അടയ്ക്കാനുണ്ട് പഴുതുകളേറെ
റേഷൻകട തൊട്ട് സ്കൂൾ പ്രവേശനം വരെ ഡിജിറ്റലായ ഇക്കാലത്ത് വ്യക്തിയുടെ വിവരങ്ങൾ സുരക്ഷിതമാണെന്ന് ഉറപ്പാക്കാൻ നിയമസംവിധാനം അനിവാര്യമാണ്. അതിലേക്കുള്ള നിർണായക ചുവടുവയ്പാണ് കഴിഞ്ഞ ദിവസം പാർലമെന്റിൽ അവതരിപ്പിച്ച ഡിജിറ്റൽ വ്യക്തിവിവര സുരക്ഷാ (ഡിപിഡിപി) ബിൽ. 2017 ജൂലൈയിലാണ് വിവരസുരക്ഷാ ബില്ലിന്റെ കരടുരൂപം തയാറാക്കാൻ ജസ്റ്റിസ് ബി.എൻ.ശ്രീകൃഷ്ണയുടെ നേതൃത്വത്തിൽ കേന്ദ്രം കമ്മിറ്റി രൂപീകരിച്ചത്.
റേഷൻകട തൊട്ട് സ്കൂൾ പ്രവേശനം വരെ ഡിജിറ്റലായ ഇക്കാലത്ത് വ്യക്തിയുടെ വിവരങ്ങൾ സുരക്ഷിതമാണെന്ന് ഉറപ്പാക്കാൻ നിയമസംവിധാനം അനിവാര്യമാണ്. അതിലേക്കുള്ള നിർണായക ചുവടുവയ്പാണ് കഴിഞ്ഞ ദിവസം പാർലമെന്റിൽ അവതരിപ്പിച്ച ഡിജിറ്റൽ വ്യക്തിവിവര സുരക്ഷാ (ഡിപിഡിപി) ബിൽ. 2017 ജൂലൈയിലാണ് വിവരസുരക്ഷാ ബില്ലിന്റെ കരടുരൂപം തയാറാക്കാൻ ജസ്റ്റിസ് ബി.എൻ.ശ്രീകൃഷ്ണയുടെ നേതൃത്വത്തിൽ കേന്ദ്രം കമ്മിറ്റി രൂപീകരിച്ചത്.
റേഷൻകട തൊട്ട് സ്കൂൾ പ്രവേശനം വരെ ഡിജിറ്റലായ ഇക്കാലത്ത് വ്യക്തിയുടെ വിവരങ്ങൾ സുരക്ഷിതമാണെന്ന് ഉറപ്പാക്കാൻ നിയമസംവിധാനം അനിവാര്യമാണ്. അതിലേക്കുള്ള നിർണായക ചുവടുവയ്പാണ് കഴിഞ്ഞ ദിവസം പാർലമെന്റിൽ അവതരിപ്പിച്ച ഡിജിറ്റൽ വ്യക്തിവിവര സുരക്ഷാ (ഡിപിഡിപി) ബിൽ. 2017 ജൂലൈയിലാണ് വിവരസുരക്ഷാ ബില്ലിന്റെ കരടുരൂപം തയാറാക്കാൻ ജസ്റ്റിസ് ബി.എൻ.ശ്രീകൃഷ്ണയുടെ നേതൃത്വത്തിൽ കേന്ദ്രം കമ്മിറ്റി രൂപീകരിച്ചത്.
റേഷൻകട തൊട്ട് സ്കൂൾ പ്രവേശനം വരെ ഡിജിറ്റലായ ഇക്കാലത്ത് വ്യക്തിയുടെ വിവരങ്ങൾ സുരക്ഷിതമാണെന്ന് ഉറപ്പാക്കാൻ നിയമസംവിധാനം അനിവാര്യമാണ്. അതിലേക്കുള്ള നിർണായക ചുവടുവയ്പാണ് കഴിഞ്ഞ ദിവസം പാർലമെന്റിൽ അവതരിപ്പിച്ച ഡിജിറ്റൽ വ്യക്തിവിവര സുരക്ഷാ (ഡിപിഡിപി) ബിൽ.
2017 ജൂലൈയിലാണ് വിവരസുരക്ഷാ ബില്ലിന്റെ കരടുരൂപം തയാറാക്കാൻ ജസ്റ്റിസ് ബി.എൻ.ശ്രീകൃഷ്ണയുടെ നേതൃത്വത്തിൽ കേന്ദ്രം കമ്മിറ്റി രൂപീകരിച്ചത്. സ്വകാര്യത മൗലികാവകാശമാണെന്ന് അതേ വർഷം ഓഗസ്റ്റിൽ വ്യക്തമാക്കിയ സുപ്രീം കോടതിയുടെ സുപ്രധാന വിധിന്യായത്തിലും വിവരസുരക്ഷയ്ക്കായി നിയമം വേണമെന്ന നിർദേശമുണ്ടായിരുന്നു.
വിശദ ചർച്ചകൾക്കുശേഷം ജസ്റ്റിസ് ശ്രീകൃഷ്ണ കമ്മിറ്റി 2018ൽ റിപ്പോർട്ടും കരടു ബില്ലും സമർപ്പിച്ചു. 2019ൽ സർക്കാർ ലോക്സഭയിൽ അവതരിപ്പിച്ച ബിൽ സംയുക്ത പാർലമെന്ററി സമിതിക്കു വിട്ടു. രണ്ടു വർഷത്തിനുശേഷം സമിതി റിപ്പോർട്ട് നൽകിയെങ്കിലും അതിലെ ശുപാർശകൾ അംഗീകരിക്കുന്നതിനു പകരം ബിൽ പിൻവലിക്കുകയാണു സർക്കാർ ചെയ്തത്. തുടർന്ന് 2022 നവംബറിൽ കേന്ദ്രം കൊണ്ടുവന്ന പുതിയ കരടുബില്ലാണ് പൊതുജനാഭിപ്രായം തേടിയ ശേഷം കഴിഞ്ഞ ദിവസം പാർലമെന്റിൽ അവതരിപ്പിച്ചത്. 6 വർഷത്തോളം നീണ്ട കൂടിയാലോചനകൾക്കു ശേഷം അവതരിപ്പിച്ച ബില്ലാണെങ്കിലും, യൂറോപ്പിലെ വിവര സുരക്ഷാ നിയമവുമായി (ജിഡിപിആർ) താരതമ്യം ചെയ്യുമ്പോൾ വ്യക്തികളുടെ സ്വകാര്യത സംരക്ഷിക്കുന്നതിലും വിവരസുരക്ഷ ഉറപ്പു വരുത്തുന്നതിലും ഇനിയുമൊരുപാട് ദൂരം താണ്ടാനുണ്ട്.
സർക്കാരിന് എന്തുമാകാം
സർക്കാരുകൾക്ക് അനിയന്ത്രിത അധികാരങ്ങൾ നൽകുന്നതാണ് ബില്ലിലെ വ്യവസ്ഥകൾ
∙ നിയമം നടപ്പായി 5 വർഷത്തിനുള്ളിൽ കേന്ദ്ര സർക്കാരിന് ഏതു സ്ഥാപനത്തെയും ബില്ലിന്റെ വ്യവസ്ഥകളിൽനിന്നു പൂർണമായും ഒഴിവാക്കാം. വ്യക്തികളുടെ വിവരങ്ങൾ ഏറ്റവും കൂടുതൽ കൈകാര്യം ചെയ്യുന്ന സർക്കാർ സംവിധാനങ്ങളിൽനിന്നു വിവരച്ചോർച്ചയുണ്ടായാൽ ബില്ലിലെ വ്യവസ്ഥ ബാധകമാകില്ല. കോവിൻ വിവരച്ചോർച്ച പോലൊന്ന് ഭാവിയിലുണ്ടായാൽ നേരിടാൻ ബിൽ പര്യാപ്തമല്ലെന്നു ചുരുക്കം.
∙ പൊലീസിന്റെയും സർക്കാർ ഏജൻസികളുടെയും നിരീക്ഷണത്തെക്കുറിച്ച് (surveillance) ഈ ബില്ലിൽ പരാമർശമേയില്ല. സർക്കാർ ഏജൻസികളുടെ നിരീക്ഷണം കർശനമായും അനിവാര്യതയെ (principle of necessity) അടിസ്ഥാനമാക്കി ഉള്ളതായിരിക്കണമെന്നായിരുന്നു ബില്ലിന്റെ ആദ്യരൂപം പരിഗണിച്ച സംയുക്ത പാർലമെന്ററി സമിതിയുടെ ശുപാർശ.
∙ വിവിധ സേവനങ്ങൾ, സബ്സിഡി, ലൈസൻസ് തുടങ്ങിയവയ്ക്കായി പൗരർ നൽകുന്ന വ്യക്തിവിവരങ്ങൾ മറ്റു പദ്ധതികൾക്കോ സേവനങ്ങൾക്കോ ഉപയോഗിക്കാൻ സർക്കാരുകൾക്ക് അധികാരമുണ്ടാകും. വിവരം നൽകുന്നതിനുള്ള സമ്മതം (consent) എന്ത് ആവശ്യത്തിനാണോ നൽകുന്നത്, അതു മറ്റു കാര്യങ്ങൾക്ക് ഉപയോഗിക്കാൻ പാടില്ല എന്ന തത്വത്തിനു വിരുദ്ധമാണിത്.
∙ വിവര സുരക്ഷാ ബോർഡിലെ അംഗങ്ങളെ നിയമിക്കുന്നതു കേന്ദ്രം നേരിട്ടാണ്. ഇതു ബോർഡിന്റെ സ്വതന്ത്രമായ നടത്തിപ്പിനെ ബാധിക്കാം. ബില്ലിൽ പരിമിതമായ വ്യവസ്ഥകൾ മാത്രം ഉൾപ്പെടുത്തി, കാതലായ കാര്യങ്ങൾ ചട്ടങ്ങളിലൂടെ നടപ്പാക്കാനുള്ള അധികാരം സർക്കാരിനു വിട്ടുകൊടുക്കുന്നത് പാർലമെന്ററി പ്രക്രിയയെ നോക്കുകുത്തിയാക്കുന്നതിനു തുല്യമാണ്.
നഷ്ടപരിഹാരമില്ല; പക്ഷേ, പിഴയുണ്ട്
വ്യക്തിവിവരങ്ങൾക്കു മതിയായ സുരക്ഷ ഒരുക്കാത്തതു മൂലമുണ്ടാകുന്ന ചോർച്ചയ്ക്ക് വിവരം ശേഖരിക്കുന്ന സ്ഥാപനത്തിനു മേൽ 250 കോടി രൂപ വരെ പിഴ ചുമത്താൻ ബില്ലിൽ വ്യവസ്ഥയുണ്ട്. എന്നാൽ, നഷ്ടം സംഭവിച്ച വ്യക്തിക്ക് ഒരു രൂപ പോലും നഷ്ടപരിഹാരം ലഭിക്കില്ല.
നിലവിലുള്ള ഐടി നിയമത്തിലെ 43എ വകുപ്പുപ്രകാരം, ഒരു സ്ഥാപനം വിവരങ്ങൾ സുരക്ഷിതമായി സൂക്ഷിക്കാത്തതുകൊണ്ട് ആളുകൾക്കു സാമ്പത്തിക നഷ്ടമുണ്ടായാൽ അതു നികത്താൻ സ്ഥാപനത്തിനു ബാധ്യതയുണ്ട്. എന്നാൽ, പുതിയ ബില്ലിൽ ഈ വകുപ്പ് റദ്ദാക്കി. വ്യക്തിക്കു നഷ്ടപരിഹാരം നൽകുന്നതിനുള്ള വ്യവസ്ഥ പുതിയതായി ഉൾപ്പെടുത്തിയിട്ടുമില്ല. വ്യക്തികൾ യഥാർഥ വിവരങ്ങൾ നൽകണമെന്നും വിവരം നൽകുമ്പോൾ ആൾമാറാട്ടം നടത്തരുതെന്നും പറഞ്ഞിട്ടുണ്ട്. തെറ്റായതും നിസ്സാരവുമായ പരാതികൾ വിവരസുരക്ഷാ ബോർഡിനു നൽകരുതെന്നും നിഷ്കർഷിക്കുന്നു. ഇവ ലംഘിച്ചാൽ 10,000 രൂപ വരെ പിഴ ഈടാക്കാനും വ്യവസ്ഥയുണ്ട്. ‘തെറ്റും നിസ്സാരവു’മായ പരാതിക്കു പിഴ നൽകേണ്ടി വരുമെന്നതിനാൽ പരാതി നൽകുന്നതിൽനിന്നു തന്നെ ആളുകൾ പിൻവലിയാനിടയുണ്ട്. പരാതി നിസ്സാരമാണോ അല്ലയോ എന്ന് ഏതു മാനദണ്ഡപ്രകാരം അളക്കുമെന്ന ചോദ്യവുമുണ്ട്.
ഡേറ്റ ആരുമായി പങ്കുവയ്ക്കും ?
ബിൽ നിയമമായാൽ, വ്യക്തിയിൽനിന്നു വിവരങ്ങൾ തേടാൻ കമ്പനികൾ ‘അനുമതി’ (consent) തേടേണ്ടിവരും. വിവരങ്ങൾ എന്തിനൊക്കെ ഉപയോഗിക്കും, അനുമതി പിൻവലിക്കാനുള്ള നടപടിക്രമം, പരാതിപരിഹാര സംവിധാനം അടക്കം വ്യക്തിക്കു നൽകുന്ന നോട്ടിസിൽ വ്യക്തമാക്കണം. എന്നാൽ, ശേഖരിക്കുന്ന വിവരങ്ങൾ ആരുമൊക്കെയായി പങ്കുവയ്ക്കുമെന്ന് കമ്പനികൾ വ്യക്തികളെ മുൻകൂറായി അറിയിക്കേണ്ടതില്ല. പങ്കുവയ്ക്കുന്നതിനു മുൻകൂർ അനുമതി വാങ്ങണമെന്ന് നിഷ്കർഷിക്കുന്ന 2022ലെ കരട് ബില്ലിലെ നിബന്ധന പുതിയ ബില്ലിൽനിന്നു നീക്കം ചെയ്തു.
പൊതുവിടങ്ങളിലെ ഡേറ്റ ആർക്കും ഉപയോഗിക്കാം
ഒരു വ്യക്തി സമൂഹമാധ്യമങ്ങളിൽ സ്വന്തം നിലയിൽ പരസ്യമാക്കുന്ന വ്യക്തിവിവരങ്ങൾ മറ്റുള്ളവർക്ക് അനുമതിയില്ലാതെ ഉപയോഗിക്കാം. ബില്ലിലെ മറ്റു വ്യവസ്ഥകൾ ഇതിനു ബാധകമാകില്ല. അതായത്, നമ്മുടെ പ്രൊഫൈൽ ചിത്രം, പേര്, സമൂഹമാധ്യമങ്ങളിലെ പബ്ലിക് ആയുള്ള ചിത്രങ്ങൾ, അഭിപ്രായങ്ങൾ, അടിസ്ഥാന വ്യക്തിവിവരങ്ങൾ എന്നിവയൊക്കെ ആർക്കും ഉപയോഗിക്കാം.
ചാറ്റ്ജിപിടി, ഗൂഗിൾ ബാർഡ് പോലെയുള്ള ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ് സംവിധാനങ്ങൾ പബ്ലിക് ആയ ഇത്തരം വിവരങ്ങൾ പ്രോസസ് ചെയ്താണ് പ്രവർത്തിക്കുന്നത്. ഇവയ്ക്കു നിർബാധം ഇത്തരം ഡേറ്റ ഉപയോഗിക്കാം. മെഷീൻ ലേണിങ് കാലത്ത്, മുഖം തിരിച്ചറിയാൻ പ്രൊഫൈൽ ചിത്രങ്ങളടക്കം ദുരുപയോഗിക്കുമെന്ന ആശങ്കയും നിലനിൽക്കുന്നുണ്ട്. സർക്കാർ ഏജൻസികൾ പൊതുവിടങ്ങളിൽ പങ്കുവയ്ക്കുന്ന ആളുകളുടെ വ്യക്തിവിവരങ്ങളും ദുരുപയോഗം ചെയ്യപ്പെടാം.
ഇത്രയും കമ്മിറ്റികളും റിപ്പോർട്ടുകളും പൊതുജനാഭിപ്രായം അറിയാനുള്ള നടപടികളും മുൻപ് ഏതെങ്കിലും നിയമനിർമാണവുമായി ബന്ധപ്പെട്ടു നടന്നിട്ടുണ്ടോ എന്നു സംശയമാണ്. യൂറോപ്പിലെ ജനറൽ ഡേറ്റ പ്രോട്ടക്ഷൻ റഗുലേഷൻ (ജിഡിപിആർ), കലിഫോർണിയ കൺസ്യൂമർ പ്രൈവസി ആക്ട് (സിസിപിഎ) തുടങ്ങിയ മാതൃകകൾ ഇന്ത്യയ്ക്കു മുൻപിലുണ്ടായിരുന്നു. എന്നിട്ടും വ്യക്തികളുടെ അവകാശങ്ങൾ പൂർണമായും സംരക്ഷിക്കുന്ന സമഗ്രമായ വിവര സംരക്ഷണ നിയമം പ്രതീക്ഷിച്ചവരെ നിരാശരാക്കുന്ന ബില്ലാണ് അവതരിപ്പിച്ചിരിക്കുന്നത്. ഇതിൽ പാർലമെന്റിൽ വിശദചർച്ച നടക്കുമെന്നും ന്യൂനതകൾ പരിഹരിക്കപ്പെടുമെന്നും പ്രതീക്ഷിക്കാം.
വിവരാവകാശം കടലാസിലൊതുങ്ങും
വിവരാവകാശ അപേക്ഷയ്ക്കു പൊതുതാൽപര്യമുണ്ടെങ്കിൽപോലും ഇനി ആരുടെയും വ്യക്തിവിവരങ്ങൾ മറുപടിയായി ലഭിക്കില്ല. നിലവിലുള്ള വിവരസുരക്ഷാ നിയമത്തിലെ എട്ടാം വകുപ്പിൽ ഭേദഗതി വരുത്തിയിരിക്കുന്നു. എട്ടാം വകുപ്പിലെ ‘ജെ’ ഉപവകുപ്പ് അനുസരിച്ച് പൊതുതാൽപര്യമില്ലാത്തതും വ്യക്തികളുടെ സ്വകാര്യതയിലുള്ള കടന്നുകയറ്റത്തിനു സാധ്യതയുള്ളതുമായ വിവരങ്ങൾ മറുപടിയായി നൽകേണ്ടതില്ലായിരുന്നു.
എന്നാൽ, നിർദിഷ്ട ഭേദഗതിപ്രകാരം വ്യക്തിഗത വിവരങ്ങൾ വെളിപ്പെടുത്തുന്നതു പൂർണമായും തടയുന്നു. പാർലമെന്റിനു നിഷേധിക്കാൻ കഴിയാത്ത വിവരങ്ങൾ ഒരു വ്യക്തിക്കും നിഷേധിക്കാനാവില്ലെന്ന വ്യവസ്ഥയും എടുത്തുകളയും.
ബിൽ നിയമമായാൽ, അഴിമതിയുമായി ബന്ധപ്പെട്ട ചോദ്യങ്ങൾക്കു വ്യക്തികളുടെ വിവരങ്ങൾ ഉൾപ്പെടുന്നു എന്ന കാരണത്താൽ ഉത്തരം നിഷേധിക്കപ്പെടുന്ന സാഹചര്യമുണ്ടാകാം. ഇതു വിവരാവകാശനിയമത്തിന്റെ ലക്ഷ്യത്തെ തന്നെ ബാധിക്കും.
കുട്ടികളുടെ കാര്യത്തിൽ കർശനവ്യവസ്ഥ
കുട്ടികളുടെ വ്യക്തിവിവരങ്ങൾ ഓൺലൈനായി കൈകാര്യം ചെയ്യുന്നതിനു രക്ഷിതാക്കളുടെ സമ്മതം വേണമെന്ന വ്യവസ്ഥ ബില്ലിലുണ്ട്. പ്രത്യേക സാഹചര്യങ്ങളിൽ ഈ വ്യവസ്ഥയ്ക്ക് ഇളവു നൽകാൻ വകുപ്പുണ്ടെങ്കിലും അതു പരിമിതമാകാനാണ് സാധ്യത.
കുട്ടികളെ നിരീക്ഷിക്കുകയോ അതുവഴി അവരെ ഉന്നംവയ്ക്കുന്ന പരസ്യങ്ങൾ ചെയ്യുകയോ പാടില്ലെന്നതു നല്ല നിർദേശമാണ്.
എന്നാൽ, 18 വയസ്സ് വരെയുള്ളവർ ഏതു സൈറ്റിലും റജിസ്റ്റർ ചെയ്യുന്നതിനു രക്ഷിതാക്കളുടെ സമ്മതം വേണമെന്ന വ്യവസ്ഥ കുട്ടികളുടെ തുല്യമായ അവസരം നിഷേധിക്കപ്പെടാൻ ഇടയാക്കാം. ഓരോ വീട്ടിലെയും സാഹചര്യങ്ങൾ വ്യത്യസ്തമാണെന്നതു തന്നെയാണ് കാരണം.
അതുപോലെ, ആൺകുട്ടികൾക്കും പെൺകുട്ടികൾക്കും തുല്യമായ അവസരം ഉറപ്പാക്കാൻ കഴിയുമോയെന്നും സംശയമാണ്. പല രാജ്യങ്ങളിലും 18 വയസ്സിലും താഴെയാണ് ഇക്കാര്യത്തിൽ പ്രായപരിധി.
(കേരള ഹൈക്കോടതിയിലെ അഭിഭാഷകനും ഡൽഹി ആസ്ഥാനമായ സോഫ്റ്റ്വെയർ ഫ്രീഡം ലോ സെന്ററിന്റെ ലീഗൽ ഡയറക്ടറുമാണ് ലേഖകൻ)
English Summary: Concerns over Digital Personal Data Protection Bill