Data Act बनाम CLOUD Act: क्लाउड में आपके डेटा पर वास्तव में किसका नियंत्रण है?

यूरोपीय Data Act और अमेरिकी CLOUD Act क्लाउड में संग्रहीत डेटा तक पहुँच के मामले में आमने-सामने हैं। इस कानूनी टकराव, इसके व्यावहारिक निहितार्थों और यह समझें कि केवल तकनीकी रूप से पहुँच असंभव बनाना ही वास्तविक संप्रभुता की गारंटी देता है।

|

पढ़ने का समय: 8 मिनट

Data Act बनाम CLOUD Act: क्लाउड में आपके डेटा पर वास्तव में किसका नियंत्रण है?

वर्षों तक दुनिया एक सरल धारणा पर चलती रही: डेटा का एक भौतिक निवास स्थान होता है। यदि डेटा डबलिन के किसी सर्वर पर था, तो वह आयरिश और यूरोपीय कानून के अधीन था। यह धारणा 2018 में उस समय ध्वस्त हो गई जब संयुक्त राज्य अमेरिका ने CLOUD Act पारित किया — एक ऐसा कानून जो अमेरिकी अधिकारियों को अमेरिकी कंपनियों द्वारा नियंत्रित डेटा तक पहुँच प्रदान करता है, चाहे वह डेटा दुनिया में कहीं भी भौतिक रूप से संग्रहीत हो। कई साल बाद, ब्रसेल्स ने अपने स्वयं के सुरक्षा उपाय के साथ जवाब दिया: Data Act, जो अब पूरी तरह लागू है और जो यूरोपीय संघ में रखे गए डेटा तक तीसरे देशों के अधिकारियों की बाह्यक्षेत्रीय पहुँच को सीमित करने का प्रयास करता है।

यहाँ बताया गया है कि ये दोनों कानून वास्तव में क्या प्रावधान करते हैं, वे कहाँ टकराते हैं, और इस संघर्ष के विरुद्ध एकमात्र वास्तव में मजबूत सुरक्षा तकनीकी रूप से पहुँच असंभव बनाना क्यों है।

अमेरिकी CLOUD Act: स्थान नहीं, नियंत्रण पर आधारित पहुँच

CLOUD Act (Clarifying Lawful Overseas Use of Data Act), जिसे मार्च 2018 में अपनाया गया, ने अमेरिकी कानून में 18 U.S. Code § 2713 अनुच्छेद जोड़कर उसे संशोधित किया। यह कानून किसी भी इलेक्ट्रॉनिक संचार सेवा या रिमोट कंप्यूटिंग प्रदाता को किसी संचार की सामग्री या उससे संबंधित किसी भी रिकॉर्ड को संरक्षित, सुरक्षित या प्रकट करने के लिए बाध्य करता है, जब वह डेटा उसके कब्जे, हिरासत या नियंत्रण में हो — चाहे वह डेटा संयुक्त राज्य अमेरिका के भीतर हो या बाहर

यही अंतिम खंड सब कुछ बदल देता है। मानदंड अब सर्वर का भौतिक स्थान नहीं, बल्कि मूल कंपनी द्वारा अपनी सहायक कंपनियों पर प्रयोग किया जाने वाला नियंत्रण है। इस प्रकार, यूरोप में डेटा सेंटर संचालित करने वाली एक अमेरिकी कंपनी अमेरिकी समन के अधीन रहती है, भले ही डेटा पूरी तरह से यूरोपीय धरातल पर संग्रहीत हो।

यूरोपीय Data Act: बाह्यक्षेत्रीय पहुँच के विरुद्ध एक कानूनी बाधा

Regulation (EU) 2023/2854, जिसे Data Act कहा जाता है, 11 जनवरी 2024 को लागू हुआ और 12 सितंबर 2025 से पूरी तरह लागू है, कुछ प्रावधान 2026 और 2027 तक चरणबद्ध हैं। इसका अनुच्छेद 32 सीधे डेटा तक अंतरराष्ट्रीय सरकारी पहुँच के प्रश्न को संबोधित करता है।

यह कानून एक स्पष्ट नियम स्थापित करता है: किसी तीसरे देश की न्यायिक या प्रशासनिक प्राधिकरण का कोई भी निर्णय या आदेश जो किसी डेटा प्रसंस्करण सेवा प्रदाता को यूरोपीय संघ में रखे गए गैर-व्यक्तिगत डेटा को स्थानांतरित करने या उस तक पहुँच देने के लिए बाध्य करता है, केवल तभी मान्यता प्राप्त और प्रवर्तनीय होगा जब वह किसी अंतरराष्ट्रीय समझौते पर आधारित हो, जैसे कि अनुरोधकर्ता देश और यूरोपीय संघ के बीच, या उस देश और संबंधित सदस्य राज्य के बीच लागू पारस्परिक कानूनी सहायता संधि (MLA)।

ऐसे किसी समझौते के अभाव में, अनुच्छेद 32 एक दूसरा मार्ग प्रदान करता है, लेकिन सख्त शर्तों के साथ: विदेशी आदेश केवल तभी लागू किया जा सकता है जब तीसरे देश की कानूनी प्रणाली यह अपेक्षा करे कि अनुरोध प्रेरित, आनुपातिक और पर्याप्त रूप से विशिष्ट हो — उदाहरण के लिए, विशिष्ट व्यक्तियों या अपराधों के साथ स्पष्ट संबंध स्थापित करके — और यदि प्राप्तकर्ता की प्रेरित आपत्ति उस तीसरे देश के सक्षम न्यायालय की समीक्षा के अधीन हो सके।

एक प्रत्यक्ष कानूनी टकराव

समस्या तत्काल है: CLOUD Act मूल कंपनी द्वारा प्रयोग किए गए नियंत्रण के आधार पर प्रकटीकरण की माँग करता है, बिना यूरोपीय कानून द्वारा अपेक्षित आनुपातिकता की तुलनीय शर्त के। इसके विपरीत, Data Act ऐसी किसी भी माँग की मान्यता को किसी अंतरराष्ट्रीय समझौते या विशिष्ट प्रक्रियागत गारंटी के अस्तित्व पर निर्भर करता है। यूरोप में कार्यरत एक अमेरिकी कंपनी, जिसे किसी अमेरिकी प्राधिकरण द्वारा यूरोपीय संघ में होस्ट किया गया डेटा प्रेषित करने का आदेश दिया गया हो, दो विरोधाभासी कानूनी दायित्वों के बीच फँसी पाती है: या तो यूरोपीय संघ के कानून का उल्लंघन करते हुए अमेरिकी आदेश का पालन करे, या Data Act का सम्मान करते हुए संयुक्त राज्य अमेरिका में इनकार के परिणामों का सामना करे।

यह तनाव सैद्धांतिक नहीं है। इसे यूरोपीय संघ के न्यायालय (CJEU) ने दो महत्वपूर्ण निर्णयों — Schrems I (2015) और Schrems II (2020) — में पहले ही दर्ज किया है। Schrems II निर्णय में, CJEU ने माना कि FISA की धारा 702 (Foreign Intelligence Surveillance Act) और कार्यकारी आदेश 12333 के तहत की जाने वाली अमेरिकी निगरानी, आनुपातिकता के सिद्धांत के तहत यूरोपीय संघ के कानून द्वारा अपेक्षित न्यूनतम गारंटी का पालन नहीं करती और इसलिए इसे केवल जो कड़ाई से आवश्यक हो उस तक सीमित नहीं माना जा सकता। न्यायालय ने यूरोपीय संघ के संबंधित व्यक्तियों के लिए प्रभावी न्यायिक उपाय की अनुपस्थिति भी दर्ज की, जो मौलिक अधिकारों के चार्टर के अनुच्छेद 47 का उल्लंघन है। इस निर्णय ने Privacy Shield ढाँचे को अमान्य कर दिया, जो तब तक EU और संयुक्त राज्य अमेरिका के बीच डेटा स्थानांतरण को व्यवस्थित करता था।

संरचनात्मक जोखिम: Harvest Now, Decrypt Later

न्यायक्षेत्र के संघर्ष से परे, अमेरिकी कानून के अधीन बुनियादी ढाँचे में होस्ट किए गए डेटा पर एक और अधिक कपटी खतरा मँडरा रहा है: Harvest Now, Decrypt Later (HNDL) रणनीति। इसका सिद्धांत यह है कि कोई खुफिया सेवा या शत्रुतापूर्ण राज्य अभिनेता आज एन्क्रिप्टेड डेटा को इंटरसेप्ट करके संग्रहीत करता है, और भविष्य में पर्याप्त क्वांटम कंप्यूटिंग क्षमताओं के उपलब्ध होने की प्रतीक्षा करता है ताकि उसे डिक्रिप्ट किया जा सके।

यह रणनीति किसी अमेरिकी क्लाउड बुनियादी ढाँचे पर निरंतर निर्भरता को एक स्थगित सुरक्षा ऋण में बदल देती है: जो आज गोपनीय है वह दस या पंद्रह साल में पठनीय हो सकता है, बिना हमलावर की ओर से किसी अतिरिक्त कार्रवाई के — केवल समय और धैर्य।

तकनीकी असंभवता ही वास्तविक गारंटी क्यों है

कानूनी विश्लेषण एक ऐसे निष्कर्ष पर अभिसरित होता है जो कई अनुपालन विशेषज्ञों द्वारा साझा किया जाता है: Data Act का कानूनी ढाँचा चाहे जितना मजबूत हो, यह अंततः एक ऐसा दस्तावेज है जिसे भू-राजनीतिक शक्ति संतुलन और राजनयिक दबाव दरकिनार कर सकते हैं, विलंबित कर सकते हैं या पुनर्व्याख्यायित कर सकते हैं। एकमात्र सुरक्षा जो किसी भविष्य की बातचीत पर निर्भर नहीं करती, वह है तकनीकी रूप से निष्पादन असंभव होना

एक zero knowledge आर्किटेक्चर, जहाँ सेवा प्रदाता के पास डिक्रिप्शन कुंजियों का न कब्जा है और न हिरासत, एक समन को भौतिक रूप से निष्प्रभावी बना देता है। जो कभी आपके पास था ही नहीं, उसे सौंपने के लिए आपको बाध्य नहीं किया जा सकता।

यही तर्क Arpokrat जैसे पारिस्थितिकी तंत्रों की संरचना करता है:

  • न्यायक्षेत्र निराकरण: बुनियादी ढाँचा स्विट्जरलैंड में होस्ट किया गया है, संघीय डेटा संरक्षण अधिनियम (LPD/FADP) के तहत, CLOUD Act की बाह्यक्षेत्रीयता के प्रत्यक्ष दायरे से बाहर
  • हिरासत का अभाव: zero knowledge आर्किटेक्चर सेवा प्रदाता को वे कुंजियाँ या सामग्री सौंपने की किसी भी क्षमता से वंचित करता है जो उसके पास कभी थी ही नहीं
  • पहचान फुटप्रिंट में कमी: फोन नंबर या ईमेल पते द्वारा पंजीकरण की बाध्यता को समाप्त करके — ऐसे पहचानकर्ता जिन्हें FISA की धारा 702 पर आधारित निगरानी आसानी से ट्रैक कर सकती है — उपयोगकर्ता एक पहचान योग्य ग्राहक से एक अनाम क्रिप्टोग्राफिक कुंजी बन जाता है

हिरासत की श्रृंखला संदेश एन्क्रिप्शन पर नहीं रुकती

अनुपालन विश्लेषणों में अक्सर कम आँका जाने वाला एक बिंदु: किसी संचार की सामग्री को एन्क्रिप्ट करना पर्याप्त नहीं है यदि अंतर्निहित ऑपरेटिंग सिस्टम — चाहे वह Android हो या iOS — कर्नेल स्तर पर मेटाडेटा या टेलीमेट्री कैप्चर करना जारी रखता है, जो अमेरिकी न्यायक्षेत्र के अधीन सर्वरों पर जाती है। गोपनीयता की सुरक्षा के लिए हिरासत की श्रृंखला की पूर्ण बंदी की आवश्यकता है — सामग्री से लेकर भौतिक बुनियादी ढाँचे तक।

इसीलिए डिजिटल संप्रभुता में उपयोग किए जाने वाले ऑपरेटिंग सिस्टम पर भी विचार शामिल है — न केवल मैसेजिंग एप्लिकेशन पर। डी-गूगलीकृत सिस्टम, जहाँ Bluetooth या GNSS जियोलोकेशन जैसे मॉड्यूल को सीधे कर्नेल स्तर पर अक्षम किया जा सकता है, भौतिक आक्रमण वेक्टरों को समाप्त करते हैं जिसकी भरपाई कोई भी एप्लिकेशन-स्तरीय एन्क्रिप्शन नहीं कर सकता।

पोस्ट-क्वांटम क्रिप्टोग्राफी: एक पहले से तय क्षितिज

HNDL रणनीति द्वारा उत्पन्न खतरे के मद्देनजर, पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) मानकों को अपनाना उन सभी के लिए आवश्यक हो जाता है जो दीर्घकालिक रूप से संवेदनशील डेटा की गोपनीयता की गारंटी देना चाहते हैं — चाहे वह व्यावसायिक रहस्य हों, व्यावसायिक पत्राचार हो, या स्वास्थ्य डेटा हो। आज के शास्त्रीय मानकों के अनुसार मजबूत समझा जाने वाला एन्क्रिप्शन यह गारंटी नहीं देता कि वह अगले पंद्रह वर्षों में अपेक्षित क्वांटम कंप्यूटिंग क्षमताओं का सामना कर सकेगा।


Data Act और CLOUD Act के बीच का संघर्ष एक व्यापक वास्तविकता को उजागर करता है: डिजिटल संप्रभुता अब केवल कानूनी दस्तावेजों पर निर्मित नहीं हो सकती, चाहे वे कितने भी मजबूत क्यों न हों। इसके लिए हर स्तर पर हिरासत की श्रृंखला को बंद करना आवश्यक है — एन्क्रिप्शन प्रोटोकॉल से लेकर होस्टिंग न्यायक्षेत्र तक, और ऑपरेटिंग सिस्टम तक। यही परत-दर-परत दृष्टिकोण — किसी एकल नियामक ढाँचे पर भरोसे की बजाय — आज एक वास्तविक डिज़ाइन द्वारा डिजिटल संप्रभुता को परिभाषित करता है।