डिजिटल निजी डेटा संरक्षण विधेयक, 2023 को हाल में सदन ने पारित किया है। केंद्रीय संचार, रेलवे और सूचना प्रौद्योगिकी मंत्री अश्विनी वैष्णव ने सौरभ लेले के साथ बातचीत में कहा कि कानून गोपनीयता के सिद्धांतों के अनुरूप आंतरिक व्यापार प्रक्रियाओं में व्यावहारिक परिवर्तन लाएगा। प्रमुख अंश:
विधेयक में पहले भरोसेमंद स्थानों की बात कही गई थी मगर इसके अंतिम खाके में ब्लैकलिस्टिंग यानी रोक लगाने की बात हो गई। यह बदलाव क्यों हुआ?
इसे व्हाइटलिस्टिंग या ब्लैकलिस्टिंग मत कहिए। डिजिटल दुनिया की कोई सीमा नहीं है। आज की कनेक्टेड दुनिया में भारत से करीब 600 अरब डॉलर का आयात और निर्यात होता है। आयात या निर्यात की जाने वाली वस्तुओं और सेवाओं में ढेर सारी निजी जानकारी, बैंक खाता संख्या, पते जैसी संवेदनशील जानकारी होती है। इसलिए हमने एक ढांचा तैयार किया है, जिससे हम विभिन्न क्षेत्रों की खास जरूरतें पूरी कर सकते हैं।
कानून लागू होने पर भारत का आईटी उद्योग और भी आकर्षक हो जाएगा क्योंकि कुछ देश कह रहे थे कि आपके यहां डेटा सुरक्षा कानून नहीं है तो हम आपको ठेके पर काम नहीं दे सकते। लेकिन डेटा सुरक्षा कानून बनने से हमारा आईटी उद्योग अब कह सकेगा कि हमारे देश में मजबूत कानून है और उन्हें अब ज्यादा काम मिलेगा।
क्या इस कानून से अनुपालन की लागत बढ़ जाएगी?
मुझे नहीं लगता कि ऐसा होगा क्योंकि हमने इस पर उद्योग से लेकर सभी हितधारकों के साथ गहन चर्चा की है। हां, तौर-तरीकों मे काफी बदलाव आएगा। आंतरिक व्यापार प्रक्रिया को समरूप बनाने के तरीके में भी बदलाव आएगा। अब वे गोपनीयता पर जोर देंगे, वे भारतीय भाषाओं को उनका हक देने और शिकायत निवारण तंत्र को समुचित रूप से लागू करने पर ध्यान देंगे। अनुपालन का ज्यादा बोझ नहीं बढ़ेगा।
अन्य मौजूदा नियमन में निर्धारित डेटा स्थानीयकरण का क्या होगा?
पहली बात तो यह है कि डेटा भारत में या दुनिया के किसी भी हिस्से में रहे, कानून के मुताबिक निजता के बुनियादी सिद्धांत पर अमल करना होगा। हमने एक ऐसा फ्रेमवर्क तैयार किया है जिसमें एक विशेष क्षेत्र हमारे द्वारा तय नियमों के ऊपर भी कोई नियम बना सकते हैं। यह एक तरह से समानांतर तरह का कानून है जो सभी क्षेत्रों पर लागू होता है। विभिन्न क्षेत्र इसके ऊपर नियमन तय कर सकते हैं। उदाहरण के तौर पर आरबीआई को भुगतान प्रणाली को लेकर कुछ विशेष जरूरत हो सकती हैं। स्वास्थ्य मंत्रालय को भी स्वास्थ्य डेटा से जुड़ी कुछ विशेष आवश्यकताएं हो सकती हैं।
किसी क्षेत्र को अगर ब्लैकलिस्ट कर दिया जाता है तब निजी-डेटा के हस्तांतरण को रोकने के लिए क्या प्रावधान हैं, खासतौर पर तब जब डेटा भारत के बाहर संग्रह किए जाते हों?
कानून में जवाबदेही के सिद्धांत का पालन किया गया है जिसका अर्थ है कि जिस व्यक्ति ने डेटा एकत्र किया है, वह व्यक्ति, वह इकाई, वह संगठन इसके लिए जिम्मेदार है। भले ही वह संस्था दुनिया में कहीं भी मौजूद हो उसकी यह जिम्मेदारी होगी कि वह सुनिश्चित करे कि कानून के सभी प्रावधानों पर अमल किया जाता है। इसी वजह से हमने डेटा प्रक्रियाओं की संयुक्त जिम्मेदारी नहीं तय की है। ऐसे में डेटा के लिए जिम्मेदार संस्था पर इसकी पूरी जिम्मेदारी देने से वह यह बहाना नहीं बना सकता है कि किसी प्रोसेसर में से एक ने गलती की है। हमने पूरी जवाबदेही डेटा के लिए जिम्मेदार संस्था पर डाल दी है।
विधेयक के मुताबिक विभिन्न मंचों को कोई भी व्यक्तिगत डेटा एकत्र करने से पहले उपयोगकर्ताओं से स्पष्ट सहमति लेनी होगी। लेकिन यह वेबसाइट कुकीज के चेकबॉक्स से कैसे अलग होगा?
अंतरराष्ट्रीय स्तर पर यह बहुत अच्छी स्थापित कार्यप्रणाली है। हम इनमें से कई का पालन करेंगे। हमने पहले ही इसके क्रियान्वयन को लेकर उद्योग के साथ बातचीत शुरू कर दी है इसलिए इस पर अमल करना बेहद सहज होगा। विधेयक में स्पष्ट रूप से कहा गया है कि असहमति पूरी तरह से निष्पक्ष और उचित होनी चाहिए। अब हमने कानून बनाया है कि सहमति फॉर्म और नोटिस विशेष तौर पर तैयार होनी चाहिए और हमने यह सब चीजें अन्य देशों के अनुभव से सीखी हैं।
अगर कोई व्यक्ति सहमति वापस लेता है तब क्या डेटा प्रोसेसर को उस उपयोगकर्ता के डेटा को हटाना पड़ेगा?
जहां भी डेटा के लिए जिम्मेदार संस्था या इकाई इसे साझा करती है, वहां से इसे हटाना होगा।
विधेयक के अंतिम संस्करण में डेटा के लिए जिम्मेदार संगठनों के खिलाफ ब्लॉक आदेश जारी करने की शुरुआत क्यों हुई?
विधेयक की धारा 37, इस तरह के प्रावधान की मंशा को स्पष्ट करती है। अगर कोई बार-बार किसी नागरिक की निजता का उल्लंघन कर रहा है और दंड के बावजूद इसमें सुधार नहीं कर रहा है तब नागरिकों के निजता के अधिकारों की रक्षा के लिए कुछ मजबूत कदम उठाए जाने चाहिए। इसमें कई नियंत्रण और संतुलन के प्रावधान किए गए हैं जैसे कि प्राकृतिक न्याय का सिद्धांत और सुनवाई का अधिकार।
सभी तथ्यों और परिस्थितियों पर विचार करने के बाद ही ब्लॉक के आदेश पारित किए जा सकते हैं। लेकिन कानून के मुताबिक अगर कोई बार-बार नागरिकों की निजता का उल्लंघन कर रहा है और जुर्माने के बाद भी अपनी गलतियों को ठीक नहीं कर रहा है तब आगे कड़ी कार्रवाई के प्रावधान किए जाएंगे। अगर आप उस हिस्से को पढ़ें तब यह बात स्पष्ट रूप से सामने आती है कि जो अपनी गलतियों को बार-बार दोहरा रहे हैं, ब्लॉक का आदेश उनके लिए है।
