>>शहाजी शिंदे
डिजिटल व्यवहार, सोशल मीडिया, ऑनलाइन सेवा आणि कृत्रिम बुद्धिमत्तेच्या युगात वैयक्तिक माहिती हीच सर्वात मौल्यवान संपत्ती ठरत असताना तिच्या सुरक्षेचा प्रश्न अधिक तीव्र झाला आहे. याच पार्श्वभूमीवर भारतात डिसेंबर महिन्यापासून डिजिटल पर्सनल डेटा प्रोटेक्शन कायदा लागू करण्यात आला आहे. सरकारकडून हा कायदा नागरिकांच्या गोपनीयतेचे संरक्षण करणारा आणि डिजिटल अर्थव्यवस्थेला शिस्त लावणारा म्हणून मांडला जात असला तरी त्याच्या तरतुदींमुळे तंत्रज्ञान कंपन्या, माध्यम संस्था, नागरिक हक्क संघटना आणि तज्ञांमध्ये तीव्र चर्चा सुरू झाली आहे.
भारतात डिसेंबर महिन्यापासून डिजिटल पर्सनल डेटा प्रोटेक्शन कायदा (डीपीडीपी) अधिकृतरीत्या लागू करण्यात आला आहे. त्याच वेळी अॅमेझॉन, मेटा, गुगल, ओपनएआय आणि देशातील असंख्य मोठय़ा टेक कंपन्यांवर नव्याने नियम आणि जबाबदाऱ्या निश्चित करण्यात आल्या आहेत. हा कायदा भारतात डेटा प्रायव्हसीशी संबंधी असणारा सर्वात व्यापक आणि विस्तृत प्रमाणातील आराखडा असून त्याचा उद्देश ग्राहकांच्या वैयक्तिक माहितीला सुरक्षा देणे, अनावश्यक डेटा संकलन रोखणे आणि डेटा प्रोसेसिंगच्या प्रत्येक प्रक्रियेला पारदर्शक करण्याचा आहे.
सरकारच्या मते, डीपीडीपी हा एक सरळ, लोकाभिमुख आणि आधुनिक कायदा आहे. मात्र त्याच्या तरतुदीने उद्योग, नागरिक हक्क गट, माध्यम संस्था आणि डिजिटल तज्ञांमध्ये गंभीर स्थिती निर्माण केली आहे. नवा कायदा काय म्हणतो? नव्या कायद्यानुसार कंपनीला गरजेपुरताच डेटा संकलन करण्याची परवानगी असणार आहे. संबंधित कंपनीला सेवा पूर्ण करण्यासाठी आवश्यक असेल इतकाच डेटा घेण्याचे बंधन असेल. ही तरतूद ‘डेटा मिनिमायझेशन’च्या तत्त्वावर आधारित आहे. हा कायदा युरोपियन महासंघाच्या जीडीपीआरसारख्या जागतिक आराखड्याशी साधर्म्य ठेवणारा आहे. डेटा गोळा करताना ग्राहकांना त्याचा उद्देश सांगणे अनिवार्य राहील. संबंधित डेटा कोठे ठेवला जाणार आहे आणि किती काळापर्यंत सुरक्षित राहील, याची माहिती द्यावी लागणार आहे. तसेच प्रत्येक युजरला ‘ऑप्ट आऊट’चा पर्याय देणे बंधनकारक राहील, जेणेकरून तो कोणत्याही सेवेसाठी दिलेली परवानगी प्रसंगी काढून घेऊ शकतो. एखाद्या कंपनीचा डेटा चोरीस गेला किंवा हॅक केला तर त्यात एखाद्या भारतीय नागरिकाचा डेटा असेल तर डेटा लीकची माहिती संबंधित कंपनी सरकारला आणि संबंधित युजरला देणे आवश्यक आहे.
गोपनीयतेवर वाद
अर्थात या नियमांत सर्वात वादग्रस्त मुद्दा राहिला तो सरकारची देखरेख आणि सरकारला व्यक्तिगत डेटामध्ये हस्तक्षेप करण्यासंदर्भात असणारी तरतूद. टीकाकारांच्या मते, हा कायदा सरकारला व्यापक शक्ती प्रदान करतो अणि त्यानुसार राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था किंवा कायद्याच्या उद्देशातून सरकार डेटामध्ये हस्तक्षेप करू शकतो. त्याच वेळी यासंदर्भात तटस्थ देखरेख संस्था नसल्याने ही बाब आणखीच चिंतेत भर घालणारी आहे. त्याच्या अंमलबजावणीसाठी तयार केलेल्या डेटा प्रोटेक्शन बोर्डमध्ये केवळ चार सदस्य असून त्यांना 140 कोटी नागरिकांच्या डेटा अधिकारावर लक्ष ठेवायचे आहे. तज्ञाच्या मते, एवढय़ा व्यापक प्रमाणात डेटा संरक्षण हाताळायचे असताना त्याच्या सुरक्षेची जबाबदारी कमी आकाराच्या मंडळावर सोपविणे कठीण आहे अणि त्यातही जबाबदारी निश्चित करता येणार नाही.
युरोपीय संघाचा जीडीपीआर हा जगातील सर्वात प्रभावशाली डेटा संरक्षण कायदा मानला जातो. त्या आधारावर गेल्या काही वर्षांत 160 पेक्षा अधिक देशांनी स्वतःचे डेटा संरक्षण कायदे तयार केले अणि त्यात जीडीपीआरची झलक पाहावयास मिळाली आहे. यात नागरिकांच्या परवानगीला सर्वोच्च प्राधान्य दिले आहे आणि कंपन्यांना केवळ गरजेनुसारच डेटा बाळगण्याची अनुमती देण्यात आली आहे. याउलट तज्ञांच्या मते, भारतात डीपीडीपी कायदा हा नागरिकांची गोपनीयता जपण्याऐवजी डेटा प्रोसेसिंगच्या प्रक्रियेला औपचारिक रूप देण्यावर अधिक भर देणारा आहे. टेक ग्लोबल इन्स्टिटय़ूटच्या उपक्रमाचे प्रमुख प्रतीक वाघरे यांच्या मते, या कायद्यातील आराखड्यात केलेल्या प्रत्येक दुरुस्त्या या सरकारला शक्तीशाली करणाऱ्या आहेत. मात्र सुरक्षेचे उपाय आणि तटस्थ देखरेख प्रणाली मात्र कमकुवत राहताना दिसते. व्यापक तरतुदीच्या माध्यमातून सरकार नागरिक किंवा कंपन्यांना डेटा शेअर करण्यास प्रवृत्त करू शकते आणि ही बाब गोपनीयता आणि अभिव्यक्ती स्वातंत्र्य संकुचित करणारी आहे.
शिक्षेची तरतूद
या कायद्याचे उल्लंघन केल्यास दंडाची तरतूददेखील अधिक आहे. एखादी संस्था डेटा संरक्षण नियमांचे पालन करत नसेल तर त्यावर कमाल अडीचशे कोटी रुपयांपर्यंतचा दंड भरावा लागू शकतो. एडिटर्स गिल्डचे अध्यक्ष संजय कपूर यांच्या मते, अशा प्रकारचा जबर दंड हा पत्रकारितेला अडचणीत आणणारा आहे. माध्यम संस्था या सत्याचा शोध घेण्याऐवजी पीआर एजन्सीप्रमाणे काम करण्यास प्रवृत्त होतील. कारण एक चुकीची बातमी किंवा कोणत्याही प्रकारचे डेटा नियमांचे उल्लंघन हे दंडात्मक कारवाईला सामोरे जाणे किंवा त्यांच्या अस्तित्वाला धोका निर्माण करणारे ठरू शकते. उद्योग जगातही यासंदर्भात दोन मतप्रवाह आहेत. मोठय़ा टेक कंपन्यांकडून अशा प्रकारचा कायदा हा डेटा सुरक्षेसाठी सुधारणावादी पाऊल असल्याचे सांगितले जात आहे. या कृतीमुळे भारतीय युजरचा कंपन्यांवरचा विश्वास वाढेल तर त्याच वेळी लहान स्टार्टअप आणि मध्यम आकाराच्या टेक कंपन्यांच्या मते, नवीन नियमांचे पालन करणे अधिक महागडे आणि किचकट आहे. डेटा व्यवस्थापन, सायबर सुरक्षा, नियम पालनाचा अहवाल तयार करणे यावर जादा गुंतवणूक करावी लागेल आणि प्रारंभिक टप्प्यात असणाऱ्या कंपन्यांना ही बाब डोकेदुखी ठरू शकते.
मंत्रालयाच्या मते, जीडीपीआरने युरोपात डेटा सुरक्षेवरून नागरिकांच्या मनात विश्वासाचे वातावरण तयार केलेले असताना हा कायदा भारतातदेखील ग्राहकांना अधिक अधिकार देईल आणि डेटा गैरवापराच्या विरोधात कवच देण्याचे काम करेल. अर्थात त्याचे खरे आव्हान तर अंमलबजावणीच्या प्रक्रियेत आहे. कारण एवढय़ा व्यापक डिजिटल इको सिस्टममध्ये डेटा सुरक्षा निश्चित करणे ही बाब केवळ तांत्रिक पातळीवरच नाही, तर प्रशासकीय पातळीवरदेखील कठीण राहू शकते. एपंदरीतच डीपीडीपी हा एक महत्त्वाकांक्षी कायदा असून त्याचा उद्देश डिजिटल भारतात नागरिकांची गोपनीयता जपणे आणि सुरक्षित ठेवणे आहे. मात्र त्याचे यश सरकार अणि कंपन्यांकडून किती प्रमाणात पारदर्शकता बाळगली जाते, किती जबाबदारीने आणि संवेदनशीलतेने लागू करते, यावर अवलंबून असेल.
आरटीईवर परिणाम
या कायद्यातील सर्वात वादग्रस्त बाब म्हणजे माहिती अधिकार कायद्यावर (आरटीई) होणारा त्याचा परिणाम. आतापर्यंत आरटीईनुसार सार्वजनिक हितासाठी एखादी माहिती मिळवणे सोपे जायचे. भ्रष्टाचार प्रकरणात ही तरतूद महत्त्वाची ठरली आहे, परंतु डीपीडीपी कायदा हा या तरतुदीची परिणामकारकता मर्यादित करतो. नॅशनल कॅम्पॅन फॉर पीपल्स राइट टू इन्फॉर्मेशनच्यासह संचालक अंजली भारद्वाज यांच्या मते, हा दुरुस्ती कायदा भ्रष्टाचार करणाऱ्याचे नाव जाहीर करण्यास रोखण्याचे काम करतो. उदा. सार्वजनिक प्रकल्पाच्या पंत्राटदाराचे नाव, सरकारी योजनांतील बोगस लाभार्थ्यांचे नाव, सरकारी बँकांकडचे जाणीवपूर्वक कर्ज न फेडणाऱ्या थकबाकीदाराचे नाव आता कळणे कठीण होऊ शकते. अर्थात या तरतुदीमुळे आरटीई कमकुवत होणार नाही, असे सरकारचे म्हणणे आहे. आरटीआय कायदा सार्वजनिक हिताच्या दृष्टीने महत्त्वाची असणारी माहिती सार्वजनिक करण्याची परवानगी देतो, पण माध्यम संस्थांनी डीपीडीपीच्या अनेक तरतुदींवर तीव्र प्रतिक्रिया नोंदविली आहे. प्रेस क्लब ऑफ इंडिया आणि एडिटर्स गिल्ड ऑफ इंडियाच्या मते, नवीन कायद्यामुळे पत्रकारांच्या स्वातंत्र्यावर गदा येऊ शकते. कायद्यात माध्यम संस्थांना आणि पत्रकारांना ‘सिग्नफिकेट डेटा फिडय़ुशियरी’च्या श्रेणीत ठेवले आहे. याचा अर्थ त्यांना कोणत्याही प्रकारची वैयक्तिक माहितीचा वापर करण्यापूर्वी परवानगी घ्यावी लागणार आहे. त्यामुळे शोध पत्रकारितेचे प्रमाण कमी राहू शकते.
(लेखक संगणक अभियंता आहेत.)
