Whalesbook
బాధితులకు పరిహారం నిలిపివేసిన కొత్త చట్టం
భారతదేశపు కొత్త డిజిటల్ పర్సనల్ డేటా ప్రొటెక్షన్ (DPDP) యాక్ట్, 2023, డేటా బ్రీచ్ ల వల్ల ప్రభావితమైన వ్యక్తులు ఎలా న్యాయం పొందాలి అనే దానిపై కీలక మార్పులు తెచ్చింది. ఈ చట్టం, ఇన్ఫర్మేషన్ టెక్నాలజీ (IT) యాక్ట్, 2000 లోని సెక్షన్ 43A ను, దాని అనుబంధ నియమాలను రద్దు చేసింది. గతంలో, కంపెనీలు సున్నితమైన వ్యక్తిగత డేటాను కాపాడటంలో నిర్లక్ష్యంగా వ్యవహరించినట్లు తేలితే, వ్యక్తులు నేరుగా నష్టపరిహారం క్లెయిమ్ చేసుకునే అవకాశం ఉండేది.
అయితే, DPDP యాక్ట్ ప్రకారం, డేటా ప్రొటెక్షన్ బోర్డ్ విధించే ఆర్థిక జరిమానాలు, ఇవి కొన్నిసార్లు ₹250 కోట్ల వరకు ఉండవచ్చు, అవన్నీ నేరుగా ఇండియా కన్సాలిడేటెడ్ ఫండ్ (ప్రభుత్వ ఖజానా) లోకి వెళ్తాయి. అంటే, నష్టపోయిన వారికి కాకుండా, రాష్ట్ర ఆదాయానికే ఈ నిధులు చేరుతాయి.
జవాబుదారీతనంపై ప్రశ్నలు
DPDP యాక్ట్ లో డేటా బ్రీచ్ ల బాధితులకు నేరుగా పరిహారం పొందే విధానం లేకపోవడం, కార్పొరేట్ జవాబుదారీతనంపై తీవ్రమైన ప్రశ్నలను లేవనెత్తుతోంది. చట్టం భారీ జరిమానాలు విధించినప్పటికీ, ఈ పెనాల్టీలు ప్రభుత్వ ఖజానాకే జమ అవుతున్నాయి. వ్యక్తులు ఆర్థిక నష్టాన్ని, గుర్తింపు దొంగతనాన్ని (identity theft) లేదా ప్రతిష్టకు భంగం వంటివి ఎదుర్కొన్నప్పటికీ, వారికి నేరుగా ప్రయోజనం చేకూరదు. కంపెనీల నిర్లక్ష్యానికి, బాధితులకు జరిగే నష్టానికి మధ్య నేరుగా ఆర్థిక అనుబంధాన్ని తెంచడం వల్ల, కంపెనీలు డేటా సెక్యూరిటీపై మరింత పెట్టుబడులు పెట్టాలనే ప్రోత్సాహం తగ్గుతుందని విమర్శకులు వాదిస్తున్నారు.
సెక్షన్ 43A బాధితుల న్యాయ మార్గం ఇక లేదు
DPDP యాక్ట్ రాకముందు, IT యాక్ట్ లోని సెక్షన్ 43A మరియు 2011 నాటి సున్నితమైన డేటా నియమాలు, కార్పొరేట్ నిర్లక్ష్యం కారణంగా తమ సున్నితమైన వ్యక్తిగత డేటా రాజీపడిన వ్యక్తులకు ఒక స్పష్టమైన చట్టపరమైన మార్గాన్ని అందించాయి. డేటా బ్రీచ్ లకు సంబంధించిన సివిల్ క్లెయిమ్ లకు ఇది ఒక పునాదిగా నిలిచింది. DPDP యాక్ట్ ఈ నిబంధనను రద్దు చేయడంతో, బాధితుల న్యాయం పొందే మార్గంలో ఒక కీలకమైన ఆధారం తొలగిపోయింది.
బాధితులకు వ్యాజ్యాలు కష్టతరం
చట్టబద్ధమైన నష్టపరిహారం పొందే హక్కును తొలగించడంతో, డేటా బ్రీచ్ ల బారిన పడిన వ్యక్తులు నష్టపరిహారం కోరడానికి మరింత కష్టమైన మార్గాన్ని ఎదుర్కోవలసి ఉంటుంది. సెక్షన్ 43A లోని స్పష్టమైన చట్టపరమైన ఆధారం లేకుండా సివిల్ వ్యాజ్యాలను (civil litigation) కొనసాగించడం అనేది సంక్లిష్టమైన సిద్ధాంతాలను నావిగేట్ చేయాల్సి ఉంటుంది. దీనికి నిపుణులైన సాక్షుల (expert witnesses) కోసం, సుదీర్ఘమైన కోర్టు పోరాటాలకు గణనీయమైన ఖర్చుతో కూడుకున్నది. ఈ ఆర్థిక, కార్యాచరణ భారం సాధారణ పౌరులకు న్యాయం పొందడాన్ని కష్టతరం చేస్తుంది, చాలా మంది బాధితులు నిస్సహాయంగా మిగిలిపోయే అవకాశం ఉంది.
డేటా-ఆధారిత రంగాలపై ప్రభావం
ఇ-కామర్స్, ఫిన్టెక్ వంటి వ్యక్తిగత డేటా ప్రాసెసింగ్పై ఎక్కువగా ఆధారపడే పరిశ్రమలు, DPDP యాక్ట్ కింద కొత్త నిబంధనల పాటించాల్సిన అవసరాన్ని ఎదుర్కొంటున్నాయి. ఇందులో కఠినమైన సమ్మతి (consent) అవసరాలు, డేటా సెక్యూరిటీ ఆదేశాలు, మరియు సవరించిన ఫిర్యాదుల పరిష్కార ప్రక్రియలు (grievance redressal processes) ఉన్నాయి. నిబంధనలను పాటించకపోతే విధించే భారీ జరిమానాలు, నేరుగా బాధితులకు పరిహారం లేకపోవడం వంటి అంశాలు, చట్టం నియంత్రణపరమైన అమలుపై (regulatory enforcement) దృష్టి పెట్టినట్లు స్పష్టం చేస్తున్నాయి.
ప్రపంచ డేటా చట్టాలు భిన్నం
భారతదేశపు DPDP యాక్ట్, అంతర్జాతీయ డేటా రక్షణ ప్రమాణాలకు, ముఖ్యంగా యూరోపియన్ యూనియన్ యొక్క జనరల్ డేటా ప్రొటెక్షన్ రెగ్యులేషన్ (GDPR) తో పోలిస్తే భిన్నమైన విధానాన్ని అవలంబిస్తుంది. GDPR లోని ఆర్టికల్ 82, డేటా ఉల్లంఘనల (data infringements) వల్ల సంభవించే భౌతిక, అభౌతిక నష్టాలకు (material and non-material damages) వ్యక్తులకు చట్టబద్ధమైన పరిహారం పొందే హక్కును స్పష్టంగా కల్పిస్తుంది. ఈ ప్రపంచ ధోరణి, బాధితులకు జరిగిన నష్టానికి బలమైన హక్కులతో డేటా సబ్జెక్టులకు సాధికారత కల్పించడంపై నొక్కి చెబుతుంది. భారతదేశం జరిమానాలను పూర్తిగా రాష్ట్ర యంత్రాంగానికి మళ్లించాలని ఎంచుకోవడం, ఈ బాధితుల-కేంద్రీకృత నమూనాకు (victim-centric model) భిన్నంగా ఉంది.
పెట్టుబడిదారుల ఆందోళనలు
పెట్టుబడిదారుల (investors) మరియు వ్యాపారాల కోణం నుండి చూస్తే, DPDP యాక్ట్ నిర్మాణం ఒక ముఖ్యమైన మార్పును సూచిస్తుంది. జరిమానాలను నేరుగా బాధితులకు పరిహారం బదులుగా ప్రభుత్వానికి మళ్లించడం ద్వారా, ఈ చట్టం బ్రీచ్ లను నివారించడానికి కంపెనీలపై తక్షణ ఆర్థిక ఒత్తిడిని తగ్గించవచ్చు. కంపెనీలు కంప్లయన్స్ బడ్జెట్ల (compliance budgets) ద్వారా రెగ్యులేటరీ ఫైన్లను నిర్వహించడంపై ఎక్కువ దృష్టి పెట్టవచ్చు. ఇది లోతైన భద్రతా పెట్టుబడులకు బదులుగా 'కంప్లయన్స్ థియేటర్' (compliance theater) కు దారితీయవచ్చు. జరిమానాలు అధికంగా ఉన్నప్పటికీ, ఒక పెద్ద బ్రీచ్ లో సంభవించే సంచిత నష్టాన్ని (cumulative damage) అవి పూర్తిగా భర్తీ చేయకపోవచ్చు, బాధితులు నష్టాలను భరించడం లేదా ఖరీదైన, అనిశ్చిత వ్యాజ్యాలను ఆశ్రయించడం వంటి కష్టమైన ఎంపికలతో మిగిలిపోతారు. ఈ విధానం వ్యక్తిగత న్యాయం కంటే రాష్ట్ర ఆర్థిక ప్రయోజనాలకు ప్రాధాన్యత ఇస్తుంది.
భవిష్యత్ కార్యాచరణ
DPDP యాక్ట్, డేటా ఫ్యూడ్యూషియరీలకు (data fiduciaries) బలమైన పెనాల్టీ పాలనతో, భారతదేశంలో డేటా పాలన (data governance) కోసం ఒక కొత్త ఫ్రేమ్వర్క్ను ప్రవేశపెట్టింది. అయితే, నేరుగా బాధితులకు పరిహారం మినహాయించడం, న్యాయం కోసం ఒక సంక్లిష్టమైన ల్యాండ్స్కేప్ను సృష్టిస్తుంది. డేటా రక్షణను క్రమబద్ధీకరించాలనే ఉద్దేశ్యంతో ఉన్నప్పటికీ, ఈ చట్టం యొక్క నిర్మాణం భవిష్యత్తులో చట్టపరమైన సవాళ్లకు లేదా డేటా బ్రీచ్ ల బారిన పడిన వ్యక్తులకు సమగ్ర జవాబుదారీతనం మరియు తగిన న్యాయం అందేలా చూసేందుకు శాసన సర్దుబాట్లకు (legislative adjustments) దారితీయవచ్చు.