डिजिटल जीवन को व्यक्तिगत गोपनीयता कायम रखकर नियंत्रित किया जाना चाहिए
दुनिया पहले से ही यह समझने की कोशिश कर रही है कि भारत क्या संकेत दे रहा है।
— आर. सूर्यमूर्ति
दुनिया पहले से ही यह समझने की कोशिश कर रही है कि भारत क्या संकेत दे रहा है। बहस एक ही अपरिहार्य प्रश्न पर आकर रुकती है: क्या भारत सरकार कभी खुद को उन्हीं मानकों पर कायम रखेगी जो वह निजी क्षेत्र पर लागू करती है? यह परीक्षण सैद्धांतिक नहीं है। क्या मंत्रालय लाखों नागरिकों को प्रभावित करने वाले डेटा उल्लंघनों की रिपोर्ट करेंगे?
रत ने आखिरकार अपनी लंबे समय से विलंबित डेटा सुरक्षा व्यवस्था को लागू कर दिया है, और पहली नगर में, यह क्षण एक मील का पत्थर जैसा लगता है - 1.4 अरब लोगों का देश उन देशों की श्रेणी में शामिल हो रहा है जो डिजिटल अधिकारों को गंभीरता से लेते हैं। लेकिन आधिकारिक बयानों, अनुपालन की उल्टी गिनती और सावधानीपूर्वक तैयार की गई बयानबाजी को छोड़ दें, तो कुछ और भी परेशान करने वाले तथ्य सामने आते हैं। नए डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 कंपनियों और व्यक्तियों से सख्त, लगभग यूरोपीय स्तर के अनुशासन की मांग करते हैं- जबकि भारत सरकार को जब चाहे कानून को दरकिनार करने का एकतरफा अधिकार देते हैं। यही असली कहानी है। नोटिस या समय सीमा नहीं। मूल तथ्य यह है कि सरकार ने अपने लिए एक ऐसा व्यापक रास्ता बना लिया है जो प्रभावी रूप से राज्य को भारत की अपनी गोपनीयता व्यवस्था की परिधि से बाहर कर देता है।
यूरोपीय संघ का जीडीपीआर सरकारों और निगमों को एक ही मानक पर रखता है, यही वजह है कि यूरोपीय नियामक नियमित रूप से राज्य एजेंसियों और मंत्रालयों को अदालत में घसीटते हैं। चीन का पीआईपीएल, अपनी तमाम सत्तावादी बेरुखी के बावजूद, कम से कम वैचारिक रूप से सुसंगत है: राज्य सभी डिजिटल डेटा पर सर्वोच्च है और इसे खुले तौर पर घोषित करता है। अमेरिका, अपने खंडित क्षेत्रीय क्षेत्रों के साथ, अभी भी उन एजेंसियों पर निर्भर है जो संरचनात्मक रूप से दिन-प्रतिदिन की राजनीतिक सनक से अछूती हैं। इसके विपरीत, भारत ने कुछ अजीबोगरीब नियम बनाया है - एक ऐसा संकर जो यूरोप से सबसे सख्त कॉर्पोरेट दायित्वों, चीन से सबसे व्यापक राज्य छूटों और अमेरिकी कार्यपालिका के व्यापक विवेकाधीन छूट को उधार लेता है। यह एक गोपनीयता मॉडल है जो तीनों प्रणालियों की कमज़ोरियों को विरासत में लेता है और किसी की भी सुरक्षा नहीं करता।
यह विषमता स्पष्ट है। कंपनियों को 72 घंटों के भीतर एन्क्रिप्ट, अनाम, अस्पष्ट, टोकनाइज़ और उल्लंघन रिपोर्ट तैयार करनी होती है। उन्हें पूरे एक साल तक एक्सेस लॉग बनाए रखने होंगे, व्यावसायिक निरंतरता योजनाएं बनानी होंगी, उम्र और अभिभावकों की सहमति सत्यापित करनी होगी, सरल भाषा में सूचनाएं जारी करनी होंगी, शिकायत प्रणाली बनाए रखनी होगी, ऑडिट में निवेश करना होगा और कड़े सुरक्षा नियंत्रणों का पालन करना होगा। कागज़ पर, नागरिकों को अपने डेटा तक पहुंचने, उसे सही करने, उसे मिटाने और सहमति वापस लेने का अधिकार दिया गया है। लेकिन अगर डेटा धारक सरकार है, तो इनमें से किसी की भी गारंटी नहीं है। एक कार्यकारी अधिसूचना- चुपचाप, बिना संसदीय बहस के, बिना न्यायिक समीक्षा के, और बिना किसी प्रकटीकरण दायित्व के- किसी भी सरकारी एजेंसी को कानून के किसी भी मूल प्रावधान से छूट दे सकती है।
आधुनिक लोकतंत्र गोपनीयता संरचना का निर्माण इस तरह नहीं करते। यूरोपीय संघ किसी सरकार के लिए व्यक्तिगत डेटा को नियंत्रित करने वाले कानून से खुद को छूट देना अकल्पनीय मानेगा। यहां तक कि चीन की प्रणाली, जो राज्य को व्यापक अधिकार देती है, कम से कम राज्य की सर्वोच्चता को स्पष्ट और सुसंगत रूप से संहिताबद्ध करती है। भारत कुछ और भी अस्पष्ट करता है: यह अधिकारों और नागरिक सशक्तिकरण की भाषा बोलता है, जबकि साथ ही उन अधिकारों को दरकिनार करने की संप्रभु क्षमता भी रखता है जिनका वह सम्मान करता है।
प्रवर्तन निकाय, भारतीय डेटा संरक्षण बोर्ड, इस असंतुलन को और बढ़ाता है। इसे एक स्वतंत्र प्राधिकरण के रूप में प्रस्तुत किया जाता है, लेकिन व्यवहार में, यह संरचनात्मक रूप से कार्यपालिका से बंधा हुआ है। इसके सदस्यों की नियुक्ति सरकार द्वारा की जाती है। इसका वित्त सरकार पर निर्भर करता है। इसे स्वायत्तता की कोई वैधानिक गारंटी नहीं है। भारत का डीपीबीआई एक प्रशासनिक न्यायाधिकरण के सबसे करीब है—एक ऐसा न्यायाधिकरण जिसकी स्वतंत्रता उसी प्राधिकरण की सद्भावना पर निर्भर करती है जिसकी जांच करने की उसे आवश्यकता हो सकती है। इस तरह से डिज़ाइन किया गया एक नियामक एक प्रति संतुलन के रूप में कार्य नहीं कर सकता।
एक दशक पहले, जब भारत का डिजिटल बुनियादी ढांचा अभी नया था, यह शायद सहनीय होता। आज, दांव कहीं ज़्यादा ऊंचे हैं। भारत कृत्रिम बुद्धिमत्ता, डेटा प्रोसेसिंग, क्लाउड बुनियादी ढांचे और सीमा पार डेटा प्रवाह का एक वैश्विक केंद्र बनना चाहता है। वह चाहता है कि विदेशी कंपनियां यहां एआई मॉडल बनाएं, यहां सर्वर होस्ट करें, यहां अनुसंधान प्रयोगशालाएं लाएं। लेकिन इन फैसलों को नियंत्रित करने वाले नियम - पर्याप्तता की शर्तें, सीमा पार हस्तांतरण आदि -एमएस, विदेशी निगरानी सुरक्षा उपाय, महत्वपूर्ण डेटा फिड़्यूशरीज़ के मानदंड - सभी को अस्पष्ट छोड़ दिया गया है या भविष्य की अधिसूचनाओं के लिए टाल दिया गया है।
कागज पर, भारत की सुरक्षा दुनिया में सबसे मजबूत में से एक है। नाबालिगों के लिए लक्षित विज्ञापन प्रतिबंधित है। प्रोफाइलिंग सीमित है। सत्यापन योग्य माता-पिता की सहमति अनिवार्य है। ये कठोर मानक हैं,अमेरिका में सीओपीपीए से अधिक मजबूत और जीडीपीआर की सबसे सख्त व्याख्याओं के बराबर। लेकिन नियम इन सुरक्षाओं को सरकार पर लागू करने से चूक जाते हैं। स्कूल डेटाबेस, छात्रवृत्ति पोर्टल और आधार से जुड़ी कल्याणकारी प्रणालियों को पूरी तरह से छूट दी जा सकती है। इसका मतलब है कि भारत ने एक ऐसी व्यवस्था बना दी है जहां एक निजी ट्यूशन ऐप को बच्चे के डेटा की सुरक्षा के लिए कई चरणों से गुजरना पड़ता है, लेकिन कहीं अधिक संवेदनशील जानकारी रखने वाला सरकारी विभाग ऐसा न करने का विकल्प चुन सकता है। कोई भी उदार लोकतंत्र राज्य को बच्चों के व्यक्तिगत डेटा पर इतनी व्यापक स्वतंत्रता नहीं देता। भारत ने इसे सामान्य बना दिया है।
दुनिया पहले से ही यह समझने की कोशिश कर रही है कि भारत क्या संकेत दे रहा है। बहस एक ही अपरिहार्य प्रश्न पर आकर रुकती है: क्या भारत सरकार कभी खुद को उन्हीं मानकों पर कायम रखेगी जो वह निजी क्षेत्र पर लागू करती है? यह परीक्षण सैद्धांतिक नहीं है। क्या मंत्रालय लाखों नागरिकों को प्रभावित करने वाले डेटा उल्लंघनों की रिपोर्ट करेंगे? क्या डीपीबीआई के आदेश सार्वजनिक जांच के लिए पूर्णरूप से प्रकाशित किए जाएंगे? क्या छूट समय के साथ कम होती जाएंगी, या वे तब तक बढ़ती जाएंगी जब तक कि वे नियम को स्वीकार नहीं कर लेते? दुनिया की हर बड़ी गोपनीयता व्यवस्था इसी मूल सिद्धांत पर टिकी है या खत्म हो जाती है—कि कानून राज्य को बांधता है, सिर्फ नागरिक को नहीं।
अगर भारत को एक गंभीर डिजिटल लोकतंत्र के रूप में देखा जाना है, तो वह अपनी गोपनीयता व्यवस्था को कार्यकारी शॉर्टकट्स पर नहीं बना सकता। वह नागरिक अधिकारों का ढिंढोरा पीटते हुए उन्हें खामोश सूचनाओं से कमज़ोर नहीं कर सकता। वह अंतरराष्ट्रीय डेटा प्रवाह के नियमों को खुला रखते हुए वैश्विक कंपनियों से विश्वास की मांग नहीं कर सकता। फिर वह नियंत्रण की संरचना को दरकिनार करने का अधिकार अपने लिए सुरक्षित रखते हुए व्यक्तियों को उनके डेटा पर नियंत्रण का वायदा नहीं कर सकता।
एक गोपनीयता कानून जो कंपनियों पर लगाम लगाता है लेकिन राज्य को बख्शता है, वह गोपनीयता कानून नहीं है। यह अधिकारों की सुरक्षा के नाम पर प्रशासनिक व्यवस्था है। भारत अभी भी इसे ठीक कर सकता है—छूटों को कम करके, निगरानी को मज़बूत करके, नियामक स्वतंत्रता की गारंटी देकर और यह स्वीकार करके कि डेटा-समृद्ध युग में, राज्य इस पारिस्थितिकी तंत्र में सबसे शक्तिशाली कर्ता है। लेकिन जब तक इस आधारभूत विरोधाभास का सामना नहीं किया जाता, देश आकांक्षा और वास्तविकता के बीच फंसा रहेगा: एक ऐसा लोकतंत्र जो सैद्धांतिक रूप से डिजिटल अधिकारों का जश्न मनाता है, जबकि डिजिटल जीवन को इस तरह नियंत्रित करता है कि वास्तविक गोपनीयता हमेशा पहुंच से बाहर रहती है।
