आंकड़ा ‘संरक्षण’ विधेयक की खाल में छिपी आंकड़ों की तानाशाही
– राधिका कृष्णन
नागरिकता संशोधन कानून, जिसे दिसम्बर 2019 में संसद के दोनों सदनों में पारित कर दिया गया, के खिलाफ बिल्कुल वाजिब प्रतिवादों के उफान में, एक अन्य विधेयक पर लोगों का उतना ध्यान नहीं गया, जितना जाना चाहिये था. दिसम्बर 2019 में ही इलेक्ट्रॅनिक्स एंड इन्पफार्मेशन टेक्नालाजी मंत्रालय (एमईआईटीवाई) ने सदन में निजी आंकड़ा संरक्षण विधेयक (डीपीबी) पेश कर दिया, और इस विधेयक पर अभी एक संयुक्त संसदीय समिति द्वारा जांच की जा रही है.
इस कानून के नामकरण से लगता है उसका मकसद ऐसे आंकड़ों का ‘संरक्षण’ करना है, जिन्हें व्यक्तियों द्वारा निजी तौर पर सृजित किया जाता है और जो व्यक्तियों की निजी सम्पत्ति होते हैं. एक मायने में इस कानून का मकसद व्यक्तियों की निजता की गारंटी करने वाले पूरी दुनिया में मान्य कानूनों का (अत्यंत आवश्यक) भारतीय संस्करण रचित करना था. मिसाल के तौर पर, यूरोपीय संघ के पास अपना सार्वत्रिक आंकड़ा संरक्षण विनियमन (जीपीडीआर) है. आंकड़ा संरक्षण विधेयक (डेटा प्रोटेक्शन बिल या डीपीबी) और दुनिया भर के अन्य देशों में बने ऐसे ही कानून इतिहास के एक ऐसे दौर में अस्तित्व में आ रहे हैं जब आंकड़े (अत्यंत निजी आंकड़े समेत) बाजार में सबसे ज्यादा कीमत वाले और लोभनीय ‘माल’ बनकर उभरे हैं जबकि आंकड़े उन मुख्य साधनों में से एक हैं जिनके जरिये सरकारें अपने नागरिकों पर नियंत्रण रखती हैं तथा उनका प्रबंधन करती हैं. हम इस लेख में आगे जाकर उन तरीकों की चर्चा करेंगे जिनमेें व्यक्तिगत आंकड़े खुद को बड़े पैमाने पर सोशल इंजीनियरिंग के हवाले कर देते हैं, आइये पहले हम डीपीबी के विभिन्न प्रावधानों को समझ लें.
डीपीबी का गतिपथ
एक ऐसा कानून जो व्यक्तिगत आंकड़ों का (व्यावसायों एवं सरकारों, दोनों से) संरक्षण करे, के बतौर डीपीबी का स्वयं परिभाषित कार्यभार बिल्कुल स्पष्ट है. उसे तीन प्रमुख कार्यों एवं आवश्यकताओं के बीच संतुलन कायम करना होगा – आंकड़ों पर क्रमशः ज्यादा आधारित होती दुनिया में व्यापार और उद्योग का पोषण करने की आवश्यकता, सरकार अपने नागरिकों को कल्याण और सामग्री प्रदान करने की जिम्मेवारी को निभा सके इसकी गारंटी करने की आवश्यकता, और निजी नागरिक अधिकारों को सुनिश्चित करने की आवश्यकता. हम देखते हैं कि डीपीबी ने, अपने वर्तमान स्वरूप में, इस बात की पूरी सावधानी बरती है कि इसमें निजी अधिकारों को सुनिश्चित करने वाले मूलभूत प्रावधानों की इजाजत न दी जाये.
इस विधेयक पर बहसें जुलाई 2017 में ही शुरू हो गई थीं, जब इलेक्ट्राॅनिक्स एंड इन्पफार्मेशन टेक्नालाजी मंत्रालय (एमईआईटीवाई) ने आंकड़ों की सुरक्षा से सम्बंधित मुद्दों का अध्ययन करने के लिये एक कमेटी बनाई थी. इस कमेटी ने, जिसकी अध्यक्षता सर्वोच्च न्यायालय के अवकाशप्राप्त न्यायाधीश बी.एन. श्रीकृष्णा कर रहे थे, निजी आंकड़ा संरक्षण विधेयक, 2018 के मसविदे को जुलाई 2018 में मंत्रालय को सौंप दिया. इस मसविदा विधेयक के कई प्रावधानों पर नागरिक समाज की संस्थाओं, निजता संरक्षण कार्यकर्ताओं एवं आईटी सेक्टर की कम्पनियों समेत कई लोगों ने आपत्ति जताई. सरकार को कई निवेदन व स्मारपत्र प्राप्त हुए और उसके बाद सरकार ने मूल मसविदे के कई प्रावधानों में संशोधन किये हैं. इस प्रकार हमारे सामने एक निजी आंकड़ा संरक्षण विधेयक आया है (जिसे इस लेख में डीपीबी-2019 कहा गया है). इस मामले में हमें यह समझना जरूरी है कि वास्तविकता में डीपीबी-2019 में कुछेक ऐसे महत्वपूर्ण आंकड़ा संरक्षण एवं निजता सम्बंधी प्रवधानों को शिथिल कर दिया गया है, जिन्हें डीपीबी-2018 में शामिल किया गया था. सारवस्तु में कहें तो सरकार ने डीपीबी में दो चीजें की हैं: एक तो उसने हमारे निजी आंकड़ों में ज्यादा घुसपैठ करने और उनका इस्तेमाल करने की और अधिक शक्तियां अपने हाथों में ले ली हैं, और दूसरा कि उसने आईटी कम्पनियों के लिये कुछ सुविधाएं प्रदान कर दी हैं, ताकि आईटी कम्पनियों की तीव्र असहमति को भोंथरा किया जा सके.
मुख्य चिंताएं और डीपीबी-2019 में उनसे कैसे निपटा गया है -- निजी आंकड़ों का (गलत) इस्तेमाल
आंकड़ों का उपयोग करने के मामले में प्राथमिक चिंता रही है निजी आंकड़ों को इकट्ठा करने तथा उनके प्रसंस्करण (प्रोसेसिंग) को प्रतिबंधित करना. यह चिंता ऐसे वक्त में और भी ज्यादा महत्वपूर्ण हो गई है जब आधुनिक टेक्नालाॅजी ने एक किस्म का आतंक-राज (डिस्टोपिया) पैदा कर दिया है. साइबर-इंटैलिजेन्स विश्लेषक पुखराज सिंह कहते हैं कि हम एक ऐसी अजब की स्थिति में पहुंच गये हैं जहां यह जरूरी नहीं कि आंकड़ों का मालिकाना, आधिपत्य और नियंत्रण एक-दूसरे के साथ घुलमिल जाये (मीडियानामा.काॅम वेबसाइट में). डीपीबी-2019 में कहा गया है कि निजी आंकड़ों का प्रसंस्करण (इकट्ठा करना, रिकार्ड करना, विश्लेषण करना और उनका खुलासा करना) केवल “स्पष्ट, विशिष्ट एवं कानून-सम्मत” मकसद से किया जाना चाहिये. समस्या तो इसकी परिभाषा में ही निहित है कि स्पष्ट, विशिष्ट एवं कानून-सम्मत मकसद क्या है. इसकी कुछ भी व्याख्या की जा सकती है कि कौन सी चीज वास्तव में “आवश्यक” है. फिलहाल अभी डीपीबी में एक आंकड़ा संरक्षण प्राधिकरण (डेटा प्रोटेक्शन अथाॅरिटी, या डीपीए) का प्रावधान किया गया है, जिसे “आवश्यक” आंकड़े की परिभाषा को लेकर मची विभ्रांति को दूर करना है. दुर्भाग्यवश इस बात की संभावना है कि इस परिभाषा को ढीलाढाला और अस्पष्ट ही रखा जायेगा ताकि सरकारी और निजी ताकतों को निजता का बेशर्मी से उल्लंघन करने की इजाजत मिल जाये.
डीपीबी-2018 में मौजूद निजता के प्रावधानों को डीपीबी-2019 में पहले ही शिथिल किया जा चुका है; और किसी व्यक्ति को वस्तुतः कोई अधिकार नहीं रह गया है कि वह उससे एकत्रित किये गये आंकड़ों के आधार पर लिये गये फैसलों या किये गये कृत्यों का कोई तर्कसंगत कारण पूछ सके. इसमें एक “विलोपन का अधिकार” है – जिसमें किसी व्यक्ति को यह मांग करने का अधिकार होता है कि उसके अपने द्वारा सृजित आंकड़े को, जिस मकसद से उसे इकट्ठा किया गया था, उसके पूरा हो जाने के बाद, भुला दिया जाये या उसका रिकार्ड से विलोपन कर दिया जाए. इसमें एक प्रावधान यह भी है जो किसी व्यक्ति को यह इजाजत देता है कि वह अपने बारे में एकत्र किये गये आंकड़े में ‘सुधार’ करने की मांग कर सकेगा. मगर इस अधिकार की प्रभावकारिता की परीक्षा तभी हो सकेगी जब डीपीबी-2019 के नियमों की अधिसूचना जारी कर दी जायेगी. आखिरकार, मुख्य दोष तो आंकड़ा संरक्षण प्राधिकरण (डीपीए) द्वारा रचित अंतिम नियमों की बारीकियों में ही सामने आयेगा. आंकड़ों को अतिक्रमण से बचाने के लिये संरक्षण प्रणाली भी बहुत कमजोर है. आंकड़ों के अतिक्रमण के कुछेक मामलों में (जैसे आधार के आंकड़ों का अनाधिकृत इस्तेमाल करने वालों के पास खुल जाना) उस व्यक्ति को, जिसके आंकड़ों को जाहिर कर दिया गया है, सावधान करने तक की कोई जरूरत नहीं देखी गई. इसकी जानकारी सिर्फ डीपीए के पास रहेगी.
राज्य के पास सर्वग्रासी शक्तियां
डीपीबी-2019 में कहा गया है कि निजी आंकड़ों का, बिना किसी की सहमति, के राज्य द्वारा प्रसंस्करण किया जा सकता है, अगर राज्य अपने किसी “कार्य” को सम्पन्न करने के लिये उसे आवश्यक समझता है. दूसरे शब्दों में, इसमें राज्य की विभिन्न एजेंसियों को हमारे आंकड़ों का इस्तेमाल करने के मनमाने अधिकार दे दिये गये हैं. राज्य जो आंकड़ा चाहे, उसे एकत्रित कर सकता है, और अगर उसे ये आंकड़े नहीं दिये गये तो किसी व्यक्ति को उसके अधिकारों से वंचित कर सकता है. इसके अलावा, अपने ताजातरीन अवतार डीपीबी-2019 में राज्य को अधिकार है कि वह अपनी किसी एजेन्सी को, अपने कर्तव्यों का पालन करने तथा “राष्ट्रीय सुरक्षा” के संरक्षण दौरान इस कानून की परिधि से छूट दे दे. उदाहरणार्थ, सरकार “अपराध की रोकथाम के हित में” के नाम पर किसी संस्था को यह समस्याजनक छूट दे सकती है. इसका परिणाम होगा आशंकामूलक निगरानी का शासन, जिसमें किसी विशेष जांच-पड़ताल (चाहे वह आपराधिक हो न हो) का हवाला दिये बिना ही आंकड़ों को एकत्रित और प्रसंस्कृत किया जा सकता है. कश्मीर में तथाकथित रूप से “पत्थर फेंकने वालों” को निशाना बनाने के लिये ह्वाट्सएप के आंकड़ों को मंगाना और उनका इस्तेमाल करना इसकी एक मिसाल है. “बचाव” के कदम बताकर हर किसी चीज को, जैसे किसी संगठन की सदस्यता लेने अथवा किसी आयोजन में भागीदारी करने को, जायज ठहराया जा सकता है. डीपीबी-2019 के तहत कमजोर प्रावधान भी सरकारों के लिये अपने राजनीतिक मकसद की पूर्ति के लिये, समुदायों, इलाकों, अंचलों, व्यक्तियों आदि को निशाना बनाने के लिये भी व्यक्तिगत नागरिकों से एकत्र किये गये आंकड़ों का इस्तेमाल करना मुमकिन बना देते हैं.
आंकड़ों का स्थानीयकरण
निजी आंकड़ों का संग्रह, प्रसंस्करण और इस्तेमाल कहां किया जा सकता है? डीपीबी-2018 में सिफारिश की गई थी कि समस्त निजी आंकड़ों को – जिनमें भारत में सृजित, प्रसंस्कृत अथवा इस्तेमाल किये जाने वाले आंकड़े शामिल हैं – भारत में स्थित किसी सर्वर में जमा रखने की आवश्यकता होगी. साथ ही, डीपीबी-2018 में कहा गया था कि ‘जोखिम वाले’ (क्रिटिकल) निजी आंकड़ों का प्रसंस्करण केवल भारत में किया जायेगा. इसके अलावा, ‘संवेदनशील’ (सेन्सिटिव) निजी आंकड़ों जैसे पासवर्ड्स, वित्तीय आंकड़े, यौनिक प्रवृत्ति, बायोमीट्रिक आंकड़े (उंगलियों की छाप, आंख की पुतलियों का स्कैन आदि), धर्म अथवा जाति के आंकड़ों के संग्रह के लिये व्यक्तियों की स्पष्ट सहमति जरूरी होगी, जो आंकड़ों का प्रसंस्करण करने वाले द्वारा प्रसंस्करण के उद्देश्य की घोषणा पर आधारित होगी. डीपीबी-2018 में कहा गया था कि उन आंकड़ों पर, जिसे देश के अंदर संग्रहित किया जाता है, भारतीय अधिकारियों का नियंत्रण होना चाहिए, खासकर तब जब वे आंकड़े महत्वपूर्ण हों. भारतीय अधिकारियों को मसलन व्यवसायी कम्पनियों से, जैसे फेसबुक, जो अमरीका या यूरोप में स्थित हैं, आंकड़ों की मांग करने (और संभवतः देने से इन्कार किये जाने) की नौबत नहीं आनी चाहिये. ऐसे व्यवसायों के लिये, जिनके कार्यकलाप ही निजी आंकड़ों का प्रसंस्करण करने पर निर्भर हैं, यह वस्तुतः बड़ा आर्थिक आघात था, क्योंकि उन्हें भारतीय सर्वरों पर अपने द्वारा इस्तेमाल किये जाने वाले समस्त आंकड़ों की प्रतिलिपियां बनाने के लिये अब उन्हें भारी मात्रा में धनराशि लगानी होगी. कार्यतः इस उपधारा का अर्थ होगा कि छोटी कम्पनियां और स्टार्टअप व्यवसाइयों को धकेल कर कारोबार से बाहर निकाल दिया जायेगा और यहां तक कि बड़ी कम्पनियों को भी मुनाफे के वर्तमान स्तर को कायम बरकरार रखने में भी जद्दोजहद करना होगा. व्यवसायी हितों ने सरकार के साथ जोरदार पैरवी की और लगता है कि उन्होंने इस मामले में कुछ छूटें अदा करवा ली हैं. डीपीबी-2019 के अनुसार, अब केवल “जोखिम वाले” और “संवेदनशील” आंकड़ों को ही भारतीय सर्वरों में जमा रखना होगा. और केवल इसी किस्म के आंकड़ों पर स्पष्ट सहमति इत्यादि कठोर प्रावधानों को लागू किया जायेगा. फिलहाल “जोखिम वाले” आंकड़ों की परिभाषा को बिल्कुल खुला छोड़ दिया गया है, और अब यह परिभाषा देने का काम आंकड़ा संरक्षण प्राधिकरण (डीपीए) के जिम्मे छोड़ दिया गया है.
सर्वशक्तिमान आंकड़ा संरक्षण प्राधिकरण क्यों?
डीपीबी-2019 में आंकड़ा संरक्षण प्राधिकरण (डीपीए) का गठन करके 40 से ज्यादा कार्यों को इसके हवाले छोड़ दिया गया है. अब डीपीए के पास बहुत सारे कार्यभार हैं: आंकड़ा संरक्षण और उनके खुलासे सम्बंधी विवादों को सुलझाना, नियमों और विनियमों को सूत्रबद्ध करना (जिनमें कुछेक का हवाला इस लेख में दिया गया है), आंकड़ा संरक्षण सम्बंधी विषयों पर सरकार को तथा अन्य आंकड़ा प्रसंस्करण करने वाले संस्थानों को सलाह देना, और खुद अपने द्वारा सूत्रबद्ध किये गये विनियमों को लागू करना. डीपीए के बारे में दो मुख्य चिंताएं हैं – पहली चिंता इसकी संरचना के बारे में और दूसरी चिंता इसकी तकनीकी सक्षमता के बारे में. अगर डीपीए को अपनी भूमिका को सुचारु रूप से निभाना हो तो पहली चिंता ज्यादा महत्वपूर्ण है. इसके लिये उपयुक्त ढांचों का निर्माण करना होगा ताकि यह सुनिश्चित किया जा सके कि डीपीए सरकार और व्यवसाइयों के हस्तक्षेप से स्वतंत्र रहकर काम करे. यह तो पूर्वनिर्धारित न्यूनतम शर्त होनी चाहिये थी. मगर डीपीबी-2019 में डीपीए की स्वतंत्रता को डीपीए-2018 की तुलना में और भी ज्यादा शिथिल कर दिया गया है, जबकि उसकी शक्तियों और उसके दायरे को विराट रूप से विस्तारित कर दिया गया है. अब डीपीए के ढांचे और उसकी संरचना को सरकार से हरी झंडी मिलना अनिवार्य हो गया है, जो सारतः उसकी स्वतंत्रता में ही कटौती करना है. ज्यादा संभावना यही है कि डीपीए सरकार का ही एक विस्तारित अंग बन जायेगा, और निजता के खुल्लमखुल्ला उल्लंघन का विरोध करने के लिये उसके पास कोई औजार नहीं रहेगा.
अब हमारे सामने एक ऐसे कानून का मसविदा है जो सरकार के निकायों के हाथों विराट शक्तियां दे देगा, जबकि वह कानून राज्य से परे कार्यरत ताकतों पर कारगर नियंत्रण रखने में समर्थ नहीं होगा. उदाहरणार्थ, यह कानून खुफिया एजेन्सियों की जवाबदेही को सुनिश्चित नहीं करता, गैर-कानूनी ढंग से हासिल किये गये ‘साक्ष्य’ के इस्तेमाल को नहीं रोक सकता. हाल ही में हुए कैम्ब्रिज एनालिटिका घोटाले को देखते हुए डीपीए में हमारे पास कुछेक सुरक्षात्मक उपाय अपनाने का मौका था. अब ऐसा प्रतीत होता है कि यह मौका अपने हाथ से निकल गया है.
चीनी माॅडल: आंकड़ों का आतंक राज्य और राज्य द्वारा निगरानी – क्या यही नई स्वाभाविक स्थिति है?
जैसा कि हम देख सकते हैं, डीपीबी में यह क्षमता निहित है कि वह बड़े पैमाने पर राज्य द्वारा निशाना बनाये जाने और निगरानी का विशाल कार्यक्रम की अनुमति दे दे. वास्तव में हमें यह महसूस करने के लिये कि यह विशाल पैमाने पर सोशल इंजीनियरिंग के कार्यक्रम में बदल सकता है, ज्यादा दूर तक नहीं खोजना होगा. चीन की “सोशल क्रेडिट” (सामाजिक साख) प्रणाली हमारे लिये भी कुछ सबक देती है. चीनी सरकार द्वारा विकसित की गई यह प्रणाली राज्य द्वारा हर नागरिक पर पूर्णतः निगरानी रखती है. अंत में हर नागरिक को एक ‘स्कोर’ दिया जाता है, जो उस नागरिक के लिये विभिन्न किस्म के अधिकारों और सेवाओं को प्राप्त करने का टिकट होता है (या नहीं होता है). दूसरे शब्दों में, सोशल क्रेडिट प्रणाली सरकार द्वारा कुछेक खास किस्म के आचरणों के लिये लोगों को सजा देने, और अन्य लोगों को पुरस्कृत किये जाने का तरीका है. यह तो जार्ज ओरवेल द्वारा लिखे गये उपन्यास 1984 में ‘बिग ब्रदर इज वाचिंग यू’ (दादा तुम पर निगरानी रखे हुए है) के जरिये जिस आतंक राज्य की संकल्पना की गई है, उसी किस्म की तानाशाही के लक्षण इस प्रणाली से बेहतर कहां दिखाई देंगे?
सिद्धांत में सोशल क्रेडिट प्रणाली नागरिकों की ‘भरोसेमंदी’ को खोजती और परखती है. इस मकसद के लिये चेहरे की पहचान रखने की प्रणाली और बिग डेटा विश्लेषण का इस्तेमाल किया जाता है. और ‘भरोसेमंदी’ को किस प्रकार आंका जाता है? किसी नागरिक को (राज्य द्वारा परिभाषित) भटकावों के लिये नकारात्मक अंक मिल सकते हैं: जैसे संगीत बजाना, मेट्रो में खाना, ट्रैफिक नियमों का उल्लंघन करना, रेस्टोरेंटों या होटलों में रिजर्वेशन कराना मगर वहां उपस्थित न होना, दूसरे लोगों के मेट्रो कार्ड का धोखाधड़ी से इस्तेमाल करना, इत्यादि. ‘अच्छे आचरण’ की भी सूची बनाई गई है: रक्तदान करना, सामुदायिक सेवाओं में स्वेच्छा से शामिल होना, आदि से सकारात्मक अंक मिल सकते हैं.
जाहिर है कि राज्य किसी को असहमति, किसी विपरीत मत, प्रतिवाद के सार्वजनिक प्रर्शन आदि की सजा देने के लिये इसका इस्तेमाल कर सकता है और करेगा. जून 2019 में करीब 60 लाख चीनियों का नाम काली सूची (ब्लैकलिस्ट) में डाला गया था और उन्हें “गैर-भरोसेमंद” करार दिये जाने के चलते ट्रेन और बस के टिकट देने से इन्कार कर दिया गया था. कालू सूची में डाले गये लोगों को सार्वजनिक रूप से नाम गिनाकर शर्मिंदा किया जाता है और संभावित नियोजनकर्ताओं, पड़ोसियों के सामने जानबूझकर बड़े पैमाने पर सजा के लिये उनका नाम खुलासा किया जाता है. ऐसी रिपोर्टें हैं कि सामूहिक नियंत्रण की इस प्रणाली के तहत बच्चों तक को सजा दी जाती है. अगर भारत में लोकतांत्रिक जनमत डीपीबी के मामले में सरकार को पीछे हटने और इसके बजाय आंकड़ा संरक्षण का एक बेहतर, अधिक स्वतंत्र व सारगर्भित माॅडल पर काम करने को मजबूर नहीं करता तो हम पर चीनी माॅडल के सामाजिक नियंत्रण को लागू किये जाने खतरा मंडरा रहा है.
