनिवार्य व्यावसायिक नीतियाँ और विशिष्ट अनुबंध प्रावधान।

वर्तमान में, आईटी नियम केवल सहमति से सीमा पार स्थानांतरण की अनुमति देते हैं या जब डेटा प्रिंसिपल के साथ किए गए अनुबंध के प्रदर्शन के लिए ऐसे स्थानांतरण आवश्यक होते हैं। डेटा ट्रांसफर करने वालों को यह आकलन करना आवश्यक है कि डेटा ट्रांसफर करने वाले द्वारा व्यक्तिगत डेटा को समान स्तर की डेटा सुरक्षा प्रदान की जाएगी या नहीं।

छूट:

डीपीडीबी महत्वपूर्ण राज्य कानूनों और विशिष्ट प्रकार के प्रसंस्करण से व्यापक छूट की कल्पना करता है। व्यक्तिगत डेटा के प्रसंस्करण पर कोई डेटा फ़िड्युसरी या एसडीएफ दायित्व लागू नहीं होगा जो कि:

1. कानूनी अधिकारों या दावों को लागू करने के लिए,
2. न्यायिक, अर्ध-न्यायिक या अन्य निकाय द्वारा न्यायिक या अर्ध-न्यायिक कार्य करते समय,
3. जो रोकथाम, पता लगाने या अभियोजन के हित में हो, या
4. सीमा पार स्थानांतरण पर किसी अन्य प्रतिबंध के लिए जिसे बाद में अधिसूचित किया जा सकता है।

इसके अलावा, डीपीडीबी यह निर्धारित करता है कि राज्य और उसके उपकरण भंडारण और प्रतिधारण प्रतिबंधों से मुक्त हैं, इसलिए वे जब तक उचित समझें, व्यक्तिगत डेटा रखने के लिए स्वतंत्र हैं। इसके अतिरिक्त, केंद्र सरकार के पास डेटा प्रोसेसिंग की मात्रा और प्रकृति पर विचार करके कुछ डेटा फ़िड्यूशियरी को नोटिस, डेटा सटीकता, प्रतिधारण सीमा और एक्सेस प्लस पुष्टि अधिकार आवश्यकताओं का अनुपालन करने से छूट देने का अधिकार है।

भारतीय डेटा संरक्षण बोर्ड (डीपीबीआई):

डीपीडीबी का इरादा है कि डीपीडीबी के गैर-अनुपालन का पता लगाने, प्रतिबंधों को लागू करने, निर्देश जारी करने और संघीय सरकार द्वारा निर्दिष्ट अन्य ऐसे कर्तव्यों को पूरा करने के लिए डीपीबीआई की स्थापना की जाए। डीपीबीआई एक अलग नियामक के रूप में कार्य करेगा, और इसके सभी संचालन डिजिटल होने के लिए डिज़ाइन किए गए हैं।

डीपीबीआई के पास शिकायत संबंधी प्रक्रियाओं को संभालने, गवाहों को बुलाने, साक्ष्य की जांच करने, जांच करने और दंड लगाने का अधिकार होगा। इस प्रकार, राज्य के अन्य विभागों से स्वतंत्र रूप से कार्य करने के लिए इसकी संरचना में सही संतुलन होना चाहिए। हालाँकि, डीपीडीबी इन बिंदुओं का कोई उल्लेख नहीं करता है। यह केंद्र सरकार को डीपीबीआई की संरचना, सदस्यता मानदंड, नियुक्ति की शर्तों और बर्खास्तगी की शर्तों को निर्धारित करने की शक्ति देता है।