एक बार यह बात मान ली जाए, तो बाकी ढांचा एक सुसंगत गोपनीयता कानून की तरह दिखना बंद कर देता है और कानूनी भाषा में लिपटा एक राजनीतिक समझौता लगने लगता है। यूरोपीय संघ का जीडीपीआर सरकारों और निगमों को एक ही मानक पर रखता है, यही वजह है कि यूरोपीय नियामक नियमित रूप से राज्य एजंसियों और मंत्रालयों को अदालत में घसीटते हैं। चीन का पीआईपीएल, अपनी तमाम सत्तावादी बेरुखी के बावजूद, कम से कम वैचारिक रूप से सुसंगत है: राज्य सभी डिजिटल डेटा पर सर्वोच्च है और इसे खुले तौर पर घोषित करता है। अमेरिका, अपने खंडित क्षेत्रीय क्षेत्रों के साथ, अभी भी उन एजेंसियों पर निर्भर है जो संरचनात्मक रूप से दिन-प्रतिदिन की राजनीतिक सनक से अछूती हैं। इसके विपरीत, भारत ने कुछ अजीबोगरीब नियम बनाया है - एक ऐसा संकर जो यूरोप से सबसे सख्त कॉर्पोरेट दायित्वों, चीन से सबसे व्यापक राज्य छूटों और अमेरिकी कार्यपालिका के व्यापक विवेकाधीन छूट को उधार लेता है। यह एक गोपनीयता मॉडल है जो तीनों प्रणालियों की कमज़ोरियों को विरासत में लेता है और किसी की भी सुरक्षा नहीं करता।
यह विषमता स्पष्ट है। कंपनियों को 72 घंटों के भीतर एन्क्रिप्ट, अनाम, अस्पष्ट, टोकनाइज़ और उल्लंघन रिपोर्ट तैयार करनी होती है। उन्हें पूरे एक साल तक एक्सेस लॉग बनाए रखने होंगे, व्यावसायिक निरंतरता योजनाएं बनानी होंगी, उम्र और अभिभावकों की सहमति सत्यापित करनी होगी, सरल भाषा में सूचनाएं जारी करनी होंगी, शिकायत प्रणाली बनाए रखनी होगी, ऑडिट में निवेश करना होगा और कड़े सुरक्षा नियंत्रणों का पालन करना होगा। कागज़ पर, नागरिकों को अपने डेटा तक पहुंचने, उसे सही करने, उसे मिटाने और सहमति वापस लेने का अधिकार दिया गया है। लेकिन अगर डेटा धारक सरकार है, तो इनमें से किसी की भी गारंटी नहीं है। एक कार्यकारी अधिसूचना - चुपचाप, बिना संसदीय बहस के, बिना न्यायिक समीक्षा के, और बिना किसी प्रकटीकरण दायित्व के - किसी भी सरकारी एजंसी को कानून के किसी भी मूल प्रावधान से छूट दे सकती है। सहमति की आवश्यकताओं को हटाया जा सकता है। उल्लंघन की रिपोर्टिंग को माफ किया जा सकता है। उद्देश्य सीमा को निलंबित किया जा सकता है। यह केवल एक खामी नहीं है; यह एक स्व-प्रदत्त सामान्य क्षमादान है।
आधुनिक लोकतंत्र गोपनीयता संरचना का निर्माण इस तरह नहीं करते। यूरोपीय संघ किसी सरकार के लिए व्यक्तिगत डेटा को नियंत्रित करने वाले कानून से खुद को छूट देना अकल्पनीय मानेगा। यहां तक कि चीन की प्रणाली, जो राज्य को व्यापक अधिकार देती है, कम से कम राज्य की सर्वोच्चता को स्पष्ट और सुसंगत रूप से संहिताबद्ध करती है। भारत कुछ और भी अस्पष्ट करता है: यह अधिकारों और नागरिक सशक्तीकरण की भाषा बोलता है, जबकि साथ ही उन अधिकारों को दरकिनार करने की संप्रभु क्षमता भी रखता है जिनका वह सम्मान करता है। गोपनीयता विशेषज्ञ इसे पहले ही डीपीडीपी अधिनियम का "मूल पाप" कह रहे हैं—एक ऐसा डिज़ाइन दोष जो इतना बुनियादी है कि यह आगे चलकर हर चीज़ को आकार देता है।
प्रवर्तन निकाय, भारतीय डेटा संरक्षण बोर्ड, इस असंतुलन को और बढ़ाता है। इसे एक स्वतंत्र प्राधिकरण के रूप में प्रस्तुत किया जाता है, लेकिन व्यवहार में, यह संरचनात्मक रूप से कार्यपालिका से बंधा हुआ है। इसके सदस्यों की नियुक्ति सरकार द्वारा की जाती है। इसका वित्त सरकार पर निर्भर करता है। इसे स्वायत्तता की कोई वैधानिक गारंटी नहीं है। यूरोप में, डेटा संरक्षण प्राधिकरणों को कानून में स्पष्ट स्वतंत्रता निहित है। यहां तक कि चीन के नियामक भी पूर्वानुमेय पदानुक्रमित संरचनाओं के भीतर बैठते हैं। अमेरिकी संघीय व्यापार आयोग, वाशिंगटन की राजनीति के बावजूद, को तत्कालीन प्रशासन से स्वतंत्र रूप से कार्य करने के लिए डिज़ाइन किया गया है। भारत का डीपीबीआई एक प्रशासनिक न्यायाधिकरण के सबसे करीब है—एक ऐसा न्यायाधिकरण जिसकी स्वतंत्रता उसी प्राधिकरण की सद्भावना पर निर्भर करती है जिसकी जांच करने की उसे आवश्यकता हो सकती है। इस तरह से डिज़ाइन किया गया एक नियामक एक प्रतिसंतुलन के रूप में कार्य नहीं कर सकता। सबसे अच्छी स्थिति में, यह कंपनियों के बीच विवादों में मध्यस्थता कर सकता है। सबसे बुरी स्थिति में, यह एक पर्यवेक्षी तंत्र बन जाता है जो दबाव नीचे की ओर डालता है, लेकिन ऊपर की ओर नहीं।
एक दशक पहले, जब भारत का डिजिटल बुनियादी ढांचा अभी नया था, यह शायद सहनीय होता। आज, दांव कहीं ज़्यादा ऊंचे हैं। भारत कृत्रिम बुद्धिमत्ता, डेटा प्रोसेसिंग, क्लाउड बुनियादी ढांचे और सीमा पार डेटा प्रवाह का एक वैश्विक केंद्र बनना चाहता है। वह चाहता है कि विदेशी कंपनियां यहां एआई मॉडल बनाएं, यहां सर्वर होस्ट करें, यहां अनुसंधान प्रयोगशालाएं लाएं। लेकिन इन फैसलों को नियंत्रित करने वाले नियम - पर्याप्तता की शर्तें, सीमा पार हस्तांतरण आदि - एमएस, विदेशी निगरानी सुरक्षा उपाय, महत्वपूर्ण डेटा फ़िड्यूशरीज़ के मानदंड - सभी को अस्पष्ट छोड़ दिया गया है या भविष्य की अधिसूचनाओं के लिए टाल दिया गया है। कोई भी अन्य प्रमुख गोपनीयता व्यवस्था कानून लागू होने के बाद अपने अंतर्राष्ट्रीय डेटा आर्किटेक्चर के मूल को अनिर्धारित नहीं छोड़ती है। यूरोप की प्रणाली सघन लेकिन पूर्वानुमानित है। चीन की अपनी वैचारिक प्राथमिकताओं के बारे में प्रतिबंधात्मक लेकिन पारदर्शी है। अमेरिका की खंडित लेकिन राजनीतिक रूप से स्थिर है। भारत का मॉडल कागज पर सख्त है, इसके विवरण अनिश्चित हैं, और भविष्य के कार्यकारी निर्णयों पर अत्यधिक निर्भर है। बहु-वर्षीय निवेश की योजना बनाने वाली वैश्विक फर्मों के लिए, अनिश्चितता जोखिम है - और जोखिम महंगा है।
बच्चों के डेटा के उपचार में विरोधाभास कहीं और स्पष्ट नहीं है। कागज पर, भारत की सुरक्षा दुनिया में सबसे मजबूत में से एक है। नाबालिगों के लिए लक्षित विज्ञापन प्रतिबंधित है। प्रोफाइलिंग सीमित है। सत्यापन योग्य माता-पिता की सहमति अनिवार्य है। ये कठोर मानक हैं, अमेरिका में सीओपीपीए से अधिक मजबूत और जीडीपीआर की सबसे सख्त व्याख्याओं के बराबर। लेकिन नियम इन सुरक्षाओं को सरकार पर लागू करने से चूक जाते हैं। स्कूल डेटाबेस, छात्रवृत्ति पोर्टल और आधार से जुड़ी कल्याणकारी प्रणालियों को पूरी तरह से छूट दी जा सकती है। इसका मतलब है कि भारत ने एक ऐसी व्यवस्था बना दी है जहां एक निजी ट्यूशन ऐप को बच्चे के डेटा की सुरक्षा के लिए कई चरणों से गुज़रना पड़ता है, लेकिन कहीं अधिक संवेदनशील जानकारी रखने वाला सरकारी विभाग ऐसा न करने का विकल्प चुन सकता है। कोई भी उदार लोकतंत्र राज्य को बच्चों के व्यक्तिगत डेटा पर इतनी व्यापक स्वतंत्रता नहीं देता। भारत ने इसे सामान्य बना दिया है।
यहां तक कि भारत का सबसे नवीन विचार - सहमति प्रबंधक - भी इसी दोष से ग्रस्त है। सिद्धांत रूप में, ये प्रबंधक उपयोगकर्ता एजंसी में क्रांति ला सकते हैं: एक एकल इंटरफ़ेस जहां नागरिक ऐप्स और सेवाओं में सहमति को ट्रैक, प्रबंधित और रद्द कर सकते हैं। लेकिन यह तभी मायने रखता है जब सहमति पूरी व्यवस्था का आधार हो। अगर सरकार खुद को सहमति संबंधी दायित्वों से मुक्त कर सकती है, तो एक नागरिक ई-कॉमर्स प्लेटफ़ॉर्म से अनुमतियां रद्द कर सकता है, लेकिन बायोमेट्रिक रिकॉर्ड रखने वाले कल्याणकारी डेटाबेस से नहीं। यह कोई सार्थक सशक्तीकरण नहीं है। यह एक कृत्रिम रूप से सीमित सैंडबॉक्स के भीतर उपयोगकर्ता नियंत्रण है - एक ऐसी शक्ति जो अनुरोध के बग़ल में जाने के बजाय ऊपर की ओर जाते ही लुप्त हो जाती है।
दुनिया पहले से ही यह समझने की कोशिश कर रही है कि भारत क्या संकेत दे रहा है। यूरोप पर्याप्तता प्रदान करने से पहले हिचकिचाएगा क्योंकि पर्याप्तता के लिए यह विश्वास आवश्यक है कि एक साझेदार देश अपनी सरकारी पहुंच को नियंत्रित करता है। अमेरिका सतर्क रहेगा क्योंकि क्लाउड और एआई निवेश पूर्वानुमेय सीमा-पार डेटा नियमों पर निर्भर करते हैं, न कि विवेकाधीन अपवादों पर। चीन भारत के मॉडल को संप्रभु डेटा वर्चस्व के मौन समर्थन के रूप में देख सकता है - उस पारदर्शिता के बिना जिसके साथ बीजिंग इसका दावा करता है। भारत खुद को एक "चौथे मॉडल" के रूप में पेश करता है, लेकिन सवाल यह है कि क्या इस मॉडल में संस्थागत गहराई है या केवल राजनीतिक सुविधा है।
इसलिए बहस एक ही अपरिहार्य प्रश्न पर आकर रुकती है: क्या भारत सरकार कभी खुद को उन्हीं मानकों पर कायम रखेगी जो वह निजी क्षेत्र पर लागू करती है? यह परीक्षण सैद्धांतिक नहीं है। क्या मंत्रालय लाखों नागरिकों को प्रभावित करने वाले डेटा उल्लंघनों की रिपोर्ट करेंगे? क्या सहमति वापसी वास्तव में पुलिस या कल्याण डेटाबेस पर लागू होगी? क्या डीपीबीआई के आदेश सार्वजनिक जांच के लिए पूर्ण रूप से प्रकाशित किए जाएंगे? क्या छूट समय के साथ कम होती जाएंगी, या वे तब तक बढ़ती जाएंगी जब तक कि वे नियम को स्वीकार नहीं कर लेते? दुनिया की हर बड़ी गोपनीयता व्यवस्था इसी मूल सिद्धांत पर टिकी है या खत्म हो जाती है—कि कानून राज्य को बांधता है, सिर्फ़ नागरिक को नहीं।
अगर भारत को एक गंभीर डिजिटल लोकतंत्र के रूप में देखा जाना है, तो वह अपनी गोपनीयता व्यवस्था को कार्यकारी शॉर्टकट्स पर नहीं बना सकता। वह नागरिक अधिकारों का ढिंढोरा पीटते हुए उन्हें खामोश सूचनाओं से कमज़ोर नहीं कर सकता। वह अंतरराष्ट्रीय डेटा प्रवाह के नियमों को खुला रखते हुए वैश्विक कंपनियों से विश्वास की मांग नहीं कर सकता। फिर वह नियंत्रण की संरचना को दरकिनार करने का अधिकार अपने लिए सुरक्षित रखते हुए व्यक्तियों को उनके डेटा पर नियंत्रण का वायदा नहीं कर सकता।
एक गोपनीयता कानून जो कंपनियों पर लगाम लगाता है लेकिन राज्य को बख्शता है, वह गोपनीयता कानून नहीं है। यह अधिकारों की सुरक्षा के नाम पर प्रशासनिक व्यवस्था है। भारत अभी भी इसे ठीक कर सकता है—छूटों को कम करके, निगरानी को मज़बूत करके, नियामक स्वतंत्रता की गारंटी देकर और यह स्वीकार करके कि डेटा-समृद्ध युग में, राज्य इस पारिस्थितिकी तंत्र में सबसे शक्तिशाली कर्ता है। लेकिन जब तक इस आधारभूत विरोधाभास का सामना नहीं किया जाता, देश आकांक्षा और वास्तविकता के बीच फंसा रहेगा: एक ऐसा लोकतंत्र जो सैद्धांतिक रूप से डिजिटल अधिकारों का जश्न मनाता है, जबकि डिजिटल जीवन को इस तरह नियंत्रित करता है कि वास्तविक गोपनीयता हमेशा पहुंच से बाहर रहती है। (संवाद)
सरकार को छोड़कर सभी से अनुपालन की मांग करते हैं भारत के नए गोपनीयता नियम
डिजिटल जीवन को व्यक्तिगत गोपनीयता कायम रखकर नियंत्रित किया जाना चाहिए
आर. सूर्यमूर्ति - 2025-11-17 11:15 UTC
भारत ने आखिरकार अपनी लंबे समय से विलंबित डेटा सुरक्षा व्यवस्था को लागू कर दिया है, और पहली नज़र में, यह क्षण एक मील का पत्थर जैसा लगता है - 1.4 अरब लोगों का देश उन देशों की श्रेणी में शामिल हो रहा है जो डिजिटल अधिकारों को गंभीरता से लेते हैं। लेकिन आधिकारिक बयानों, अनुपालन की उल्टी गिनती और सावधानीपूर्वक तैयार की गई बयानबाजी को छोड़ दें, तो कुछ और भी परेशान करने वाले तथ्य सामने आते हैं। नए डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 कंपनियों और व्यक्तियों से सख्त, लगभग यूरोपीय स्तर के अनुशासन की मांग करते हैं - जबकि भारत सरकार को जब चाहे कानून को दरकिनार करने का एकतरफा अधिकार देते हैं। यही असली कहानी है। नोटिस या समय सीमा नहीं। मूल तथ्य यह है कि सरकार ने अपने लिए एक ऐसा व्यापक रास्ता बना लिया है जो प्रभावी रूप से राज्य को भारत की अपनी गोपनीयता व्यवस्था की परिधि से बाहर कर देता है।