खासगी माहितीला ‘कुंपण’ (ॲड. अभय नेवगी)

ॲड. अभय नेवगी
रविवार, 5 ऑगस्ट 2018

खासगी माहितीचं संरक्षण हा सध्याच्या डिजिटल युगातला परवलीचा शब्द झाला आहे. यासंदर्भातल्या प्रस्तावित विधेयकासाठी न्या. बी. एन. श्रीकृष्ण यांच्या अध्यक्षतेखालच्या समितीनं नुकताच आपला अहवाल सरकारला सादर केला आहे. या शिफारशींचा नेमका अर्थ काय, त्याचे नेमके काय परिणाम होतील, विधेयकामुळं काय होईल, खासगीपणा खरंच जपला जाईल का, कंपन्यांना काय करावं लागेल, इतर कोणत्या गोष्टी करणं गरजेचं आहे आदी सर्व गोष्टींबाबत ऊहापोह...

माहिती-तंत्रज्ञान उद्योग आणि संगणकीय प्रणालीचा, संगणकांचा प्रचंड प्रमाणात वापर यामुळं गेल्या दहा वर्षांत जगभर प्रचंड स्थित्यंतरं घडून आली. यातला महत्त्वाचा भाग किंबहुना गाभा म्हणजे डेटा किंवा माहिती. जगात कोणीही कोणतीही सेवा मोफत देत नाही. गुगलसारख्या कंपनीला गोळा होणाऱ्या डेटामधून मिळणारं उत्पन्न हा नफ्यातला मोठा भाग आहे. आज जगामध्ये बॅंका, सरकारं, टेलिफोन कंपन्या, सेवा देणाऱ्या कंपन्या आणि जवळपास सर्वच व्यावसायिक उद्योग, राजकीय पक्ष प्रचंड प्रमाणात माहिती गोळा करत असतात. प्रत्येक ठिकाणी निरनिराळी आमिषं दाखवून मोबाईल फोन, ई-मेल, जन्मतारीख यांसारख्या माहिती गोळा केल्या जातात आणि सर्वसामान्य माणूस त्याचं महत्त्व लक्षात न घेता ही माहिती देत असतो. गुगल, फेसबुक, ॲमेझॉन यांसारख्या कंपन्यांसाठी डेटा म्हणजे ऑक्‍सिजन आहे. अशा सर्व कंपन्या परदेशांतल्या असून, त्यांचा सर्व डेटा परदेशांत आहे. या डेटाचं महत्त्व सरकारच्यासुद्धा खूप उशिरा लक्षात आलं. इन्फॉर्मेशन टेक्‍नॉलॉजी ॲक्‍ट २००० मध्ये आला; पण डेटाबद्दलच्या तरतुदी २००९ मध्ये आल्या. याबाबतीतले नियम हे २०११ मध्ये प्रसिद्ध झाले. जगभर होणारा डेटाचा वापर आणि सर्वोच्च न्यायालयानं खासगीपणा (प्रायव्हसी) हा मूलभूत हक्क मानल्यानंतर जगाला माहिती तंत्रज्ञ देणाऱ्या देशाला डेटासंरक्षणाबाबत जास्त तपशीलवार कायदा हवा याची जाणीव झाली. 

माहितीबाबतची गंभीर स्थिती
डेटा अनेक ठिकाणी गोळा होतो, तर अनेक ठिकाणी त्याचं विश्‍लेषण केलं जातं. डेटाचं विश्‍लेषण हे इतक्‍या उच्चपातळीवर गेलं आहे, की काही सॉफ्टवेअरच्या माध्यमातून एखादया व्यक्तीच्या व्यक्तिमत्त्वाचं विश्‍लेषण करता येतं. हे विश्‍लेषण किती बरोबर आहे, याचे निकष हळूहळू स्थिर व्हायला आले आहेत. आज जगामध्ये समाजाच्या सर्व स्तरांवरच्या नागरिकांच्या-ज्याच्यामध्ये लहान मुलांचाही समावेश आहे त्यांच्या- माहिती गोळा करण्याची स्पर्धा प्रचंड प्रमाणामध्ये चालू आहे. ही माहिती कुठं संकलित होते आणि त्याचं विश्‍लेषण कुठंकुठं केलं जातं, याची अजूनही सरकारला कल्पना नाही, सर्वसामान्य माणूस तर शेकडो किलोमीटर दूर आहे. केवळ नागरिकांचीच नाही, तर निरनिराळ्या व्यवसायांतल्या अनेक बाबींची म्हणजे उत्पादन करणाऱ्या कंपन्यांमधले खर्च, पगार, जाहिरातीवरील खर्च, तंत्रज्ञान इत्यादीसारखी सामान्य वाटणारी माहितीदेखील मौल्यवान झाली आहे. राजकीय पक्षदेखील मतं मिळवण्यासाठी तंत्रज्ञानाबरोबरच डेटाचा वापर प्रचंड प्रमाणात करतात. या पार्श्‍वभूमीवर सध्या अस्तित्वात असलेले कायदे अपुरे असल्याचं लक्षात आल्यानं आणि या डेटाचा वापर केवळ व्यावसायिक कारणासाठी नव्हे, तर देशाच्या सुरक्षिततेच्या दृष्टीनंदेखील आवश्‍यक असल्यानं आणि ही माहिती देशाबाहेर प्रचंड प्रमाणात गोळा करून ठेवली असल्यानं या डेटाचा देशाच्या अर्थकारणावर होणारा परिणाम लक्षात घेता केंद्र सरकारला याबाबत गंभीरपणे पावलं उचलणं भाग पडलं. 

माहितीला ‘कुंपण’ घालण्याची गरज
आज माहिती-तंत्रज्ञान क्षेत्रामध्ये ‘आर्टिफिशिअल इंटेलिजन्स’ म्हणजे कृत्रिम बुद्धिमत्ता प्रचंड प्रमाणात वापरली जाऊ लागली आहे. यामुळं वैद्यकीय निदान, निष्कर्ष, कायदेशीर सल्ला, बॅंका आणि आर्थिक संस्था यांना व्यवसायातले धोके, गुंतवणुकीतले फायदे-तोटे अशा अनेक बाबींमध्ये निर्णय घेणं सोपं झालं आहे. यामुळं डेटा सुरक्षित ठेवणं, यासाठी डेटा गोळा करणाऱ्यांची, डेटाचं विश्‍लेषण करणाऱ्यांची, डेटा वापरणाऱ्यांची जबाबदारी निश्‍चित करणं आणि डेटाचं संरक्षण करून दुरुपयोग टाळण्याच्या हेतूनं सर्वोच्च न्यायालयाने माजी न्यायाधीश बी. एन. श्रीकृष्ण यांच्या अध्यक्षतेखालील समिती केंद्र सरकारनं नेमली. या समितीमध्ये संगणक क्षेत्राशी संबंधित विभागांचे अधिकारी, वरिष्ठ प्रशासकीय अधिकारी, काही  संचालक, डेटा सिक्‍युरिटी कौन्सिलचे संचालक अशा सर्वसमावेशक व्यक्तीच्या समितीनं वैयक्तिक माहिती संरक्षणासंदर्भातला अहवाल सादर केला आणि त्यावर आधारित ‘वैयक्तिक माहिती संरक्षण’ कायद्याचा विधेयकाचा मसुदा तयार करण्यात आला. डेटाचा उपयोग सरकारही प्रचंड प्रमाणात करत आहे. यामुळंच सरकारला काळ्या पैशावर नियंत्रण आणणं बरंच सोपं झालं.

गुन्ह्यांवर नियंत्रण आणण्यासाठी मोठ्या प्रमाणात डेटाचा वापर तंत्रज्ञानाबरोबर केला जाऊ लागला आहे. यामुळं डेटाचा वापर केवळ खासगी क्षेत्रच करत आहे असं नाही, तर सरकारसुद्धा विविध कारणांसाठी करत असतं. सरकारच्या विविध विभागांनीदेखील डेटा सांभाळावा हे अपेक्षित आहे. या डेटाचा दुरुपयोगही वाढत आहे. वाढती सायबर गुन्हेगारी हा डेटा चोरून वापरते किंवा विकते. कंपनीमध्ये काम करणारे कर्मचारी डेटा विकतात. अलीकडं कर्मचाऱ्यांची अप्रामाणिक वृत्ती किंवा निष्काळजीमुळं डेटा गुप्त राहत नाही हे दिसतं. दैनंदिन मोबाईल वापरताना, इंटरनेटवर सर्फ करताना अदृश्‍य शक्ती सर्वांवर देखरेख ठेवत असते आणि डेटा गोळा करत असते. डेटा व्यवस्थित सांभाळला जात नाही किंवा हेतुपुरस्सर उपलब्ध करून दिल्यानं झालेल्या तोट्याचे आकडे आश्‍चर्यचकित करणारे आहेत.

अमेरिकेमध्ये हा आकडा जवळपास सात हजार कोटी डॉलरच्या घरात गेला आहे. हा सर्व भाग लक्षात घेता, जगामध्ये अनेक देशांनी बदलत्या परिस्थितीनुरूप कायदे केले. हे कायदे अंमलात आल्याबरोबर केंद्र सरकारलापण जाणीव झाली. डेटाचं संकलन सुलभ व्हावं आणि भारतात डेटासंकलनाचं काम करणाऱ्या आयटी क्षेत्रातल्या अनेक कंपन्यांना नियंत्रणाखाली आणणं आवश्‍यक होते. युरोपीय समूहाने डेटासंरक्षणविषयक कायदा मे २०१८ पासून अंमलात आणल्याबरोबर हा दबाव आंतरराष्ट्रीय पातळीवर आणखी वाढला. त्याची परिणीती म्हणून न्या. श्रीकृष्ण यांच्या अध्यक्षतेखालील समितीची स्थापना करण्यात आली. 

माहिती संरक्षणाशी संबंधित प्रस्तावित विधेयकामध्ये ११२ कलमं असून, हे विधेयक १२ भागांमध्ये विभागलं आहे. या विधेयकात २ परिशिष्टं आहेत. 

विधेयकात काय?
न्या. श्रीकृष्ण यांनी आपल्या लौकिकाला साजेसं, तयार करून दिलेलं हे विधेयक सरकारचं काम अतिशय हलकं करणारं आहे. या विधेयकाचं उद्दिष्ट साधारणपणे दोन विभागांत विभागता येईल. पहिला भाग हा विविध कायदेशीर तरतुदींबाबत असून, दुसऱ्या भागात वस्तुस्थितीचं विश्‍लेषण आहे. या कायद्यातल्या प्रमुख ठळक तरतुदी अशा ः

 या प्रस्तावित कायद्यामध्ये ज्याचा डेटा गोळा केला जाईल, त्याची व्याख्या नमूद करण्यात आली आहे. ज्याचा डेटा गोळा केला जातो, त्याचा उल्लेख ‘डेटा प्रिन्सिपल’ असा करण्यात आला आहे. ‘खासगी माहिती’ची व्याख्या देण्यात आली असून, या व्याख्येमध्ये ‘डेटा प्रिन्सिपल’चा वैयक्तिक डेटा म्हणजे पासवर्ड, आर्थिक तपशील, प्रकृतीविषयक माहिती, लैंगिक माहिती- ज्यामध्ये लैंगिक जीवन, लैंगिक संबंधाची दिशा, बायोमेट्रिक आणि जेनेटिक डेटा, लैंगिक संबंधाचा तपशील म्हणजे लिंगपरिवर्धक (ट्रान्सजेंडर) आदी; जात, राजकीय/धार्मिक विश्‍वास, संबंध यांचा समावेश आहे आणि शिवाय या व्याख्येची व्याप्ती वाढवण्यासाठीही तरतूद करण्यात आली आहे. 

 या प्रस्तावित कायद्यामध्ये डेटा गोळा करण्याची व्याख्या दिली आहे. डेटा गोळा करणाऱ्यांमध्ये वैयक्तिक व्यक्ती, कंपनी (ज्याच्यामध्ये भागीदारी फर्मपण आली), सरकार, कोणतीही कायदेशीर व्यक्ती अथवा इतर कोणीही- जो वैयक्तिक डेटा गोळा करतो तो- आदींचा समावेश करण्यात आला आहे. डेटा गोळा करण्याचं नाव ‘डेटा फ्युडिशिअरी’ असं देण्यात आलं आहे. 

 डेटाचं संकलन करण्याची व्यवस्था निश्‍चित करण्यात आली आहे. डेटा गोळा करण्याचा उद्देश, डेटाचा प्रकार, डेटा ज्या रितीनं गोळा करण्यात आला आहे त्याची माहिती, आंतरदेशीय डेटा दिला जाणार असेल तर त्याची माहिती, वैयक्तिक संपर्काची म्हणजे पत्ता, फोन नंबर, ई-मेल हा तपशील, हा डेटा संकलित करून आणखी कोणाला दिला जाणार असेल तर त्याची माहिती, डेटा देणाऱ्याचे अधिकार आणि अधिकार वापरण्याच्या पद्धती, किती कालावधीकरता डेटा सांभाळला जाईल, डेटा वापरण्याबाबत तक्रार असेल तर तक्रार निवारण्याची व्यवस्था, तक्रार करण्याचा अधिकार, डेटासंकलनाला रेटिंग देण्याबाबत आवश्‍यकतेनुसार अधिकार वगैरे गोष्टींची माहिती स्वच्छ, स्पष्ट शब्दांत देण्याची व्यवस्था असून, शक्‍य असेल तिथं हे तपशील विविध भाषांमधून उपलब्ध करून देण्याची जबाबदारीही या विधेयकाच्या मसुद्यात आहे. 

 डेटा राखून ठेवण्यावर (स्टोरेज) बरीच बंधनं आणण्यात आली आहेत. डेटा किती वर्षं ठेवला जाईल, हेही निश्‍चित करण्यात आलं आहे. डेटा आवश्‍यक कालावधीपुरताच ठेवणं आवश्‍यक आहे. डेटाचं संकलन करणाऱ्यांनी याबाबतच्या नोंदी ठेवणं आवश्‍यक आहे आणि याची वेळोवेळी तपासणीही करणं आवश्‍यक आहे. डेटा राखून ठेवण्याची आवश्‍यकता नसेल, तर तो नष्ट करणं आवश्‍यक आहे. 

 डेटा गोळा करण्याच्या/संचलन करण्याच्या जबाबदारीबाबत तरतुदी समाविष्ट करण्यात आल्या आहेत. यामध्ये संमती, त्यासाठी लागणारी माहिती, संमतीसाठी कमीत कमी त्रास, लहान मुलांच्या बाबतीतली माहिती, ही माहिती पालकांनी दिली असल्यास त्यांचे अधिकार तपासणं इत्यादी बाबींची तरतूद करण्यात आली आहे. मुलांच्या बाबतीतल्या काही माहितीवर- जिच्यामुळे मुलांच्या भविष्याला हानी होईल, वागणुकीवर परिणाम होऊ शकेल, जाहिरातीकरिता अशा माहितीचा वापर होईल, किंवा मुलांवर परिणाम करू शकणाऱ्या माहितीवर- नियंत्रण आणलं गेलं आहे. 

 संकलित केलेली माहिती मुलांना उपलब्ध होत असेत, तर त्याबाबतच्या जबाबदाऱ्या आणि घ्यायची काळजी याबाबतही तरतुदी करण्यात आल्या आहेत. यामध्ये मुलाचं वय तपासणं बंधनकारक आहे. पालकांची आवश्‍यकता पडताळणं आवश्‍यक आहे. 

 हा कायदा केवळ भारतातल्या डेटा गोळा करणाऱ्या, भारतीय कायद्याखालच्या नियंत्रित कंपन्याना लागू नाही. भारतात गोळा केलेला डेटा परदेशात वळवण्याचा अधिकार असलेल्या कंपन्याही या कायद्याच्या कक्षेत येतील. 

 डेटासंकलन करण्याचं उद्दिष्ट, तपासणी, संरक्षण आणि याबाबत निवाडे देण्यासाठी संपूर्ण देशासाठी माहिती संरक्षण प्राधिकरणाचं (डेटा प्रोटेक्‍शन ॲथॉरिटी) नियोजन करण्यात आलं आहे. केंद्र सरकारनं हे प्राधिकरण स्थापन करायचं असून, त्यामध्ये अध्यक्ष आणि सहा सभासदांचा समावेश आहे. याची निवड सरन्यायाधीश अथवा त्यांनी नेमलेल्या सर्वोच्च न्यायालयाच्या न्यायाधीशांच्या अध्यक्षतेखालल्या समितीनं करायची आहे. निवड समितीमध्ये मान्यवर तज्ज्ञ व्यक्तींचासुद्धा समावेश असावा असं सुचवण्यात आलं आहे. 

 सरकारला सार्वजनिक हितासाठी, कायदा आणि सुव्यस्था अंमलात आणण्यासाठी आणीबाणीच्या काळात, किंवा नोकरी किंवा इतर योग्य कारणासाठी विनासंमती माहिती गोळा करण्याचा अधिकार देण्यात आला आहे. 

 हा नियोजित कायदा खासगी आणि सार्वजनिक क्षेत्रालाही लागू आहे. 

 गोळा केलेल्या वैयक्तिक माहितीचं संकलन भारतामध्येच करणं बंधनकारक असेल. या व्यतिरिक्त आंतरराष्ट्रीय पातळीवर डेटा बाहेर पाठवणं आवश्‍यक असेल, तर त्यासाठी आदर्श आंतरराष्ट्रीय करार होणं आवश्‍यक आहे. माहिती परदेशात पाठवणाऱ्या व्यक्तीनं किंवा संस्थेनं तरतुदींचा भंग केला, तर व्यापक आणि गंभीर परिणामांना तोंड द्यावं लागेल.

 या कायद्यातल्या तरतुदींचा भंग केल्यास मोठ्या प्रमाणात दंडाची तरतूद करण्यात आली आहे आणि या दंडाची तरतूद कंपनीच्या जागतिक उलाढालींशी जोडली आहे. हा दंड आर्थिक उलाढालीच्या दोन ते चार टक्के इतका असेल. माहिती संकलन करणाऱ्यांवर या माहितीची सुरक्षितता आणि गोपनीयता ठेवण्याची जबाबदारी दिली आहे. ही जबाबदारी पाळली नाही, तर त्याबाबतसुद्धा तरतुदी करण्यात आल्या आहेत. 

 या कायद्यामध्ये तक्रारीचं निराकरणदेखील त्वरीत होण्यासाठी तरतूद आहे. तक्रारीचं निराकरण तीस दिवसांत अपेक्षित आहे. 

 या कायद्यान्वये स्थापन करण्यात आलेल्या प्राधिकरणालाच कायदेशीर निर्णय घेता येणार आहेत. 

वास्तव नक्की काय? 
आपला देश चांगले कायदे सतत देतो; पण या कायद्यांची अंमलबजावणी हा संशोधनाचा विषय आहे. माहिती-तंत्रज्ञान विश्‍वामध्ये घडत असलेल्या वास्तवातल्या घडामोडीही पाहणं आवश्‍यक आहे. सायबर विश्‍वातले गुन्हेगार जगभर पोलिसांपेक्षा चार पावलं पुढं आहेत. सीआयए किंवा अमेरिकेतली सर्वांत सुरक्षित नॅशनल सिक्‍युरिटी एजन्सी यादेखील हॅकिंगला बळी पडलेल्या आहेत. ‘इंडियन कॉम्प्युटर एमर्जन्सी रिस्पॉन्स टीम ही जगाच्या कित्येक वर्षं मागं आहे. भारतीय तज्ज्ञ जगाला सॉफ्टवेअर तयार करायला मदत करतात; पण भारतातल्या सरकारी यंत्रणा पूर्णपणे मागे आहेत. भारताच्या एमर्जन्सी रिस्पॉन्स टीमचीच वेबसाइट गेल्या वर्षी हॅक झाली होती. ‘वॉन्ना क्राय रॅन्समवेअर’ हल्ल्यातून बाहेर पडायला अमेरिकी यंत्रणेनं त्याच दिवशी सुचवलं. भारतीय सर्ट-इनला दोन दिवस लागले. संपूर्ण जगभर डार्कनेटचा धुमाकूळ चालू आहे. या डार्कनेटवर नियंत्रण ठेवणे, जगभरातल्या सुरक्षा यंत्रणांना डोकेदुखी झाली आहे. फेसबुक, गुगल अशा प्रचंड प्रमाणात डेटा गोळा करणाऱ्या अनेक संस्थांचा डेटा भारतात नाही. अशा अनेक कंपन्याचा डेटा भारतामध्ये आणायला विरोध आहे. भारतातल्या डेटा सिक्‍युरिटी कौन्सिल ऑफ इंडियाचा (डीएससीआय) यांचा देशात डेटा ठेवण्यालाच विरोध आहे आणि हा विरोध न्या. श्रीकृष्ण समितीसमोर मांडण्यात आला आहे. 

भारतात डेटा ठेवणं तांत्रिकदृष्ट्या किती शक्‍य आहे, त्याची सुरक्षा कशी सांभाळली जाणार आहे आणि असा डेटा देशात ठेवायचा झाल्यास येणाऱ्या खर्चाचं काय करायचं, हाही एक प्रश्‍न आहे. अनेक नवीन येऊ घातलेल्या कंपन्यांकडं याबाबतच्या तरतुदींची अंमलबजावणी करण्याइतकं आर्थिक पाठबळ नाही. या समितीनं उत्कृष्ट काम केलं आहे यात वाद नाही; पण माहिती-तंत्रज्ञानाबाबतची वस्तुस्थिती किती पडताळली आहे आणि या वस्तुस्थितीचा प्रचलित कायद्यांवर किती विपरीत परिणाम होणार आहे, याची तपासणीही आवश्‍यक आहे. चांगला कायदा आणताना त्याची अंमलबजावणी किती चांगली होऊ शकते, हेही पाहणं आवश्‍यक आहे. सध्याच्या माहिती-तंत्रज्ञान कायद्याखाली अस्तित्वात आलेल्या ॲथॉरिटी अनेक वर्षं कागदोपत्री अस्तित्वात आहेत. माहिती-तंत्रज्ञान क्षेत्रात खासगी कंपन्यांतून मिळणारे वेतन आणि फायदे यांची तुलना सरकारी नोकरीशी केली, तफावत प्रचंड आहे. त्यामुळं चांगला कायदा आणूनही कुशल मनुष्यबळाच्या अभावामुळं त्याची अंमलबजावणी करण्यात सरकार अपयशी ठरण्याची भीती आहे. 

दुसरं म्हणजे देशामध्ये नागरिकांनाच स्वतःच्या माहितीचं महत्त्व लक्षात येत नाही, हाही मोठा भाग आहे. पॉइंट्‌स मिळतात म्हणून किंवा किरकोश बक्षीस मिळतं म्हणून केवळ सर्वसामान्य नागरिकच नव्हे, तर सुशिक्षित नागरिकसुद्धा महत्त्वाची माहिती सहजासहजी देतात. प्रस्तुत विधेयक संसदेच्या हिवाळी अधिवेशनात मांडलं जाण्याची शक्‍यता आहे. या प्रस्तावित कायद्याबरोबरच आणखी अनेक कायद्यांमध्ये दुरुस्ती अपेक्षित आहे. त्यामुळं हे विधेयक कधी मंजूर होईल हा पुढचा प्रश्‍न; मात्र प्रचंड मेहनत घेऊन तयार केलेला विधेयकाचा मसुदा अतिशय महत्त्वपूर्ण आहे, एवढं मात्र निश्‍चित.

'सप्तरंग'मधील लेख वाचण्यासाठी क्लिक करा

Web Title: How to protect data privacy in India, by Abhay Nevgi