कानून में आग लगने के बावजूद सार्वजनिक एजेंसियों द्वारा डेटा एकत्र करने में तेजी आती है

सीमा शुल्क विभाग ने एयरलाइनों को अंतरराष्ट्रीय यात्रियों के व्यक्तिगत विवरण साझा करने के लिए अनिवार्य कर दिया, नागरिक उड्डयन मंत्रालय की चेहरे की पहचान प्रणाली डिजीयात्रा, सरकार द्वारा एकत्र किए गए गैर-व्यक्तिगत डेटा को स्टार्ट-अप और शोधकर्ताओं के साथ साझा करने का एमईआईटीवाई का प्रस्ताव, सीईआरटी-इन का जनादेश वर्चुअल प्राइवेट नेटवर्क पूछना (वीपीएन) सेवा प्रदाता अपने उपयोगकर्ताओं के डेटा को स्टोर करने के लिए: ये केंद्र सरकार और उसकी एजेंसियों द्वारा नागरिकों के डेटा एकत्र करने और संसाधित करने के लिए किए गए कदमों की बढ़ती संख्या में से हैं – सभी डेटा सुरक्षा कानून के अभाव में।

बुनियादी डेटा संरक्षण व्यवस्था के अभाव में डेटा संग्रह और मुद्रीकरण के सरकार के प्रयासों पर सवाल उठाते हुए विशेषज्ञों ने इस प्रवृत्ति पर चिंता जताई है। इस महीने की शुरुआत में, केंद्र ने डेटा संरक्षण विधेयक, 2021 को यह कहते हुए वापस ले लिया कि यह जल्द ही ऑनलाइन पारिस्थितिकी तंत्र के लिए एक “व्यापक कानूनी ढांचा” लेकर आएगा।

इस विधेयक पर चार साल से अधिक समय से काम चल रहा है, जिसमें एक संयुक्त संसदीय समिति द्वारा समीक्षा सहित कई पुनरावृत्तियों से गुजरना पड़ा है। जबकि इसमें केंद्र और उसकी एजेंसियों के लिए महत्वपूर्ण छूट थी, इसने डेटा एकत्र करने से पहले सहमति से संबंधित तंत्र के लिए एक रूपरेखा तैयार की, व्यक्तिगत डेटा को विभिन्न संस्थाओं द्वारा कैसे संभाला जाना चाहिए, और किसी व्यक्ति के डेटा के मामले में एक सहारा तंत्र के लिए प्रदान किया गया था। समझौता किया।

बिल की वापसी की पृष्ठभूमि में, इस वर्ष अब तक केंद्र सरकार के कई संस्थान और इससे संबंधित संस्थाएं – इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY), केंद्रीय अप्रत्यक्ष कर और सीमा शुल्क बोर्ड (CBIC) से लेकर, नागरिक उड्डयन मंत्रालय, साइबर सुरक्षा नियामक सीईआरटी-इन, और इंडियन रेलवे कैटरिंग एंड टूरिज्म कॉरपोरेशन (आईआरसीटीसी) ने या तो नए प्रकार के डेटा संग्रह या मुद्रीकरण योजनाएं शुरू की हैं। हालांकि, उनमें से कुछ अंततः आलोचना के तहत झुक गए और अपने प्रस्तावों को वापस ले लिया, प्रारंभिक प्रयास और मुद्रीकरण के अंतर्निहित विचार निर्विवाद हैं, विशेषज्ञों का तर्क है।

पिछले महीने, आईआरसीटीसी ने सरकारी और निजी संस्थाओं के साथ व्यापार करने के लिए यात्री डेटा के अपने बैंक का मुद्रीकरण करने की अपनी योजना का विवरण देते हुए एक निविदा जारी की। निविदा के अनुसार, संभावित रूप से मुद्रीकृत होने वाले ग्राहक डेटा में यात्रियों का नाम, आयु, मोबाइल नंबर, लिंग, ईमेल पता, भुगतान मोड, “लॉगिन / पासवर्ड”, अन्य चीजें शामिल हैं। हालांकि, पिछले शुक्रवार को कंपनी ने देश में डेटा संरक्षण कानून के अभाव को देखते हुए टेंडर वापस ले लिया।

फरवरी में, एमईआईटीवाई ने भारत डेटा एक्सेसिबिलिटी एंड यूज पॉलिसी का मसौदा तैयार किया था, जिसमें प्रस्तावित किया गया था कि केंद्र द्वारा एकत्र किए गए डेटा जिसमें “मूल्यवर्धन से गुजरना” है, को खुले बाजार में “उचित मूल्य” पर बेचा जा सकता है। सरकारी डेटा के मुद्रीकरण के अपने प्रस्ताव पर कड़ी आलोचना का सामना करने के बाद इस मसौदे को वापस ले लिया गया था और एमईआईटीवाई अब एक मसौदा डेटा गवर्नेंस फ्रेमवर्क लेकर आया है, जो गैर-व्यक्तिगत का लाभ उठाने के लिए दिखता है, वह डेटा है जो व्यक्तियों की पहचान नहीं कर सकता है।

विशेषज्ञों का मानना ​​है कि नागरिकों के डेटा को “धन संसाधन” के रूप में मानने में एक मूलभूत समस्या है।

“डेटा को ‘संप्रभु धन संसाधन’ के रूप में मानने के हमारे दृष्टिकोण के साथ एक मौलिक मुद्दा है, जो तब संचय करने के प्रयासों के लिए प्रोत्साहन बनाता है, और बाद में बड़ी मात्रा में डेटा का मुद्रीकरण करता है। जब तक यह लेंस बना रहता है, हम बिना किसी अतिरिक्त सुरक्षा उपायों के भी नागरिकों के डेटा का मुद्रीकरण करने के लिए और अधिक प्रयासों की उम्मीद कर सकते हैं, ”दिल्ली स्थित डिजिटल अधिकार समूह इंटरनेट फ्रीडम फाउंडेशन के नीति निदेशक प्रतीक वाघरे ने कहा।

“सरकार की प्राथमिक चिंता सेवा वितरण और नागरिकों से इस दिशा में एकत्र की जाने वाली जानकारी की सुरक्षा होनी चाहिए। इसका मुख्य उद्देश्य लाभ के लिए इस डेटा का मुद्रीकरण करना नहीं होना चाहिए।

“2018-2019 के भारतीय आर्थिक सर्वेक्षण ने डेटा को ‘सार्वजनिक अच्छे’ के रूप में संदर्भित किया। परिभाषा के अनुसार, इसका मतलब है कि इसे ‘गैर-बहिष्कृत और गैर-प्रतिद्वंद्वी सार्वजनिक अच्छा’ माना जाना चाहिए और व्यापार नहीं किया जाना चाहिए जैसे कि यह एक वस्तु थी।”

केंद्र के भीतर, एक सक्रिय नीति को खत्म करने की पिछली मिसालें हैं जो गोपनीयता की चिंताओं पर नागरिकों के डेटा का मुद्रीकरण करती हैं।

सड़क परिवहन मंत्रालय ने 2020 में अपनी बल्क डेटा शेयरिंग पॉलिसी को खत्म कर दिया था, जिसके तहत मंत्रालय निजी और सार्वजनिक संस्थाओं को वाहन पंजीकरण डेटा (वाहन) और ड्राइविंग लाइसेंस डेटा (सारथी) बेचता था। व्यक्तिगत जानकारी और गोपनीयता के मुद्दों के संभावित दुरुपयोग पर नीति को खत्म कर दिया गया था।

मुद्रीकरण के अलावा, केंद्र ने संस्थाओं को नए प्रकार के नागरिक डेटा एकत्र करने और कुछ मामलों में इसे सरकार के साथ साझा करने के लिए अनिवार्य कर दिया है।

इस महीने की शुरुआत में जारी किए गए अपने नए यात्री नाम रिकॉर्ड सूचना विनियम, 2022 के साथ, सीबीआईसी ने एयरलाइनों को प्रस्थान से 24 घंटे पहले राष्ट्रीय सीमा शुल्क लक्ष्य केंद्र-यात्री के साथ सभी अंतरराष्ट्रीय यात्रियों का पीएनआर (यात्री नाम रिकॉर्ड) विवरण अनिवार्य रूप से साझा करने के लिए कहा है। उड़ानें।

“जोखिम मूल्यांकन” के उद्देश्य से, साझा किए जाने वाले डेटा में यात्री का नाम शामिल है; प्रास्ताविक यात्रा की दिनांक; सभी उपलब्ध संपर्क विवरण; सभी उपलब्ध भुगतान या बिलिंग जानकारी जैसे क्रेडिट कार्ड नंबर; पुष्टि और चेक-इन स्थिति सहित यात्री की यात्रा की स्थिति; सामान की जानकारी; सीट की जानकारी; और ट्रैवल एजेंसी या एजेंट जहां से टिकट जारी किया गया था। जबकि अधिसूचना में कहा गया है कि डेटा “सख्त सूचनात्मक गोपनीयता के अधीन होगा, इसे पांच साल की अवधि के लिए संग्रहीत किया जाएगा।

उड्डयन क्षेत्र में डेटा संग्रह के अधिक उदाहरण हैं – नागरिक उड्डयन मंत्रालय की डिजीयात्रा पहल के तहत, यात्रियों की पहचान का पता लगाने के लिए सुरक्षा और बोर्डिंग जैसे विभिन्न हवाईअड्डा चौकियों पर चेहरे की पहचान तकनीक और स्कैनर का उपयोग किया जाएगा। इस महीने की शुरुआत में, दिल्ली इंटरनेशनल एयरपोर्ट ने एंड्रॉइड प्लेटफॉर्म के लिए अपने ऐप के बीटा वर्जन को रोल आउट करते हुए इस पहल को सॉफ्ट-लॉन्च किया। इस पहल को कैसे लागू किया जाएगा, इसकी रूपरेखा वाली नीति में कहा गया है कि फेशियल स्कैनर में “सुरक्षा आवश्यकताओं” के आधार पर डेटा पर्ज सेटिंग्स को बदलने की क्षमता होगी और सुरक्षा और सरकारी एजेंसियों को यात्रियों के चेहरे के डेटा तक पहुंच प्रदान की जा सकती है।

अप्रैल में, भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) ने साइबर सुरक्षा दिशानिर्देशों का एक सेट जारी किया, जिसमें वीपीएन, क्लाउड सेवा प्रदाताओं और डेटा केंद्रों को अपने आईपी पते, ईमेल, पते और संपर्क नंबर जैसी उपयोगकर्ता जानकारी संग्रहीत करने के लिए अनिवार्य किया गया था। ये डेटा बिंदु हैं जो संभावित रूप से एजेंसी द्वारा एक्सेस किए जा सकते हैं यदि कोई संस्था साइबर सुरक्षा घटना का सामना करती है।

दिसंबर 2021 में, दूरसंचार विभाग (DoT) ने एकीकृत लाइसेंस समझौते में संशोधन किया था, जिसमें दूरसंचार ऑपरेटरों और इंटरनेट सेवा प्रदाताओं के साथ-साथ अन्य सभी दूरसंचार लाइसेंसधारियों को कम से कम दो साल के लिए वाणिज्यिक और कॉल विवरण रिकॉर्ड बनाए रखने के लिए कहा गया था। -वर्ष अभ्यास। DoT के सूत्रों ने पहले इस अखबार को बताया था कि संशोधन कई सुरक्षा एजेंसियों के अनुरोधों पर आधारित था।

आईआरसीटीसी, एमईआईटीवाई, सीबीआईसी, सीईआरटी-इन, नागरिक उड्डयन मंत्रालय और डीओटी को भेजे गए प्रश्नों का प्रेस समय तक कोई जवाब नहीं आया।

इन सबसे पहले, 2020 में, सरकार ने कॉन्टैक्ट ट्रेसिंग ऐप आरोग्य सेतु लॉन्च किया था – जिसे लाखों भारतीयों ने कोरोनोवायरस महामारी की ऊंचाई पर डाउनलोड किया था – और उनके नाम, फोन नंबर और स्थान जैसे डेटा एकत्र किए। अपने शुरुआती दिनों में, ऐप उड़ानों सहित कई सेवाओं तक पहुँचने के लिए आवश्यक था, जब तक कि अक्टूबर 2020 में कर्नाटक उच्च न्यायालय ने आदेश नहीं दिया कि ऐप को अनिवार्य नहीं बनाया जा सकता। ऐप ने गोपनीयता से संबंधित चिंताओं को भी जन्म दिया था, यह देखते हुए कि इसकी लोगों के व्यक्तिगत डेटा तक पहुंच थी, और जवाब में, सरकार ने ऐप के लिए डेटा साझाकरण प्रोटोकॉल जारी किया था। और अब, जैसा कि ऐप एक तरह का स्वास्थ्य ऐप बनने की ओर अग्रसर है, प्रोटोकॉल समाप्त हो गया है, आईएफएफ द्वारा सूचना के अधिकार के अनुरोध से पता चला है।

ये सभी घटनाक्रम तब सामने आए हैं जब भारत में बुनियादी डेटा संरक्षण कानून का अभाव बना हुआ है। हालांकि, सरकारी सूत्रों ने कहा है कि नया विधेयक संयुक्त संसदीय समिति द्वारा अनुशंसित डेटा संरक्षण के व्यापक विचारों को शामिल करेगा और 2017 के सर्वोच्च न्यायालय के ऐतिहासिक फैसले के अनुरूप होगा जिसमें गोपनीयता को मौलिक अधिकार के रूप में रखा गया था।