டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு விதிகள் (Digital Personal Data Protection Rules) இந்தியாவின் தனியுரிமை கட்டமைப்பின் பலவீனங்களை இன்னும் மோசமாக்குகின்றன.
இந்திய உச்சநீதிமன்றம் நீதிபதி கே.எஸ். புட்டசாமி (ஓய்வு) vs இந்திய ஒன்றியம் (Justice K.S. Puttaswamy (Retd) vs Union of India) வழக்கில் தனியுரிமைக்கான அடிப்படை உரிமையை உறுதிப்படுத்தி தீர்ப்பளித்து சுமார் எட்டு ஆண்டுகள் ஆகின்றன. இருப்பினும், இந்தியாவில் தனியுரிமைச் சட்டம் (privacy law) இன்னும் தெளிவாக குறிப்பிடவில்லை. ஆகஸ்ட் 2023-ம் ஆண்டில், டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டம் (Digital Personal Data Protection Act (DPDPA)) அறிவிக்கப்பட்டது. ஆனால், அதை இன்னும் அமல்படுத்த முடியவில்லை. டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு விதிகளுக்கான (Digital Personal Data Protection Rules (DPDP)) விதிகள் அறிவிக்கப்படாததே இதற்கு முக்கிய காரணமாக உள்ளது. 16 மாத தாமதத்திற்குப் பிறகு, டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு விதிகள் (DPDP) இப்போது பொதுமக்களின் ஆலோசனைக்காக வெளியிடப்பட்டுள்ளன. இதற்கான, விதிகள் முழுமையாக செயல்படுத்தப்படுவதற்கு குறைந்தது இன்னும் சில மாதங்கள் ஆகும் என்பதை இது குறிக்கிறது.
டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டம் (DPDPA) என்பது புதிய தனியுரிமை சிக்கல்களைக் கையாள போதுமானதாக இல்லாத ஒரு சட்டமாக உள்ளது. இந்த சிக்கல்கள் குறிப்பாக நடத்தை தரவு சேகரிப்பு (collection of behavioural data), வழிமுறை கண்காணிப்பு (algorithmic surveillance) மற்றும் செயற்கை நுண்ணறிவு (Artificial Intelligence (AI)) அமைப்புகளின் பயன்பாடு ஆகியவற்றுடன் தொடர்புடையவை. இந்த அமைப்புகள் அதிக அளவு தனிப்பட்ட தரவை சேகரிப்பதை நம்பியுள்ளன. இந்தச் சட்டம் முக்கியமாக தரவு பாதுகாப்பின் அறிவிப்பு மற்றும் ஒப்புதல் மாதிரியைப் பின்பற்றுகிறது. இந்த மாதிரி தனிநபர்கள் (தரவு முதன்மையாளர்கள்) ஒப்புதல் அளிப்பதன் விளைவுகளை அறிவார்கள் என்று கருதுகிறது. இருப்பினும், மிகப்பெரிய தகவல் இடைவெளி உள்ள சந்தையில் இது கிட்டத்தட்ட சாத்தியமற்றதாகிறது. எங்கள் தனிப்பட்ட தரவைச் சேகரித்து செயலாக்கும் நிறுவனங்களுடன் ஒப்பிடும்போது தரவு முதன்மையாளர்கள் (நாங்கள்) ஒரு பாதகமான நிலையில் உள்ளனர். இந்த நிறுவனங்கள் ஒரு குழுவாக எங்களைப் பற்றிய கணிப்புகளைச் செய்ய எங்கள் தரவை பகுப்பாய்வு செய்கின்றன. எங்கள் நடத்தையை பாதிக்க டிஜிட்டல் இடைமுகங்களையும் வடிவமைக்கின்றன. கூடுதலாக, எங்கள் தரவிலிருந்து உருவாக்கப்பட்ட மிகவும் விரிவான சுயவிவரங்களை அவர்கள் வர்த்தகம் செய்கிறார்கள்.
டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு விதிகள் (DPDP), சிறந்த நிலையில் பலவீனமானவை மற்றும் மோசமான நிலையில் ஆபத்தானவை ஆகும். இந்த விதிகள் டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டத்தின் (DPDPA) விதிகளை தெளிவுபடுத்துவதற்காகவே உருவாக்கப்பட்டன. இருப்பினும், இந்த விதிகளில் பல எதிர்கால அறிவிப்புக்காக விடப்பட்டன. இதன் விளைவாக, விதிகளின் பல அம்சங்கள் இன்னும் தெளிவாக இல்லை அல்லது தொழில்துறைக்கு குறைந்த முயற்சியாக உள்ளன.
வழக்கம் போல் வணிகம் (Business as usual)
டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு விதிகளில் (DPDP) உள்ள பல விதிகள் தெளிவான வழிகாட்டுதல்களை வழங்குகின்றன. உதாரணமாக, விதி 4 தனியுரிமை அறிவிப்புகள் எவ்வாறு வடிவமைக்கப்பட வேண்டும் என்பதை விளக்குகிறது. விதி 6 நிறுவனங்கள் பின்பற்ற வேண்டிய பாதுகாப்பு நடவடிக்கைகளை கோடிட்டுக் காட்டுகிறது. விதி 7 தரவு மீறலை எவ்வாறு புகாரளிப்பது என்பதை விவரிக்கிறது. இந்த விதிகள் அடிப்படை தனியுரிமை திட்டங்களின் ஒரு பகுதியாகும். பெரும்பாலான நிறுவனங்கள் வணிகம் தொடர்பாக இணங்குவதற்கு அவற்றின் தற்போதைய செயல்முறைகளில் குறைந்தபட்ச மாற்றங்கள் மட்டுமே தேவைப்படும்.
'குறிப்பிடத்தக்க தரவு நம்பகத்தன்மையாளர்கள்' (Significant Data Fiduciaries) என்பது அதிக அளவிலான உணர்திறன் வாய்ந்த தனிப்பட்ட தரவை செயலாக்கும் நிறுவனங்கள் ஆகும். இதன் காரணமாக, தரவு பாதுகாப்பு தாக்க மதிப்பீடுகள் மற்றும் தணிக்கைகளை நடத்துவது போன்ற கூடுதல் பொறுப்புகள் அவர்களுக்கு உள்ளன. இருப்பினும், இந்த நடைமுறைகள் ஏற்கனவே பெரும்பாலான பெரிய நிறுவனங்களால் பின்பற்றப்படுகின்றன. எந்த நிறுவனங்கள் குறிப்பிடத்தக்க தரவு நம்பகத்தன்மையாளர்கள் என வகைப்படுத்தப்படும் என்பதற்கான தெளிவான வரையறை இன்னும் இல்லை.
இந்த நிறுவனங்கள் தரவு முதன்மைகளின் (data principals) உரிமைகள் வழிமுறை அமைப்புகளால் (algorithmic systems) பாதிக்கப்படாமல் இருப்பதை உறுதி செய்ய வேண்டும். இருப்பினும், இந்த அமைப்புகள் எந்த வகையான முடிவுகளைத் தவிர்க்க வேண்டும், அவை ஏற்படுத்தும் அபாயங்களை எவ்வாறு நிவர்த்தி செய்வது, அல்லது இந்த அமைப்புகளின், குறிப்பாக AI- அடிப்படையிலானவற்றின் முறையான பயிற்சி மற்றும் செயல்பாட்டை எவ்வாறு உறுதி செய்வது என்பது குறித்து குறிப்பிட்ட வழிகாட்டுதல்கள் எதுவும் இல்லை.
தவறான நடவடிக்கைகள்
பிற விதிகள் சிக்கலானவை. உதாரணமாக, குழந்தைகளின் தனிப்பட்ட தகவல்களை செயலாக்கும் நிறுவனங்கள், ஒவ்வொரு முறையும், பெற்றோர் அல்லது பாதுகாவலர் என்று கூறிக்கொள்ளும் நபரின் அடையாளத்தை சரிபார்க்க வேண்டும். அனைத்து பெற்றோருக்கும் தங்கள் குழந்தைகளுக்கான தகவலறிந்த முடிவுகளை எடுக்க அடையாள விவரங்கள் (ID details) மற்றும் தேவையான டிஜிட்டல் கல்வியறிவு (necessary digital literacy) இருப்பதாக இது கருதுகிறது. உண்மையில், இந்தத் தேவை இந்தியாவின் டிஜிட்டல் பிளவை மோசமாக்கும்.
கூடுதலாக, இந்த நடவடிக்கை குழந்தைகள் ஆன்லைனில் எதிர்கொள்ளும் உண்மையான தீங்குகளை நிவர்த்தி செய்யாது. சட்டத்தின் முந்தைய வரைவுகளில் இந்த நிறுவனங்களை 'பாதுகாவலர் தரவு நம்பிக்கையாளர்கள்' (guardian data fiduciaries) என்று முத்திரை குத்துவது போன்ற வலுவான விதிகள் இருந்தன. இது குழந்தைகளுக்கு தீங்கு விளைவிக்கும் வகையில் விவரக்குறிப்பு, நடத்தை கண்காணிப்பு மற்றும் தரவை செயலாக்குவதிலிருந்து அவர்களைத் தடை செய்திருக்கும். மேலும், நான்காவது அட்டவணையில் குறிப்பிடப்பட்டுள்ள சில நோக்கங்களுக்காக, நடத்தை கண்காணிப்பு மற்றும் குழந்தைகளை நோக்கிய இலக்கு விளம்பரம் மீதான தடை நீக்கப்பட்டுள்ளது, ஏனெனில் அத்தகைய கண்காணிப்பு ஏன் முதலில் தேவைப்படுகிறது என்பதற்கான எந்த காரணமும் இல்லை.
சட்டத்தின் தேவைகளிலிருந்து அதன் முகமைளுக்கு விலக்கு அளிப்பதற்கும் தடுப்பு உத்தரவுகளை பிறப்பிப்பதற்கும் அரசாங்கத்தின் அதிகாரங்கள் விரிவுபடுத்தப்பட்டுள்ளன. இந்தியாவின் இறையாண்மை மற்றும் ஒருமைப்பாட்டைப் பாதுகாக்க அல்லது எந்தவொரு சட்டப்பூர்வ செயல்பாட்டையும் செய்ய தேவைப்பட்டால், தரவு நம்பிக்கையாளர் அல்லது இடைத்தரகரிடமிருந்து தகவல்களைக் கோருவதற்கு விதிகள் இப்போது மத்திய அரசை அனுமதிக்கின்றன. இது ஒரு தரவு நம்பிக்கையாளரால் (data fiduciary) சேகரிக்கப்பட்ட எந்தவொரு தகவலுக்கும் மத்திய அரசுக்கு பரந்த அணுகலை வழங்குகிறது. இது ஒரு கண்காணிப்பு நிலைக்கு வழிவகுக்கும். அதிகப்படியான அதிகாரப் பகிர்வு காரணமாக இந்த விதி சவால் செய்யப்படுவதற்கான வாய்ப்பு உள்ளது.
உரிமைகளை நீர்த்துப்போகச் செய்தல்
தரவுத் தலைவர்களுக்கு (Data principals) இழப்பீடு கோருவதற்கான உரிமைகள் மற்றும் பி.என். ஸ்ரீகிருஷ்ணா குழுவின் சுதந்திரமான தரவுப் பாதுகாப்பு வாரியத்திற்கான (independent data protection board) தொலைநோக்குப் பார்வை ஆகியவை இனி சட்டத்தின் கீழ் இல்லை. தரவுப் பாதுகாப்பு வாரியத்திற்கான விதிகளை விதிகள் கோடிட்டுக் காட்டுகின்றன. ஆனால், அதன் செயல்பாட்டின் அனைத்து அம்சங்களையும் மத்திய அரசின் கண்காணிப்பின் கீழ் வைக்கின்றன. இதன் விளைவாக, தரவுத் தலைவர்களுக்கு ஒரு சுதந்திரமான ஒழுங்குமுறை அதிகாரி இல்லாமல் விடப்படுகிறது. கூடுதலாக, வாரியத்தை அமைப்பதற்கான தெளிவான காலக்கெடு எதுவும் இல்லை. இந்தக் காலகட்டத்தில், தனியார் நிறுவனங்களுக்கு எதிராக நிவாரணம் வழங்க எந்த மன்றமும் இல்லை.
டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டம் (DPDPA) மற்றும் அதன் விதிகளின் பொதுவான கருத்து என்னவென்றால், அவை தொழில்துறைக்கு கடுமையானவையாகப் பார்க்கப்படுகிறது. கோட்பாட்டளவில் விதிக்கப்படக்கூடிய ₹250 கோடி வரை பெரிய அபராதங்கள் இதற்குக் காரணம் ஆகும். இருப்பினும், சட்டத்தின் இறுதிப் பதிப்பு 2018 ஆம் ஆண்டு அசல் வரைவை விட மிகவும் பலவீனமானது. உரிய விடாமுயற்சி மற்றும் தரவு பாதுகாப்பு தாக்க மதிப்பீடுகளுக்கான தேவைகள் உட்பட பல முக்கிய அம்சங்கள் குறைக்கப்பட்டுள்ளன. தனியுரிமை-வடிவமைப்பு விதிகள் நீக்கப்பட்டுள்ளன. அத்துடன் சட்டப்பூர்வமாக அங்கீகரிக்கப்பட்ட தீங்குகளின் வகைகளும் நீக்கப்பட்டுள்ளன. இழப்பீடு கோருவதற்கான தரவு பாடங்களின் உரிமைகளும் நீக்கப்பட்டுள்ளன. கூடுதலாக, தனிநபர்கள் தங்கள் உரிமைகளைப் பாதிக்கக்கூடிய வழிமுறை முடிவெடுப்பதில் இருந்து பாதுகாக்க எந்த விதிகளும் இல்லை. விதிகள் இந்தப் பிரச்சினைகளை மோசமாக்குகின்றன. உண்மையில், தொழில்துறைக்கு ஒரு நிவாரணமாகப் பார்க்கப்பட வேண்டும்.
உலகெங்கிலும் உள்ள ஒழுங்குமுறை நிறுவனங்கள் தரவு பாதுகாப்புச் சட்டங்களுக்கு அப்பால் சென்றுள்ளன. அவர்கள் இப்போது தொழில்நுட்பத்தின் அடுத்த பெரிய பிரச்சினையான AI-யில் கவனம் செலுத்துகின்றனர். இருப்பினும், இதில் இந்தியா பின்தங்கியுள்ளது. இந்த தாமதம் நமது தனிநபர் மற்றும் கூட்டு தனியுரிமை உரிமைகளைப் பாதிக்கிறது. இதைப் பாதுகாக்க அரசுக்கு முழு பொறுப்பாகும். இந்தியா இந்தக் கடமையை நிறைவேற்றவில்லை. அதற்கு பதிலாக, அது தொழில்துறைக்கான தேவைகளைத் தளர்த்துகிறது. மாநில கண்காணிப்பை அதிகரிக்கிறது மற்றும் தரவு பாதுகாப்பு வாரியத்தை உருவாக்குவதை மேலும் ஒத்திவைக்கிறது. இதன் விளைவாக, இந்தியாவின் தரவு பாதுகாப்பு சட்டம் புட்டசாமி தீர்ப்பில் நிர்ணயிக்கப்பட்ட அடிப்படை தரநிலைகளை பூர்த்தி செய்யவில்லை.
ஸ்ரீயா ஸ்ரீதர் சென்னையில் உள்ள ஒரு கல்வியாளர், மேலும் வளர்ந்து வரும் தொழில்நுட்பங்களை ஒழுங்குபடுத்துவது பற்றி ஆய்வு செய்கிறார்.