भारत का पहला डिजिटल प्राइवेसी कानून लागू, उपयोगकर्ताओं के अधिकारों पर सवाल बरकरार

लेकिन जैसे-जैसे सरकार विस्तृत नियम जारी कर रही है, सरकारी छूटों, कमज़ोर निगरानी व्यवस्था और AI से जुड़ी बड़ी कमियों को लेकर नई शंकाएँ खड़ी हो गई हैं।

डिजिटल अधिकार कार्यकर्ता निखिल पाहवा ने इस बातचीत में बताया कि यह नया कानून आम उपयोगकर्ताओं के लिए क्या मायने रखता है और इसकी खामियाँ कितनी गंभीर हैं।

DPDP नियमों पर आपकी समग्र राय क्या है? खासकर उपयोगकर्ताओं के नज़रिए से?

नियम स्वागत योग्य हैं, लेकिन यह एक सीमित कदम है। पहली बार, उपयोगकर्ताओं को बुनियादी अधिकार मिलते हैं: अनिवार्य उल्लंघन सूचनाएँ, गलत डिजिटल डेटा को ठीक करने की क्षमता, सेवा समाप्त होने के बाद स्पष्ट विलोपन मानदंड, शिकायत निवारण चैनल, और यहाँ तक कि मृत्यु के बाद आपके खाते तक पहुँचने के लिए किसी को नामित करने का विकल्प भी।

लेकिन सुरक्षा केवल डिजिटल डेटा पर लागू होती है, भवन रजिस्टर जैसे भौतिक रिकॉर्ड अभी भी अछूते हैं। और इन सुधारों के बावजूद, कानून में गंभीर कमियाँ हैं। सरकार व्यक्तियों को सूचित किए बिना कंपनियों से उपयोगकर्ता डेटा की मांग कर सकती है; एआई फर्म बिना किसी परिणाम के सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा को खंगाल सकती हैं; और विभिन्न क्षेत्रों में डेटा संग्रह से छूट, डेटा मिटाने के अधिकार को कमज़ोर करती है।

इसके अलावा, संभावित डेटा-स्थानीयकरण आदेशों को लेकर अनिश्चितता भी है, और इसका परिणाम एक ऐसा ढाँचा है जहाँ उपयोगकर्ता के अधिकार कागज़ों पर तो मौजूद हैं, लेकिन व्यापक राज्य छूटों और व्यावहारिक खामियों से सीमित हैं।

क्या कानून और नियमों का मसौदा पारदर्शी प्रक्रिया के तहत बना? क्या जनता की राय ली गई?

एक परामर्श प्रक्रिया थी, लेकिन उसमें पारदर्शिता का अभाव था। पूर्व-विधायी नीति मानदंडों के तहत, MeitY को सार्वजनिक प्रस्तुतियाँ प्रकाशित करनी चाहिए थीं; उसने ऐसा नहीं किया। यह पैटर्न नया नहीं है, प्रसारण विधेयक परामर्शों में भी इसी तरह की अस्पष्टता देखी गई। जब आरटीआई दायर की गईं, तो सरकार ने योगदानकर्ताओं से संपर्क करके पूछा कि क्या उनकी प्रस्तुतियाँ प्रकाशित की जा सकती हैं, जिससे आरटीआई अधिनियम की भावना कमज़ोर हुई।

पारदर्शिता और जवाबदेही में यह कमी चिंताजनक है, खासकर इसलिए क्योंकि नियमों में पत्रकारिता से छूट का कोई प्रावधान नहीं है। इससे खोजी रिपोर्टिंग प्रभावित हो सकती है। कुल मिलाकर, प्रक्रिया पारदर्शी नहीं थी।

नियम 23 सरकार को संप्रभुता, अखंडता या सुरक्षा के आधार पर, व्यक्ति को सूचित किए बिना, कंपनियों से डेटा प्राप्त करने की अनुमति देता है। उपयोगकर्ता की गोपनीयता और जवाबदेही के लिए इसका क्या अर्थ है?

नियम 23 सरकार को आपको सूचित किए बिना निजी कंपनियों से आपका डेटा प्राप्त करने की अनुमति देता है। आपको सूचित किए जाने का कोई अधिकार नहीं है, आपत्ति करने का कोई अधिकार नहीं है, और यह जानने का कोई तरीका नहीं है कि क्या लिया गया है। कोई निगरानी नहीं है, कोई वारंट नहीं है, और कोई न्यायिक जाँच नहीं है। कंपनियाँ प्रभावी रूप से राज्य की निगरानी का विस्तार बन जाती हैं।

यह 2017 के गोपनीयता के अधिकार संबंधी फैसले को कमजोर करता है, जिसने नागरिकों को राज्य के खिलाफ सुरक्षा प्रदान की थी। विडंबना यह है कि एक गोपनीयता कानून अब और अधिक निगरानी को सक्षम बना रहा है।

नियम 8 कहता है कि कंपनियाँ और सरकार व्यक्तिगत डेटा को वर्षों तक तब भी रख सकती हैं जब उसकी आवश्यकता न रह जाए। क्या इससे उपयोगकर्ताओं को कोई खतरा है?

अन्य कानूनों भुगतान, कराधान, ई-कॉमर्स में निहित अवधारण आवश्यकताओं का अर्थ है कि कंपनियों को अक्सर वर्षों तक डेटा संग्रहीत करना पड़ता है। चूँकि डीपीडीपी अधिनियम ऐसे दायित्वों के लिए छूट प्रदान करता है, इसलिए व्यवहार में डेटा मिटाने का अधिकार कमज़ोर हो जाता है। उपयोगकर्ता किसी सेवा को बंद करने के बाद भी उसे हटाने की मांग नहीं कर सकते।

इससे जोखिम बढ़ जाते हैं: लंबे समय तक भंडारण का मतलब है उल्लंघनों के प्रति दीर्घकालिक संवेदनशीलता। हालाँकि कागज़ पर मिटाने का अधिकार मज़बूत लगता है, लेकिन मौजूदा अनुपालन कानून इसके प्रभाव को सीमित करते हैं।

नियम 10 बच्चों के लिए सख्त आयु सत्यापन और माता-पिता की सहमति अनिवार्य करता है। आप इस आवश्यकता को कैसे देखते हैं?

इसमें गहरी खामियाँ हैं। कई भारतीय बच्चे अपने घरों में प्राथमिक डिजिटल उपयोगकर्ता हैं। 18 वर्ष से कम उम्र के किसी भी व्यक्ति के लिए माता-पिता की सहमति की आवश्यकता अव्यावहारिक है और डिजिटल साक्षरता को हतोत्साहित करती है।

माता-पिता से लगातार पहुँच की अनुमति मांगी जाएगी। यहाँ तक कि किसी समाचार वेबसाइट तक पहुँचने के लिए भी सहमति की आवश्यकता हो सकती है। अधिनियम स्वयं कठोर है, हालाँकि नियम कुछ हिस्सों को नरम बनाने का प्रयास करते हैं, लेकिन नियम कानून को दरकिनार नहीं कर सकते। बच्चे अपनी उम्र के बारे में झूठ बोल सकते हैं, जिससे प्लेटफ़ॉर्म कानूनी रूप से अस्पष्ट स्थिति में आ जाते हैं।

इन मुद्दों पर प्रकाश डालने वाली व्यापक प्रतिक्रिया को नज़रअंदाज़ कर दिया गया। अधिनियम में संशोधन करने के बजाय, सरकार ने नियमों के माध्यम से समस्याओं को ठीक करने का प्रयास किया, जिससे और अधिक भ्रम पैदा हुआ।

डेटा संरक्षण बोर्ड से उपयोगकर्ता अधिकारों की रक्षा की अपेक्षा की जाती है, लेकिन यह पूरी तरह से सरकार द्वारा नियंत्रित है। क्या यह स्वतंत्र रूप से कार्य कर सकता है?

स्वतंत्रता संदिग्ध है। भारत में एक बोर्ड है, न कि अधिकांश वैश्विक गोपनीयता व्यवस्थाओं के विपरीत, नियम बनाने की शक्ति वाला कोई स्वतंत्र प्राधिकरण। सदस्यों की नियुक्ति सरकार द्वारा की जाती है, और किसी भी सरकारी निकाय के अधिकारी भी इसके लिए पात्र हो सकते हैं। 1.4 अरब लोगों की गोपनीयता की निगरानी के लिए केवल चार सदस्य हैं।

उपयोगकर्ताओं को अदालत जाने से पहले बोर्ड के पास जाना होगा, जिससे एक लंबी प्रक्रिया बन जाएगी। प्रवर्तन क्षमता और वैधता प्रमुख चुनौतियाँ होंगी; संरचनात्मक रूप से, बोर्ड कमज़ोर है।

अंत में, नियमों में और क्या खास है?

कानून को इतना लंबा समय लगा कि तकनीक ने इसे पीछे छोड़ दिया है। एआई से संबंधित गोपनीयता संबंधी नुकसान जैसे सार्वजनिक डेटा को स्क्रैप करना उपलब्ध डेटा की गोपनीयता संबंधी समस्याओं पर ध्यान नहीं दिया जाता। व्यक्तिगत डेटा पर प्रशिक्षित AI मॉडल आसानी से "अप्रशिक्षित" नहीं हो सकते, जिससे डेटा मिटाने के अधिकार पर व्यावहारिक प्रश्न उठते हैं।

सहमति-प्रबंधक ढाँचा डेटा साझा करने में आने वाली बाधाओं को भी कम करता है और यह गोपनीयता कानून के दायरे में नहीं आता। अकाउंट एग्रीगेटर्स पहले से ही क्रॉस-प्लेटफ़ॉर्म डेटा प्रवाह को सक्षम कर रहे हैं, इसलिए उपयोगकर्ताओं के बारे में अनुमान जैसे जीवनशैली की आदतें बिना सहमति के लगाए जा सकते हैं।

DPDP अधिनियम ऐसे डेटा प्रवाह को आसान बनाता है, प्रतिबंधित नहीं करता। यह स्पष्ट नहीं है कि यह गोपनीयता की रक्षा कैसे करता है। महत्वपूर्ण चुनौतियाँ बनी हुई हैं, और नियम आसान उत्तर नहीं देते।

(उपरोक्त सामग्री को एक परिष्कृत AI मॉडल का उपयोग करके वीडियो से ट्रांसक्रिप्ट किया गया है। ह्यूमन-इन-द-लूप (HITL) समीक्षा सटीकता और संपादकीय अखंडता सुनिश्चित करती है। द फ़ेडरल में, विश्वसनीय, सत्यापित पत्रकारिता के लिए AI दक्षता को मानवीय विशेषज्ञता के साथ जोड़ा जाता है।)