जीन परीक्षण कंपनी 23andMe सामान्य लोगों के लिए एक सरल सेवा प्रदान करती है, जिससे वे अपनी आनुवंशिक जड़ों को बेहतर ढंग से समझ सकें। उन्हें केवल कंपनी के लार किट का ऑर्डर करना होता है, फिर एक ट्यूब में थूक कर उसे वापस मेल करना होता है।
कंपनी फिर नमूने में आनुवंशिक सामग्री का अनुक्रमण करती है और उनके पूर्वजों, रोग के संकेतक होने के जोखिम या कुछ बीमारियों के प्रति प्रवृत्ति और यह कि उनका शरीर कुछ दवाओं पर कैसे प्रतिक्रिया करेगा, के बारे में एक रिपोर्ट तैयार करती है। अब तक, 23andMe को 15 मिलियन से अधिक ग्राहकों ने अपना व्यक्तिगत आनुवंशिक डेटा प्रस्तुत किया है।
हालांकि, 23andMe एक उद्यम के रूप में अच्छा प्रदर्शन नहीं कर रहा है। इसका स्टॉक 2021 में $6 बिलियन के पीक वैल्यूएशन से लगभग 99% गिर चुका है और कर्मचारियों की छंटनी की जा रही है।
कंपनी का पूरा बोर्ड अपने संस्थापक-सीईओ एनी वोज्सिक के साथ असहमति के कारण इस्तीफा दे चुका है, जिन्होंने कहा कि वे कंपनी—इसके विशाल डीएनए डेटा के साथ—को सबसे ऊँची बोली लगाने वाले को बेचने के लिए तैयार हैं।
यह अपने ग्राहकों के लिए एक झटका होना चाहिए, जिनका आनुवंशिक डेटा अब सबसे ऊँची बोली लगाने वाले के लिए उपलब्ध है। क्या कोई भी ग्राहक यह सोच सकता था कि वे जो डीएनए डेटा जमा कर रहे थे, वह सामान्य व्यक्तिगत जानकारी के लिए, आग में बिका जाएगा?
यदि इस विचार ने उनके मन में प्रवेश किया होता, तो मुझे यकीन है कि वे अधिक गंभीरता से इस बात पर विचार करते कि क्या कंपनी से मिलने वाले लाभ उस जोखिम के लायक थे कि उनका आनुवंशिक डेटा एक अज्ञात तीसरे पक्ष के हाथों में जा सकता है।
हाल ही में, गोपनीयता विशेषज्ञ डैनियल जे. सोलोव ने स्पष्ट किया कि अमेरिकी ग्राहकों के लिए इसे रोकने के लिए बहुत कम कुछ किया जा सकता है—भले ही वे ऐसा करना चाहें।
दो दशक पहले, जब ऑनलाइन खिलौना व्यापारी टॉयस्मार्ट ने बच्चों के डेटा का यह डेटा बेचन का प्रयास किया था, तब संघीय व्यापार आयोग ने हस्तक्षेप किया, यह सुनिश्चित करते हुए कि कंपनी केवल इस डेटा को उसी क्षेत्र में काम करने वाली इकाई को बेचे, यदि वह टॉयस्मार्ट द्वारा निर्धारित गोपनीयता नीतियों को बनाए रखने पर सहमत हो।
तब से, सोलोव के अनुसार, सभी डेटा कंपनियों (जिसमें 23andMe भी शामिल है) ने अपनी गोपनीयता नीतियों में स्पष्ट रूप से एक क्लॉज़ शामिल किया है कि, “दीवाला, विलय, अधिग्रहण, पुनर्गठन, या संपत्ति की बिक्री” की स्थिति में, वे अपने उपभोक्ताओं की व्यक्तिगत जानकारी को ऐसे लेनदेन के हिस्से के रूप में बेच या स्थानांतरित कर सकते हैं। इसलिए, 23andMe के ग्राहक पहले ही—हालाँकि वे इसे नहीं जानते होंगे—एक आग में बिकने के लिए सहमति दे चुके हैं।
यूरोप में, चीजें काफी स्पष्ट होनी चाहिए। सामान्य डेटा संरक्षण नियम (GDPR) के तहत, जब व्यक्तिगत डेटा एक अधिग्रहक को एक विलय में स्थानांतरित किया जाता है, तो अधिग्रहण के बाद डेटा को प्रोसेस करने के उद्देश्यों को उस मूल उद्देश्य के साथ संगत होना चाहिए, जिसके लिए इसे एकत्र किया गया था।
यदि अधिग्रहक डेटा को किसी नए उद्देश्य के लिए प्रोसेस करने का इरादा रखता है, तो उसे पहले ग्राहकों को इसके बारे में सूचित करना होगा। आनुवंशिक डेटा का कोई भी अधिग्रहक इन प्रतिबंधों के अधीन होगा, चाहे अधिग्रहण लक्ष्य की गोपनीयता नीति में क्या लिखा गया हो।
फिर, भारत में यह कैसे खेला जाएगा? जैसा कि होता है, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम का अंतिम मसौदा, जो अगस्त 2023 में कानून में लागू हुआ, में एक नया प्रावधान शामिल किया गया था जो तब तक किसी अन्य मसौदे में नहीं था।
धारा 17(1)(e) विशेष रूप से कंपनी के विलय या समामेलन के संबंध में डिजिटल व्यक्तिगत डेटा के प्रोसेसिंग को अधिनियम के कई प्रावधानों से छूट देती है।
इस नए प्रावधान के परिणामस्वरूप, 23andMe को अधिग्रहक को अपने आनुवंशिक डेटा को स्थानांतरित करने से पहले डेटा प्रिंसिपल की पूर्व सहमति प्राप्त करने के लिए कोई बाध्यता नहीं होगी।
हालांकि, इसका यह अर्थ नहीं है कि अधिग्रहक इस नए अधिग्रहित आनुवंशिक डेटा को अपनी पसंद के अनुसार उन उद्देश्यों के लिए प्रोसेस कर सकेगा जो डेटा प्रिंसिपल ने सेवा के लिए साइन करते समय सहमति दी थी।
हालांकि धारा 17(1)(e) से दी गई छूट व्यापक है, यह केवल उस प्रोसेसिंग तक सीमित है जो विलय को पूरा करने के लिए आवश्यक है। यह किसी भी बाद की प्रोसेसिंग तक नहीं फैलेगी—जैसे कि विलय पूरा होने के बाद नए अधिग्रहक द्वारा की गई कोई भी प्रक्रिया।
यदि अधिग्रहक आनुवंशिक डेटा का उपयोग किसी नए उद्देश्य के लिए करना चाहता है, तो उसे केवल उस गोपनीयता नीति के अनुसार ऐसा करने की अनुमति होगी जिस पर ग्राहक ने सेवा के लिए साइन करते समय सहमति दी थी—या उसकी नई सहमति के साथ।
जैसा कि होता है, 23andMe की गोपनीयता नीति, जैसे कि अक्सर होता है, ढीली भाषा में थी। “सेवाएँ” जिन पर यह लागू होती हैं, को व्यापक रूप से वर्णित किया गया है; वे किसी भी उत्पाद, सॉफ़्टवेयर या सेवा को कवर करती हैं जो कंपनी वर्तमान में या भविष्य में प्रदान करती है।
किसी भी अधिग्रहक के लिए यह अपेक्षाकृत तुच्छ होगा कि वह जो भी नया आनुवंशिक डेटा का उपयोग करने की योजना बना रहा है, उसे पहले से ही गोपनीयता नीति के तहत अनुमति प्राप्त कर ली गई है।
हालांकि धारा 17(1)(e) को संगठनों के लिए वैध कॉर्पोरेट पुनर्गठन गतिविधियों को पूरा करना आसान बनाने के लिए पेश किया गया था, डेटा-भारी व्यवसायों के संदर्भ में जैसे कि 23andMe, यह छूट विशेष प्रकार के ग्राहक डेटा को जोखिम में डाल सकती है।
जब हम भारत के व्यक्तिगत डेटा संरक्षण कानून के लागू होने की प्रतीक्षा कर रहे हैं, तो हम केवल यही उम्मीद कर सकते हैं कि इसके अधिसूचना के कुछ हफ्तों और महीनों के बाद, सरकार से इन मुद्दों के समाधान के बारे में अधिक स्पष्टता प्राप्त हो।
