चीन में स्टोरेज और विदेश में डेटा ट्रांसफ़र पर और अधिक कड़ी निगरानी को ध्यान में रखते हुए रेगुलेटर्स - साइबरस्पेस एडमिनिस्ट्रेशन ऑफ़ चाइना (CAC) और मिनिस्ट्री ऑफ़ पब्लिक सिक्योरिटी - ने “बड़े ऑनलाइन प्लेटफ़ॉर्म के लिए पर्सनल जानकारी की सुरक्षा पर फ़ोकस करते हुए एक ड्राफ़्ट रेगुलेशन जारी किया। इस ड्राफ़्ट का मूल आधार, डेटा प्रोटेक्शन लेवल को बेहतर बनाने के लिए ‘नेशनल नेटवर्क आइडेंटिटी ऑथेंटिकेशन सर्विस’, डेटा लेबलिंग टेक्नोलॉजी और’ पर्सनल इन्फॉर्मेशन प्रोटेक्शन सर्टिफ़िकेशन’ के इस्तेमाल को बढ़ावा देना है।
नये नियमों के तहत प्लेटफॉर्म को गैर-कानूनी विदेशी डेटा ट्रांसफर से बचने के लिए टेक्निकल उपाय बढ़ाने होंगे और यूज़र्स को 30 वर्किंग डेज़ के अंदर अपने पर्सनल डेटा को एक्सेस करने, सही करने, डिलीट करने या ट्रांसफर करने के आसान तरीके देने होंगे। लाखों यूज़र्स को प्रभावित करने वाले डेटा ब्रीच जैसे गंभीर उल्लंघन, थर्ड-पार्टी असेसर्स द्वारा ज़रूरी ऑडिट को ट्रिगर कर सकते हैं और प्लेटफॉर्म को डेटा स्टोरेज को कंप्लायंट फैसिलिटी में शिफ्ट करने के लिए मजबूर कर सकते हैं। ड्राफ़्ट में डेटा सिक्योरिटी को बेहतर बनाने के लिए नेशनल आइडेंटिटी ऑथेंटिकेशन डेटा लेबलिंग और पर्सनल इन्फॉर्मेशन प्रोटेक्शन सर्टिफ़िकेशन अपनाने को बढ़ावा दिया गया है। पॉपुलर चीनी सोशल ऐप्स के 2023 के एकेडमिक रिव्यू में पाया गया कि कई ऑपरेटरों के पास प्राइवेसी के लिए काफ़ी सुरक्षा नहीं थी, और कभी-कभी उनकी पॉलिसी यूज़र प्राइवेसी को सुरक्षित रखने के लिए काफ़ी नहीं थीं। इसलिए, बिना जांच के डेटा कलेक्शन को रोकने, ट्रांसपेरेंसी की ज़रूरत, और डेटा हैंडलिंग को ज़रूरत के हिसाब से सीमित करने के लिए भी रेगुलेशन ज़रूरी हो गया।
नेशनल नेटवर्क आइडेंटिटी ऑथेंटिकेशन पब्लिक सर्विस को “नेशनल नेटवर्क आइडेंटिटी ऑथेंटिकेशन पब्लिक सर्विस मैनेजमेंट मेज़र्स” के तहत साइबरस्पेस एडमिनिस्ट्रेशन ऑफ़ चाइना और मिनिस्ट्री ऑफ़ पब्लिक सिक्योरिटी ने हाल में “बड़े ऑनलाइन प्लेटफ़ॉर्म के लिए पर्सनल जानकारी की सुरक्षा” पर फ़ोकस करते हुए एक ड्राफ़्ट रेगुलेशन जारी किया। समझते है ये क्या है, वे कैसे काम करते हैं, और चीन ने उन्हें क्यों शुरू किया।
आखिर सख्त प्राइवेसी कानूनों की ज़रूरत क्यों महसूस हुई
आपको याद होगा, जब मार्क जु़करबर्ग ने 2018 की शुरुआत में कांग्रेस के सामने फेसबुक की डेटा प्रैक्टिस पर गवाही दी, तो उन्होंने चेतावनी दी थी कि प्लेटफॉर्म के पर्सनल डेटा के इस्तेमाल को रेगुलेट करने से अमेरिका,एआई जैसे डेटा-इंटेंसिव इनोवेशन के मामले में चीनी कंपनियों से पीछे रह जाएगा। उनके तर्क में यह आम सोच झलकती है कि चीन में डेटा कलेक्शन पर ढीले रेगुलेशन की वजह से, चीनी इंटरनेट इंडस्ट्री के पास एआई रिसर्च के लिए बहुत ज्यादा यूज़र डेटा जमा है। लेकिन 2018-2019 को ऐसे समय के तौर पर देखा जा सकता है जब चीनी जनता प्राइवेसी के प्रति जागरूक हुई। जब बाइडू के फाउंडर रॉबिन ली ने 2018 की शुरुआत में “सुविधा के लिए प्राइवेसी का इस्तेमाल” वाली बात कही, तो उनकी बात से इंटरनेट यूज़र्स में हंगामा मच गया। उसी साल जियांग्सू प्रांत के एक कंज्यूमर राइट्स प्रोटेक्शन ग्रुप ने बिना सहमति के यूज़र डेटा इकट्ठा करने के लिए बाइडू पर केस कर दिया, हालांकि बाद में कंपनी ने यूज़र्स के कॉन्टैक्ट्स और एक्टिविटीज़ को मॉनिटर करने का फंक्शन हटा दिया और जिसके बाद केस वापस ले लिया गया।
असल में चीन में बोलने की आज़ादी को दबाने के कारण अफवाहें फैलाना एक बहाना बनती जा रही थी। कोविड-19 महामारी के दौरान, लोकल साइबरस्पेस एडमिनिस्ट्रेशन ऑफिस ने अफवाहें फैलाने के आधार पर ऑनलाइन ग्रुप्स और पर्सनल अकाउंट्स पर बार-बार बैन लगाने के नोटिस जारी किए। इस बीच, कुछ ऑफिशियली मान्यता प्राप्त ’पॉजिटिव एनर्जी’अकाउंट्स ने बार-बार अफवाहों का बाजार गरम रखा। जैसे कि ’एंटी-अमेरिकन’ अकाउंट ’ज़िदाओ ज़ुएगोंग’, जो सालों से चल रहा था और जिसके लाखों फॉलोअर्स थे, उसे यह बुरी अफवाह फैलाने के बाद बैन किया गया कि ’अमेरिका में कोविड-19 से मरने वालों की संख्या कम से कम दस लाख है, और लाशें पहाड़ों की तरह का ढेर बन रही हैं।
हालांकि 2021 में, चीन ने पीपल्स रिपब्लिक ऑफ़ चाइना का पर्सनल इन्फॉर्मेशन प्रोटेक्शन लॉ (पीआईपीएल) पास किया, जो 1 नवंबर, 2021 से लागू है। यह कानून यह रेगुलेट करता है कि पर्सनल इन्फॉर्मेशन कैसे इकट्ठा, स्टोर, प्रोसेस और ट्रांसफर की जा सकती है। लेकिन जैसे-जैसे चीनी इंटरनेट इंडस्ट्री में तेज़ी आई, कई ऐप्स और ऑनलाइन सर्विसेज़ ने यूज़र्स की पर्सनल जानकारी इकट्ठा करना शुरू कर दिया - और कभी-कभी तो बिना साफ़ सहमति के ही ज़रूरत से ज्यादा इकट्ठा करना शुरू कर दिया या फिर अपनी सर्विसेज़ के लिए ज़रूरी के बहाने और अधिक डेटा इकट्ठा करना शुरू कर दिया। इससे “ज्यादा परमिशन,” डेटा लीक और प्राइवेसी के उल्लंघन को लेकर चिंता बढ़ गई। जैसे-जैसे डेटा के गलत इस्तेमाल, लीक या दखल देने वाली प्रैक्टिस की घटनाएं सामने आईं, प्राइवेसी को लेकर लोगों में जागरूकता और चिंता बढ़ी। पर्सनल डेटा के अधिकारों को पक्का करने के लिए कानूनी सुरक्षा की माँग बढ़ रही थी। ऑनलाइन सेवाओं में जनता का विश्वास बहाल करने और बड़ी तकनीकी कंपनियों के व्यवहार को विनियमित करने की मांग को देखते हुए चीन की सरकार को जवाब देना पड़ा। चीनी अधिकारी भी “प्लेटफ़ॉर्म इकॉनमी” के लंबे समय तक अच्छे विकास के लिए मज़बूत डेटा रेगुलेशन को ज़रूरी मानते आए हैं। नए ड्राफ़्ट रेगुलेशन में साफ़ तौर पर “पर्सनल जानकारी की सुरक्षा”और “प्लेटफ़ॉर्म इकॉनमी के हेल्दी डेवलपमेंट को बढ़ावा देने” के लक्ष्य का ज़िक्र है। इससे यह पता चलता है कि भरोसे और डेटा सिक्योरिटी के बिना, यूज़र ऑनलाइन प्लेटफ़ॉर्म से बच सकते हैं -जिससे डिजिटल इकॉनमी की ग्रोथ कम हो सकती है।
चीन के डेटा रेगुलेशन में एक मुख्य विषय “डेटा सॉवरेनिटी” है। हाल के कानूनों और ड्राफ़्ट रेगुलेशन के तहत, चीन में इकट्ठा किया गया डेटा खासकर पर्सनल डेटा देश में ही स्टोर किया जाना चाहिए। अगर डेटा को विदेश में एक्सपोर्ट करना है, तो प्लेटफ़ॉर्म को सख्त सिक्योरिटी ज़रूरतों का पालन करना होगा। सरकार के नज़रिए से, डेटा स्टोरेज और ट्रांसफर को रेगुलेट करना ज़रूरी है ताकि बिना इजाज़त विदेश में एक्सेस या गलत इस्तेमाल को रोका जा सके, जिसे नेशनल सिक्योरिटी या देश के हितों के लिए खतरा माना जा सकता है।
वैसे तो ऐतिहासिक रूप से, चीनी कानूनी परंपरा ने धीरे-धीरे व्यक्तिगत सम्मान, प्राइवेसी और प्राइवेसी/डेटा के अधिकारों को बड़े मानवाधिकारों और नागरिक अधिकारों के हिस्से के तौर पर मान्यता दी है। यह बदलती कानूनी परंपरा डेटा सुरक्षा कानूनों के लिए संवैधानिक और सामान्य आधार देती है। इस तरह, फॉर्मल पर्सनल डेटा कानून डिजिटल युग में लोगों के अधिकारों की रक्षा के लिए कानूनी और सामान्य दोनों तरह के वादे दिखाते हैं। चीन में पर्सनल डेटा प्रोटेक्शन का इतिहास बहुत पुराना है। इसकी शुरुआत पीपल्स रिपब्लिक ऑफ़ चाइना की स्थापना के समय से ही सेक्टर के हिसाब से कानूनी सुरक्षा उपायों से हुई थी, जिनका मकसद ज़रूरतमंद ग्रुप्स की पर्सनल इज्ज़त और पर्सनल प्राइवेसी की रक्षा करना था। 1956 में, पीआरसी स्टैंडिंग कमेटी (1956) ने “पर्सनल सीक्रेट्स” या नाबालिगों से जुड़े मामलों के लिए ’क्लोज्ड ट्रायल’ की इजाज़त दी। हालांकि शुरुआती कानून में पर्सनल प्राइवेसी पर साफ़ तौर पर ध्यान नहीं दिया गया था, लेकिन 1988 में जब सुप्रीम पीपुल्स कोर्ट ने “प्राइवेसी” शब्द को कानूनी संदर्भ में शामिल किया, तो इसकी काफी सराहना हुई।
डेटा लेबलिंग और पर्सनल इन्फॉर्मेशन प्रोटेक्शन सर्टिफ़िकेशन क्या है
‘नेशनल नेटवर्क आइडेंटिटी ऑथेंटिकेशन पब्लिक सर्विस’ और ’पर्सनल इन्फॉर्मेशन प्रोटेक्शन सर्टिफिकेशन’ [पीआईपी] पीएल सर्टिफिकेशन/ [पीएल] प्रोटेक्शन सर्टिफिकेशन) -चीन के डेवलप हो रहे डेटा-गवर्नेंस और प्राइवेसी फ्रेमवर्क का हिस्सा हैं। नेशनल नेटवर्क आइडेंटिटी ऑथेंटिकेशन पब्लिक सर्विस को “नेशनल नेटवर्क आइडेंटिटी ऑथेंटिकेशन पब्लिक सर्विस मैनेजमेंट मेज़र्स” के तहत चीनी अधिकारियों की निगरानी में औपचारिक रूप दिया गया था। ‘नेटवर्क नंबर’ अक्षरों और अंकों की एक स्ट्रिंग है जो किसी व्यक्ति से विशिष्ट रूप से जुड़ी होती है, लेकिन इसमें स्पष्ट पाठ में व्यक्ति की वास्तविक पहचान की जानकारी नहीं होती है। “नेटवर्क सर्टिफ़िकेट” वह ऑथेंटिकेशन क्रेडेंशियल है जिसमें वह नेटवर्क-नंबर और एन्क्रिप्टेड (प्लेनटेक्स्ट नहीं) पहचान की जानकारी होती है। दरअसल इस सिस्टम के तहत, नागरिक अपनी मर्ज़ी से, एक डिजिटल आइडेंटिटी क्रेडेंशियल, एक “नेटवर्क नंबर” और “नेटवर्क सर्टिफ़िकेट” के लिए अप्लाई कर सकते हैं।
वैलिड ऑफिशियल आई डी वाला कोई भी व्यक्ति अपनी मर्ज़ी से सरकार के “नेटवर्क आइडेंटिटी ऑथेंटिकेशन” प्लेटफॉर्म के ज़रिए नेटवर्क-आई डी के लिए अप्लाई कर सकता है। नाबालिगों को गार्जियन की मंज़ूरी चाहिए होती है। एक बार जब किसी के पास वैलिड नेटवर्क-नंबर/सर्टिफिकेट हो और वह इसका इस्तेमाल किसी ऑनलाइन सर्विस में लॉग इन करने या आइडेंटिटी वेरिफ़ाई करने के लिए करता है, तो सर्विस प्रोवाइडर को उस व्यक्ति का असली नाम और प्क् नंबर दोबारा नहीं पूछना चाहिए (जब तक कि कानून के तहत या साफ़ सहमति से ज़रूरी न हो)। इससे प्लेटफॉर्म को सेंसिटिव आइडेंटिटी डेटा स्टोर या इकट्ठा करने की ज़रूरत कम हो जाती है। इस सिस्टम का मकसद एक “ट्रस्टेड डिजिटल आइडेंटिटी” ऑप्शन देना है, जो प्लेटफॉर्म पर रॉ आइडेंटिटी जानकारी को पास करने के बजाय अधिक प्राइवेसी का ध्यान रखने वाला ऑप्शन देता है।
‘पी आई प्रोटेक्शन सर्टिफ़िकेशन सिस्टम’ को साइबरस्पेस एडमिनिस्ट्रेशन ऑफ़ चाइना ने स्टेट एडमिनिस्ट्रेशन फ़ॉर मार्केट रेगुलेशन के साथ मिलकर नवंबर 2022 में शुरू किया था। यह सर्टिफ़िकेशन के लिए मान्यता प्राप्त थर्ड-पार्टी बॉडीज़ के रूप में एक फ्रेमवर्क देता है। एक “पर्सनल इन्फ़ॉर्मेशन प्रोसेसर” (पीआई प्रोसेसर) यूज़र्स के पर्सनल डेटा को संबंधित कानूनों/रेगुलेशन के अनुसार हैंडल करता है, खासतौर से जब डेटा चीन के बाहर ट्रांसफ़र किया जाता है। नियमों के अनुसार, पीआई सर्टिफ़िकेशन प्रोसेस में तीन स्टेप्स होते हैं, यानी इस के तहत, पर्सनल डेटा के क्रॉस-बॉर्डर ट्रांसफर पर बहुत ज्यादा रेगुलेशन होता है। जिन कंपनियों को चीन के बाहर पर्सनल जानकारी भेजनी है, उन्हें तीन तरीकों में से एक चुनना होगा-सिक्योरिटी असेसमेंट, स्टैंडर्ड कॉन्ट्रैक्ट पर साइन करना, या पीआईपी सर्टिफ़िकेशन लेना। पी आईपी सर्टिफ़िकेशन का इस्तेमाल आम तौर पर वे एंटिटीज़ करती हैं जिन्हें “क्रिटिकल इन्फ़ॉर्मेशन इंफ़्रास्ट्रक्चर ऑपरेटर्स’’ के तौर पर क्लासिफ़ाई नहीं किया गया है और जहाँ डेटा का वॉल्यूम या सेंसिटिविटी कुछ तय लिमिट से कम है। एक बार सर्टिफ़ाइड होने के बाद, कोई ऑर्गनाइज़ेशन हर बार केस-बाय-केस रेगुलेटरी कवर दायरे मे,अप्रूवल लिए बिना विदेश में डेटा ट्रांसफर कर सकता है, जब तक वह सर्टिफ़िकेशन की शर्तों का पालन करता रहता है।
क्योंकि नेशनल आइडेंटिटी-ऑथेंटिकेशन सिस्टम और पीआई प्रोटेक्शन सर्टिफ़िकेशन दोनों एक साथ मौजूद हैं, इसलिए वे चीन के डेटा गवर्नेंस के दो एक-दूसरे को पूरा करने वाले पहलुओं को दिखाते हैंः आइडेंटिटी-ऑथेंटिकेशन सिस्टम यूज़र आइडेंटिटी वेरिफ़िकेशन से जुड़ा है - यह पक्का करता है कि जब कोई ऑनलाइन सर्विस इस्तेमाल करता है, तो प्लेटफ़ॉर्म को रॉ आइडेंटिटी डेटा स्टोर करने के लिए मजबूर किए बिना उसकी आइडेंटिटी सुरक्षित रूप से वेरिफ़ाई की जा सके। यह हर प्लेटफ़ॉर्म को असली आईडी जानकारी इकट्ठा करने देने के बजाय सरकार द्वारा दिए गए वर्चुअल क्रेडेंशियल के ज़रिए आइडेंटिटी वेरिफ़िकेशन को सेंट्रलाइज़ करके प्राइवेसी के जोखिम को कम करने की कोशिश करता है।
इस नियम को लेकर मिली जुली सोच रखते चीनी नागरिक
चीन के अंदर आम नेटिज़न्स, एकेडेमिक्स और मीडिया में नए और उससे जुड़े डेटा-प्राइवेसी/आइडेंटिटी नियमों को लेकर काफी चर्चा हुई है। इसके लिए लोगों को अलग-अलग तरीकों से फ़ीडबैक देने के लिए बुलाया गया है, और नियमों के उल्लंघन की शिकायतें अधिकारियों को दी जा सकती हैं, जिन्हें 15 वर्किंग डेज़ के अंदर जवाब देना होता है। कुल मिलाकर, राय बहुत मिली-जुली रही, जिसमें काफी हद तक शक, चिंता और आलोचना के साथ ही कुछ सावधानी भरा समर्थन या कम से कम पक्ष में ऑफिशियल तर्क सम्मिलित रहे। कुछ कानूनी जानकारों या इंडस्ट्री के जानकारों का कहना है कि यह सिस्टम इंटरनेट पर धोखाधड़ी, स्कैम, नकली अकाउंट, पहचान की नकल को कम करने में मदद कर सकता है, क्योंकि पहचान का वेरिफिकेशन एक नेशनल पॉपुलेशन डेटाबेस के आधार पर किया जाता है, इसलिए धोखाधड़ी या परेशानी के लिए गुमनामी का गलत इस्तेमाल करने वालों के लिए यह महंगा पड़ेगा।
हालांकि कुछ नागरिक इस विचार का स्वागत कर सकते हैं कि अगर एक ही ’नेट-आई डी को बड़े पैमाने पर अपनाया जाता है- तो कम ऐप और सर्विस ’पूरी पहचान की जानकारी के साथ आई डी नंबर और असली नाम की जानकारी’ मांगेंगे - और अगर इसे विज्ञापन के अनुसार लागू किया जाए तो यह प्राइवेसी के लिए एक बड़ा फ़ायदा हो सकता है। कई नेटिज़न्स को डर है कि “वॉलंटरी” लेबल के बावजूद, असल में उन्हें डिजिटल आई डी “साथ रखने” के लिए मजबूर किया जाएगा। असल में ये “ऑनलाइन जाने के लिए ज़रूरी क्रेडेंशियल” बन जाएगा। कुछ लोगों को चिंता है कि “नेट-आईडी/ सर्टिफिकेट” के बिना, वे कई ऑनलाइन सर्विस का एक्सेस खो सकते हैं। एक आम चिंता यह भी है कि सिस्टम स्टेट या प्लेटफ़ॉर्म सर्विलांस, ट्रैकिंग को काफ़ी बढ़ा सकता है।
मानव अधिकार ग्रुप्स का कहना है कि इंटरनेट आइडेंटिफिकेशन चीन में बोलने की आज़ादी पर एक नया हमला है, जिससे अथॉरिटी पर सवाल उठाने की हिम्मत करने वाले किसी भी व्यक्ति को और भी ज़्यादा खतरा होगा। सिविल-लिबर्टी / फ्री-स्पीच के सपोर्टर्स को चिंता है कि इस सिस्टम का इस्तेमाल असहमति या असहज राय को चुप कराने के लिए किया जा सकता है, क्योंकि किसी व्यक्ति का “नेट-आईडी/ सर्टिफिकेट” रद्द करने या सस्पेंड करने से वह पूरी ऑनलाइन दुनिया (या उसके बड़े हिस्से) से असल में “बाहर हो सकता है” जिससे बाहर करना आसान और बड़े पैमाने पर हो जाएगा। इस बात पर भी शक है कि बताई गई प्राइवेसी सुरक्षा असल में लागू होगी या नहीं। कुछ लोग “पर्सनल जानकारी सुरक्षित रखें” वाली बात को ऑनलाइन बोलने की आवाज़ पर ज़्यादा बड़े पैमाने पर निगरानी और कंट्रोल के बहाने के तौर पर देखते हैं।
Author
Rekha Pankaj
Mrs. Rekha Pankaj is a senior Hindi Journalist with over 38 years of experience. Over the course of her career, she has been the Editor-in-Chief of Newstimes and been an Editor at newspapers like Vishwa Varta, Business Link, Shree Times, Lokmat and Infinite News. Early in her career, she worked at Swatantra Bharat of the Pioneer Group and The Times of India's Sandhya Samachar. During 1992-1996, she covered seven sessions of the Lok Sabha as a Principle Correspondent. She maintains a blog, Kaalkhand, on which she publishes her independent takes on domestic and foreign politics from an Indian lens.