வெளியிடப்பட்ட நேரம்: 17:53 (22/08/2018)

கடைசி தொடர்பு:20:11 (22/08/2018)

ஃபேஸ்புக், கூகுளில் உங்கள் பிரைவசியின் நிலை என்ன... இந்திய மசோதா என்ன சொல்கிறது?

தனிநபர்களின் பிரைவசியை உறுதிசெய்யும் வகையில் புதிதாக அறிமுகமாகியிருக்கிறது தனிநபர் தகவல் பாதுகாப்பு சட்ட மசோதா. இது எந்தவகையில் நமக்கு உதவும்?

ஃபேஸ்புக், கூகுளில் உங்கள் பிரைவசியின் நிலை என்ன... இந்திய  மசோதா என்ன சொல்கிறது?

``என்னுடைய தகவல்களை இந்நிறுவனம் பாதுகாக்கும் என்ற நம்பிக்கையில்தான் அதன் சேவையைப் பயன்படுத்துகிறேன். என்னுடைய தகவல்களைப் பாதுகாக்க வேண்டிய கடமை இந்த நிறுவனத்துக்கு உண்டு. இதை இந்நிறுவனம் மீறக் கூடாது." 

வாட்ஸ்அப் தன்னுடைய தகவல்களை, ஃபேஸ்புக்குடன் பகிர்ந்துகொள்ளப்போவதாக அறிவித்த போது, அதற்கு எதிராக இரண்டு மாணவர்கள் உச்சநீதிமன்றத்தில் வழக்கு தொடர்ந்தனர். அப்போது மாணவர்கள் சார்பில் வாதாடிய மூத்த வழக்கறிஞர் ஹரிஷ் சால்வே, நீதிமன்றத்தில் முன்வைத்த வாதம்தான் மேலே நீங்கள் படித்தது; அதற்கு ஃபேஸ்புக் சார்பில் வாதாடிய வழக்கறிஞர் சொன்ன பதில், 

``வாட்ஸ்அப்பின் புதிய விதிமுறைகள் யாருக்கெல்லாம் பிடிக்கவில்லையோ, அவர்கள் தாராளமாக அதைப் பயன்படுத்துவதை நிறுத்திக்கொள்ளலாம். அந்தச் சுதந்திரம்தான் அவர்களுக்கு இருக்கிறதே!"

இந்த வழக்கு மட்டுமல்ல; டெக் நிறுவனங்களின் பிரைவசி தொடர்பாக எந்தப் பிரச்னையை எடுத்துக்கொண்டாலும், அதில் அந்நிறுவனங்களின் பதில் இரண்டே இரண்டாகத்தான் இருக்கும். ஒன்று, ``எங்களுடைய பிரைவசி பாலிசியில்தான் விதிமுறைகளைத் தெளிவாகக் குறிப்பிட்டிருக்கோமே!" இரண்டாவது, ``எங்கள் விதிமுறைகள் பிடிக்கவில்லை என்றால் தாராளமாக நீங்கள் விலகிக்கொள்ளலாம்"

ஆனால், இன்னும் சில ஆண்டுகள் காத்திருங்கள்; இந்தியாவில் எந்த நிறுவனங்களும் வாடிக்கையாளர்களின் பிரைவசியையோ, டேட்டாவையோ இவ்வளவு அலட்சியமாகக் கையாள முடியாது. இந்தப் பாதுகாப்பை நமக்கு வழங்கவிருப்பது அரசின் தனிநபர் தகவல் பாதுகாப்புச் சட்டம் (Personal Data Protection Bill -2018). இப்போதைக்கு இதன் வரைவு மசோதாவை வெளியிட்டு, பொதுமக்களின் கருத்தைக் கேட்டிருக்கிறது மத்திய அரசு. இந்தச் சமயத்தில் இப்படியொரு சட்டத்துக்கான தேவை என்ன? இந்தச் சட்டம் பொதுமக்களுக்கு என்ன மாதிரியான பாதுகாப்புகளை வழங்கும்?

சட்டத்துக்கான தேவை!

நாள் தோறும் நாம் பயன்படுத்தும் ஃபேஸ்புக்கோ, ட்விட்டரோ, கூகுளோ அதன் பயன்பாட்டுக்காக நம்மிடம் பணம் வாங்குவதில்லை; ஆனால், வேறொரு விஷயத்தை விலையாகக் கோருகின்றன. அது நம் டேட்டா. இதை வைத்துத்தான் எல்லா டெக் நிறுவனங்களுமே இயங்குகின்றன. இந்த டேட்டாவை நமக்கு அளிக்கும் சேவைகளுக்காக மட்டுமே பயன்படுத்தும் பட்சத்தில் எவ்விதப் பிரச்னையும் இல்லை. ஆனால், அதைத் தாண்டி பிற நோக்கங்களுக்காகப் பயன்படுத்தும்போதுதான் பிரச்னையே. இதற்கு சமீபத்திய உதாரணம், ஃபேஸ்புக்கின் கேம்ப்ரிட்ஜ் அனலிடிகா விவகாரம். வெறும் மருத்துவ ஆராய்ச்சிக்காக எனச் சொல்லி, ஃபேஸ்புக் பயனாளர்களிடமிருந்து டேட்டாவை வாங்கிய கேம்ப்ரிட்ஜ் அனலிடிகா நிறுவனம், அதை அமெரிக்க வாக்காளர்களை மூளைச்சலவை செய்வதற்காகப் பயன்படுத்தியது. இந்த ஆண்டில் தொழில்நுட்ப உலகில், மிகப்பெரிய அதிர்வலைகளை உண்டாக்கியது இந்தச் சம்பவம்.

இதேபோலத்தான் இன்று நம்முடைய டேட்டாவை எத்தனையோ நிறுவனங்கள் பங்குபோட்டுக்கொண்டு லாபம் பார்க்கின்றன. நம் டேட்டாவை யார் வைத்திருக்கிறார்கள், அதை வைத்து என்ன செய்கிறார்கள், அதனால் நமக்கு ஏற்படும் பாதிப்புகள் என்னென்ன, ஃபேஸ்புக், கூகுள் உட்பட எல்லா பெருநிறுவனங்களும் நம் டேட்டாவை முறையாகத்தான் கையாள்கின்றனவா... இவை எதுவுமே நமக்குத் தெரியாது. காரணம், நிறுவனங்களிடம் வெளிப்படைத்தன்மை (Transparency) இல்லாததே. இன்று நிதி சார்ந்த சேவைகளை அளிக்கும் நிறுவனங்களை முறைப்படுத்த ரிசர்வ் வங்கி இருக்கிறது; நம்முடைய முதலீடுகளைக் கண்காணிக்க, செபி இருக்கிறது. ஆனால், நம் டேட்டாவைக் கையாள்வதற்கும், அதற்கான விதிமுறைகளை உருவாக்குவதற்கும் ஏதேனும் ஓர் அமைப்பு இருக்கிறதா. அதற்காக உருவானதுதான் இந்தப் புதிய தனிநபர் தகவல் பாதுகாப்புச் சட்டம். மக்களின் டேட்டா தொடர்பான விஷயங்களில் பாதுகாப்பையும், வெளிப்படைத்தன்மையையும் நிறுவுவதே இதன் நோக்கம்.

முன்னாள் நீதிபதி பி.என்.ஸ்ரீகிருஷ்ணா மற்றும் அமைச்சர் ரவிசங்கர் பிரசாத்

இரண்டாண்டுகளுக்கு முன்பு ஐரோப்பிய யூனியனில் இதேபோல ஒரு சட்டம் கொண்டுவரப்பட்டது; அதன்பெயர் GDPR. 2016-ல் ஏற்றுக்கொள்ளப்பட்ட இந்தச் சட்டம், இந்த ஆண்டு மே 25-ம் தேதியிலிருந்து அமலுக்கு வந்தது. ஐரோப்பிய யூனியனில் வசிக்கும் மக்களின் டேட்டாவைப் பாதுகாப்பதுதான் இதன் நோக்கம். இன்று ஐரோப்பிய யூனியனில் இயங்கும் சின்னச் சின்ன ஸ்டார்ட்அப்கள் முதல் பெருநிறுவனங்கள் வரை எல்லாமே இந்த விதிப்படிதான் இயங்குகின்றன. உலகளவில் டேட்டா பாதுகாப்புக்கான முன்னோடி சட்டங்களில் ஒன்று, இந்த GDPR. தற்போது நம் நாட்டின் சட்டமும், சில இடங்களில் GDPR-ன் விதிமுறைகளையே நகலெடுத்திருக்கிறது.

இன்று இந்தியா முழுக்கவே தனிநபர்களின் பிரைவசி குறித்து அதிகளவில் விவாதிக்கப்படுகிறது; இந்த விவாதம் கடந்த சில ஆண்டுகளாகவே நடந்துவந்தாலும், அதிகளவில் முக்கியத்துவம் பெற்றது 2016-க்குப் பிறகுதான். அதுவும் வாட்ஸ்அப் - ஃபேஸ்புக் தொடர்பான பிரைவசி பிரச்னை வந்தபோதுதான் சட்டரீதியாக இந்தியா எந்தளவுக்குப் பின்தங்கியிருக்கிறது என்பது வெளிப்படையாகத் தெரிந்தது. அதன்பின்பு ஆதார் தொடர்பான வழக்கிலும் பிரைவசி முக்கிய விவாதப் பொருளாக இருந்தது. அதைத் தொடர்ந்து பிரைவசி என்பது அடிப்படை உரிமையா இல்லையா என்பதை உச்சநீதிமன்றமே தெளிவுபடுத்த வேண்டிய அவசியம் ஏற்பட்டது. அதுதொடர்பாக நடந்த வழக்கில், இந்திய அரசியலமைப்புச் சட்டத்தின்படி பிரைவசி என்பது அடிப்படை உரிமையே எனத் தீர்ப்பும் அளித்தது. அதன்பின்பு மீண்டும் உலகளவில் ஃபேஸ்புக் - கேம்ப்ரிட்ஜ் அனலிடிகா பிரச்னை வெடித்தபோது மீண்டும், இதுதொடர்பான விவாதங்கள் வலுப்பெற்றன. இப்படித் தொடர்ச்சியாக பிரைவசி குறித்தும், டேட்டா பாதுகாப்பு குறித்தும் விவாதிக்கப்பட்டும் வந்தாலும் அதைச் சட்டரீதியாக செயல்படுத்த நம்மிடம் முறையான சட்டங்கள் இல்லை. நம்மிடம் சைபர் பாதுகாப்புக்காக இருக்கும் ஒரே சட்டம், இந்தியத் தகவல் தொழில்நுட்பச் சட்டம் 2000 மட்டுமே. இந்தக் குறையைத் தீர்க்கும் வகையில் கடந்த ஆண்டு முன்னாள் உச்சநீதிமன்ற நீதிபதி பி.என்.கிருஷ்ணா தலைமையில் பத்துப் பேர்கொண்ட குழு ஒன்றை அமைத்தது மத்திய அரசு. கிட்டத்தட்ட ஓராண்டுகால அவகாசத்துக்குப் பிறகு, இந்தக் குழு கடந்த ஜூன் மாதம் 27-ம் தேதி தன்னுடைய அறிக்கையைத் தாக்கல் செய்தது. இந்நிலையில் தனிநபர் தகவல் பாதுகாப்புச் சட்டத்தின் வரைவு மசோதா தயார் செய்யப்பட்டு, தற்போது பொதுமக்களின் பார்வைக்காக அரசின் இணையதளத்தில் வெளியிடப்பட்டுள்ளது. செப்டம்பர் 10-ம் தேதி வரைக்கும், இதுகுறித்து பொதுமக்கள் தங்கள் கருத்துகளைத் தெரிவிக்கலாம். சரி... இனி சட்டம் என்ன சொல்கிறது எனப் பார்க்கலாம்.

ஃபேஸ்புக்GDPR

புதிய விதிமுறைகள் முதல் புதிய ஆணையம் வரை

ஒரு நிறுவனம், தனிநபரின் டேட்டாவை எப்படிச் சேகரிக்கவேண்டும் என்பதில் தொடங்கி அந்நிறுவனம் மீது என்னவெல்லாம் நடவடிக்கைகள் எடுக்கலாம் என்பதுவரைக்கும் மிக விரிவான விளக்கங்களை அளித்திருக்கிறது இந்தச் சட்டம். அதில் முக்கியமான அம்சங்களைப் பார்க்கும் முன்பு, இரண்டே இரண்டு விளக்கங்களை மட்டும் பார்த்துவிடுவோம்.

பல்வேறு பிரிவுகளைக் கொண்ட இந்தச் சட்டம், தனிநபர்களையும் நிறுவனங்களையும் குறிக்க இரண்டு பெயர்களைப் பயன்படுத்துகிறது. ஒன்று Data Principal. மற்றொன்று, Data Fiduciary. யாரிடமிருந்து டேட்டா சேகரிக்கப்படுகிறதோ, அவர் Data Principal. எந்த நிறுவனம் அல்லது அமைப்பு அந்த டேட்டாவை சேகரிக்கிறதோ, அது Data Fiduciary. உதாரணமாக ஃபேஸ்புக்கில் நாம் அக்கவுன்ட் வைத்திருக்கிறோம் எனில், அதற்குத் தகவல்களை அளிக்கும் நாம்தான் Data Principal. நம்முடைய தகவல்களைப் பெறும் ஃபேஸ்புக்தான் Data Fiduciary. இந்த இரண்டு விளக்கங்களும் இந்தச் சட்டம் தொடர்பான அம்சங்களைப் புரிந்துகொள்ள உதவும். இனி முக்கியமான அம்சங்களைப் பார்ப்போம்.

1. பெர்சனல் டேட்டா மற்றும் சென்சிட்டிவ் பெர்சனல் டேட்டா என நம் தகவல்களை இரண்டாகப் பிரிக்கிறது இந்தச் சட்டம். ஒரு நபரின் குறித்த சாதாரணமான தகவல்கள் பெர்சனல் டேட்டாவின் கீழ் அடங்கும். முக்கியமான பாஸ்வேர்டுகள், அரசுச் சான்றிதழ்களின் தகவல்கள், மருத்துவ விவரங்கள், பாலின விவரங்கள், மரபியல் மற்றும் பயோமெட்ரிக் தகவல்கள், சாதி மற்றும் மதம் சார்ந்த தகவல்கள், பாலின விருப்பங்கள் குறித்த தகவல்கள் போன்றவை அனைத்தும் சென்சிட்டிவ் பெர்சனல் டேட்டாவாகும். 

2. நம்முடைய தகவல்களைப் பெறும் நிறுவனங்கள், அவற்றை எதற்காகப் பெறுகின்றன என்பதை தெளிவாகக் கூறவேண்டும். இதுகுறித்து விளக்கும் பிரைவசி பாலிசியை எளிய மொழியில் அனைவருக்கும் புரியும் வகையில் வெளியிட்டு, மக்களுக்கு அதுகுறித்த விழிப்புஉணர்வை உண்டாக்கவேண்டும். மேலும், நம்மிடமிருந்து தகவல்களைப் பெறுவதற்கு, உரிய முறையில் ஒப்புதல் வாங்கவேண்டும். ஏதோ ஒரு படிவத்திலோ, இணையத்திலோ நம்மை ஏமாற்றி வாங்கும் ஒப்புதல்கள் செல்லாது; இந்தத் தகவல்கள் அனைத்தையும் சட்டவிதிமுறைகளுக்கு உட்பட்டே அந்நிறுவனங்கள் கையாளவேண்டும். 

3. ஒரு நபரிடமிருந்து தகவல்களை சேகரிப்பதற்கு ஒப்புதல் வாங்கும்முன்பு, எந்தெந்தத் தகவல்கள் எல்லாம் சேகரிக்கப்படும், எந்தெந்தப் பிரிவுகளில் தகவல்கள் சேகரிக்கப்படும், அவை எப்படியெல்லாம் பயன்படுத்தப்படும், அதுகுறித்து புகார் அளிப்பதற்கான அதிகாரி யார் உள்ளிட்ட அனைத்து விவரங்களையும் தெளிவாகக் கூறவேண்டும். உதாரணமாக வாட்ஸ்அப்பை இன்ஸ்டால் செய்துவிட்டு நாம் பயன்படுத்தினால், எப்படி Accept Terms & Conditions கொடுப்போமோ, அதேபோல இனி இந்த விவரங்கள் அனைத்தையும் முழுமையாகப் படித்துவிட்டு ஒப்புதல் தரவேண்டும்.

4. ஆனால், மேலே நாம் பார்த்த மூன்று விதிகளும் மாநில அரசு, மத்திய அரசு, நாடாளுமன்றம், நீதிமன்றம் போன்றவற்றுக்குப் பொருந்தாது. மக்களின் நலத்திட்டங்களுக்காகவோ, அரசின் செயல்பாடுகளுக்காகவோ, அல்லது சட்டரீதியான நடைமுறைகளுக்காகவோ அவர்களின் தகவல்களைப் பயன்படுத்துவதற்கு இந்தச் சட்டம் அனுமதியளிக்கிறது.

டேட்டா சேகரிக்கும் நிறுவனங்கள்

5. நம்முடைய டேட்டாவை நிறுவனங்களிடமிருந்து பெற்றுக்கொள்ளவும், அதில் திருத்தங்கள் மேற்கொள்ளவும், அதை நீக்கச்சொல்வதற்கும் நமக்கு உரிமை உண்டு. உதாரணமாக இன்ஸ்டாகிராமில் இருக்கும் எல்லாத் தகவல்களையும் அந்நிறுவனம் நீக்கவேண்டும் என விரும்பினால், அதற்காக விண்ணப்பிக்கலாம். இதனை Right to be forgetten என்கிறது சட்டம். ஆனால், இதில் இன்னொரு சிக்கலும் இருக்கிறது. அதைப் பின்னால் பார்ப்போம்.

6. நிறுவனத்தின் தகவல்கள் எப்போதேனும் கசிந்தாலோ அல்லது திருடப்பட்டாலோ, குறிப்பிட்ட நேரத்துக்குள் அரசின் டேட்டா பாதுகாப்பு ஆணையத்திடம் தெரிவிக்கவேண்டும். என்னென்ன தகவல்கள் திருடப்பட்டுள்ளன, அதனால் பாதிக்கப்பட்டுள்ள நபர்கள் யார், அதனால் ஏற்படவிருக்கும் பின்விளைவுகள் என்ன, உடனடியாக எடுக்கப்படவேண்டிய நடவடிக்கை என்ன என்பது உள்ளிட்ட விவரங்கள் அனைத்தையும் அந்நிறுவனம் அரசிடம் தெரிவிக்கவேண்டும். 

7. நிறுவனங்களின் பாதுகாப்பை உறுதிப்படுத்தும் வகையில் அரசின் அனுமதி பெற்ற தணிக்கையாளர்கள் மூலம் நிறுவனம் தணிக்கை (Data Audit) செய்யப்படவேண்டும். அப்போது அந்நிறுவனத்தின் பாதுகாப்பைப் பொறுத்து அதற்கு `Data Trust Score' வழங்கப்படும். எந்தெந்த நிறுவனங்கள் மக்களின் பிரைவசியில் அதிக கவனம் செலுத்துகின்றன என்பதைக் குறிக்கும் குறியீடாக எதிர்காலத்தில் இது இருக்கும்.

8. இந்தச் சட்டத்தை முழுமையாக அமல்படுத்தவும், தொழில்நுட்ப தரநிர்ணயம் செய்யவும், தொடர்ந்து மக்களிடையே இந்தச் சட்டம் தொடர்பான விழிப்புஉணர்வு ஏற்படுத்தவும் மத்திய அரசின் `Data Protection Authority' அமைக்கப்படும். இந்த அமைப்பு, தேர்தல் ஆணையம் போல, தன்னாட்சி அதிகாரம் பெற்ற அமைப்பாக விளங்கும். இதுதவிர இந்தச் சட்டம் தொடர்பான வழக்குகளைக் கவனிக்க, தேசியப் பசுமைத் தீர்ப்பாயம் போலவே, `Appellate Tribunal' அமைக்கப்படும். 

9. ஏதேனும் நிறுவனங்கள் அல்லது அமைப்புகள் தங்கள் டேட்டாவை முறையாகக் கையாளவில்லை என்றாலோ, அல்லது இந்தச் சட்டத்தை அவர்கள் அந்நிறுவனத்தின் Data Protection Officer-ரிடம் முறையிடலாம். இதற்காக எல்லா நிறுவனங்களிலும் ஓர் அலுவலர் நியமிக்கப்படவேண்டும். இவர்கள் சரியாக விளக்கங்கள் அளிக்காத பட்சத்தில் மேல்முறையீடு செய்யலாம்.

10. நிறுவனங்கள் தங்கள் வாடிக்கையாளர்களின் டேட்டாவை வெளிநாட்டிலிருக்கும் சர்வர்களில் சேமித்துவைக்கவேண்டிய நிலை ஏற்பட்டால், அந்தத் தகவல்களின் ஒரு காப்பியை இந்தியாவிலும் சேமித்துவைக்கவேண்டும். இதுவும் சாதாரண பெர்சனல் டேட்டாவுக்கு மட்டும்தான். அதுவே சென்சிட்டிவ் பெர்சனல் டேட்டா என்றால், அதனை இந்தியாவில் மட்டும்தான் சேமித்துவைக்க வேண்டும். வெளிநாடுகளில் சேமிக்க அனுமதியில்லை.

ஃபேஸ்புக்

11. ஒரு நிறுவனம் தன்னுடைய டேட்டாவை முறையாகப் பாதுகாக்க தவறும் பட்சத்தில் அதற்கு ஐந்து கோடி ரூபாய் அல்லது அதன் உலக வருமானத்தில் 2 சதவிகிதம் அபராதம் அல்லது இரண்டும் தண்டனையாக விதிக்கப்படும். இதுவே இந்தச் சட்டத்தின் சில குறிப்பிட்ட இடங்களை மீறியிருந்தால் 15 கோடி ரூபாய் அல்லது உலக வருமானத்தில் 4 சதவிகிதம் அபராதம் அல்லது இரண்டும் தண்டனையாக விதிக்கப்படும். 

12. இதேபோல நிறுவனங்களால் நமக்கு பாதிப்புகள் ஏற்பட்டிருந்தால், அதற்காக அந்நிறுவனங்களிடம் நஷ்ட ஈடு கேட்டும் விண்ணப்பிக்கலாம். அதற்கும் இந்தச் சட்டம் இடம் தருகிறது. 

13. தனியார் நிறுவனங்கள் இன்றி, ஆதார் ஆணையம், தேர்தல் ஆணையம் உள்ளிட்ட அமைப்புகள் இந்தச் சட்டத்தை மீறினாலும் அவர்கள் மீது விசாரணை நடத்தி நடவடிக்கை எடுக்கமுடியும். 

நிறுவனங்களின் தன்மை, அவற்றின் அளவு, அவர்கள் கையாளும் டேட்டாவின் அளவு ஆகியவற்றைக் கணக்கில் கொண்டு சின்னச் சின்ன நிறுவனங்களுக்கு (ஆண்டுக்கு 20 லட்சத்துக்கும் குறைவாக வருமானம் ஈட்டும் நிறுவனங்கள்) சில இடங்களில் விலக்கு அளிக்கப்பட்டுள்ளது.

ஆக, மொத்தமாகப் பார்த்தால் இதுவரைக்கும் எந்தவிதமான டேட்டா பாதுகாப்புச் சட்டங்களும் இல்லாத நமக்கு இந்தச் சட்டம் ஒரு வரம்தான். நிச்சயம் இதனை வரவேற்கலாம். ஆனால், இதிலேயும் நிறைய சிக்கல்கள் இருக்கின்றன. பிரைவசி ஆர்வலர்கள் மத்தியிலும், நிறுவனங்கள் மத்தியிலும் இந்தச் சட்டம் குறித்து வெவ்வேறு விதமான எதிர்ப்புகள் எழுகின்றன. அவை என்ன, இந்தச் சட்டத்தில் என்ன பிரச்னை, அடுத்த பகுதியில் பார்ப்போம்.

நீங்க எப்படி பீல் பண்றீங்க


டிரெண்டிங் @ விகடன்