प्रेक्षित डेटा लूपहोल का अंत: CJEU के ऐतिहासिक फैसले को समझना

वर्षों से, कानूनी विभागों और गोपनीयता तकनीकी स्टार्टअप्स के कमरों में एक सूक्ष्म लेकिन महत्वपूर्ण बहस चल रही थी: यदि कोई कंपनी आपके माउस की गतिविधियों को ट्रैक करती है, आपके आईपी पते को लॉग करती है, या पहनने योग्य डिवाइस (wearable) के माध्यम से आपकी हृदय गति की निगरानी करती है, तो क्या आपने उन्हें वह डेटा दिया है, या उन्होंने इसे केवल पाया है?

दिसंबर 2025 में, यूरोपीय संघ के न्यायालय (CJEU) ने एक निर्णायक उत्तर दिया है जिसने वैश्विक तकनीकी उद्योग में हलचल मचा दी है। अदालत ने फैसला सुनाया कि प्रेक्षित व्यक्तिगत डेटा (observed personal data)—एक सेवा के साथ उपयोगकर्ता की बातचीत के माध्यम से उत्पन्न जानकारी—को सीधे डेटा विषय से एकत्र किए गए डेटा के रूप में माना जाना चाहिए। यह निर्णय प्रभावी रूप से उस लंबे समय से चले आ रहे लूपहोल को बंद कर देता है जिसका उपयोग कुछ संगठन अपने पारदर्शिता दायित्वों में देरी करने या उन्हें कम करने के लिए करते थे।

मामले की जड़: अनुच्छेद 13 बनाम अनुच्छेद 14

यह समझने के लिए कि यह फैसला क्यों महत्वपूर्ण है, हमें सामान्य डेटा संरक्षण विनियमन (GDPR) की मशीनरी को देखना होगा। यह विनियमन पारदर्शिता को दो श्रेणियों में विभाजित करता है: अनुच्छेद 13 (सीधे व्यक्ति से एकत्र किया गया डेटा) और अनुच्छेद 14 (अन्यत्र से प्राप्त डेटा, जैसे कि तीसरे पक्ष के ब्रोकर से)।

यह अंतर केवल अकादमिक नहीं है। अनुच्छेद 13 के तहत, एक कंपनी को डेटा एकत्र किए जाने के ठीक उसी क्षण गोपनीयता की जानकारी प्रदान करनी चाहिए। अनुच्छेद 14 के तहत, उनके पास अक्सर एक महीने तक की छूट अवधि होती है। यह तर्क देकर कि प्रेक्षित डेटा—जैसे ब्राउज़िंग इतिहास या स्थान पिंग्स—उपयोगकर्ता द्वारा "प्रदान" नहीं किया गया था, बल्कि कंपनी के अपने सेंसर द्वारा "बनाया" गया था, कुछ फर्मों ने अनुच्छेद 13 की तत्काल प्रकटीकरण आवश्यकताओं को दरकिनार करने की कोशिश की।

CJEU ने अब इस तर्क को खारिज कर दिया है। अदालत ने तर्क दिया कि यदि डेटा व्यक्ति के कार्यों या विशेषताओं से उत्पन्न होता है, तो कैप्चर करने की विधि—चाहे वह फॉर्म हो या साइलेंट ट्रैकिंग पिक्सेल—अप्रासंगिक है। यह सीधे उनसे एकत्र किया जाता है।

प्रेक्षित डेटा अब 'द्वितीयक' क्यों नहीं है

वेब के शुरुआती दिनों में, "एकत्रित डेटा" का अर्थ आमतौर पर वह होता था जो आप एक बॉक्स में टाइप करते थे: आपका नाम, ईमेल और शिपिंग पता। लेकिन आधुनिक अर्थव्यवस्था में, सबसे मूल्यवान डेटा अक्सर वह होता है जिसे साझा करने का आपको एहसास भी नहीं होता है। इसमें शामिल हैं:

• व्यवहारात्मक मेटाडेटा (Behavioral Metadata): आप कितनी देर तक किसी इमेज पर होवर करते हैं, आपकी स्क्रॉलिंग गति, और आपके क्लिक-थ्रू पैटर्न।
• IoT और सेंसर डेटा: स्मार्टवॉच से हृदय गति मेट्रिक्स या स्मार्ट थर्मोस्टेट से परिवेश का तापमान।
• तकनीकी पहचानकर्ता: MAC पते, ब्राउज़र फिंगरप्रिंट और सटीक भौगोलिक स्थिति।

इसे "सीधे एकत्र" के रूप में वर्गीकृत करके, CJEU यह संकेत दे रहा है कि "पहले ट्रैक करें, बाद में समझाएं" का युग समाप्त हो गया है। यदि कोई स्मार्ट कार बीमा जोखिम की गणना करने के लिए आपकी ड्राइविंग शैली का अवलोकन करती है, तो वह आपसे वास्तविक समय में वह डेटा एकत्र कर रही है। परिणामस्वरूप, पारदर्शिता की आवश्यकताओं को उसी क्षण पूरा किया जाना चाहिए।

यूरोपीय संघ के नियमों पर व्यापक प्रभाव

हालांकि यह फैसला GDPR पर आधारित है, लेकिन इसकी छाया बहुत आगे तक फैली हुई है। यूरोपीय संघ की डिजिटल रणनीति परस्पर जुड़े कानूनों के जाल पर निर्भर करती है, जिसमें डेटा अधिनियम (Data Act), AI अधिनियम और डिजिटल मार्केट अधिनियम (DMA) शामिल हैं। इनमें से कई नियम डेटा पोर्टेबिलिटी या एक्सेस जैसे अधिकारों को परिभाषित करने के लिए "उपयोगकर्ता द्वारा प्रदान किए गए डेटा" की अवधारणा का उपयोग करते हैं।

प्रत्यक्ष संग्रह की परिभाषा को व्यापक बनाकर, CJEU ने अनजाने में इन अन्य कानूनों के दायरे का विस्तार कर दिया है। उदाहरण के लिए, डेटा अधिनियम के तहत, उपयोगकर्ताओं को उस डेटा तक पहुँचने का अधिकार है जिसे उन्होंने किसी सेवा में "योगदान" दिया है। यदि "योगदान" में अब कानूनी रूप से निष्क्रिय अवलोकन शामिल है, तो कनेक्टेड डिवाइस के निर्माताओं को मूल रूप से योजना बनाई गई तुलना में बहुत अधिक मजबूत डेटा-साझाकरण इंटरफ़ेस बनाने होंगे।

टेक टीमों के लिए व्यावहारिक निहितार्थ

CTO और डेटा सुरक्षा अधिकारियों (DPOs) के लिए, यह फैसला डेटा पाइपलाइनों के ऑडिट के तरीके में बदलाव की मांग करता है। अब पादलेख (footer) में दबी हुई एक सामान्य गोपनीयता नीति होना पर्याप्त नहीं है।

"जस्ट-इन-टाइम" नोटिस पर विचार करें। यदि आपका मोबाइल ऐप उपयोगकर्ता द्वारा किसी विशिष्ट मानचित्र सुविधा को खोलते ही सटीक स्थान डेटा ट्रैक करना शुरू कर देता है, तो CJEU का तर्क बताता है कि पारदर्शिता नोटिस उसी समय प्रस्तुत किया जाना चाहिए। आप इस तथ्य पर भरोसा नहीं कर सकते कि उपयोगकर्ता साइन-अप के दौरान तीन महीने पहले 40 पन्नों के दस्तावेज़ पर सहमत हुआ था।

अनुपालन के लिए एक चेकलिस्ट

यदि आपका संगठन व्यवहारात्मक या सेंसर डेटा संसाधित करता है, तो आपको आगे क्या करना चाहिए:

1. अपने 'साइलेंट' संग्रह का मानचित्रण करें: हर उस बिंदु की पहचान करें जहाँ आपका सिस्टम सीधे इनपुट फ़ील्ड के बिना उपयोगकर्ता के व्यवहार का अवलोकन करता है। इसमें टेलीमेट्री, एनालिटिक्स और बैकग्राउंड सिंकिंग शामिल है।
2. अपनी पारदर्शिता समय का ऑडिट करें: सुनिश्चित करें कि ऊपर पहचाने गए प्रत्येक बिंदु के लिए, उपयोगकर्ता को अवलोकन शुरू होने से पहले या उस समय आवश्यक अनुच्छेद 13 की जानकारी प्रदान की गई है।
3. सहमति प्रबंधन प्लेटफॉर्म (CMPs) अपडेट करें: सुनिश्चित करें कि आपके CMP केवल अनुमति नहीं मांग रहे हैं, बल्कि वास्तव में अदालत द्वारा प्रत्यक्ष संग्रह की सख्त व्याख्या के लिए आवश्यक विशिष्ट खुलासे प्रदान कर रहे हैं।
4. तृतीय-पक्ष SDK की समीक्षा करें: कई ऐप एनालिटिक्स के लिए तृतीय-पक्ष टूल का उपयोग करते हैं। चूंकि आप नियंत्रक (controller) हैं, इसलिए आप यह सुनिश्चित करने के लिए जिम्मेदार हैं कि ये "अवलोकन" तत्काल प्रकटीकरण नियम का अनुपालन करते हैं।

मानवीय तत्व: विश्वास बहाल करना

इसके मूल में, CJEU का निर्णय विशाल तकनीकी प्लेटफार्मों और व्यक्तिगत उपयोगकर्ताओं के बीच सूचना विषमता को बंद करने के बारे में है। जब कोई सिस्टम हमारा अवलोकन करता है, तो वह अक्सर हमारी प्राथमिकताओं और स्वास्थ्य के बारे में उससे कहीं अधिक जानता है जितना हम सचेत रूप से महसूस करते हैं। कंपनियों को इस अवलोकन को हमारे व्यक्तित्व के प्रत्यक्ष संग्रह के रूप में स्वीकार करने के लिए मजबूर करके, अदालत एक अधिक ईमानदार डिजिटल अनुबंध पर जोर दे रही है।

तकनीकी उद्योग के लिए, यह एक और नियामक बाधा की तरह महसूस हो सकता है। हालांकि, जो कंपनियां इस पारदर्शिता को अपनाती हैं—"प्रेक्षित डेटा" की छाया से दूर होकर स्पष्ट, वास्तविक समय के संचार के प्रकाश में आती हैं—वे संभवतः लंबे समय में अपने उपयोगकर्ताओं के साथ गहरा और अधिक लचीला विश्वास बनाएंगी।