नई दिल्ली का अखिल भारतीय आयुर्विज्ञान संस्थान (AIIMS) अपनी चिकित्सा सेवाओं की गुणवत्ता और लोकप्रियता के लिए प्रसिद्ध है. दिलचस्प बात तो यह है कि इस अस्पताल ने भारत की कई डिजिटल स्वास्थ्य संबंधी पहल के लिए एक महत्वपूर्ण टैस्टबैड का भी काम किया है. यह उन पहले अस्पतालों में से एक था, जिसे राष्ट्रीय सूचना विज्ञान केंद्र की ई-अस्पताल प्रणाली के अंतर्गत क्लाउड-आधारित अस्पताल प्रबंधन सूचना प्रणाली के रूप में अपनाया गया था. सन् 2016 में इस अस्पताल में आधार ID पर रोगियों के निःशुल्क पंजीकरण की घोषणा की गई थी. अभी हाल ही में, इस अस्पताल के सिस्टम के साथ स्वास्थ्य मंत्रालय की नई सार्वभौमिक स्वास्थ्य ID योजना अर्थात् आयुष्मान भारत स्वास्थ्य खाता (ABHA) IDs - को एकीकृत करना भी शुरू कर दिया गया है.
डिजिटलीकरण की इस लहर के साथ ही अक्टूबर 2022 में अखिल भारतीय आयुर्विज्ञान संस्थान (AIIMS) ने घोषणा की है कि वह 2023 की शुरुआत से पहले ही पूरी तरह से पेपरलैस हो जाएगा. लेकिन एक महीने से भी कम समय में, एक बड़े साइबर हमले के कारण इस अस्पताल का डिजिटल सिस्टम पूरी तरह ठप्प हो गया था. हैकर्स ने अखिल भारतीय आयुर्विज्ञान संस्थान (AIIMS) के सर्वर को अपने कब्जे में ले लिया था और उस पर मौजूद डैटा को एन्क्रिप्ट कर दिया था और इसके कारण भारतीय आयुर्विज्ञान संस्थान (AIIMS) के लिए अपने सिस्टम तक पहुँचना भी असंभव हो गया था. इसका नतीजा यह हुआ कि फिर से अनियोजित रूप में मैनुअल प्रक्रिया की ओर लौटना पड़ा और भारी देरी और असुविधाओं को झेलना पड़ा. ऐसे समय में, इस घटना के कारण उन सभी तीस से चालीस मिलियन लोगों की निजता से समझौता करना पड़ा, जिनका डेटा साइबर हमले के कारण प्रभावित होने की आशंका है.
ई-अस्पताल प्रणाली के डिज़ाइन के आधार पर, यह अनुमान लगाया जा सकता है कि भारतीय आयुर्विज्ञान संस्थान (AIIMS) के सर्वर में रोगियों के पंजीकरण, उनके दाखिले, बिलिंग, प्रयोगशाला संबंधी सेवाओं के उपयोग और नैदानिक रिकॉर्ड से संबंधित डेटा समाहित होते हैं. अंतिम श्रेणी में रोगियों की स्वास्थ्य संबंधी स्थितियों, निदान, चिकित्सा के इतिहास और नुस्खों के बारे में संवेदनशील व्यक्तिगत डेटा रहता है. इस जानकारी की संवेदनशीलता इसके निर्विवाद स्वरूप के कारण होती है - एक व्यक्ति का चिकित्सा इतिहास स्थायी और अपरिवर्तनीय होता है - और इसके दुरुपयोग के गंभीर निहितार्थ हो सकते हैं. स्वास्थ्य संबंधी कुछ हालातों से जुड़ा कलंक भी इसमें शामिल होता है.
हाल ही में “ निजी और विवादास्पदः भारत में सार्वजनिक स्वास्थ्य और निजता की बैठक ” (Private and Controversial: When Public Health and Privacy Meet in India ) से संबंधित खंड का संपादन करते हुए मैंने ऐसे तीन कारकों को उजागर किया है, जो भारत में निजता और सार्वजनिक स्वास्थ्य के बीच के अंतर पर चर्चा करने के लिए विशेष रूप से उचित समय बताते हैं.
पहला कारक तो यही है कि कोविड-19 महामारी के प्रबंधन के दौरान भारत सरकार ने डिजिटल टैक्नोलॉजी पर व्यापक निर्भरता दिखाई थी. इसके दो उदाहरण ऐसे थे,जिनकी बहुत चर्चा हुई थी, कॉन्टैक्ट ट्रेसिंग के लिए आरोग्य सेतु ऐप और वैक्सीन डिलीवरी के प्रबंधन के लिए CoWIN प्लेटफ़ॉर्म. लेकिन सार्वजनिक स्वास्थ्य का मामला भारत के संविधान के अंतर्गत राज्य के अंतर्गत आता है. तदनुसार डिजिटल पहल संबंधी अनेक मामले भी राज्य के स्तर पर ही अपनाये गए. इंटरनेट डैमोक्रेसी प्रोजेक्ट के अंतर्गत एक मैपिंग अभ्यास द्वारा 72 केंद्रीय और राज्य-स्तरीय अनुप्रयोगों की पहचान की गई थी, जिनका उपयोग संगरोध प्रवर्तन, लक्षणों की स्वतः-स्क्रीनिंग, ड्रोन के माध्यम से लॉकडाउन की निगरानी और यात्रा परमिट जारी करने जैसे उद्देश्यों के लिए किया जा रहा था.
महामारी की अर्जेंसी के बीच, अधिकांशतः हस्तक्षेपों के असर और उसकी उपयुक्तता या उपयोगकर्ता की निजता पर उसके प्रभाव पर पर्याप्त बहस के बिना ही इसकी तैनाती की जाती रही है. उदाहरण के लिए, अध्ययन से पता चला है कि 72 में से केवल 27 पहल ही ऐसी थीं जिनकी नीति, समर्पित निजता की नीति के अंतर्गत थीं. जहाँ एक ओर यह नीति इसकी पर्याप्तता या वास्तविक कार्यान्वयन को इंगित नहीं करती है, लेकिन इसकी अनुपस्थिति निश्चित रूप से निजता के सरोकारों के प्रति कम सम्मान दर्शाती है.
महामारी के दौरान डेटा संग्रह के सामान्यीकरण और डिजिटल हस्तक्षेप के माध्यम से भी भारत में नए स्वास्थ्य संबंधी डिजिटलीकरण के आर्किटैक्चर को प्रोत्साहित करने की पेशकश की गई थी. तदनुसार दूसरी गतिविधि का संबंध आयुष्मान् भारत डिजिटल स्वास्थ्य मिशन (ABDM) को लागू करने से संबंधित है. अगस्त,2020 में प्रधानमंत्री द्वारा की गई घोषणा के अनुसार इस मिशन का उद्देश्य आयुष्मान् भारत स्वास्थ्य खाता (ABHA) ID से संबंधित डिजिटल स्वास्थ्य रिकॉर्ड के निर्माण को प्रोत्साहित करना है, जिसकी पहुँच रोगियों तक आसानी से हो सके और सहभागी संस्थानों के बीच इसे साझा किया जा सके.
आयुष्मान् भारत डिजिटल स्वास्थ्य मिशन (ABDM) को लागू करने वाली संस्था राष्ट्रीय स्वास्थ्य प्राधिकरण (NHA) ने यह घोषणा की है कि व्यक्तिगत स्तर पर लोगों की स्वायत्तता को संरक्षण प्रदान करने के प्रयोजन से शुरू की गई इस प्रणाली के अंतर्गत लोगों की भागीदारी स्वैच्छिक रहेगी. हालाँकि, भारत में स्वास्थ्य और निजता संबंधी असमानता की वास्तविकता को देखते हुए इस दावे का असर संदिग्ध हो सकता है. आयुष्मान् भारत स्वास्थ्य खाता (ABHA) ID को पहले से ही विभिन्न सरकारी योजनाओं और राज्य के अस्पतालों से एकीकृत किया जा रहा है. उदाहरण के लिए अकेले अखिल भारतीय आयुर्विज्ञान संस्थान (AIIMS) के बाहरी रोगी विभाग में रोज़ाना आठ से पंद्रह हजार रोगी आते हैं. यही कारण है कि ऐसी संस्थाओं द्वारा आयुष्मान् भारत स्वास्थ्य खाता (ABHA) ID को अनिवार्य बनाने या प्रोत्साहित करने का यह निर्णय इस प्रणाली को भारी आबादी के बड़े हिस्से के लिए वस्तुतः अनिवार्य ही बना देगा. यह बात आधार परियोजना के इतिहास की तरह ही है. जब आधार परियोजना आरंभ की गई थी तो उस समय स्वैच्छिक थी, लेकिन कुछ समय के बाद राज्य की किसी भी प्रकार की कल्याण योजना का लाभ उठाने के लिए यह अनिवार्य हो गई.
मौजूदा 328 मिलियन आयुष्मान् भारत स्वास्थ्य खाता (ABHA) ID के लगभग 40 प्रतिशत खाते CoWIN प्लेटफ़ॉर्म से ही निकले हैं. जब कोविड-19 के टीके की बुकिंग के लिए लोग अपने आधार कार्ड का इस्तेमाल करते हैं तो कई बार उनके IDs उपयोगकर्ता की जानकारी या सहमति के बिना अपने-आप ही बन जाते हैं. महामारी द्वारा उत्पन्न असहायता के हालात के बीच इस नामांकन अभियान की निर्लज्जता डिजिटल स्वास्थ्य संरचना की स्वैच्छिक साख पर और भी संदेह पैदा करती है.
राष्ट्रीय स्वास्थ्य प्राधिकरण (NHA) द्वारा स्वास्थ्य डेटा प्रबंधन नीति संबंधी एक अभिलेख प्रकाशित किया गया था, जिसके माध्यम से आयुष्मान् भारत डिजिटल स्वास्थ्य मिशन (ABDM) के ईको सिस्टम के सभी प्रतिभागियों से यह अपेक्षा की जाती है कि वे इसका पालन करेंगे. इस नीतिगत अभिलेख में "डिज़ाइन द्वारा निजता" को लेकर एक प्रतिबद्धता दर्ज की गई है, जिसमें नोटिस और सहमति, रिकॉर्ड तक पहुँच बनाने और उसे मिटाने के अधिकार के साथ-साथ व्यक्तिगत डेटा के संग्रह, उपयोग और भंडारण की सीमाओं से संबंधित कुछ अपेक्षाएँ निर्धारित की गई थीं. इसके अलावा, यह एक ऐसे इलैक्ट्रॉनिक सहमति प्रबंधन आर्किटैक्चर की रूपरेखा तैयार करता है. जिसके माध्यम से उपयोगकर्ता की सहमति के सत्यापन करने योग्य रिकॉर्डों का संग्रह और रख-रखाव किया जा सके.
यह नीति निश्चय ही एक सकारात्मक कदम है और इसमें अंतर्निहित मुद्दे भी डेटा संरक्षण के सामान्य सिद्धातों से मेल खाते हैं. लेकिन इसका असर राष्ट्रीय स्वास्थ्य प्राधिकरण (NHA) की कानूनी वैधता के अभाव के कारण कम हो गया है और इसके कारण इसके नीतिगत दिशानिर्देश भी कमज़ोर पड़ गए हैं. उदाहरण के लिए राष्ट्रीय स्वास्थ्य प्राधिकरण (NHA) की नीति का अनुपालन न होने के कारण यही एकमात्र दुष्परिणाम हुआ कि स्थापना का विषय संभवतः आयुष्मान् भारत डिजिटल स्वास्थ्य मिशन (ABDM) में भाग लेने से बाहर हो गया है. जहाँ तक शेष स्थापनाओं का संबंध है, निजता-कानून के उल्लंघन का कोई भी मामला लागू होने वाले कानून के प्रावधानों से ही शासित होगा. हालाँकि उच्चतम न्यायालय द्वारा निजता को बुनियादी अधिकार मानने से संबंधित 2017 के पुट्टस्वामी निर्णय के बाद से ही भारत में इस पर चर्चा होने लगी थी, फिर भी भारत में डेटा संरक्षण के लिए कानूनी ढाँचा अभी तक लागू नहीं हो पाया है.
प्रस्तावित डेटा संरक्षण कानून से संबंधित विचार-विमर्श निजी और विवादास्पद (Private and Controversial ) निबंधों के लिए तीसरा बुनियादी मुद्दा है. डिजिटल व्यक्तिगत डेटा संरक्षण बिल, 2022 शीर्षक के अंतर्गत एक मसौदा बिल की नवीनतम पुनरावृत्ति नवंबर 2022 में सामने आई है. 2018 से होने वाली चर्चा से जुड़े पिछले पाठों में अनेक स्थलों पर अंतर आ गया है, जिस पर स्थायी संसदीय समिति द्वारा अंत में चर्चा भी की गई थी. यह उल्लेखनीय है कि नये मसौदे में स्वास्थ्य डेटा संबंधी संवेदनशील व्यक्तिगत डेटा की विशेष श्रेणी को समाप्त कर दिया गया है. इस डेटा में कुछ विस्तृत संरक्षणों को शामिल किया जा सकता था. इस मसौदा बिल में “मानित सहमति” को भी शामिल किया गया है, जिसके अंतर्गत मैडिकल आपात् स्थितियों और सार्वजनिक स्वास्थ्य संबंधी विचारों को भी ऐसे हालातों के रूप में मान्यता दी गई थी जहाँ रोगी की व्यक्तिगत सहमति के बिना भी डेटा को प्रोसेस किया जा सकता था.
नए मसौदे की सामग्री के बारे में बहुत कुछ कहा जा सकता है, लेकिन खास तौर पर पिछले मसौदे के पहले ही चर्चा जब उन्नत चरण में थी, ऐसे समय में इसके अपनाने में जो देरी हुई वह भी उतनी ही महत्वपूर्ण है. इसी तरह साइबर सुरक्षा के मामले में भी बहुत समय से भारत की साइबर सुरक्षा के ढाँचे में आमूल-चूल परिवर्तन की आवश्यकता के बारे में काफ़ी चर्चा होती रही है. लेकिन इस बारे में परिषद के स्तर पर मात्र चर्चा करने और कार्यबल गठित करने के अतिरिक्त अब तक कोई ठोस कार्रवाई नहीं की गई. ये अंतराल तब और भी महत्वपूर्ण हो जाते हैं जब आयुष्मान् भारत डिजिटल स्वास्थ्य मिशन (ABDM) जैसी परियोजना के अंतर्गत निजी डेटा के डिजिटलीकरण और उसे साझा करने की प्रक्रिया में तेज़ी लाई जा रही हो.
अखिल भारतीय आयुर्विज्ञान संस्थान (AIIMS) की कहानी पर वापस आते हुए यह घटना हमारे सामने एक तार्किक सवाल खड़ा करती है कि हम अपने सिस्टम की कानूनी और कार्यान्वयन संबंधी वास्तविकताओं के साथ स्वास्थ्य डिजिटलीकरण के उत्साह को कैसे संतुलित कर सकते हैं. अखिल भारतीय आयुर्विज्ञान संस्थान (AIIMS) जैसे बड़े संस्थानों और देश भर के छोटे-छोटे चिकित्सा प्रतिष्ठानों को प्रोत्साहन देने और अपने रोगियों के निजता के अधिकारों की रक्षा के लिए सिस्टम को कैसे विकसित किया जाए? प्रभावी सुरक्षा उपायों के बिना स्वास्थ्य संबंधी रिकॉर्डों के डिजिटलीकरण के अभियान को आगे बढ़ाते समय अगर रोगियों के निजता अधिकारों के साथ समझौता होता है तो राज्य की क्या ज़िम्मेदारी होगी?
स्मृति परशीरा रियो द जनेरो के Fundação Getulio Vargas (FGV) लॉ स्कूल की CyberBRICS परियोजना में फ़ैलो हैं. वह Private and Controversial: When Public Health and Privacy Meet in India (HarperCollins India Pvt Ltd, 2023) की संपादक हैं.
हिंदी अनुवादः डॉ. विजय कुमार मल्होत्रा, पूर्व निदेशक (हिंदी), रेल मंत्रालय, भारत सरकार
<malhotravk@gmail.com> / Mobile : 91+991002991/WhatsApp:+91 83680 68365