गरज वैयत्त्किक डेटा सुरक्षेची

तीन कोटी युजर्स डेटावर लिक झाल्याची बातमी समोर आली व पुन्हा एकदा "पर्सनल डेटा प्रोटेक्‍शन' कायदा किती महत्त्वाचा आहे, हे अधोरेखित करून गेला. तसे पाहता, भारतामध्ये व्यक्तिगत माहिती किंवा गोपनीयता याला फारसे महत्त्व दिले जात नाही. आपण राजरोसपणे व्यक्तिगत माहिती फेसबुकवर वा इतर सोशल मीडियावर शेअर करतो आणि प्रामुख्याने हाच मुद्दा सायबर गुन्हेगारांना वरदान ठरलेला आहे. सोशल मीडियावर वेगवेगळ्या क्‍लुप्त्या लढवून "हॅकर्स युजर्स'ची माहिती चोरी करतात व त्या आधारे बॅंक अकाउंट्‌स हॅक करणे वा एखादा सोशल मीडिया अकाउंट हॅक करणे सोपे होऊन जाते.

व्यक्तिगत माहितीची गोपनीयता राखणे किती महत्वाचे असते हे लॉकडाउनच्या काळात होणाऱ्या सायबर गुन्ह्यांमधून समजून येते. लोकांकडून व्यक्तिगत माहिती गोळा कशी करायची आणि तिचा वापर कसा करायचा याविषयी सध्या कसलाही कायदा अस्तित्वात नाही. त्यामुळे कोणाचीही माहिती मिळवणं आणि त्या माहितीचा काय वाटेल त्या पद्धतीनं वापर करणं हे अनिर्बंध सुरू आहे. व्यक्ती म्हणून विचार केला तर, जेव्हा आपण कोणालाही आपली व्यक्तिगत माहिती देतो, तेव्हा ती माहिती ज्या कारणासाठी दिली त्याच कारणासाठी त्यांनी ती वापरणं अपेक्षित असतं. ते सोडून दुसऱ्या कारणासाठी वापरली जाणार नाही किंवा आपली माहिती दुसऱ्या कोणाला विकली जाणार नाही हे आपण गृहित धरतो. प्रत्यक्षात असं घडत नाही. एकदा आपली व्यक्तिगत माहिती आपण कुठेही दिली की त्याचं पुढे काय होतं यावर आपलं काहीही नियंत्रण राहात नाही. ह्या परिस्थितीचे थोडक्‍यात दैनंदिन जीवनातले उदाहरण बघू:-

1) आपण मॉलमध्ये खरेदी केल्यानंतर कोणीतरी "लकी ड्रॉ' आहे असे सांगून फॉर्म भरून घेतो. त्या फॉर्मवर आपले नाव, पत्ता, मोबाईल, गाडी, उत्पन्न अशी माहिती घेतली जाते किंवा

2) आपण गृहकर्ज, वाहन कर्जाच्या किंवा विमा उतरविण्यासाठी अन्य पर्यायांचा ऑनलाईन शोध घेत असतो. कुठेतरी सगळी कर्ज एकत्र बघण्याची, तुलना करण्याची सोय असते. ती बघण्यासाठी वेगवेगळ्या सांकेतिक स्थळावर नाव, मोबाईल, ईमेल देत असतो.

3) आपण पेट्रोल पंपावर पेट्रोल भरण्यासाठी रांगेत उभे असतो. तेथे कोणीतरी "सर्व्हे' करणारा मुलगा येतो, हा एक फॉर्म भरून द्या आणि 100 रुपयांचं पेट्रोल व्हाउचर जिंका असे सांगतो. 

वरील उदाहरणात कोण जिंकलं याचे पुरावेच मिळत नसतात. आपण फॉर्म भरून दिला की कुठल्या तरी मार्केटींग कंपन्यांचे (उदा. फ्री गिफ्ट्‌स,नवीन स्कीम, नवीन गाड्यांचे ऑफर, पर्सनल लोन या करीता) फोन येऊ लागतात.

अशारितीने बसस्टॅंड, सार्वजनिक स्थळे, पेट्रोलपंप-मॉल्सपासून ते वेबपोर्टल्स, सोशल नेटवर्किंग साईट्‌स, ई-कॉमर्स साईट्‌सपर्यंत असंख्य ठिकाणी खरं-खोटं कारण सांगून किंवा नकळत आपली व्यक्तिगत माहिती नोंदवून घेतली जाते. ह्या माहितीचा (डेटा)उपयोग आपल्याला विपणनकेंद्री बाजारपेठेत आपले संभाव्य ग्राहक अचूक निवडता यावेत यासाठी वापर होतोच; पण आर्थिक फसवणूक, गैरव्यवहार, लूट आदी गैरवापरासाठी वापर केला जातो. फेसबुक, व्हॉट्‌सऍप, ट्‌विटर यासारख्या समाज माध्यमांवर आणि गुगलवर आपली किती नी कोणती माहिती जमा असेल याचा अंदाज लावणेही अवघड आहे. या कंपन्यांकडे जमा असलेली माहिती मागच्या दाराने विकली गेल्याची उदाहरणे समोर आलेली आहेत. ही माहिती राजकीय पक्ष व त्यांच्या तंत्र सल्लागारांच्या हातात पडली की तिचा वापर प्रचारासाठी करून निकालांवरही प्रभाव पाडणंही शक्‍य होत आहे. हे आपल्या लोकशाही राष्ट्रातील निवडणुकीत झाल्याचा दाट संशय आहे. त्यातच "आधार'च्या माध्यमातून सरकारने नागरिकांच्या जमा केलेल्या माहितीशीही तडजोड होत आहे. इंटरनेटचा सर्वदूर वापर व माहिती तंत्रज्ञानातील विलक्षण प्रगती यामुळे कोट्यवधी ग्राहकांची व्यक्तिगत माहिती गोळा करणं व त्यावर प्रक्रिया करून फोन, एसएमएस, इंटरनेट, सोशल मीडियाच्या माध्यमांमधून जाहिरातींचा व विक्री संदेशांचा भडीमार करणं शक्‍य होत आहे. तसेच ग्राहकांना "टार्गेट' करून वेगवेगळ्या वस्तू किंवा सेवा विकण्यासाठी केला जातो.

सोशल मीडिया - "कायदेशीर' डेटा चोरीचे साधन 
सोशल मीडियामुळे आपलं नाव, गाव, पत्ता, शिक्षण, वय, उंची, जाडी, आवडी-निवडी, नोकरी, पगार, खर्च, नातीगोती, प्रवास, फोटोज यातलं काही म्हणजे काही खासगी राहिलेलं नाही. आपण जिथे वावरतो त्या सोशल मीडिया साईट्‌स, बॅंकिंग साईट्‌स, ई-कॉमर्स साईट्‌स, सरकारी साईट्‌स, इतर अनंत साईट्‌स आणि लाखो ऍप्स ह्यांना ही माहिती आपण कळत-नकळत, स्वखुषीनं-नाराजीनं दिलेली आहे, देतो आहोत. यातील काही ऍप्स आपण नव्या युगाची गरज म्हणून वापरतो, काही ऍप्स केवळ हौस किंवा मनोरंजन म्हणून तर काही ऍप्स वापरणं सरकारनं किंवा आपल्या बॅंक किंवा नोकरी देणाऱ्या कंपनीनं वापरायला भाग पाडली आहेत म्हणून.

यातले प्रत्येक ऍप वापरताना त्याच्या वापराच्या "टर्म्स' आपल्याला मान्य आहेत असा एक चेकबॉक्‍स टिक करून दिल्याशिवाय कोणतंही ऍप आपल्याला वापरता येत नाही. त्यांच्या आठ-दहा पानी अत्यंत क्‍लिष्ट कायदेशीर भाषेत असलेल्या "टर्म्स' आपण वाचतही नाही, वाचून त्या समजून घेणं शक्‍यही नसतं. त्या टर्म्समध्ये आपल्याकडून ते कोणती माहिती घेणार आहेत आणि त्या माहितीचं पुढे काय करणार, हे त्यांनी सांगितलेलं असतं (किंवा सांगणं अपेक्षित असतं). पण हे काही जाणून न घेता आपण टिक करून ऍप्स वापरायला लागतो. आणि मग आपण त्यांना दिलेल्या आपल्या खासगी माहितीचं पुढे काय होतं यावर आपलं नियंत्रण रहात नाही.

आपण कोणत्याही वेबसाईटला भेट दिली की "कुकी' नावाची एक फाईल आपल्या कंप्युटर / मोबाईलवर साठवली जाते. काही वेबसाईट्‌स "आम्ही अशी फाईल तुमच्याकडे साठवणार आहोत, तुमची परवानगी आहे का?' असा प्रश्न विचारतात, तर बहुसंख्य साइट्‌स असा काही प्रश्न न विचारता फाईल आपल्या कंप्युटर/मोबाईलवर साठवून ठेवतात. ह्या कुकीजमध्ये आपण कोणत्या साईटवर नेमकं काय बघतो, काय करतो याची पूर्ण कुंडली साठवून ठेवण्याची क्षमता असते आणि ही सर्व माहिती वेळोवेळी त्या वेबसाईटच्या डेटाबेसमध्ये पाठवली जाते. प्रत्येक वेबसाईट वापरताना आपण कळत-नकळत ह्या कुकीज स्वीकारतो आणि आपण ऑनलाईन नेमकं काय करतो (आपलं ब्राउजिंग बिहेवियर) हे वेबसाईट्‌सना कळवतो. म्हणजे प्रत्येक ऍप/वेबसाईटकडे आपण स्वतःहून दिलेली आपली माहिती आणि आपल्या नकळत गोळा केलेली आपल्या ऑनलाईन वापराची माहिती असा दोन्ही प्रकारचा "डेटा' असतो. ऍप्स चालवणाऱ्या बहुसंख्य कंपन्या ह्या डेटाचं विश्‍लेषण करून तो ग्राहक सेवा सुधारण्यासाठी आणि व्यवसाय वाढवण्यासाठी करतात. ह्यात खरंतर गैर नाही. आपल्या विषयीचा संपूर्ण डेटा गोळा करून कोणी आपल्याला व्यक्तिगत सेवा आणि उत्पादनं देत असेल तर ते हवंच असतं. पण याची दुसरी बाजू अशी आहे की, या डेटामुळे, आपण कोण आहोत, कसे आहोत, कसा विचार करतो, कसे वागतो हे या साऱ्या ऍप्स आणि वेबसाईट्‌स चालवणाऱ्यांना कळतं. ह्या माहितीचा कसा वापर करायचा हे ते ठरवू शकतात आणि करतातही. शिवाय, असा वापर ते केवळ स्वतःच करतात असं नाही तर हा डेटा इतर कंपन्यांबरोबर शेअर करू किंवा त्यांना विकूही शकतात.

डेटा चोरीची अनंत उदाहरणं आपण रोज अनुभवतो. ऍमॅझॉनवर एखादं प्रॉडक्‍ट सर्च केलं की त्या प्रॉडक्‍टच्या फेसबुकवर जाहिराती दिसतात. गुगलवर कोणाचं नाव शोधलं की तिथे फेसबुक किंवा लिंकडइन प्रोफाईलचे फोटोज दिसतात. कुणालाही कुठेही आपल्या ट्‌वीटस दिसू शकतात. कोणीही कुठूनही आपला मोबाईल नंबर शोधतो. आधार कार्डावर लिंक असलेल्या आपल्या बॅंक अकाउंटपासून ते गॅस अनुदानापर्यंतच्या अनंत गोष्टी फक्त आधार क्रमांकानुसार सरकारी संस्था वा कंपन्यांना शोधता येतात. गुगल मॅप्स उघडलं की गेल्या काही दिवसांत आपण कुठे होतो आणि कुठे गेलो ह्याचा सविस्तर इतिहास समोर येतो. एक-ना-अनेक, अगणित उदाहरणं आहेत ह्याची.

खासगीपणा व्यक्तीचा मूलभूत हक्क -
भारत हा लोकशाही प्रधान देश असल्याने, मूलभूत अधिकार हे कुठल्याही लोकशाहीचा गाभा असतो, ह्यावर सर्वोच्च न्यायालयाने वेळोवेळी खासगीपणा हा व्यक्तीचा मूलभूत हक्क असल्याचा निर्वाळा दिला आहे. याबाबत आधार आणि त्यातील वैयक्तिक माहिती व तिची सुरक्षितता यावर बरीच चर्चा झाली आणि सुरू आहे. याबाबत व्यक्तीचे अधिकार, त्यांचे रक्षण याबाबत मानवी हक्कांच्या संदर्भातील मुद्दे समजून घेणे आवश्‍यक आहे. आधार कार्ड सम्बधित सर्वोच्च न्यायालयाने दिलेल्या न्याय निर्णयातून खासगीपणा हा व्यक्तीचा मूलभूत अधिकार असल्याचे अधोरेखित केलेला आहे. ह्यातूनच खासगीपणा ही एखाद्या व्यक्तीच्या जीवनात अनन्य साधारण महत्वाची असल्याचे कळते.
गोपनीयतेचा हक्क हा खासगीपणाच्या मूलभूत अधिकारातील एक छोटा पण महत्त्वाचा भाग आहे. खासगी जीवन जगण्याचा हक्क तशा व्यापक अर्थाने भारतीय संस्कृतीत कधीच मान्य करण्यात आलेला नाही व नेहमीच इतरांच्या आयुष्यात डोकावण्याची सवय किंवा इतरांचे स्वतंत्र अस्तित्व अमान्य करण्याची प्रवृत्ती घेऊन आपण जगत आलो आहोत खासगीपणाचा मूलभूत हक्क म्हणजे व्यक्तिस्वातंत्र्याचा महत्त्वाचा विचार आहे.
आपण वैचारिकदृष्ट्या मागासलेले असल्याने आपण एक देश म्हणून गरीब व विकसनशील आहोत हे बरेचदा आपल्या ध्यानातही नसते. 21व्या शतकात जगत असताना सातत्याने 18व्या शतकातच जगतो आहोत, अशी वागणूक जोपासण्याचा प्रयत्न धर्म, संस्कृती, रूढी, परंपरा व त्यांचे अवडंबर यांच्या प्रभावाखाली करीत असतो. या पार्श्वभूमीवर व्यक्ती स्वातंत्र्याची प्रतिष्ठापना करण्याची नवीन वैचारिक गुढी सर्वोच्च न्यायालयाने उभारली आहे.

अपुरा माहिती तंत्रज्ञान कायदा -
भारत हा खंडप्राय देश आहे, विविध संस्कृतीने नटलेला देश आहे, असे असताना डेटा संरक्षणासाठी सध्या अस्तित्वात असलेल्या माहिती तंत्रज्ञान कायदा 2000ही अपुरे पडत आहे. डेटा संबंधी तरतुदीमध्ये अपुरी पडत आहे. माहिती तंत्रज्ञान कायदा मधील कलम 43अ व्यतिरिक्त, अधिकृतपणे डेटा संरक्षण संबधी तरतुदी ह्या कायद्यात आढळून येत नाहीत. देशात वेळोवेळी कोट्यवधी युजर डेटा हॅक झाल्याची माहिती समोर येते असे असताना सध्या प्रचलित कायदाही अपुरे पडत असल्याने होणाऱ्या डेटा लीकवर प्रतिबंध करण्यास अपुरे पडत आहे. त्यामुळे होणारा डेटा लीकवर कुठलीही कायदेशीर कारवाई करण्यास सरकार असमर्थ ठरत आहे.

व्यक्तिगत माहिती संरक्षण कायदा 2018-
"आधार'सारख्या महत्त्वाकांक्षी प्रकल्पाला देखील सर्वोच्च न्यायालयाने नुकताच खासगीपणाच्या अधिकाराचा दाखला देत लगाम घातला आणि त्याची व्यापकता कमी केली. खासगीकरणाच्या अधिकाराला त्यामुळे देशात प्रथमच मूलभूत अधिकाराचा दर्जा देण्यात आला. या पार्श्वभूमीवर खासगीपणाच्या अधिकारावर पुन्हा आक्रमण करताना सरकारने तारतम्य बाळगणे आवश्‍यक होते. किंबहुना "आधार'ला घटनात्मक ठरवताना, सर्वोच्च न्यायालयाचा रोख भविष्याकडेच अधिक होता. त्यामुळे पुट्टूस्वामी प्रकरणी दिलेला निर्णय हा केवळ निर्णय नसून तो भविष्यासंदर्भातील निर्देश होता. या निर्णयानंतर संगणकीय माहितीचे संकलन, साठवणूक व सुरक्षितता या विषयाला अत्यंत गांभीर्याने घेतले गेले. या सर्व मुद्यांचा अभयास करून श्रीकृष्ण समितीने 176 पानी अहवाल केंद्राला ऑगस्ट 2018 मध्ये सादर केला. हा अहवाल म्हणजे कोणतीही खासगी संवेदनशील माहिती हस्तगत करताना अथवा हाताळताना घ्यायच्या खबरदारीचा व नियमांचा आदर्श वस्तूपाठच आहे. याच अहवालाच्या आधारावर "खासगी माहिती संरक्षण कायदा 'चा आदर्श मसुदा केंद्राकडे मंजुरीसाठी सादर करण्यात आला.

विश्वासाधारित संबंध
नियामक प्राधिकरणाने नागरिकांची वैयक्तिक माहिती आणि ज्यांच्याकडे ती उपलब्ध असते अशा डेटाच्या प्रदात्यासारखे सेवा प्रदाते यांच्या हितसंबंधांमध्ये संतुलन साधणे आवश्‍यक आहे. व्यक्तीच्या हितसंबंधांविषयी वैयक्तिक हितसंबंधांचे संतुलन राखणे आवश्‍यक आहे.
ग्राहक आणि सेवा प्रदाता यांमधील संबंध हे विश्वासाधारित संबंध असतात. ते परस्पर विश्वासावर अवलंबून असतात. कोणतीही व्यक्ती ही कसल्याही प्रकारची सेवा प्राप्त करण्यासाठी सेवा प्रदात्यावर अवलंबून असते. म्हणूनच, डेटा प्रसंस्करण करणाऱ्या डेटा प्रदात्याने ग्राहकांची वैयक्तिक माहिती (डेटा) प्रामाणिकपणे हाताळणे आणि तिचा केवळ अधिकृत हेतूंसाठी वापर करणे ही त्याची नतिक जबाबदारी आहे.

विश्वस्तांची जबाबदारी- 
सेवा प्रदात्यांद्वारे त्यांना मिळालेल्या महितीचा गरवापर रोखण्यासाठी, कायद्याने त्यांचे मूलभूत दायित्व स्थापित करणे आवश्‍यक आहे. यामध्ये पुढील बाबी समाविष्ट असाव्यात.
माहितीचा वापर प्रामाणिकपणे आणि वाजवीपणे करण्याची जबाबदारी.
माहिती जमविताना संबंधित व्यक्तीस त्याबाबत वेळोवेळी सूचना देणे बंधनकारक करणे.
वैयक्तिक माहितीची व्याख्या
वैयक्तिक माहिती या संज्ञेमध्ये कोणत्या बाबी येतात ते परिभाषित करणे आवश्‍यक असल्याचे मत समितीने नोंदविले आहे. ज्या माहितीवरून एखादी व्यक्ती प्रत्यक्ष किंवा अप्रत्यक्षपणे वैयक्तिकरित्या ओळखता येईल अशा सर्वप्रकारच्या माहितीचा समावेश त्यात होतो.

संवेदनशील वैयक्तिक डेटा संरक्षण सर्वसाधारण वैयक्तिक डेटा संरक्षणापेक्षा वेगळे विचारात घेतले जाणे आवश्‍यक असल्याचे समितीने नमूद केले आहे. संवेदनशील डेटा हा गोपनीय बाबींशी संबंधित असतो (उदा. जात, धर्म आणि व्यक्तीची लैंगिक अभिमुखता) आणि त्याबाबत गोपनीयता बाळगण्याची आवश्‍यकता जास्त प्रमाणात असते. संवेदनशील माहितीच्या गरवापरातून एखाद्या व्यक्तीला होणारा अपाय व नुकसान हे गंभीर स्वरूपाचे असू शकते याचा विचार करून अशा वर्गीकरणाची आवश्‍यकता मांडण्यात आली आहे.

प्रक्रिया पूर्व मंजुरी महत्वाचे-
वैयक्तिक डेटावर प्रक्रिया करण्यासाठी संबंधितांची संमती आवश्‍यक आहे. संवेदनशील वैयक्तिक डेटाच्या परवानगीबाबत लहान मुले किंवा तत्सम संवेदनशील गटांसाठी त्यांच्याबाबतची अतिरिक्त संवेदनशीलता आणि जोखीमप्रवणता पाहता त्यांच्या हितसंबंधांचे संरक्षण होण्याच्या दृष्टीने होण्यासाठी सक्षम कायदा करण्याची आवश्‍यकता समितीकडून मांडण्यात आली आहे.

संमतीविना प्रक्रिया 
प्रत्येकवेळी माहितीचा वापर करण्यासाठी व्यक्तीची संमती घेणे शक्‍य होत नाही. त्यामुळे पुढील चार बाबींमध्ये अशा सरकारला संमतीची अट नसावी अशी शिफारस समिती करते.

जेथे कल्याणकारी कार्य पार पाडण्यासाठी शासनाची माहिती प्रक्रिया संबंधित आहे.
कायद्याचे पालन करणे किंवा भारतातील न्यायालयीन आदेशांची पूर्तता करणे.
जेव्हा तत्काळ कार्यवाहीची आवश्‍यकता असेल (उदा. जीव वाचवणे)
मर्यादित परिस्थितीत रोजगाराच्या करारांमध्ये व्यक्तींचे हक्क व्यक्तीचा वैयक्तिकरित्या त्यांच्या डेटावर नियंत्रण ठेवण्याचा हक्क हा स्वायत्तता, आत्मनिर्णय, पारदर्शकता आणि उत्तरदायित्व या मूल्यांवर आधारित आहे. या आधारे समितीने व्यक्तीचे अधिकार पुढीलप्रमाणे वर्गीकृत केलेले आहेत.

डेटाचा प्रवेश, संमती आणि सुधारणा करण्याचा अधिकार, माहिती प्रसंस्करण, थेट निर्णय प्रक्रिया, थेट विपणन आणि माहिती प्रसारण याबाबत आक्षेप घेण्याचा व विरोध करण्याचा अधिकार, माहिती हटविण्याचा अधिकार वरील चर्चेच्या अनुषंगाने समितीने वैयक्तिक माहिती संरक्षण विधेयकाचा मसुदा तयार केला आहे. विधेयकास मान्यता मिळून त्याचे कायद्यात रूपांतर झाल्यावर त्या तरतुदी समजून घेणे आवश्‍यक ठरेल. मात्र सध्या एकूणच वैयक्तिक माहिती आणि तिच्यावरील संबंधितांचा अधिकार हा विषय समजून घेण्यासाठी समितीच्या वरील चच्रेचा नक्कीच उपयोग होईल. सध्या हा कायदा संसदीय बोर्डापुढे प्रलंबित असल्याने नजकीच्या काळात मंजुरी मिळेल ही आशा. असे असताना तूर्तास तरी आपणच आपली गोपनीय माहिती गरज नसताना उघड न केल्यास बऱ्या पैकी आपली खासगीपणा संरक्षित करू शकतो इतकं मात्र खात्री.

ऍड. मंजुनाथ कक्कळमेली
सायबर कायदेतज्ञ, सोलापूर
9420659628