privacy और innovation के बीच संतुलन (भाग 1)
Data को अब तेल जितना मूल्यवान माना जाता है, फिर भी हम में से अधिकांश यह नहीं समझते कि personal data वास्तव में क्या है, इसका मालिक कौन है, या इस पर हमारे क्या अधिकार हैं।
आज के मुख्य विषय में जाने से पहले, थोड़ा संदर्भ समझते हैं। पूरे इतिहास में, मनुष्यों ने अलग-अलग संसाधनों को महत्व दिया है। कृषि क्रांति में ज़मीन को बेहद महत्वपूर्ण माना जाता था। औद्योगिक युग में मशीनरी, कोयला और फिर तेल। अब, 21वीं सदी में, विद्वानों, पत्रकारों और उद्योग जगत के नेताओं का कहना है कि data नया तेल है। दुनिया की सबसे मूल्यवान कंपनियों में market cap के हिसाब से कई tech कंपनियाँ हैं और उन सभी के पास global consumers के बारे में बेशुमार data है। इनमें आम नाम हैं:
- पूर्व में: Alibaba, Tencent, Baidu, Flipkart
- पश्चिम में: Google, Microsoft, Amazon, Facebook, IBM, Apple
World Economic Forum की रिपोर्ट data policy in the Fourth Industrial Revolution का एक और नज़रिया यह है: "World Economic Forum में, हम data को चौथी औद्योगिक क्रांति की आग को भड़काने वाली oxygen मानना पसंद करते हैं। यह आसानी से उपलब्ध और ज़रूरी है, लेकिन अगर गलत तरीके से इस्तेमाल किया जाए तो यह खतरनाक और अवांछनीय परिणाम दे सकती है।"
"Data" कितना महत्वपूर्ण है — इसे देखते हुए मैं इस विषय में खुद को शिक्षित करने की कोशिश कर रहा हूँ, और यह पोस्ट data privacy के बारे में मेरी एक श्रृंखला की पहली कड़ी है। चूँकि मैं इस विषय का विशेषज्ञ नहीं हूँ, इसलिए मैं जो सीखा है उसका सारांश प्रस्तुत करूँगा और sources के links दूँगा।
आज हम तीन मुख्य सवालों पर बात करेंगे:
- Personal data क्या है?
- इसका मालिक कौन है? — एक nuanced जवाब
- आपके क्या अधिकार हैं?
Personal data क्या है?
अब तक मुझे European Union के GDPR regulation में दी गई परिभाषा सबसे व्यापक लगी है।
"'personal data' का अर्थ है किसी पहचाने गए या पहचाने जा सकने वाले प्राकृतिक व्यक्ति ('data subject') से संबंधित कोई भी जानकारी; एक पहचाने जा सकने वाला प्राकृतिक व्यक्ति वह है जिसे प्रत्यक्ष या अप्रत्यक्ष रूप से पहचाना जा सके, विशेष रूप से किसी identifier जैसे नाम, पहचान संख्या, location data, online identifier या उस प्राकृतिक व्यक्ति की भौतिक, शारीरिक, genetic, मानसिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान से संबंधित एक या अधिक कारकों के संदर्भ में;"
वे personal data के उदाहरण भी यहाँ देते हैं:
- email address (yourname@company.com)
- एक Internet Protocol (IP) address
- एक cookie ID (अक्सर आपके web browser पर पाया जाता है)
- आपके phone का advertising identifier
अन्य उदाहरण हो सकते हैं:
- आपका private communication: आपके email/private messages की सामग्री
- आपके financial records (bank balance, transactions, tax return)
- Education records (आप किस school में गए, आपके grades)
- Medical records
- Biometric data (fingerprint, आपका चेहरा) आदि।
यहाँ मैंने केवल कुछ उदाहरण दिए हैं, लेकिन यह ध्यान रखना ज़रूरी है कि दुनिया के विभिन्न देशों/क्षेत्रों में 100 से अधिक data protection laws हैं।
Personal data protection commission Singapore: "Personal data किसी व्यक्ति के बारे में data को संदर्भित करता है, चाहे वह सच हो या न हो, जिसे उस data से; या उस data और अन्य जानकारी से पहचाना जा सके जिस तक organization की पहुँच है या होने की संभावना है। Singapore में personal data Personal Data Protection Act 2012 (PDPA) के तहत संरक्षित है।"
इसका मालिक कौन है?
ठीक है, बहुत से लोगों के लिए सबसे स्पष्ट जवाब यह है: यह मेरा data है इसलिए मैं इसका मालिक हूँ। लेकिन वास्तविक जीवन में तस्वीर इससे कहीं ज़्यादा पेचीदा है।
सरकार और सार्वजनिक एजेंसी का रिकॉर्ड
कई देशों में, सरकार अपने नागरिकों के बारे में बहुत सारा data रखती है जैसे birth certificate, identity card (वैसे सरकार ही पहले स्थान पर इन्हें नागरिकों को देती है), biometric data आदि।
India सरकार ने पिछले साल लगभग 1 billion लोगों के साथ दुनिया के सबसे बड़े biometric ID programs में से एक लागू किया।
दिलचस्प बात यह है कि Davos में इस साल "Setting the rules for the AI race" विषय पर बातचीत के दौरान, India सरकार के एक प्रतिनिधि ने कहा कि data सार्वजनिक entities/सरकार के हैं। सरकार public/private entities को personal data तक पहुँच की अनुमति दे सकती है।
जब आप यात्रा करते हैं (या visa के लिए आवेदन करते हैं), तो कई देश आपसे biometric data जमा करने की माँग करते हैं। अपना data जमा करने और कुछ कागज़ात पर sign करने के बाद, संभावना है कि आप उन विदेशी सरकारों के साथ अपना biometric data share करने लगते हैं।
Observed और inferred/predictive data
World Economic Forum की रिपोर्ट data policy in the Fourth Industrial Revolution का सुझाव है कि हमें बातचीत में context पर विचार करना होगा। observed data/inferred data के ownership के सवाल का जवाब सीधा नहीं है।
"Observed data: internet browsing preferences, surveillance video, call detail records आदि।
Inferred data: credit scores, consumer profiles, predictive traffic flows, infectious diseases के फैलाव में patterns, targeted advertisement आदि।
जैसे-जैसे हम अपना रोज़मर्रा का जीवन जीते हैं, हम विभिन्न services का उपयोग करते हैं और अलग-अलग businesses के पास बहुत सारा "observed data" छोड़ जाते हैं। तो क्या ये businesses इस data के मालिक हैं? यह hospital, airlines, restaurants, आपकी ride-sharing services आदि से हो सकता है। Advertising की दुनिया में, businesses अक्सर इस प्रकार के data को 1st party data कहते हैं, जो यह संकेत देता है कि वे इसका उपयोग कर सकते हैं। लेकिन क्या वे कर सकते हैं? यदि आप European Union GDPR की personal data की परिभाषा का उपयोग करें, तो जब तक data किसी व्यक्ति की पहचान करने के लिए इस्तेमाल किया जा सकता है, वह व्यक्ति data का मालिक है। यदि data को anonymize किया गया है या pseudonymisation से गुज़रा है, तो यह एक अलग मामला है।
एक बात ध्यान देने वाली यह है कि हम काफी लंबे समय से अपना behavioral, economic data पीछे छोड़ते आ रहे हैं। पिछले दशक में जो बदला है वह big data और machine learning में प्रगति है। अब companies के लिए बड़ी मात्रा में data store, process करना और उससे predictions करना अपेक्षाकृत आसान/सस्ता हो गया है। कोई भी recommendation engine (जैसे Amazon) मूलतः यही करता है।
आपके क्या अधिकार हैं?
यहाँ मुझे European Union की regulation से स्पष्ट articulation वास्तव में पसंद है। मैं यहाँ यह बहस नहीं कर रहा कि वे सही हैं या गलत — कम से कम इस पहली पोस्ट में तो नहीं। European GDPR consumers के लिए निम्नलिखित अधिकार स्थापित करता है:
- प्रत्येक व्यक्ति अपने personal data का मालिक है
- सहमति के साथ पारदर्शिता: Companies को personal data store और process करने के लिए स्पष्ट, plain भाषा में permission माँगनी होगी
- सुरक्षा: Personal data को उचित security safeguards से सुरक्षित किया जाना चाहिए
- वापस लेने का अधिकार: किसी भी समय, हम अपने data को process या उपयोग करने की सहमति वापस ले सकते हैं
- Personal data तक जानकारी और पहुँच
- Rectification का अधिकार
- Processing की सीमा का अधिकार
- Portability का अधिकार
- आदि।
बेशक, GDPR द्वारा वर्णित कई विस्तृत exceptions और exemptions भी हैं।
The California Consumer Privacy, Singapore में personal data projection act और अन्य privacy laws, हालाँकि उतनी व्यापक नहीं हैं, समान अधिकारों की बात करती हैं।
बस इतना ही इस पोस्ट के लिए।
अगले posts में मैं इन कुछ अधिक जटिल विषयों पर गौर करूँगा:
- क्या European Union का GDPR बहुत prescriptive है?
- क्या हमारे पास एक global data privacy law होनी चाहिए, दुनिया भर में अलग-अलग legal regimes और economic models को देखते हुए? यदि नहीं, तो हमारी दुनिया की परस्पर जुड़ी/निर्भर प्रकृति को देखते हुए हमारा global approach क्या होना चाहिए?
- हम यहाँ से आगे कैसे बढ़ते हैं?
- Data privacy और innovation के बीच संतुलन, health care और education से शुरुआत करते हुए?
- Local, national और global स्तर पर data monopoly से कैसे बचें?
धन्यवाद,
Chandler
