भारत में गोपनीयता कानून और रोकथाम

भारत में, वर्ष 2021 गोपनीयता और डेटा सुरक्षा कार्यों के लिए एक ऐसा कन्वेयर बेल्ट था जिसे आप पलक झपकते ही भूल जाएंगे। भारत में व्यापक डेटा गोपनीयता कानून के लिए आवाज़ पहले से कहीं ज़्यादा तेज़ होने के कारण विधायी और कार्यकारी पक्षों पर कार्रवाई की कोई कमी नहीं थी। भारत सरकार द्वारा महत्वपूर्ण सुधार किए गए, जिसमें पुरानी भू-स्थानिक डेटा नीति का उदारीकरण, गोपनीयता आश्वासन के लिए उद्योग मानकों की शुरूआत और डिजिटल भुगतान क्षेत्र में सुरक्षा उपायों को कड़ा करना शामिल है। कानूनी मोर्चे पर, गुमनामी, भूल जाने का अधिकार और राज्य निगरानी जैसे मामलों पर निर्णय लिए गए हैं। नियोजित GDPR-प्रेरित डेटा सुरक्षा कानून का वर्तमान मसौदा, जो पिछले मसौदे के बाद से दो साल से काम कर रहा है, सबसे आगे है।

इस लेख में, आप गोपनीयता और डेटा सुरक्षा कानून से संबंधित कानूनी विकास की उतार-चढ़ाव भरी यात्रा से गुज़रेंगे। तो, क्या हम तैयार हैं?

प्रस्तावित डेटा संरक्षण कानून

16 दिसंबर, 2021 को संयुक्त संसदीय समिति ने प्रस्तावित डेटा सुरक्षा कानून पर अपनी रिपोर्ट संसद में पेश की, साथ ही बिल का संशोधित संस्करण, डेटा सुरक्षा विधेयक, 2021 भी पेश किया। मसौदा विधेयक को अभी तक संसद की जांच और मंजूरी के लिए मसौदा कानून के रूप में पेश नहीं किया गया है। मसौदा विधेयक जारी होने के बाद, उद्योग ने नए दौर के परामर्श की मांग की है, जिसमें दावा किया गया है कि कई खंड पिछले संस्करण से अलग हैं, जिसे दो साल पहले जारी किया गया था।

प्रस्तावित विधेयक, जिसमें GDPR के तत्व शामिल हैं, में प्रस्तावित कानून के पिछले संस्करणों से कई महत्वपूर्ण संशोधन हैं, जैसे कि कानून के दायरे को व्यापक बनाना ताकि न केवल व्यक्तिगत डेटा बल्कि गैर-व्यक्तिगत डेटा भी इसमें शामिल हो। डेटा उल्लंघनों को कम करने के लिए कड़े डेटा उल्लंघन रिपोर्टिंग नियम (72 घंटों के भीतर), हार्डवेयर निर्माता नियम और सभी डिजिटल और IoT उपकरणों के लिए प्रमाणन ढांचा भी बनाया गया है। प्रस्तावित उपाय चरणबद्ध तरीके से अपनाने की भी अनुमति देता है, जिसमें केंद्र सरकार कुछ खंडों के प्रभावी होने के लिए अलग-अलग तिथियों की घोषणा करती है।

भूस्थानिक डेटा और मानचित्र सेवाओं के लिए नई व्यवस्था

15 फरवरी, 2021 को, भारत सरकार के विज्ञान और प्रौद्योगिकी विभाग ने "भू-स्थानिक डेटा और मानचित्रों सहित भू-स्थानिक डेटा सेवाओं को प्राप्त करने और उत्पादन करने के लिए दिशानिर्देश" प्रकाशित किए। दिशानिर्देशों से पहले, रक्षा मंत्रालय, भारतीय सर्वेक्षण विभाग, वित्त मंत्रालय और विदेश मंत्रालय सहित विभिन्न सरकारी मंत्रालयों/विभागों द्वारा मानचित्रण डेटा को विनियमित करने वाली कई अधिसूचनाएँ और दिशानिर्देश जारी किए गए थे, जिनमें से अधिकांश या तो अस्पष्ट या पुराने थे, या दोनों। भारत के क्षेत्र के भीतर भू-स्थानिक डेटा और मानचित्रों का संग्रह, उत्पादन, तैयारी, प्रसार, भंडारण, प्रकाशन, अद्यतन और/या डिजिटलीकरण अब प्रतिबंधित नहीं है, और नए दिशानिर्देशों के तहत किसी अनुमोदन, मंजूरी, लाइसेंस या अन्य आवश्यकता की आवश्यकता नहीं है, उन विशेषताओं की नकारात्मक सूची के अधीन जिनके लिए प्रतिबंध हैं। नए प्रतिबंधों के अनुसार, विदेशी व्यवसायों को भू-स्थानिक डेटा विकसित करने, रखने या होस्ट करने से भी प्रतिबंधित किया गया है जो कुछ निर्धारित सीमा मूल्यों से अधिक महीन है। वे भारतीय प्रादेशिक समुद्रों में भूमि मोबाइल मानचित्रण सर्वेक्षण, सड़क दृश्य सर्वेक्षण या सर्वेक्षण भी नहीं कर सकते हैं।

बैंकिंग नियामक ने कार्ड डेटा भंडारण पर रोक लगाई

भारतीय रिजर्व बैंक (RBI) ने इलेक्ट्रॉनिक/ऑनलाइन भुगतान मोड के माध्यम से ग्राहकों और व्यापारियों के बीच भुगतान की सुविधा प्रदान करने और उसे संभालने वाले भुगतान मध्यस्थों को लाइसेंस देने और विनियमित करने के लिए "भुगतान एग्रीगेटर्स और भुगतान गेटवे के विनियमन पर दिशानिर्देश" जारी किए। इन दिशानिर्देशों के तहत भुगतान एग्रीगेटर्स और व्यापारियों को कार्ड और कार्ड से संबंधित डेटा को बनाए रखने से प्रतिबंधित किया गया है। मार्च 2021 में, कार्ड डेटा भंडारण बाधाओं पर जोर देते हुए अतिरिक्त स्पष्टीकरण जारी किए गए। RBI ने 7 सितंबर, 2021 को एक परिपत्र जारी किया, जिसमें मांग की गई कि 1 जनवरी, 2022 से (a) कार्ड जारीकर्ता या कार्ड नेटवर्क के अलावा किसी अन्य संस्था को कार्ड डेटा रखने की अनुमति नहीं दी जाएगी, और (b) पहले से रखे गए किसी भी कार्ड डेटा को हटा दिया जाएगा। कार्ड नंबर के अंतिम चार अंक और कार्ड जारीकर्ता का नाम लेनदेन ट्रैकिंग और सुलह उद्देश्यों के लिए अपवाद के रूप में सहेजा जा सकता है।

टोकनाइजेशन को ऑनलाइन भुगतान निरंतरता बनाए रखते हुए कार्ड स्टोरेज बाधाओं का अनुपालन करने के लिए एक व्यवहार्य दृष्टिकोण के रूप में प्रस्तावित किया गया है। RBI ने सभी डिवाइस को शामिल करने के लिए पिछले डिवाइस-आधारित टोकनाइजेशन ढांचे का विस्तार किया, साथ ही कार्ड-ऑन-फाइल टोकनाइजेशन की अनुमति दी। RBI को कई उद्योग अभ्यावेदनों के आधार पर, 23 दिसंबर, 2021 को RBI ने अनुपालन की समय सीमा 30 जून, 2022 तक बढ़ा दी।

डेटा गोपनीयता मानक जारी किए गए

2021 के मध्य में, भारतीय मानक ब्यूरो (BIS) अपने नए डेटा गोपनीयता आश्वासन मानकों, IS 17428 को सार्वजनिक करेगा, जिसे पहले अधिसूचित किया गया था। मानक का उद्देश्य कंपनियों को उनके डेटा गोपनीयता प्रबंधन प्रणालियों की स्थापना, कार्यान्वयन, रखरखाव और निरंतर सुधार के लिए गोपनीयता आश्वासन ढांचा प्रदान करना है। इसे दो भागों में विभाजित किया गया है: एक निर्देशात्मक भाग जिसमें ऐसे नियम हैं जिनका मानक लागू करने वाले किसी भी व्यक्ति को पालन करना चाहिए, और एक सुझावात्मक भाग जिसमें निर्देशात्मक भाग की आवश्यकताओं के कार्यान्वयन में सहायता के लिए विशिष्ट सर्वोत्तम अभ्यास हैं।

यह मूल्यांकन किया जा सकता है कि क्या संगठनों द्वारा IS 17428 का कार्यान्वयन उन्हें सूचना प्रौद्योगिकी (उचित सुरक्षा अभ्यास और प्रक्रियाएँ तथा संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 के अनुरूप मानता है, जिसके अनुसार उन्हें संवेदनशील व्यक्तिगत डेटा या सूचना के लिए उचित सुरक्षा अभ्यास और प्रक्रियाएँ बनाए रखने की आवश्यकता होती है। हालाँकि, ये दिशा-निर्देश और IS 17428 स्पष्ट रूप से यह नहीं बताते हैं कि स्वीकार्य सुरक्षा नीतियों और प्रक्रियाओं को बनाए रखने के कर्तव्य का अनुपालन IS 17428 के निर्देशात्मक खंड के अनुरूप माना जाता है। परिणामस्वरूप, कंपनियों को यह प्रदर्शित करने की आवश्यकता हो सकती है कि IS 17428 के निर्देशात्मक खंड का कार्यान्वयन ऐसी आवश्यकता को पूरा करता है।

आगामी डेटा सुरक्षा कानून के तहत डेटा फ़िड्यूशियरी और प्रोसेसर को सुरक्षा उपायों को लागू करना होगा जिसमें व्यक्तिगत डेटा अखंडता की रक्षा करने और दुरुपयोग, अनधिकृत पहुँच, संशोधन, प्रकटीकरण या व्यक्तिगत डेटा के विनाश को रोकने के लिए पहचान हटाना, एन्क्रिप्शन और अन्य उपाय शामिल हैं। यह मूल्यांकन और परिभाषित किया जाना चाहिए कि क्या IS 17428 कार्यान्वयन इन सुरक्षा दायित्वों का अनुपालन करने के लिए दिखाया जा सकता है।

बड़े मैसेजिंग ऐप्स को ट्रेसिबिलिटी सुविधाएँ शुरू करने की आवश्यकता है

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने 25 फरवरी, 2021 को सूचना प्रौद्योगिकी (मध्यस्थ दिशा-निर्देश और डिजिटल मीडिया आचार संहिता) नियम, 2021 को अधिसूचित किया, जो सूचना प्रौद्योगिकी (मध्यस्थ दिशा-निर्देश) नियम, 2011 की जगह लेगा। नए मध्यस्थ नियम ऑनलाइन 'मध्यस्थों' पर विशिष्ट सावधानी बरतने के कर्तव्य लगाते हैं, जिसमें पंजीकरण के दौरान प्राप्त सभी उपयोगकर्ताओं के बारे में 180 दिनों तक जानकारी बनाए रखना अनिवार्य है, भले ही पंजीकरण रद्द कर दिया गया हो या वापस ले लिया गया हो। दिशा-निर्देश और भी आगे बढ़ गए, कुछ मध्यस्थों को "प्रमुख सोशल मीडिया मध्यस्थ" के रूप में मान्यता दी गई, यदि पंजीकृत उपयोगकर्ताओं की संख्या एक विशिष्ट सीमा (बाद में 50,00,000 पंजीकृत उपयोगकर्ताओं के रूप में अधिसूचित) से अधिक हो।

मैसेजिंग सेवाएँ प्रदान करने वाले प्रमुख सोशल मीडिया बिचौलियों को जो अतिरिक्त सावधानी बरतनी चाहिए, उनमें से एक यह है कि वे ऐसे मध्यस्थ के माध्यम से प्रेषित किसी भी सूचना के प्रथम स्रोत की पहचान करने में सक्षम हों, यदि न्यायालय या सरकारी आदेश द्वारा सूचना को इंटरसेप्ट, मॉनिटर या डिक्रिप्ट करने के लिए ऐसा करने की आवश्यकता हो। नए मध्यस्थ दिशा-निर्देशों के अनुसार, एक प्रमुख सोशल मीडिया बिचौलिए को केवल संचार के प्रथम स्रोत की पहचान प्रदान करनी चाहिए, न कि किसी इलेक्ट्रॉनिक संदेश की सामग्री या प्रथम स्रोत या अन्य उपयोगकर्ताओं के बारे में कोई जानकारी।

व्हाट्सएप की गोपनीयता नीति अपडेट से एंटीट्रस्ट चिंताएं

जनवरी 2021 में, मैसेजिंग नेटवर्क WhatsApp चलाने वाली कंपनी WhatsApp LLC ने अपनी गोपनीयता नीति और सेवा की शर्तों में बदलाव किया। पिछले WhatsApp अपग्रेड के विपरीत, जिसमें उपयोगकर्ताओं को Facebook के साथ डेटा शेयरिंग के लिए 'ऑप्ट-इन' करने की अनुमति दी गई थी, इस गोपनीयता नीति अपडेट ने उपयोगकर्ताओं को सेवा का उपयोग जारी रखने के लिए Facebook के साथ डेटा शेयरिंग के लिए सहमति देने के लिए बाध्य किया। भारत के प्रतिस्पर्धा आयोग, भारत के प्रतिस्पर्धा विरोधी प्राधिकरण ने भारतीय बाजार में प्रतिस्पर्धा पर WhatsApp अपडेट के संभावित प्रभाव की जांच करने के लिए 24 मार्च, 2021 को WhatsApp, Inc. और Facebook, Inc. के खिलाफ जांच शुरू की।

रिपोर्ट के अनुसार, उपयोगकर्ताओं को व्हाट्सएप की गोपनीयता नीति में संशोधन को मंजूरी देने का एकतरफा आदेश उनके स्वैच्छिक समझौते का उल्लंघन है, और उपयोगकर्ताओं के लिए अन्यायपूर्ण और अनुचित प्रतीत होता है।

दिल्ली उच्च न्यायालय के समक्ष अलग-अलग मामलों में, फेसबुक, इंक. और व्हाट्सएप, इंक. ने भारतीय प्रतिस्पर्धा आयोग के जांच शुरू करने के आदेश को चुनौती दी। यह कहा गया कि व्हाट्सएप अपडेट उपयोगकर्ताओं की पसंद की स्वतंत्रता को नहीं छीनता है और इसका उद्देश्य फेसबुक के साथ व्हाट्सएप की डेटा-शेयरिंग प्रक्रियाओं के बारे में स्पष्टता बढ़ाना है। दिल्ली उच्च न्यायालय ने अपीलों को खारिज कर दिया और फेसबुक, इंक. के अभियोग की पुष्टि की, इसे जांच का एक महत्वपूर्ण घटक माना।

ब्लॉकचेन पर राष्ट्रीय रणनीति डेटा स्थानीयकरण की सिफारिश करती है

दिसंबर 2021 में, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने अपनी 'ब्लॉकचेन पर राष्ट्रीय रणनीति' जारी की, जिसका उद्देश्य ब्लॉकचेन का उपयोग करके एक विश्वसनीय डिजिटल प्लेटफ़ॉर्म विकसित करने के लिए रणनीतियों और सिफारिशों में अंतर्दृष्टि प्रदान करना था जो व्यवसायों और नागरिकों को विश्वसनीय सेवा वितरण को आसान बना सकता है। आश्चर्यजनक रूप से, मंत्रालय ने देखा है कि कई देशों ने डेटा स्थानीयकरण सीमाएँ लगाई हैं और प्रस्ताव दिया है कि सुरक्षा/गोपनीयता सुरक्षा के रूप में देश में ब्लॉकचेन-आधारित प्रणालियों के लिए डेटा स्थानीयकरण की अनुमति दी जानी चाहिए। रिपोर्ट के अनुसार, स्थानीयकरण के लिए यह मानदंड "देश के भीतर ब्लॉकचेन बुनियादी ढांचे, डेटा और स्मार्ट अनुबंधों की मेजबानी" करके पूरा किया जा सकता है। हालांकि यह अभी भी एक नीतिगत विषय है, यह स्पष्ट नहीं है कि विकेंद्रीकृत प्रौद्योगिकी के लिए डेटा स्थानीयकरण उपायों को कैसे लागू किया जाएगा।

संसदीय स्थायी समिति ने VPN को स्थायी रूप से अवरुद्ध करने की सिफारिश की

15 मार्च, 2021 को गृह मामलों की संसदीय स्थायी समिति ने महिलाओं और बच्चों के खिलाफ अत्याचार और अपराध पर अपनी 233वीं रिपोर्ट संसद के ऊपरी सदन में पेश की। शोध के अनुसार, वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवाएँ एक "तकनीकी चुनौती" हैं क्योंकि वे अपराधियों को ऑनलाइन गुमनाम रहने और सुरक्षा बाधाओं से बचते हुए अपराध करने के लिए डार्क वेब तक पहुँचने की अनुमति देती हैं। यह सुझाव दिया गया कि इन वीपीएन को अवरुद्ध करने के लिए अंतर्राष्ट्रीय संस्थाओं के साथ समन्वय तंत्र तैयार किया जाना चाहिए।

चूंकि VPN का उपयोग इंटरनेट पर गुमनामी बनाए रखने के लिए उपयोगकर्ताओं द्वारा सुरक्षा और गोपनीयता बढ़ाने वाले उपकरण के रूप में भी किया जाता है, इसलिए इस तरह के सुझाव को किसी व्यक्ति के गुमनाम रहने के अधिकार के लेंस के माध्यम से देखा जाना चाहिए, जो कि केएस पुट्टस्वामी बनाम भारत संघ में सर्वोच्च न्यायालय द्वारा पुष्टि की गई गोपनीयता के मौलिक अधिकार का हिस्सा है। वर्तमान में कोई सामान्य कानूनी सीमाएँ नहीं हैं जो विशेष रूप से VPN के व्यक्तिगत उपयोग को प्रतिबंधित या नियंत्रित करती हैं।