پاکستان ڈیٹا پرائیویسی قوانین: PECA اور پرسنل ڈیٹا پروٹیکشن بل گائیڈ (2026)

مئی 2026 تک پاکستان میں کوئی جامع ڈیٹا پروٹیکشن قانون موجود نہیں ہے۔ Prevention of Electronic Crimes Act (PECA) 2016، جس میں جنوری 2025 میں ترمیم کی گئی، ڈیٹا کے غلط استعمال سے نمٹنے کا بنیادی قانون ہے، لیکن یہ ایک فوجداری قانون ہے، پرائیویسی فریم ورک نہیں۔ زیر التوا Personal Data Protection Bill کو پارلیمنٹ نے تاحال منظور نہیں کیا۔
پاکستان ڈیٹا پرائیویسی کے حوالے سے ایک دوراہے پر کھڑا ہے۔ ملک کی تیزی سے بڑھتی ہوئی ڈیجیٹل معیشت، 12 کروڑ 50 لاکھ سے زائد براڈ بینڈ صارفین، اور بڑے پیمانے پر ڈیٹا خلاف ورزیوں کے دستاویزی نمونے نے ایک جامع ڈیٹا پروٹیکشن قانون کے نفاذ کے لیے مسلسل دباؤ پیدا کیا ہے۔ تاہم ایسا قانون ابھی تک موجود نہیں۔
Prevention of Electronic Crimes Act (PECA) 2016، جس میں جنوری 2025 میں کافی حد تک ترمیم کی گئی، اب بھی ڈیٹا کے غلط استعمال سے نمٹنے کے لیے پاکستان کا بنیادی ذریعہ ہے۔ یہ ایک فوجداری قانون ہے، پرائیویسی فریم ورک نہیں۔ تجویز کردہ Personal Data Protection Bill کم از کم 2018 سے مسودے کی شکل میں موجود ہے، جس کے مختلف ورژن وزارتِ اطلاعات و ٹیلی کمیونیکیشن (MoITT) نے تیار کیے۔ مئی 2026 تک اس بل کا کوئی بھی ورژن قانون کی شکل اختیار نہیں کر سکا۔
یہ گائیڈ پاکستان کے مکمل ڈیٹا پرائیویسی منظرنامے کا احاطہ کرتی ہے: آئینی بنیاد، PECA اور اس کی 2025 کی ترامیم، زیر التوا قانون سازی اور اس کی موجودہ حیثیت، شعبہ جاتی ضوابط، حالیہ بڑی خلاف ورزیاں، عملی نفاذ کی حقیقت، اور کاروباری اداروں کو ابھی کیا کرنا چاہیے۔ مواصلات کی ریکارڈنگ سے متعلق پاکستان کے مخصوص قوانین کے لیے دیکھیں Pakistan recording laws۔
فوری جواب: کیا پاکستان میں ڈیٹا پروٹیکشن قانون موجود ہے؟
نہیں۔ مئی 2026 تک پاکستان میں کوئی جامع اور نافذ العمل پرسنل ڈیٹا پروٹیکشن قانون موجود نہیں ہے۔ اس کے قریب ترین متبادل PECA 2016 ہے، ایک فوجداری قانون جو ڈیٹا کے غلط استعمال کی مخصوص صورتوں کو جرم قرار دیتا ہے لیکن اس بارے میں کوئی عمومی فریم ورک قائم نہیں کرتا کہ ادارے ذاتی ڈیٹا کو کس طرح جمع، پروسیس، محفوظ، یا شیئر کریں۔ نہ تو خلاف ورزی کی اطلاع دینے کی کوئی لازمی شرط موجود ہے، نہ ڈیٹا کے موضوع کے حقوق کا کوئی فریم ورک، اور نہ ہی فی الحال ڈیٹا پروٹیکشن کے لیے کوئی مخصوص ادارہ فعال ہے۔
وزارتِ اطلاعات و ٹیلی کمیونیکیشن برسوں سے جامع قانون سازی پر کام کر رہی ہے۔ سب سے حالیہ شائع شدہ ورژن، Personal Data Protection Bill 2023 (جسے حکومتی مراسلوں میں کہیں کہیں اپ ڈیٹ شدہ مسودے کی شکل میں Personal Data Protection Act 2025 بھی کہا گیا ہے)، وفاقی کابینہ سے منظور ہو چکا ہے لیکن پارلیمنٹ کے دونوں ایوانوں سے پاس نہیں ہوا۔ وزارت نے سینیٹ میں پیش کیے گئے قانون سازی کے Private Member's Bill ورژن کی باضابطہ مخالفت کی، اور مؤقف اپنایا کہ وہ بین الاقوامی معیارات کے مطابق اپنا مسودہ خود تیار کر رہی ہے۔ مئی 2026 تک ان میں سے کوئی بھی ورژن قانون نہیں بنا۔
اس کا عملی نتیجہ یہ ہے کہ پاکستان میں کام کرنے والے اداروں کو شعبہ جاتی ضوابط، PECA کے تحت فوجداری ممانعتوں، اور آئینی پرائیویسی تحفظات کے ایک بکھرے ہوئے مجموعے کا سامنا ہے، جن کا نفاذ سست اور مہنگی عدالتی کارروائیوں کے ذریعے ہوتا ہے۔
Article 14 کے تحت پرائیویسی کا آئینی حق
پاکستان کا ڈیٹا پرائیویسی منظرنامہ اپنی آئینی بنیاد سے شروع ہوتا ہے۔ Constitution of Pakistan کا Article 14(1) بیان کرتا ہے: "انسان کا وقار اور، قانون کے تابع، گھر کی نجی زندگی، ناقابلِ خلل ہو گی۔" یہ شق بنیادی حقوق میں شمار ہوتی ہے، جس کا مطلب ہے کہ یہ عام قانون سازی کی متضاد شقوں پر فوقیت رکھتی ہے۔ عدالتوں نے اسے ڈیجیٹل مواصلات، حکومتی نگرانی، اور ذاتی آلات میں موجود ڈیٹا سے متعلق پرائیویسی دعووں کی بنیاد کے طور پر تشریح کیا ہے۔

Article 14 کی عدالتی تشریح
پاکستان کی عدالتوں نے بتدریج Article 14 کے دائرہ کار کو اس کے لغوی متن سے آگے بڑھایا ہے۔ لفظ "گھر" کی تشریح ذاتی نجی زندگی کے ایک وسیع تر دائرے کو شامل کرنے کے لیے کی گئی ہے جو محض جسمانی رہائش گاہ تک محدود نہیں۔
Mohtarma Benazir Bhutto v. President of Pakistan کے مقدمے میں سپریم کورٹ نے سرکاری ملازمین کی ٹیلی فون کالز کی حکومتی نگرانی کا معاملہ زیرِ غور لایا۔ عدالت نے ایسی نگرانی کو غیر قانونی، غیر اخلاقی، اور غیر آئینی قرار دیا۔ جسٹس سلیم اختر نے قرار دیا کہ لفظ "گھر" کو اس کے لغوی مفہوم میں نہیں لیا جانا چاہیے بلکہ اسے وسیع معنوں میں سمجھا جانا چاہیے تاکہ پرائیویسی کے تحفظ کا دائرہ وسیع ہو سکے۔
Ghulam Hussain v. Additional Sessions Judge کے مقدمے میں عدالت نے یہ اصول قائم کیا کہ گھر کی نجی زندگی کی خلاف ورزی صرف غیر معمولی حالات میں ہی کی جا سکتی ہے، جس سے قانونی مداخلت کے لیے درکار اعلیٰ معیار کی توثیق ہوتی ہے۔
عدالتوں نے ڈیجیٹل پرائیویسی کے معاملے پر بھی بات کی ہے۔ ثانوی قانونی تبصروں اور وکلاء کی رہنما دستاویزات میں 2023 کے ایک فیصلے کا حوالہ دیا گیا ہے جس میں عدالت نے قرار دیا کہ مالک کی رضامندی یا مناسب عدالتی اجازت کے بغیر موبائل آلات سے شواہد حاصل کرنا Article 14 کی خلاف ورزی ہے۔ یہ سلسلہ اس بات کی توثیق کرتا ہے کہ ذاتی آلات میں محفوظ ڈیجیٹل ڈیٹا بھی آئینی پرائیویسی تحفظ کے دائرے میں آتا ہے۔
آئینی تحفظ کی حدود
ڈیٹا پرائیویسی کے ایک ذریعے کے طور پر Article 14 کی نمایاں حدود ہیں۔ یہ تحفظ "قانون کے تابع" ہے، یعنی پارلیمنٹ قانون سازی کے ذریعے پرائیویسی میں مداخلت کی اجازت دے سکتی ہے۔ آئینی حقوق بنیادی طور پر ریاست کو پابند کرتے ہیں، نجی کمپنیوں کو نہیں، جس سے تجارتی ڈیٹا جمع کرنے کو ریگولیٹ کرنے میں ان کی افادیت محدود ہو جاتی ہے۔
روایتی عدالتی کارروائیوں کے علاوہ Article 14 کی خلاف ورزیوں کے لیے کوئی مخصوص نفاذی طریقہ کار موجود نہیں، اور یہ کارروائیاں سست اور مہنگی ہوتی ہیں۔ زیادہ تر افراد جن کا ڈیٹا نجی اداروں کے ہاتھوں غلط طریقے سے استعمال ہوا ہو، ان کے پاس کوئی عملی آئینی چارہ جوئی موجود نہیں۔
Prevention of Electronic Crimes Act (PECA) 2016 اور 2025 کی ترامیم
PECA 2016 پاکستان کا بنیادی سائبر کرائم قانون ہے۔ یہ ڈیٹا پروٹیکشن کے قانون کے طور پر تشکیل نہیں دیا گیا تھا، لیکن اس میں ایسی شقیں موجود ہیں جو ذاتی ڈیٹا تک غیر مجاز رسائی اور اس کے افشا کو جرم قرار دیتی ہیں۔ اس ایکٹ میں جنوری 2025 میں Prevention of Electronic Crimes (Amendment) Act, 2025 کے ذریعے کافی حد تک ترمیم کی گئی، جس پر صدر آصف علی زرداری نے 30 جنوری 2025 کو دستخط کیے۔
PECA کی اصل شقیں تاحال نافذ العمل ہیں۔ 2025 کی ترامیم نے نئے نفاذی ادارے اور مواد سے متعلق نئے جرائم متعارف کروائے، اور سائبر کرائم کی تحقیقات کے خصوصی اختیارات Federal Investigation Agency (FIA) سے نئی قائم کردہ National Cyber Crime Investigation Agency کو منتقل کر دیے۔
اصل PECA 2016 کے تحت ڈیٹا سے متعلق اہم شقیں
Section 3: انفارمیشن سسٹمز تک غیر مجاز رسائی۔ جو کوئی بھی کسی انفارمیشن سسٹم یا ڈیٹا تک غیر مجاز رسائی حاصل کرتا ہے اسے تین ماہ تک قید، PKR 50,000 تک جرمانہ، یا دونوں سزائیں دی جا سکتی ہیں۔ اگر جرم میں مالی ڈیٹا، اہم انفراسٹرکچر، یا سرکاری نظام شامل ہوں تو سزائیں بڑھ جاتی ہیں۔
Section 4: ڈیٹا کی غیر مجاز نقل یا ترسیل۔ جو کوئی بے ایمانی کی نیت سے کسی انفارمیشن سسٹم سے بغیر اجازت ڈیٹا کاپی یا منتقل کرتا ہے، اسے چھ ماہ تک قید، PKR 100,000 تک جرمانہ، یا دونوں سزائیں دی جا سکتی ہیں۔
Section 5: انفارمیشن سسٹمز میں مداخلت۔ کسی انفارمیشن سسٹم یا ڈیٹا میں جان بوجھ کر مداخلت کرنے یا اسے نقصان پہنچانے پر دو سال تک قید، PKR 500,000 تک جرمانہ، یا دونوں سزائیں دی جا سکتی ہیں۔
Section 38: ذاتی ڈیٹا کا غیر مجاز افشا۔ یہ PECA کی وہ شق ہے جو ڈیٹا پروٹیکشن کی شق سے سب سے زیادہ مشابہت رکھتی ہے۔ کوئی بھی شخص، بشمول سروس فراہم کنندہ، جو ذاتی یا حساس ڈیٹا تک رسائی رکھتا ہو اور ڈیٹا کے مالک کی رضامندی کے بغیر (سوائے اس کے کہ قانون اس کا تقاضا کرے) وہ ڈیٹا منتقل کرے، اسے تین سال تک قید، PKR 1 ملین (تقریباً USD 3,500) تک جرمانہ، یا دونوں سزائیں دی جا سکتی ہیں۔
جنوری 2025 کی ترامیم: SMPRA، NCCIA، اور Section 26A
Prevention of Electronic Crimes (Amendment) Act, 2025، جسے قومی اسمبلی نے 23 جنوری 2025 کو منظور کیا، نے ایسی ساختی تبدیلیاں متعارف کروائیں جن کے سائبر کرائم کے نفاذ اور پلیٹ فارمز کی جوابدہی پر گہرے اثرات مرتب ہوتے ہیں۔
National Cyber Crime Investigation Agency (NCCIA)۔ ترامیم نے سائبر کرائم کی تحقیقات کے خصوصی اختیارات FIA سے نئی National Cyber Crime Investigation Agency کو منتقل کر دیا۔ ترامیم سے پہلے، PECA کا Section 30 FIA کو سائبر کرائم کی تحقیقات کا اختیار دیتا تھا۔ 2025 کی ترمیم نے یہ اختیار خصوصی طور پر NCCIA کو دے دیا۔ ذاتی ڈیٹا کے غیر مجاز افشا سے متعلق PECA شکایات درج کروانے کے خواہش مند افراد یا اداروں کو اب یہ شکایات FIA کے Cyber Crime Wing کی بجائے NCCIA کو بھیجنی ہوں گی۔
Social Media Protection and Regulatory Authority (SMPRA)۔ ترامیم نے ایک Social Media Protection and Regulatory Authority قائم کی جسے سوشل میڈیا پلیٹ فارمز پر غیر قانونی یا قابلِ اعتراض سمجھے جانے والے مواد کی نگرانی، ریگولیشن، اور ہٹانے کا حکم دینے کا اختیار حاصل ہے۔ پاکستان میں کام کرنے والے سوشل میڈیا پلیٹ فارمز کو مواد ہٹانے سے متعلق حکومتی ہدایات کی تعمیل کرنی ہوگی اور شکایات کے مؤثر ازالے کا نظام قائم کرنا ہوگا۔
Section 26A: جھوٹی اور جعلی معلومات۔ ترامیم نے Section 26A متعارف کروائی، جو جان بوجھ کر ایسی معلومات پھیلانے کو جرم قرار دیتی ہے جنہیں جھوٹا یا جعلی سمجھا جائے اور جن کے پھیلاؤ سے خوف، ہراس، یا بدامنی پیدا ہونے کا امکان ہو۔ اس کی سزا تین سال تک قید، PKR 2 ملین تک جرمانہ، یا دونوں ہیں۔ International Press Institute سمیت صحافتی آزادی کی تنظیموں نے یہ خدشہ ظاہر کیا ہے کہ اس شق کو عوامی مفاد کے معاملات پر رپورٹنگ کرنے والے صحافیوں کے خلاف استعمال کیا جا سکتا ہے۔
سوشل میڈیا کمپلینٹ کونسلز اور ٹریبونلز۔ ترامیم نے مواد سے متعلق تنازعات نمٹانے کے لیے Social Media Complaint Councils اور Social Media Protection Tribunals قائم کیے۔
National Commission for Human Rights of Pakistan نے فروری 2026 میں ایک تفصیلی رپورٹ شائع کی جس میں 2025 کی ترامیم کے بارے میں شفاف کارروائی (due process) سے متعلق خدشات کا اظہار کیا گیا، بشمول نئے قائم کردہ نفاذی اداروں پر آزادانہ نگرانی کی عدم موجودگی۔
پرائیویسی فریم ورک کے طور پر PECA کی حدود
PECA کو سائبر مجرموں کو سزا دینے کے لیے بنایا گیا تھا، نہ کہ اس بات کو ریگولیٹ کرنے کے لیے کہ ادارے ذاتی ڈیٹا کو کس طرح جمع، پروسیس، محفوظ، یا شیئر کریں۔ اس میں ایک جامع ڈیٹا پروٹیکشن قانون کے بنیادی عناصر موجود نہیں۔
اداروں کے لیے ذاتی ڈیٹا کی پروسیسنگ کے لیے کسی قانونی بنیاد کے حصول کی کوئی شرط موجود نہیں۔ ڈیٹا منیمائزیشن، مقصد کی حد بندی، یا ذخیرہ کرنے کی مدت کی حد بندی جیسا کوئی تصور موجود نہیں۔ ذاتی ڈیٹا تک رسائی، اس کی تصحیح، یا حذف کرنے جیسے کوئی ڈیٹا کے موضوع کے حقوق موجود نہیں۔ ڈیٹا پروٹیکشن کے لیے (سائبر کرائم کے نفاذ سے الگ) کوئی مخصوص نگران ادارہ موجود نہیں۔ ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹس یا پرائیویسی بائے ڈیزائن کی کوئی شرط موجود نہیں۔
چونکہ PECA ایک فوجداری قانون ہے، اس کے نفاذ کے لیے NCCIA کے پاس فوجداری شکایت درج کروانا ضروری ہے۔ یہ اعلیٰ معیار اس بات کا سبب بنتا ہے کہ کاروباری اداروں کی جانب سے ڈیٹا کے معمول کے غلط استعمال پر شاذ و نادر ہی مقدمہ چلتا ہے، اور 2025 کے ڈھانچے کے تحت NCCIA کی صلاحیت اور آزادی اب بھی سوالیہ نشان ہیں۔
زیر التوا پرسنل ڈیٹا پروٹیکشن قانون سازی: مئی 2026 تک کی صورتحال
جامع ڈیٹا پروٹیکشن قانون سازی منظور کروانے کی پاکستان کی کوششیں کم از کم 2005 سے جاری ہیں، جن میں 2018، 2021، اور 2023 میں مختلف مسودے پیش کیے گئے۔ ان میں سے کوئی بھی قانون نہیں بن سکا۔
موجودہ صورتحال میں دو متوازی قانون سازی کے راستے شامل ہیں، جو دونوں اب بھی زیر التوا ہیں:
راستہ 1: Personal Data Protection Bill 2023۔ وزارتِ اطلاعات و ٹیلی کمیونیکیشن نے مئی 2023 میں حتمی مسودہ تیار کیا۔ وفاقی کابینہ نے اسے منظور کیا۔ سینیٹر ڈاکٹر افنان اللہ خان نے اسے سینیٹ میں Private Member's Bill کے طور پر پیش کیا۔ 23 جنوری 2025 کو Senate Standing Committee on IT and Telecommunication نے اس پر بحث کے لیے اجلاس منعقد کیا، اور سینیٹر خان نے طویل تاخیر پر مایوسی کا اظہار کیا۔ تاہم MoITT نے اس Private Member's Bill ورژن کی باضابطہ مخالفت کی، اور مؤقف اپنایا کہ وہ اپنا اپ ڈیٹ شدہ مسودہ خود تیار کر رہی ہے۔ مئی 2026 تک 2023 کا بل قانون نہیں بن سکا۔
راستہ 2: MoITT کا اپ ڈیٹ شدہ مسودہ (بعض تبصروں میں اسے Personal Data Protection Act 2025 کہا گیا ہے)۔ وزارت ایک نظر ثانی شدہ ورژن تیار کر رہی ہے جس میں مبینہ طور پر "حساس ڈیٹا" کی توسیع شدہ تعریف (ذات اور نسل کا اضافہ)، بچوں کے ڈیٹا کے لیے لازمی عمر کی تصدیق اور والدین کی رضامندی، اور رضامندی واپس لینے کو ایک واحد لین دین کی بجائے مسلسل حق کے طور پر مضبوط شقیں شامل ہیں۔ یہ مسودہ مئی 2026 تک حتمی شکل میں شائع نہیں کیا گیا اور نہ ہی پارلیمنٹ میں پیش کیا گیا ہے۔
بنیادی نکتہ، واضح الفاظ میں: Personal Data Protection Bill قانون نہیں ہے۔ یہ ابھی تک نافذ نہیں کیا گیا۔ اداروں کو اسے اس وقت تک لازمی نہیں سمجھنا چاہیے جب تک پارلیمنٹ اسے منظور نہ کرے اور صدر اس کی توثیق نہ کریں۔
وہ اہم شقیں جو زیر التوا بل متعارف کرائے گا
یہ شقیں اس بات کی وضاحت کرتی ہیں کہ مسودہ کیا تجویز کرتا ہے، نہ کہ موجودہ قانون کیا تقاضا کرتا ہے:
دائرہ کار اور اطلاق۔ یہ بل ان ڈیٹا کنٹرولرز اور پروسیسرز پر لاگو ہو گا جو پاکستان میں قائم یا رجسٹرڈ ہوں۔ یہ ان اداروں کو بھی شامل کرے گا جن کی پاکستان میں ڈیجیٹل موجودگی ہو اور جو پاکستانی باشندوں کا ذاتی ڈیٹا پروسیس کرتے ہوں، چاہے وہ پاکستان سے باہر رجسٹرڈ ہوں۔
پروسیسنگ کے لیے قانونی بنیاد۔ پروسیسنگ کے لیے ایک قانونی بنیاد درکار ہو گی، بشمول رضامندی۔ رضامندی "آزادانہ طور پر دی گئی، مخصوص، باخبر، اور غیر مبہم" ہونی چاہیے، جو GDPR کے رضامندی کے معیار کی پیروی کرتی ہے۔
مقصد کی حد بندی اور ڈیٹا منیمائزیشن۔ ذاتی ڈیٹا کو صرف مخصوص، واضح، اور جائز مقاصد کے لیے جمع کیا جانا چاہیے اور اسے جمع کرنے کے مقصد سے زیادہ عرصے تک محفوظ نہیں رکھا جانا چاہیے۔
ڈیٹا کے موضوع کے حقوق۔ افراد کو اپنے ڈیٹا تک رسائی، اس کی تصحیح، حذف کرنے کی درخواست، اور رضامندی واپس لینے کے حقوق حاصل ہوں گے۔
رجسٹریشن کی شرط۔ پاکستان میں کام کرنے والے تمام ڈیٹا کنٹرولرز اور پروسیسرز کو National Commission for Personal Data Protection کے ساتھ رجسٹر ہونا ہو گا۔
سرحد پار ڈیٹا کی منتقلی پر پابندیاں۔ یہ بل ذاتی ڈیٹا کو بیرون ملک منتقل کرنے سے منع کرتا ہے اگر ایسی منتقلی قومی سلامتی یا عوامی مفاد کو خطرے میں ڈالے۔ حساس ذاتی ڈیٹا کو پاکستان کے اندر مقامی سرورز پر محفوظ رکھنا لازمی ہو گا۔
National Commission for Personal Data Protection۔ یہ بل تعمیل کی نگرانی، شکایات کی تحقیقات، اور جرمانے عائد کرنے کے لیے ایک مخصوص نگران ادارہ قائم کرے گا۔
زیر التوا بل کے تحت تجویز کردہ سزائیں
2023 کا مسودہ خلاف ورزیوں کے لیے مالی جرمانوں کی تجویز دیتا ہے:
| خلاف ورزی | تجویز کردہ جرمانہ |
|---|---|
| ذاتی ڈیٹا کا غیر مجاز افشا یا اجراء | PKR 35 ملین تک (تقریباً USD 125,000) |
| مطلوبہ حفاظتی اقدامات پر عمل نہ کرنا | PKR 140 ملین تک (تقریباً USD 500,000) |
| رجسٹریشن کے بغیر ڈیٹا پروسیس کرنا | PKR 35 ملین تک |
| کمیشن کے احکامات کی تعمیل نہ کرنا | PKR 70 ملین تک (تقریباً USD 250,000) |
یہ اعداد و شمار 2023 کے مسودے سے لیے گئے ہیں اور کسی بھی حتمی نافذ شدہ ورژن میں تبدیل ہو سکتے ہیں۔
تنقید اور خدشات
سول سوسائٹی کی تنظیموں اور بین الاقوامی اداروں نے مختلف مسودوں کے بارے میں خدشات کا اظہار کیا ہے۔ "قومی سلامتی"، "عوامی مفاد"، اور "جائز مفاد" کے لیے وسیع استثنائات بل کے تحفظات کو کمزور کر سکتے ہیں۔ ڈیٹا لوکلائزیشن کی شرائط سرحدوں کے آر پار کام کرنے والے کاروباروں کے لیے اخراجات بڑھا سکتی ہیں۔ تجویز کردہ National Commission کی تشکیل اور آزادی پر سوالات اٹھائے گئے ہیں، اس خدشے کے ساتھ کہ حکومتی اثر و رسوخ نفاذ کو متاثر کر سکتا ہے۔
Atlantic Council اور U.S. Chamber of Commerce نے شائع شدہ تحریروں میں ان خدشات کی نشاندہی کی ہے۔
ٹیلی کام ڈیٹا کے ضوابط
Pakistan Telecommunication Authority (PTA) Pakistan Telecommunication (Re-organization) Act 1996 کے تحت ٹیلی کمیونیکیشن کے شعبے میں ڈیٹا کے انتظام کو ریگولیٹ کرتی ہے۔ PTA کا فریم ورک پاکستان کا سب سے ترقی یافتہ شعبہ جاتی ڈیٹا گورننس نظام ہے۔
Telecom Consumer Protection Regulations 2009۔ یہ ضوابط صارفین کو غیر قانونی طریقوں کے خلاف PTA میں شکایت درج کروانے کا حق دیتے ہیں، بشمول ٹیلی کام آپریٹرز کی جانب سے صارف کے ذاتی ڈیٹا کے غیر قانونی استعمال کے۔
Data Retention of Internet Extended to Public Wi-Fi Hotspots Regulations 2018۔ یہ ضوابط انٹرنیٹ سروس فراہم کنندگان اور عوامی وائی فائی آپریٹرز کے لیے لازم قرار دیتے ہیں کہ وہ صارف کا ڈیٹا مخصوص مدت تک محفوظ رکھیں، بنیادی طور پر قانون نافذ کرنے والے اداروں کی رسائی کے لیے۔
Critical Telecom Data and Infrastructure Security Regulations 2025 (CTDISR-2025)۔ PTA کے حالیہ ترین اہم ضوابط ٹیلی کام کمپنیوں پر سخت ڈیٹا لوکلائزیشن کی شرائط عائد کرتے ہیں۔ کوئی بھی ٹیلی کام ڈیٹا پاکستان کی جغرافیائی حدود سے باہر محفوظ نہیں کیا جا سکتا۔ اہم ٹیلی کام ڈیٹا PTA کی واضح منظوری کے بغیر بیرون ملک منتقل نہیں کیا جا سکتا۔ ٹیلی کام کمپنیوں کو ڈیزاسٹر ریکوری اور کاروباری تسلسل کے منصوبے بھی قائم کرنے ہوں گے، پاکستان کے Critical Information Infrastructure کو سائبر خطرات سے بچانے کے اقدامات کرنے ہوں گے، اور باقاعدہ سیکیورٹی تشخیص کروانی ہو گی۔
Pakistan Telecommunication Rules 2000۔ یہ قواعد ٹیلی کام لائسنس یافتگان پر صارف کے ڈیٹا کی رازداری سے متعلق عمومی ذمہ داریاں عائد کرتے ہیں۔ آپریٹرز کو صارف کی معلومات کا تحفظ کرنا ہوگا اور رضامندی یا قانونی حکم کے بغیر اسے تیسرے فریق پر افشا نہیں کر سکتے۔
مالیاتی شعبے کے ڈیٹا ضوابط
State Bank of Pakistan (SBP) نے مختلف فریم ورکس کے ذریعے بینکنگ اور مالیاتی خدمات کی صنعت کے لیے ڈیٹا پروٹیکشن کی شرائط قائم کی ہیں۔
Enterprise Technology Governance Framework 2017۔ یہ فریم ورک تمام بینکوں اور مالیاتی اداروں پر لاگو ہوتا ہے۔ یہ ڈیٹا سے متعلق سرگرمیوں کے لیے تعمیل کی ہدایات اور صارف کے ڈیٹا کو حاصل کرنے، پروسیس کرنے، اور منتقل کرنے کی ذمہ داریاں قائم کرتا ہے۔
Framework for Risk Management in Outsourcing 2019۔ جب بینک صارف کے ڈیٹا سے متعلق آپریشنز آؤٹ سورس کرتے ہیں، تو انہیں اس فریم ورک کی تعمیل کرنی ہوگی۔ تیسرے فریق کے سروس فراہم کنندگان کو کم از کم سیکیورٹی معیارات پورے کرنے ہوں گے، اور آؤٹ سورسنگ کے انتظامات صارف کے ڈیٹا کی رازداری، سالمیت، اور دستیابی کا تحفظ کرنے چاہئیں۔
Payment Systems and Electronic Fund Transfers Act 2007۔ یہ قانون اور اس کے معاون ضوابط ادائیگی کے نظام کے ماحول میں صارفین کے لیے ڈیٹا پرائیویسی اور رازداری کو منظم کرتے ہیں۔ بینکوں اور ادائیگی سروس فراہم کنندگان کو لین دین کے ڈیٹا اور صارف کی مالی معلومات کا تحفظ کرنا ہوگا۔
Internet Banking Security Regulations۔ SBP نے انٹرنیٹ بینکنگ آپریشنز کے لیے مخصوص سیکیورٹی شرائط جاری کی ہیں، جن میں ایپلی کیشن سیکیورٹی، مواصلاتی خفیہ کاری (encryption)، ہوسٹنگ کے معیارات، اور ڈیجیٹل سرٹیفیکیشن سروسز شامل ہیں۔
Banking Companies Ordinance 1962 کے تحت، بینکوں اور مالیاتی اداروں کو اپنے صارفین کے معاملات سے متعلق معلومات افشا کرنے سے منع کیا گیا ہے، سوائے اس کے کہ یہ بینکاروں کے درمیان رائج طریقہ کار ہو یا قانون کا تقاضا ہو۔
SECP اور کارپوریٹ ڈیٹا کی ذمہ داریاں
Securities and Exchange Commission of Pakistan (SECP)، Companies Act 2017 کے تحت رجسٹرڈ کمپنیوں کو ریگولیٹ کرتا ہے۔ SECP نے اپ ڈیٹ شدہ Companies Regulations 2024 جاری کیے ہیں، جو مستفید ملکیت (UBO) کے افشا کی شرائط کو سخت کرتے ہیں اور SECP میں رجسٹرڈ اداروں کے لیے ڈیٹا کے انتظام کی ذمہ داریوں کو وسعت دیتے ہیں۔
پیچیدہ ملکیتی ڈھانچے رکھنے والی کمپنیاں، خاص طور پر غیر ملکی ہولڈنگ کمپنیوں والی، انہیں پوری UBO زنجیر کی تصدیق اور افشا کرنا ہوگا، اس فرد یا افراد تک جو حتمی طور پر ادارے کو کنٹرول کرتے ہیں۔ اپ ڈیٹ شدہ BO ڈیکلریشن فارمز SECP e-Services پورٹل کے ذریعے جمع کروائے جانے چاہئیں اور جب بھی مستفید ملکیت تبدیل ہو انہیں اپ ڈیٹ کیا جانا چاہیے۔ SECP کا Regulatory Sandbox Framework بھی فِن ٹیک اور ڈیجیٹل کاروباری شرکاء کے لیے یہ لازم قرار دیتا ہے کہ وہ ٹیسٹنگ کے مراحل کے دوران بھی ڈیٹا پروٹیکشن کی تعمیل کی ذمہ داریاں برقرار رکھیں۔
Right of Access to Information Act 2017
Right of Access to Information Act 2017 سرکاری اداروں کے پاس موجود معلومات تک عوام کی رسائی کے حق کو منظم کرتا ہے۔ اگرچہ یہ بنیادی طور پر شفافیت کا قانون ہے، لیکن اس میں اہم پرائیویسی تحفظات بھی شامل ہیں جو PECA کے ساتھ ساتھ نافذ العمل ہیں۔
ایکٹ کا Section 7 ایسی معلومات کو افشا سے مستثنیٰ قرار دیتا ہے جن سے کسی قابلِ شناخت فرد کی نجی زندگی میں مداخلت ہو، ذاتی ریکارڈز جیسے بینک اکاؤنٹس اور شناختی کارڈ کی تفصیلات، اور وہ نجی دستاویزات جو کسی سرکاری ادارے کو واضح یا مضمر رازداری کی شرط پر فراہم کی گئی ہوں۔
Pakistan Information Commission نے عملی طور پر ان استثنائات کا اطلاق کیا ہے، اور سرکاری اداروں کو ہدایت دی ہے کہ رسائی کی درخواستوں کے جواب میں ریکارڈز جاری کرنے سے پہلے ذاتی معلومات (پتے، فون نمبرز، شناختی کارڈ نمبرز، بینک اکاؤنٹ کی تفصیلات، اور خاندان کے افراد کی معلومات) کو حذف کر دیا جائے۔
حالیہ ڈیٹا خلاف ورزیاں اور نفاذ کا خلا
پاکستان میں لازمی خلاف ورزی کی اطلاع دینے کے ضوابط کی عدم موجودگی کا مطلب یہ ہے کہ بڑے ڈیٹا واقعات متاثرہ اداروں پر شہریوں یا ریگولیٹرز کو مطلع کرنے کی کسی قانونی ذمہ داری کے بغیر پیش آئے ہیں۔
NADRA: 27 لاکھ ریکارڈز کی خلاف ورزی۔ FIA کی جانب سے تشکیل دی گئی مشترکہ تحقیقاتی ٹیم (JIT) نے یہ طے کیا کہ National Database and Registration Authority (NADRA) سے تقریباً چار سالوں (2019 تا 2023) کے دوران 27 لاکھ پاکستانی شہریوں کا ڈیٹا چوری کیا گیا، اور یہ چوری کراچی، ملتان، اور پشاور میں واقع NADRA کے دفاتر میں ہوئی۔ تحقیقات میں اندرونی افراد کے ملوث ہونے کے شواہد ملے۔ چوری شدہ ڈیٹا میں نام، پتے، اور دیگر ذاتی معلومات شامل تھیں؛ اسے بین الاقوامی ڈارک ویب مارکیٹوں میں فروخت کیا گیا، مبینہ طور پر ارجنٹائن اور رومانیہ کے خریداروں تک پہنچا۔ NADRA نے گریڈ 19 کے ایک افسر اور پانچ دیگر ملازمین کو برطرف کر دیا۔ کمیٹی کے کچھ اراکین نے علانیہ طور پر مایوسی کا اظہار کیا کہ ملوث اہم افراد کو کوئی خاطر خواہ نتیجہ بھگتنا نہیں پڑا۔ اس خلاف ورزی کی تصدیق ہوئی اور اسے نومبر 2024 میں Dawn اور Pakistan Today سمیت متعدد نیوز اداروں نے عوامی طور پر رپورٹ کیا۔
2025 کریڈینشل خلاف ورزی۔ Pakistan Computer Emergency Response Team (PKCERT) نے 2025 میں یہ انتباہ جاری کیا کہ ایک عالمی ڈیٹا خلاف ورزی میں 18 کروڑ سے زائد پاکستانی انٹرنیٹ صارفین کے کریڈینشلز متاثر ہوئے۔ سرکاری اہلکاروں سمیت شہریوں کے لاگ ان کریڈینشلز اور پاس ورڈز افشا ہوئے۔
ستمبر 2025 ذاتی ڈیٹا کی فروخت۔ میڈیا اداروں نے ستمبر 2025 میں رپورٹ کیا کہ سرکاری وزراء اور اعلیٰ فوجی افسران سمیت ہزاروں پاکستانیوں کی ذاتی تفصیلات آن لائن فروخت کے لیے پیش کی جا رہی تھیں۔ اس ڈیٹا میں گھر کے پتے، سفری تاریخ، کال لاگز، اور اسکین شدہ قومی شناختی کارڈز شامل تھے۔
ان میں سے کسی بھی واقعے میں کسی ادارے پر قانونی طور پر خلاف ورزی کی اطلاع دینے کی کوئی ذمہ داری عائد نہیں ہوئی۔ اطلاع دینے کے قانون کی عدم موجودگی کا مطلب یہ ہے کہ متاثرہ افراد کو شاید اس وقت تک معلوم نہ ہو کہ ان کا ڈیٹا متاثر ہوا جب تک وہ مجرمانہ مارکیٹوں میں سامنے نہ آ جائے۔
ڈیٹا خلاف ورزی کی اطلاع: موجودہ قانونی خلا
پاکستان میں ڈیٹا خلاف ورزی کی اطلاع دینے سے متعلق کوئی لازمی قانون موجود نہیں۔ کوئی ایسا قانون موجود نہیں جو اداروں کو یہ پابند کرے کہ جب ذاتی ڈیٹا متاثر ہو تو وہ متاثرہ افراد یا کسی ریگولیٹری ادارے کو مطلع کریں۔
زیر التوا PDPB کے تحت تجویز کردہ خلاف ورزی کی اطلاع
Personal Data Protection Bill 2023 اس خلا کو پُر کرے گا۔ اہم تجویز کردہ شرائط میں شامل ہیں:
72 گھنٹے کی رپورٹنگ مہلت، جس کے تحت ڈیٹا کنٹرولرز کو یہ لازم ہو گا کہ وہ خلاف ورزی کا علم ہونے کے 72 گھنٹوں کے اندر National Commission for Personal Data Protection کو اس کی اطلاع دیں، سوائے اس کے کہ خلاف ورزی سے ڈیٹا کے موضوعین کے حقوق اور آزادیوں کو خطرہ لاحق ہونے کا امکان نہ ہو۔ مطلوبہ اطلاعاتی مواد میں خلاف ورزی کی تفصیل (متاثرہ ڈیٹا کے موضوعین اور ریکارڈز کی اقسام اور تخمینی تعداد سمیت)، Data Protection Officer کا نام اور رابطہ کی تفصیلات، خلاف ورزی کے ممکنہ نتائج، اور اس سے نمٹنے کے لیے کیے گئے یا تجویز کردہ اقدامات شامل ہوں گے۔ تاخیر سے دی گئی اطلاعات کی صورت میں ڈیٹا کنٹرولر کو تاخیر کی وجوہات بتانی ہوں گی۔
جب تک یہ یا اس جیسی کوئی قانون سازی نافذ نہیں ہو جاتی، پاکستان میں خلاف ورزی کی اطلاع دینا مکمل طور پر رضاکارانہ ہی رہے گا۔
نفاذ کا منظرنامہ
پاکستان میں ڈیٹا پروٹیکشن کا نفاذ متعدد اداروں میں بٹا ہوا ہے۔ فی الحال کوئی بھی ادارہ سائبر کرائم کی تحقیقات یا شعبہ جاتی ریگولیشن سے الگ، پرائیویسی کے تحفظ کا بنیادی مینڈیٹ نہیں رکھتا۔
National Cyber Crime Investigation Agency (NCCIA)۔ جنوری 2025 کی PECA ترامیم کے بعد سے، NCCIA کے پاس سائبر کرائم کی تحقیقات کے خصوصی اختیارات ہیں، بشمول ذاتی ڈیٹا تک غیر مجاز رسائی، شناخت کی چوری، اور PECA کے Section 38 کے تحت ذاتی ڈیٹا کا غیر مجاز افشا۔ NCCIA نے PECA کی شکایات کے لیے نامزد تحقیقاتی ادارے کے طور پر FIA کے Cyber Crime Wing کی جگہ لے لی ہے۔ NCCIA کے اراکین وفاقی حکومت کی جانب سے مقرر کیے جاتے ہیں۔ آزادانہ نگرانی کی شقیں NCHR کی فروری 2026 کی رپورٹ کا موضوع تھیں۔
Pakistan Telecommunication Authority (PTA)۔ PTA ٹیلی کام سے متعلق مخصوص ڈیٹا ضوابط کا نفاذ کرتی ہے۔ یہ ان ٹیلی کام آپریٹرز پر جرمانے عائد کر سکتی ہے جو صارف کے تحفظ کے ضوابط یا CTDISR-2025 کے تحت ڈیٹا لوکلائزیشن کی شرائط کی خلاف ورزی کریں۔
State Bank of Pakistan (SBP)۔ SBP مالیاتی شعبے میں اپنے ڈیٹا پروٹیکشن فریم ورکس کی تعمیل کی نگرانی کرتا ہے۔ یہ ان بینکوں کے خلاف نگرانی کے اقدامات کر سکتا ہے جو صارف کے ڈیٹا کا تحفظ کرنے میں ناکام رہیں۔
Securities and Exchange Commission of Pakistan (SECP)۔ SECP، Companies Act 2017 اور Companies Regulations 2024 کے تحت کارپوریٹ ڈیٹا کی ذمہ داریوں کی نگرانی کرتا ہے۔
عدالتیں۔ افراد Article 14 کے تحت آئینی درخواستیں یا پرائیویسی کی خلاف ورزیوں کے لیے دیوانی دعوے دائر کر سکتے ہیں۔ عدالتی کارروائی سست، مہنگی، اور نتائج غیر یقینی ہوتے ہیں۔ کوئی مخصوص پرائیویسی ٹریبونل موجود نہیں۔
کاروباری اداروں کے لیے عملی مضمرات
پاکستان میں کام کرنے والے اداروں کو ایک مشکل ریگولیٹری ماحول کا سامنا ہے جس میں تعمیل کا کوئی واحد فریم ورک موجود نہیں۔
موجودہ قانون کے تحت، اداروں کو یہ کرنا چاہیے:
- PECA 2016 کے Sections 3، 4، 5، اور 38 (غیر مجاز رسائی، غیر مجاز نقل، نظام میں مداخلت، اور ذاتی ڈیٹا کا غیر مجاز افشا) کی تعمیل کریں۔ اب شکایات NCCIA کو بھیجی جاتی ہیں۔
- شعبہ جاتی ضوابط کی تعمیل کریں: ٹیلی کام کمپنیوں کے لیے PTA کے ضوابط (بشمول CTDISR-2025 ڈیٹا لوکلائزیشن)، بینکوں اور مالیاتی اداروں کے لیے SBP کے فریم ورکس (Enterprise Technology Governance Framework، Outsourcing Risk Framework، Internet Banking Security Regulations)، اور کارپوریٹ UBO افشا کے لیے SECP Companies Regulations 2024۔
- اگر پاکستان میں قابلِ رسائی سوشل میڈیا پلیٹ فارمز چلائے جا رہے ہوں تو 2025 کی PECA ترامیم کے تحت سوشل میڈیا پلیٹ فارم کی تعمیل کی ذمہ داریاں پوری کریں۔
- اگر بینک کے طور پر کام کر رہے ہوں تو Banking Companies Ordinance 1962 کے تحت صارف کے ڈیٹا کا تحفظ کریں۔
جامع قانون سازی کی تیاری کے لیے، اداروں کو یہ کرنا چاہیے:
- یہ دستاویز کریں کہ وہ کون سا ذاتی ڈیٹا جمع کرتے ہیں، وہ کہاں محفوظ ہے، اور اس تک کس کی رسائی ہے۔
- یہ جائزہ لیں کہ آیا فی الحال پاکستان سے باہر محفوظ حساس ذاتی ڈیٹا کو تجویز کردہ بل کے تحت مقامی سطح پر منتقل کرنے کی ضرورت ہو گی۔
- یہ جائزہ لیں کہ آیا ڈیٹا پروسیسنگ کی سرگرمیوں کے پاس رضامندی اور مقصد کے فریم ورک کے تحت درست قانونی بنیاد موجود ہے۔
- ایک رابطہ کار متعین کریں جو رجسٹریشن کی شرائط لازمی ہونے کی صورت میں Data Protection Officer کے طور پر خدمات انجام دے سکے۔
- تیسرے فریق کے پروسیسرز کے ساتھ معاہدوں کا جائزہ لیں تاکہ یہ یقینی بنایا جا سکے کہ ان میں مناسب سیکیورٹی اور رازداری کی ذمہ داریاں شامل ہیں۔
ڈیٹا لوکلائزیشن سے متعلق منصوبہ بندی کا نوٹ: تجویز کردہ قانون سازی حساس ذاتی ڈیٹا کو مقامی سرورز پر محفوظ رکھنے کا تقاضا کرے گی۔ PTA کا CTDISR-2025 ٹیلی کام کمپنیوں پر یہ شرط پہلے ہی عائد کر چکا ہے۔ دیگر شعبوں کے اداروں کو یہ فرض کر لینا چاہیے کہ اگر بل منظور ہو گیا تو ان پر بھی اسی طرح کی شرائط لاگو ہوں گی۔
حالیہ پیش رفت (2024 تا 2026)
مارچ 2026 سے کئی اہم واقعات نے پاکستان کے ڈیٹا پرائیویسی منظرنامے کو تشکیل دیا ہے:
- 30 جنوری 2025: صدر آصف علی زرداری نے Prevention of Electronic Crimes (Amendment) Act, 2025 پر دستخط کیے۔ اس ترمیم نے NCCIA اور SMPRA قائم کیں، سائبر کرائم کی تحقیقات کے اختیارات FIA سے NCCIA کو منتقل کیے، جھوٹی یا جعلی معلومات کے پھیلاؤ کو جرم قرار دینے والی Section 26A شامل کی، اور Social Media Complaint Councils اور Social Media Protection Tribunals قائم کیے۔
- 23 جنوری 2025: سینیٹ کی Standing Committee on IT نے Personal Data Protection Bill پر بحث کی۔ سینیٹر افنان اللہ خان نے طویل تاخیر پر مایوسی کا اظہار کیا۔ MoITT نے Private Member's Bill کی باضابطہ مخالفت کی، اور بیان دیا کہ وہ اپنا اپ ڈیٹ شدہ مسودہ خود تیار کر رہی ہے۔
- نومبر 2024: ایک JIT تحقیقات نے تصدیق کی کہ NADRA کو 2019 تا 2023 کے دوران 27 لاکھ ریکارڈز پر مشتمل ڈیٹا خلاف ورزی کا سامنا کرنا پڑا۔ NADRA کے اعلیٰ افسران کو برطرف کر دیا گیا۔ اس خلاف ورزی نے لازمی خلاف ورزی کی اطلاع دینے کے قانون کے لیے نئے سرے سے مطالبات کو جنم دیا۔
- فروری 2026: National Commission for Human Rights of Pakistan نے ایک تفصیلی رپورٹ شائع کی جس میں 2025 کی PECA ترامیم کے بارے میں شفاف کارروائی اور آزادی سے متعلق خدشات کا اظہار کیا گیا۔
- مئی 2026 (اشاعت کے وقت تک): Personal Data Protection Bill کا کوئی بھی ورژن نافذ نہیں کیا گیا۔ پاکستان اب بھی ایک جامع ڈیٹا پروٹیکشن قانون کے بغیر ہے۔
Frequently Asked Questions
کیا 2026 تک پاکستان میں کوئی جامع ڈیٹا پرائیویسی قانون موجود ہے؟
نہیں۔ مئی 2026 تک پاکستان میں کوئی جامع اور نافذ العمل ڈیٹا پروٹیکشن قانون موجود نہیں ہے۔ Prevention of Electronic Crimes Act (PECA) 2016، جس میں جنوری 2025 میں کافی حد تک ترمیم کی گئی، فوجداری سزاؤں کے ذریعے ڈیٹا کے کچھ غلط استعمال سے نمٹتا ہے، لیکن یہ پرائیویسی فریم ورک کے طور پر نہیں بنایا گیا تھا۔ Personal Data Protection Bill 2023 اور وزارتِ اطلاعات و ٹیلی کمیونیکیشن کا تیار کردہ نیا 2025 کا مسودہ ورژن اب بھی غیر نافذ شدہ ہیں۔ ان میں سے کوئی بھی ورژن پارلیمنٹ کے دونوں ایوانوں سے پاس نہیں ہوا۔
2025 کی PECA ترامیم نے کیا تبدیل کیا؟
30 جنوری 2025 کو دستخط شدہ Prevention of Electronic Crimes (Amendment) Act, 2025 نے تین بڑی تبدیلیاں کیں۔ پہلی، اس نے National Cyber Crime Investigation Agency (NCCIA) قائم کی اور سائبر کرائم کی تحقیقات کے خصوصی اختیارات FIA کے Cyber Crime Wing سے NCCIA کو منتقل کر دیے۔ دوسری، اس نے Social Media Protection and Regulatory Authority (SMPRA) قائم کی جسے سوشل میڈیا پلیٹ فارمز سے غیر قانونی مواد ہٹوانے کا اختیار حاصل ہے۔ تیسری، اس نے Section 26A شامل کی، جو جان بوجھ کر جھوٹی یا جعلی معلومات پھیلانے کو جرم قرار دیتی ہے، جس کی سزا تین سال تک قید اور PKR 2 ملین تک جرمانہ ہے۔
PECA 2016 ذاتی ڈیٹا کے غیر مجاز افشا پر کیا سزائیں عائد کرتا ہے؟
PECA 2016 کے Section 38 کے تحت، کوئی بھی شخص جو ذاتی یا حساس ڈیٹا تک رسائی رکھتا ہو اور اسے ڈیٹا کے مالک کی رضامندی کے بغیر منتقل کرے (سوائے اس کے کہ قانون کا تقاضا ہو)، اسے تین سال تک قید، PKR 1 ملین (تقریباً USD 3,500) تک جرمانہ، یا دونوں سزائیں دی جا سکتی ہیں۔ Section 3 کے تحت انفارمیشن سسٹمز تک غیر مجاز رسائی پر تین ماہ اور PKR 50,000 تک سزا دی جا سکتی ہے۔ Section 4 کے تحت ڈیٹا کی غیر مجاز نقل یا ترسیل پر چھ ماہ اور PKR 100,000 تک سزا دی جا سکتی ہے۔
کیا پاکستان میں کاروباری اداروں کے لیے ڈیٹا خلاف ورزی کے بعد افراد کو مطلع کرنا لازمی ہے؟
نہیں۔ پاکستان میں فی الحال ڈیٹا خلاف ورزی کی اطلاع دینے کی کوئی لازمی شرط موجود نہیں۔ نہ تو PECA 2016 اور نہ ہی 2025 کی ترامیم اطلاع دینے کی کوئی ذمہ داری عائد کرتی ہیں۔ زیر التوا Personal Data Protection Bill 2023 تجویز کردہ National Commission for Personal Data Protection کو خلاف ورزیوں کی اطلاع دینے کے لیے 72 گھنٹے کی مہلت متعارف کرائے گا، لیکن یہ شق ابھی تک قانون نہیں بنی۔ جیسا کہ 2024 کی NADRA خلاف ورزی کی تحقیقات سے ثابت ہوا، ادارے متاثرہ شہریوں کو مطلع کرنے کی کسی قانونی ذمہ داری کے بغیر بھی بڑے پیمانے پر ڈیٹا کی چوری کا سامنا کر سکتے ہیں۔
کیا پاکستان میں ڈیٹا لوکلائزیشن لازمی ہے؟
جزوی طور پر۔ Pakistan Telecommunication Authority کے Critical Telecom Data and Infrastructure Security Regulations 2025 کے تحت ٹیلی کام کمپنیوں کے لیے لازم ہے کہ وہ تمام اہم ٹیلی کام ڈیٹا پاکستان کی جغرافیائی حدود کے اندر محفوظ رکھیں۔ کوئی اہم ٹیلی کام ڈیٹا PTA کی واضح منظوری کے بغیر بیرون ملک منتقل نہیں کیا جا سکتا۔ زیر التوا Personal Data Protection Bill بھی حساس ذاتی ڈیٹا کو مقامی سرورز پر محفوظ رکھنے کا تقاضا کرے گا، لیکن یہ شرط ابھی تک قانون نہیں بنی۔ فی الحال تمام صنعتوں پر لاگو ہونے والی کوئی عمومی ڈیٹا لوکلائزیشن ذمہ داری موجود نہیں۔
پاکستان کا آئین پرائیویسی کا تحفظ کیسے کرتا ہے؟
Constitution of Pakistan کا Article 14(1) بیان کرتا ہے کہ انسان کا وقار اور گھر کی نجی زندگی ناقابلِ خلل ہو گی۔ Mohtarma Benazir Bhutto v. President of Pakistan کے مقدمے میں سپریم کورٹ نے قرار دیا کہ یہ تحفظ جسمانی گھر سے آگے تک وسعت رکھتا ہے اور فون کالز کی حکومتی نگرانی سے منع کرتا ہے۔ عدالتوں نے یہ بھی قرار دیا ہے کہ رضامندی یا عدالتی اجازت کے بغیر موبائل آلات سے ڈیٹا حاصل کرنا Article 14 کی خلاف ورزی ہے۔ تاہم یہ تحفظ قانون کے تابع ہے، یعنی پارلیمنٹ قانون سازی کے ذریعے پرائیویسی میں مداخلت کی اجازت دے سکتی ہے، اور یہ بنیادی طور پر ریاست کو پابند کرتا ہے، نجی کمپنیوں کو نہیں۔
NADRA ڈیٹا خلاف ورزی میں کیا ہوا؟
FIA کی جانب سے تشکیل دی گئی مشترکہ تحقیقاتی ٹیم نے نومبر 2024 میں تصدیق کی کہ NADRA سے تقریباً چار سالوں (2019 تا 2023) کے دوران 27 لاکھ پاکستانی شہریوں کا ڈیٹا چوری کیا گیا، جس کی ابتدا کراچی، ملتان، اور پشاور کے دفاتر سے ہوئی۔ تحقیقات میں اندرونی افراد کے ملوث ہونے کا انکشاف ہوا۔ چوری شدہ ڈیٹا میں نام، پتے، اور ذاتی شناختی معلومات شامل تھیں۔ اسے بین الاقوامی ڈارک ویب مارکیٹوں میں فروخت کیا گیا۔ NADRA نے گریڈ 19 کے ایک افسر اور پانچ دیگر ملازمین کو برطرف کر دیا۔ پاکستان میں متاثرہ شہریوں کو مطلع کرنے کا تقاضا کرنے والا کوئی لازمی خلاف ورزی کی اطلاع کا قانون موجود نہیں تھا۔
پاکستان کے ڈیٹا پروٹیکشن قانون کا انتظار کرتے ہوئے کاروباری اداروں کو ابھی کیا کرنا چاہیے؟
کاروباری اداروں کو ابھی کئی عملی اقدامات کرنے چاہئیں۔ PECA کے Sections 3، 4، 5، اور 38 (غیر مجاز رسائی، نقل، مداخلت، اور ڈیٹا کا افشا) کی تعمیل کریں۔ شعبہ جاتی ضوابط کی تعمیل کریں: ٹیلی کام کمپنیوں کے لیے PTA کے ضوابط، بینکوں کے لیے SBP کے فریم ورکس، اور کارپوریٹ اداروں کے لیے SECP Companies Regulations 2024۔ یہ دستاویز کریں کہ کون سا ذاتی ڈیٹا جمع کیا جاتا ہے اور وہ کہاں محفوظ ہے۔ یہ جائزہ لیں کہ اگر تجویز کردہ قانون منظور ہو گیا تو کیا حساس ڈیٹا کو مقامی سطح پر منتقل کرنا پڑے گا۔ تیسرے فریق کے پروسیسر معاہدوں کا جائزہ لیں۔ ایک Data Protection Officer کا امیدوار متعین کریں۔ یہ تیاری جامع قانون سازی کے بالآخر منظور ہونے پر تعمیل کے خطرے کو کم کرتی ہے۔
Sources and References
- Prevention of Electronic Crimes Act 2016 - قومی اسمبلی پاکستان(na.gov.pk).gov
- PECA میں 2025 کی ترامیم - RSIL Pakistan(rsilpak.org)
- PECA اور 2025 کی ترامیم پر NCHR رپورٹ(nchr.gov.pk).gov
- Personal Data Protection Bill 2023 - MoITT(moitt.gov.pk).gov
- سینیٹ آف پاکستان - Personal Data Protection Bill کا خلاصہ(senate.gov.pk).gov
- سینیٹ کمیٹی کا Data Protection Bill پر مباحثہ - جنوری 2025(nation.com.pk)
- آئین پاکستان - آرٹیکل 14(pakistankanoon.com)
- PTA کے Critical Telecom Data and Infrastructure Security Regulations 2025(pta.gov.pk).gov
- SECP Companies Regulations 2024(secp.gov.pk).gov
- اسٹیٹ بینک آف پاکستان - بینکنگ ضوابط(sbp.org.pk).gov
- NADRA کی 27 لاکھ ریکارڈز کی ڈیٹا خلاف ورزی - تحقیقات میں چوری کی تصدیق(biometricupdate.com)
- PKCERT کا 18 کروڑ کریڈینشل خلاف ورزی سے متعلق انتباہ(paubox.com)
- پاکستان ڈیٹا پروٹیکشن میں تاخیر کیوں کر رہا ہے(mondaq.com)
- ICLG ڈیٹا پروٹیکشن قوانین اور ضوابط پاکستان 2025-2026(iclg.com)
- پاکستان میں پرائیویسی کی صورتحال - Privacy International(privacyinternational.org)