<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Schrems II on Arpokrat</title>
    <link>https://arpokrat.com/hi/blog/tags/schrems-ii/</link>
    <description>Recent content in Schrems II on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>hi</language><lastBuildDate>Fri, 19 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/hi/blog/tags/schrems-ii/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Data Act बनाम CLOUD Act: क्लाउड में आपके डेटा पर वास्तव में किसका नियंत्रण है?</title>
      <link>https://arpokrat.com/hi/blog/data-act-vs-cloud-act-digital-sovereignty/</link>
      <pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/hi/blog/data-act-vs-cloud-act-digital-sovereignty/</guid>
      <description>&lt;p&gt;वर्षों तक दुनिया एक सरल धारणा पर चलती रही: डेटा का एक भौतिक निवास स्थान होता है। यदि डेटा डबलिन के किसी सर्वर पर था, तो वह आयरिश और यूरोपीय कानून के अधीन था। यह धारणा 2018 में उस समय ध्वस्त हो गई जब संयुक्त राज्य अमेरिका ने CLOUD Act पारित किया — एक ऐसा कानून जो अमेरिकी अधिकारियों को अमेरिकी कंपनियों द्वारा नियंत्रित डेटा तक पहुँच प्रदान करता है, चाहे वह डेटा दुनिया में कहीं भी भौतिक रूप से संग्रहीत हो। कई साल बाद, ब्रसेल्स ने अपने स्वयं के सुरक्षा उपाय के साथ जवाब दिया: Data Act, जो अब पूरी तरह लागू है और जो यूरोपीय संघ में रखे गए डेटा तक तीसरे देशों के अधिकारियों की बाह्यक्षेत्रीय पहुँच को सीमित करने का प्रयास करता है।&lt;/p&gt;
&lt;p&gt;यहाँ बताया गया है कि ये दोनों कानून वास्तव में क्या प्रावधान करते हैं, वे कहाँ टकराते हैं, और इस संघर्ष के विरुद्ध एकमात्र वास्तव में मजबूत सुरक्षा तकनीकी रूप से पहुँच असंभव बनाना क्यों है।&lt;/p&gt;
&lt;h2 id=&#34;अमरक-cloud-act-सथन-नह-नयतरण-पर-आधरत-पहच&#34;&gt;अमेरिकी CLOUD Act: स्थान नहीं, नियंत्रण पर आधारित पहुँच&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;CLOUD Act&lt;/strong&gt; (&lt;em&gt;Clarifying Lawful Overseas Use of Data Act&lt;/em&gt;), जिसे मार्च 2018 में अपनाया गया, ने अमेरिकी कानून में &lt;strong&gt;18 U.S. Code § 2713&lt;/strong&gt; अनुच्छेद जोड़कर उसे संशोधित किया। यह कानून किसी भी इलेक्ट्रॉनिक संचार सेवा या रिमोट कंप्यूटिंग प्रदाता को किसी संचार की सामग्री या उससे संबंधित किसी भी रिकॉर्ड को संरक्षित, सुरक्षित या प्रकट करने के लिए बाध्य करता है, जब वह डेटा उसके कब्जे, हिरासत या नियंत्रण में हो — &lt;strong&gt;चाहे वह डेटा संयुक्त राज्य अमेरिका के भीतर हो या बाहर&lt;/strong&gt;।&lt;/p&gt;
&lt;p&gt;यही अंतिम खंड सब कुछ बदल देता है। मानदंड अब सर्वर का भौतिक स्थान नहीं, बल्कि मूल कंपनी द्वारा अपनी सहायक कंपनियों पर प्रयोग किया जाने वाला नियंत्रण है। इस प्रकार, यूरोप में डेटा सेंटर संचालित करने वाली एक अमेरिकी कंपनी अमेरिकी समन के अधीन रहती है, भले ही डेटा पूरी तरह से यूरोपीय धरातल पर संग्रहीत हो।&lt;/p&gt;
&lt;h2 id=&#34;यरपय-data-act-बहयकषतरय-पहच-क-वरदध-एक-कनन-बध&#34;&gt;यूरोपीय Data Act: बाह्यक्षेत्रीय पहुँच के विरुद्ध एक कानूनी बाधा&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;Regulation (EU) 2023/2854&lt;/strong&gt;, जिसे Data Act कहा जाता है, 11 जनवरी 2024 को लागू हुआ और 12 सितंबर 2025 से पूरी तरह लागू है, कुछ प्रावधान 2026 और 2027 तक चरणबद्ध हैं। इसका &lt;strong&gt;अनुच्छेद 32&lt;/strong&gt; सीधे डेटा तक अंतरराष्ट्रीय सरकारी पहुँच के प्रश्न को संबोधित करता है।&lt;/p&gt;
&lt;p&gt;यह कानून एक स्पष्ट नियम स्थापित करता है: किसी तीसरे देश की न्यायिक या प्रशासनिक प्राधिकरण का कोई भी निर्णय या आदेश जो किसी डेटा प्रसंस्करण सेवा प्रदाता को यूरोपीय संघ में रखे गए गैर-व्यक्तिगत डेटा को स्थानांतरित करने या उस तक पहुँच देने के लिए बाध्य करता है, &lt;strong&gt;केवल तभी मान्यता प्राप्त और प्रवर्तनीय होगा जब वह किसी अंतरराष्ट्रीय समझौते पर आधारित हो&lt;/strong&gt;, जैसे कि अनुरोधकर्ता देश और यूरोपीय संघ के बीच, या उस देश और संबंधित सदस्य राज्य के बीच लागू पारस्परिक कानूनी सहायता संधि (MLA)।&lt;/p&gt;
&lt;p&gt;ऐसे किसी समझौते के अभाव में, अनुच्छेद 32 एक दूसरा मार्ग प्रदान करता है, लेकिन सख्त शर्तों के साथ: विदेशी आदेश केवल तभी लागू किया जा सकता है जब तीसरे देश की कानूनी प्रणाली यह अपेक्षा करे कि अनुरोध प्रेरित, आनुपातिक और पर्याप्त रूप से विशिष्ट हो — उदाहरण के लिए, विशिष्ट व्यक्तियों या अपराधों के साथ स्पष्ट संबंध स्थापित करके — और यदि प्राप्तकर्ता की प्रेरित आपत्ति उस तीसरे देश के सक्षम न्यायालय की समीक्षा के अधीन हो सके।&lt;/p&gt;
&lt;h2 id=&#34;एक-परतयकष-कनन-टकरव&#34;&gt;एक प्रत्यक्ष कानूनी टकराव&lt;/h2&gt;
&lt;p&gt;समस्या तत्काल है: CLOUD Act मूल कंपनी द्वारा प्रयोग किए गए नियंत्रण के आधार पर प्रकटीकरण की माँग करता है, बिना यूरोपीय कानून द्वारा अपेक्षित आनुपातिकता की तुलनीय शर्त के। इसके विपरीत, Data Act ऐसी किसी भी माँग की मान्यता को किसी अंतरराष्ट्रीय समझौते या विशिष्ट प्रक्रियागत गारंटी के अस्तित्व पर निर्भर करता है। यूरोप में कार्यरत एक अमेरिकी कंपनी, जिसे किसी अमेरिकी प्राधिकरण द्वारा यूरोपीय संघ में होस्ट किया गया डेटा प्रेषित करने का आदेश दिया गया हो, दो विरोधाभासी कानूनी दायित्वों के बीच फँसी पाती है: या तो यूरोपीय संघ के कानून का उल्लंघन करते हुए अमेरिकी आदेश का पालन करे, या Data Act का सम्मान करते हुए संयुक्त राज्य अमेरिका में इनकार के परिणामों का सामना करे।&lt;/p&gt;
&lt;p&gt;यह तनाव सैद्धांतिक नहीं है। इसे यूरोपीय संघ के न्यायालय (CJEU) ने दो महत्वपूर्ण निर्णयों — &lt;strong&gt;Schrems I&lt;/strong&gt; (2015) और &lt;strong&gt;Schrems II&lt;/strong&gt; (2020) — में पहले ही दर्ज किया है। Schrems II निर्णय में, CJEU ने माना कि &lt;strong&gt;FISA की धारा 702&lt;/strong&gt; (&lt;em&gt;Foreign Intelligence Surveillance Act&lt;/em&gt;) और &lt;strong&gt;कार्यकारी आदेश 12333&lt;/strong&gt; के तहत की जाने वाली अमेरिकी निगरानी, आनुपातिकता के सिद्धांत के तहत यूरोपीय संघ के कानून द्वारा अपेक्षित न्यूनतम गारंटी का पालन नहीं करती और इसलिए इसे केवल जो कड़ाई से आवश्यक हो उस तक सीमित नहीं माना जा सकता। न्यायालय ने यूरोपीय संघ के संबंधित व्यक्तियों के लिए प्रभावी न्यायिक उपाय की अनुपस्थिति भी दर्ज की, जो मौलिक अधिकारों के चार्टर के अनुच्छेद 47 का उल्लंघन है। इस निर्णय ने Privacy Shield ढाँचे को अमान्य कर दिया, जो तब तक EU और संयुक्त राज्य अमेरिका के बीच डेटा स्थानांतरण को व्यवस्थित करता था।&lt;/p&gt;
&lt;h2 id=&#34;सरचनतमक-जखम-harvest-now-decrypt-later&#34;&gt;संरचनात्मक जोखिम: Harvest Now, Decrypt Later&lt;/h2&gt;
&lt;p&gt;न्यायक्षेत्र के संघर्ष से परे, अमेरिकी कानून के अधीन बुनियादी ढाँचे में होस्ट किए गए डेटा पर एक और अधिक कपटी खतरा मँडरा रहा है: &lt;a href=&#34;https://arpokrat.com/hi/blog/harvest-now-decrypt-later-hndl-zero-knowledge/&#34;&gt;&lt;strong&gt;Harvest Now, Decrypt Later&lt;/strong&gt;&lt;/a&gt;
 (HNDL) रणनीति। इसका सिद्धांत यह है कि कोई खुफिया सेवा या शत्रुतापूर्ण राज्य अभिनेता आज एन्क्रिप्टेड डेटा को इंटरसेप्ट करके संग्रहीत करता है, और भविष्य में पर्याप्त क्वांटम कंप्यूटिंग क्षमताओं के उपलब्ध होने की प्रतीक्षा करता है ताकि उसे डिक्रिप्ट किया जा सके।&lt;/p&gt;
&lt;p&gt;यह रणनीति किसी अमेरिकी क्लाउड बुनियादी ढाँचे पर निरंतर निर्भरता को एक स्थगित सुरक्षा ऋण में बदल देती है: जो आज गोपनीय है वह दस या पंद्रह साल में पठनीय हो सकता है, बिना हमलावर की ओर से किसी अतिरिक्त कार्रवाई के — केवल समय और धैर्य।&lt;/p&gt;
&lt;h2 id=&#34;तकनक-असभवत-ह-वसतवक-गरट-कय-ह&#34;&gt;तकनीकी असंभवता ही वास्तविक गारंटी क्यों है&lt;/h2&gt;
&lt;p&gt;कानूनी विश्लेषण एक ऐसे निष्कर्ष पर अभिसरित होता है जो कई अनुपालन विशेषज्ञों द्वारा साझा किया जाता है: Data Act का कानूनी ढाँचा चाहे जितना मजबूत हो, यह अंततः एक ऐसा दस्तावेज है जिसे भू-राजनीतिक शक्ति संतुलन और राजनयिक दबाव दरकिनार कर सकते हैं, विलंबित कर सकते हैं या पुनर्व्याख्यायित कर सकते हैं। एकमात्र सुरक्षा जो किसी भविष्य की बातचीत पर निर्भर नहीं करती, वह है &lt;strong&gt;तकनीकी रूप से निष्पादन असंभव होना&lt;/strong&gt;।&lt;/p&gt;
&lt;p&gt;एक &lt;strong&gt;zero knowledge&lt;/strong&gt; आर्किटेक्चर, जहाँ सेवा प्रदाता के पास डिक्रिप्शन कुंजियों का न कब्जा है और न हिरासत, एक समन को भौतिक रूप से निष्प्रभावी बना देता है। जो कभी आपके पास था ही नहीं, उसे सौंपने के लिए आपको बाध्य नहीं किया जा सकता।&lt;/p&gt;
&lt;p&gt;यही तर्क &lt;strong&gt;Arpokrat&lt;/strong&gt; जैसे पारिस्थितिकी तंत्रों की संरचना करता है:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;न्यायक्षेत्र निराकरण&lt;/strong&gt;: बुनियादी ढाँचा स्विट्जरलैंड में होस्ट किया गया है, संघीय डेटा संरक्षण अधिनियम (LPD/FADP) के तहत, CLOUD Act की बाह्यक्षेत्रीयता के प्रत्यक्ष दायरे से बाहर&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;हिरासत का अभाव&lt;/strong&gt;: zero knowledge आर्किटेक्चर सेवा प्रदाता को वे कुंजियाँ या सामग्री सौंपने की किसी भी क्षमता से वंचित करता है जो उसके पास कभी थी ही नहीं&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;पहचान फुटप्रिंट में कमी&lt;/strong&gt;: फोन नंबर या ईमेल पते द्वारा पंजीकरण की बाध्यता को समाप्त करके — ऐसे पहचानकर्ता जिन्हें FISA की धारा 702 पर आधारित निगरानी आसानी से ट्रैक कर सकती है — उपयोगकर्ता एक पहचान योग्य ग्राहक से एक अनाम क्रिप्टोग्राफिक कुंजी बन जाता है&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;हरसत-क-शरखल-सदश-एनकरपशन-पर-नह-रकत&#34;&gt;हिरासत की श्रृंखला संदेश एन्क्रिप्शन पर नहीं रुकती&lt;/h2&gt;
&lt;p&gt;अनुपालन विश्लेषणों में अक्सर कम आँका जाने वाला एक बिंदु: किसी संचार की सामग्री को एन्क्रिप्ट करना पर्याप्त नहीं है यदि अंतर्निहित ऑपरेटिंग सिस्टम — चाहे वह Android हो या iOS — कर्नेल स्तर पर मेटाडेटा या टेलीमेट्री कैप्चर करना जारी रखता है, जो अमेरिकी न्यायक्षेत्र के अधीन सर्वरों पर जाती है। गोपनीयता की सुरक्षा के लिए हिरासत की श्रृंखला की पूर्ण बंदी की आवश्यकता है — सामग्री से लेकर भौतिक बुनियादी ढाँचे तक।&lt;/p&gt;
&lt;p&gt;इसीलिए डिजिटल संप्रभुता में उपयोग किए जाने वाले ऑपरेटिंग सिस्टम पर भी विचार शामिल है — न केवल मैसेजिंग एप्लिकेशन पर। डी-गूगलीकृत सिस्टम, जहाँ Bluetooth या GNSS जियोलोकेशन जैसे मॉड्यूल को सीधे कर्नेल स्तर पर अक्षम किया जा सकता है, भौतिक आक्रमण वेक्टरों को समाप्त करते हैं जिसकी भरपाई कोई भी एप्लिकेशन-स्तरीय एन्क्रिप्शन नहीं कर सकता।&lt;/p&gt;
&lt;h2 id=&#34;पसट-कवटम-करपटगरफ-एक-पहल-स-तय-कषतज&#34;&gt;पोस्ट-क्वांटम क्रिप्टोग्राफी: एक पहले से तय क्षितिज&lt;/h2&gt;
&lt;p&gt;HNDL रणनीति द्वारा उत्पन्न खतरे के मद्देनजर, पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) मानकों को अपनाना उन सभी के लिए आवश्यक हो जाता है जो दीर्घकालिक रूप से संवेदनशील डेटा की गोपनीयता की गारंटी देना चाहते हैं — चाहे वह व्यावसायिक रहस्य हों, व्यावसायिक पत्राचार हो, या स्वास्थ्य डेटा हो। आज के शास्त्रीय मानकों के अनुसार मजबूत समझा जाने वाला एन्क्रिप्शन यह गारंटी नहीं देता कि वह अगले पंद्रह वर्षों में अपेक्षित क्वांटम कंप्यूटिंग क्षमताओं का सामना कर सकेगा।&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;Data Act और CLOUD Act के बीच का संघर्ष एक व्यापक वास्तविकता को उजागर करता है: डिजिटल संप्रभुता अब केवल कानूनी दस्तावेजों पर निर्मित नहीं हो सकती, चाहे वे कितने भी मजबूत क्यों न हों। इसके लिए हर स्तर पर हिरासत की श्रृंखला को बंद करना आवश्यक है — एन्क्रिप्शन प्रोटोकॉल से लेकर होस्टिंग न्यायक्षेत्र तक, और ऑपरेटिंग सिस्टम तक। यही परत-दर-परत दृष्टिकोण — किसी एकल नियामक ढाँचे पर भरोसे की बजाय — आज एक वास्तविक &lt;strong&gt;डिज़ाइन द्वारा डिजिटल संप्रभुता&lt;/strong&gt; को परिभाषित करता है।&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>