Published on Jun 06, 2017 Updated 0 Hours ago

भारत में डिजिटल भुगतान प्रणालियों के विस्तार के साथ गोपनीयता संबंधी नए कानून और रेगुलेटर की भी जरूरत है।

डिजिटल भुगतान में गोपनीयता भंग होने का खतरा

डिजिटल वित्तीय सेवाओं के अनगिनत लाभ हैं, लेकिन इसके साथ ही गोपनीयता भंग होने का खतरा भी है जिससे उपभोक्ताओं, कारोबारियों, बाजारों और राष्ट्रों सभी का अहित होता है। भारत में कुछ भुगतान प्रणालियां दरअसल खामियों अथवा कमजोरियों से ग्रस्त हैं क्योंकि अंतर्निहित संपूर्ण गोपनीयता सिद्धांत के आधार पर उनकी भावी डिजाइनिंग नहीं की गई थी। बैक-एंड पर अवस्थित डेटा का केंद्रीकृत स्‍टोरेज जोखिम भरा है। वहीं, फ्रंट-एंड पर घटिया अथवा दोषपूर्ण कैप्चर डिवाइस के कारण डेटा का दुरुपयोग होने का अंदेशा है। मिडिल माइल में यहां से वहां तक बगैर मजबूत एन्क्रिप्शन के ही डेटा को ट्रांसमिट किया जाता है। अत: गोपनीयता की भावी रक्षा सुनिश्चित करने और अटूट एन्क्रिप्शन एवं खुले मानकों का उपयोग करने के लिए निश्चित तौर पर भुगतान प्रणालियों की फि‍र से डिजाइनिंग की जानी चाहिए। इसके साथ ही डेटा गोपनीयता कानून और एक मजबूत बाजार नियामक भी अत्‍यंत आवश्यक हैं।

परिचय

डेटा-संचालित समस्‍त डिजिटल सेवाओं की भांति ही डिजिटल वित्तीय सेवाओं (डीएफएस) में भी उपभोक्ताओं को काफी सहूलियत तो है, लेकिन उसके बदले में उनके गोपनीय डेटा के गलत हाथों में पड़ जाने का अंदेशा है। यह सच है कि डीएफएस से विकासशील देशों के बैंकिंग सुविधाओं से वंचित एवं अपेक्षाकृम कम बैंकिंग सुविधाएं पाने वाले लोगों का वित्तीय समावेश होने की भी उम्‍मीद बंधी है। यही नहीं, सरकार के साथ-साथ अंतरराष्ट्रीय निकायों की ओर से भी मिल रहे प्रोत्‍साहन की बदौलत भारत में डीएफएस का तेजी से विकास होना तय नजर आ रहा है। हालांकि, इसके साथ ही यह भी सच है कि डेटा की गोपनीयता एवं सुरक्षा की मजबूत व्यवस्था के बिना डीएफएस अत्‍यंत जोखिम भरी है और इससे संबंधित उपभोक्‍ताओं के साथ धोखाधड़ी होने का अंदेशा है। वर्तमान में भारत में यही स्थिति देखने को मिल रही है।

धोखाधड़ी की गुंजाइश कम करने के लिए बायोमीट्रिक-प्रमाणि‍त डीएफएस को भारत में अत्यधिक बढ़ावा दिया जा रहा है। बायोमीट्रिक प्रमाणीकरण से उपभोक्ताओं, व्यापारियों, सेवा प्रदाताओं और बाजार सभी के लाभान्वित होने की उम्‍मीद तो है, लेकिन प्रमाणीकरण के लिए बॉयोमीट्रिक्स के उपयोग की वैचारिक आलोचना करने वालों की कमी भी नहीं है। [1] डेटा की गोपनीयता एवं सुरक्षा की ठोस व्यवस्था के अभाव में बायोमीट्रिक-प्रमाणि‍त डीएफएस तो सामान्य डीएफएस से भी कहीं ज्‍यादा जोखिम भरी हैं। भारत सरकार ने डेटा की गोपनीयता एवं सुरक्षा के लिए अनेक उपाय तो किए हैं, लेकिन वह अब तक इस तरह के जोखिमों को कम करने में विफल ही साबित हुई है।

भारत के डीएफएस सेक्टर में इस खतरनाक असंतुलन को दूर करने के लिए सरकार को अवश्‍य ही इन समस्‍त कार्यों को करने हेतु तत्काल कदम उठाने चाहिए: (i) उन सभी प्रौद्योगिकियों को सिरे से खारिज कर देना जिनमें शुरू से ही ‘अंतर्निहित गोपनीयता’ नहीं होती है; (ii) डेटा सुरक्षित रखने के लिए ‘अटूट एन्क्रिप्शन’ के उच्चतम मानकों को अपनाना; (iii) खुले मानकों के उपयोग को अनिवार्य करना; (iv) एक ऐसा बुद्धिमत्तापूर्ण डेटा गोपनीयता कानून बनाना जो उपभोक्ताओं को लागू किए जाने वाले अधिकार दे, और (v) एक स्वतंत्र एवं विशेषज्ञता आधारित बाजार नियामक बनाना।

बायोमीट्रिक-प्रमाणि‍त भुगतान: यह कैसे होता है

भारत में 99 फीसदी से भी अधिक वयस्कों के बॉयोमीट्रिक गुणों को राष्ट्रीय ‘आधार’ डेटाबेस में डिजिटल रूप से संग्रहीत किया जा चुका है। [2] नियामकीय दृष्टिकोण से बायोमीट्रिक-प्रमाणि‍त भुगतान प्रणाली में तीन भाग होते हैं। ‘बैक-एंड’ पर हर उपभोक्ता का ‘आधार’ डेटा उसके बैंक खाते से जुड़ा रहता है। ‘फ्रंट-एंड’ पर बायोमीट्रिक-कैप्चर डिवाइस लगी रहती है जो भविष्‍य में एप का रूप ले सकती है। बैक-एंड और फ्रंट-एंड के बीच में डेटा ट्रांसमिशन नेटवर्क होता है।

यूनीफायड पेमेंट्स इंटरफेस (यूपीआई), जो सरकार द्वारा निर्मित भुगतान प्रणाली है, के तहत पंजीकृत सेलफोन नंबरों और पासवर्ड प्रमाणीकरण के आधार पर उपभोक्‍ताओं को पहले ही बैंकों से लिंक किया जा चुका है। ‘आधार’ संचालित भुगतान प्रणाली (एईपीएस), जो यूपीआई के ढांचे पर आधारित है, ने बायोमीट्रिक्स को एक अन्य प्रमाणीकरण उपाय के रूप में शामिल कर लिया है। कोई भी उपभोक्ता इसके तहत संबंधित कारोबारी के फिंगरप्रिंट रीडर के जरिए अपनी बायोमीट्रिक्स देकर किसी ट्रांजैक्‍शन की शुरुआत करता है, फि‍र डेटाबेस के जरिए उसे प्रमाणित किया जाता है और इसके बाद उस उपभोक्ता के बैंक खाते से निर्धारित धनराशि कटकर कारोबारी के बैंक खाते में चली जाती है। ऐसे सभी वाणिज्यिक डीएफएस प्रदाता, जो अपने उपयोगकर्ताओं (यूजर्स) को बायोमीट्रिक दृष्टि से प्रमाणित करना चाहते हैं, वे यूपीआई के ढांचे को अपनी प्रणाली का आधार बना सकते हैं।

आधार डेटाबेस’ तक पहुंच बगैर इजाजत नहीं हो सकती है। [3] हालांकि, यह व्‍यवस्‍था पूरी तरह से दुरुस्‍त नहीं है। डीएफएस प्रदाता अपनी इच्छा से बायोमीट्रिक रिकॉर्ड तक सीधे नहीं पहुंच सकते हैं। दरअसल, ‘इंडिया स्टैक’ के नाम से कंप्यूटर कोड का एक समूह है जिसकी मदद से किसी अन्‍य व्‍यक्ति के सॉफ्टवेयर को डेटाबेस से जोड़ा जाता है। यूपीआई के ढांचे में इंडिया स्टैक दरअसल एक मध्यस्थ है जो उपभोक्ताओं और बैंकों को डेटाबेस से अलग करता है। ऊपर वर्णित डिजिटल भुगतान के तीन भागों वाले नियामकीय मॉडल में ‘इंडिया स्टैक’ दरअसल फ्रंट-एंड और मिडिल माइल के बीच में स्थित है।

गोपनीयता और सुरक्षा जोखिम

डीएफएस सहित डेटा-संचालित समस्‍त डिजिटल सेवाओं में गोपनीयता और सुरक्षा के जोखिम हैं जो डेटा से जुड़े चिंताजनक तौर-तरीके अपनाने के कारण उत्‍पन्‍न होते हैं। गोपनीयता के लिहाज से चिंताजनक तौर-तरीकों में बगैर सहमति या अत्यधिक डेटा संग्रह, साझाकरण (शेयरिंग), स्‍टोरेज एवं उपयोग, अनियंत्रित डेटा ब्रोकरेज और डेटा की पहचान समाप्‍त करने में विफलता शामिल हैं। सुरक्षा के नजरिए से डेटा संबंधी चिंताजनक तौर-तरीकों में कमजोर एन्क्रिप्शन का उपयोग, कमजोर तकनीकी नियंत्रण, घटिया साइबर खुफिया और केंद्रीकृत डेटा संग्रह शामिल हैं।

डीएफएस सहित डेटा-संचालित समस्‍त डिजिटल सेवाओं में गोपनीयता और सुरक्षा के जोखिम हैं जो डेटा से जुड़े चिंताजनक तौर-तरीके अपनाने के कारण उत्‍पन्‍न होते हैं।

डेटा से जुड़े चिंताजनक तौर-तरीके अपनाने का प्रतिकूल असर उपभोक्ताओं, कारोबारियों और बाजार तीनों पर ही पड़ता है। उपभोक्ताओं को नुकसान डेटा लीकेज, पहचान की चोरी, भेदभाव, प्रतिष्ठात्मक क्षति और वास्तविक हानि के कारण होता है। इसी तरह कारोबारियों को नुकसान साख घट जाने, आपराधिक देनदारी और हर्जाना, क्षति एवं पेनाल्‍टी की वजह से होने वाली वास्‍तविक हानि के कारण होता है। वहीं, दूसरी ओर बाजार को नुकसान डिजिटल सेवाओं एवं साइबर सतर्कता में आम जनता का भरोसा कम हो जाने और अनौपचारिक तंत्रों के विकास के कारण होता है।

यही नहीं, डेटा से जुड़े घटिया अथवा चिंताजनक तौर-तरीके अपनाने का प्रतिकूल असर विभिन्‍न देशों पर भी पड़े बिना नहीं रहता है। उदाहरण के लिए, भुगतान प्रणालियों में जबरन अतिक्रमण, जो डेटा के प्रवाह को किसी और दिशा में मोड़ देता है, होने से आर्थिक अराजकता की स्थिति उत्‍पन्‍न हो सकती है। इसी तरह बड़े पैमाने पर बायोमीट्रिक डेटा के लीक हो जाने की स्थिति में धोखाधड़ी वाले व्‍यापक लेन-देन से डीएफएस चरमरा सकती हैं। जबरन अतिक्रमण करने वालों की पहुंच जितने अधिक डेटा तक होगी उतना ही नुकसान होने का अंदेशा है। दरअसल, साइबर युद्ध के सिद्धांत किसी भी विरोधी की डिजिटल सुरक्षा कमजोरियों से लाभ उठाने पर आधारित होते हैं, ताकि ज्‍यादा-से-ज्‍यादा आर्थिक नुकसान पहुंचाया जा सके।

विशिष्ट खामियां

भारत की आधार-संचालित भुगतान प्रणाली के साथ-साथ यूनीफायड पेमेंट्स इंटरफेस में भी विशिष्ट गोपनीयता और सुरक्षा खामियां अथवा कमजोरियां हैं जो सिस्टम में डेटा के स्थान यथा बैक-एंड, मिडि‍ल माइल या फ्रंट-एंड में निहित रहती हैं। यही नहीं, ‘आधार’ डेटाबेस पर निर्मित किसी भी अन्य भावी भुगतान प्रणाली में भी इसी प्रकार की खामियां उभरने का अंदेशा है।

बैक-एंड पर ‘आधार’ डेटा को केंद्रीय डेटाबेस में स्‍टोर किया जाता है। संवेदनशील डेटा के स्‍टोरेज को केंद्रीकृत किए जाने को सार्वभौमिक तौर पर एक घटिया सुरक्षात्‍मक तरीका माना जाता है और इसमें जोखिम होने के पर्याप्त उदाहरण हैं। उदाहरण के लिए, जून 2015 में संयुक्त राज्य अमेरिका के कार्मिक प्रबंधन कार्यालय के सर्वर यानी सरकारी डेटा के केंद्रीय स्‍टोरेज स्थान का अतिक्रमण करके गुप्त एजेंटों की अंगुलियों के निशान सहित 21.5 मिलियन लोगों का विवरण चुरा लिया गया। केंद्रीकृत डाटाबेस दरअसल तथाकथित ‘हनी पॉट’ हैं [4] जो जबरन अतिक्रमण या घुसपैठ करने के लिए प्रोत्साहित करते हैं। [5]

वहीं, फ्रंट-एंड पर यूजर की बायोमीट्रिक्स को बैंकों और सरकार द्वारा विकसित यूपीआई-आधारित एप से जुड़े उपकरण दर्ज (कैप्‍चर) कर लेते हैं। यूपीआई के ढांचे को आधार बना कर काम करने वाले वाणिज्यिक डीएफएस प्रदाता अपने खुद के ही एप्‍स विकसित कर सकते हें। हालांकि, कई मौजूदा ‘कैप्चर डिवाइस’ बायोमीट्रिक छवियों का एक गुप्‍त स्‍टोरेज बना लेती हैं, जिसका मतलब यही है कि भविष्य में उपयोग करने के मकसद से अंगुलियों के निशान को स्थानीय स्तर पर स्‍टोर कर लिया जाता है। दिल्ली का एक सनसनीखेज उदाहरण आपके सामने है [6] जहां महज एक फिंगरप्रिंट कैप्चर के आधार पर धोखाधड़ी वाले 397 लेन-देन किए गए थे। [7]

बायोमीट्रिक डेटा कैप्चर कर लिए जाने के बाद यह पैकेटों के रूप में इंटरनेट प्रोटोकॉल के जरिए यूपीआई की मिडिल माइल से ऊपर-नीचे होते हुए गुजरता है। इंटरनेट डाटा पैकेटों का संरक्षण कई तरह से हो सकता है यानी ये पूरी तरह असुरक्षित भी हो सकते हैं और अटूट एन्क्रिप्टेड भी हो सकते हैं। वहीं, उपभोक्ता अपने हिसाब से एन्क्रिप्शन सुनिश्चित नहीं कर सकते हैं, क्योंकि वे अपने डेटा को सुरक्षित रखने के लिए यूपीआई पर निर्भर हैं। यूपीआई के दिशा-निर्देशों में इस बात का उल्‍लेख किया गया है कि खुद बायोमीट्रिक डेटा को नहीं, बल्कि पासवर्ड ट्रांसमिट करने के लिए अटूट एन्क्रिप्शन का इस्तेमाल किया जा सकता है। [8] यदि संवेदनशील डेटा को इस तरह खुले तौर पर ट्रांसमिट किया जा रहा है, तो यह अवश्‍य ही एक गंभीर जोखिम है।

बायोमीट्रिक डेटा कैप्चर कर लिए जाने के बाद यह पैकेटों के रूप में इंटरनेट प्रोटोकॉल के जरिए यूपीआई की मिडिल माइल से ऊपर-नीचे होते हुए गुजरता है।

यूपीआई चूंकि इंटरनेट प्रोटोकॉल का उपयोग करता है, इसलिए डेटा को सुरक्षित करने के लिए अपेक्षाकृत अधिक एन्क्रिप्शन विकल्प हैं। वहीं, दूसरी ओर यूएसएसडी (अनस्ट्रक्चर्ड सप्‍लीमेंटरी सर्विस डेटा) प्रोटोकॉल, जो आवाज (वॉयस) युग की एक सेल्‍युलर प्रौद्योगिकी है, पर आधारित भुगतान प्रणालियां डिजाइन के लिहाज से असुरक्षित हैं। यूएसएसडी को खुले तौर पर हैक किया जा सकता है और उसे विरासत में मिली सुरक्षा खूबियों को आज की डिजिटल दुनिया में आदिम माना जाता है। राहत की बात यह है कि यूएसएसडी के जरिए भुगतान कभी भी लोगों को रास नहीं आया। यही नहीं, भारतीय बाजार जल्‍द ही डेटा क्रांति होने की अटकलें लगा रहा है। यदि वाकई इस तरह की क्रांति हो गई तो फि‍र इस प्रोटोकॉल का वजूद बहुत जल्द समाप्‍त हो जाएगा।

दुनिया के अन्य हिस्सों में कुछ मोबाइल भुगतान प्रणालियां एसएमएस (लघु संदेश सेवा) प्रोटोकॉल पर आधारित हैं। [9] ये प्रणालियां भी डीएफएस के लिए असुरक्षित हैं क्योंकि एसएमएस का एन्क्रिप्शन नहीं हो सकता है, अत: ऐसे में इसे बड़ी आसानी से इंटरसेप्ट किया जा सकता है। विडंबना यह है कि एसएमएस अब भी मोबाइल भुगतान सेवाओं में ‘टू-फैक्‍टर प्रमाणन’ प्रक्रि‍या पूरी करने का प्रमुख तरीका है। दुनिया के अग्रणी क्रिप्टोग्राफर वर्ष 2005 से ही एसएमएस-आधारित प्रमाणीकरण के खतरों के प्रति आगाह कर रहे हैं, लेकिन डीएफएस उद्योग इसे अनसुना कर रहा है। [10]

निष्कर्ष

कुछ खामियां अथवा कमजोरियां होने का मतलब यह नहीं है कि डीएफएस का परित्याग ही कर दिया जाए। हालांकि, भुगतान प्रणालियों को सुरक्षित करने के लिए तत्काल और सतत प्रयास बेशक जरूरी है। इस दिशा में पहला कदम यह है कि ‘ अंतर्निहित संपूर्ण गोपनीयता’ के सिद्धांत को ध्‍यान में रखते हुए डिजिटल भुगतान प्रणालियों की फि‍र से डिजाइनिंग की जाए। इस सिद्धांत के तहत डिफॉल्ट वाली उच्च गोपनीयता प्रौद्योगिकियों, सतत गोपनीयता नियंत्रण और अटूट एन्क्रिप्शन के जरिए संपूर्ण सुरक्षा उपाय पर विशेष जोर दिया जाता है। उधर, नियोजकों को खुले मानकों के आधार पर पूरी सक्रियता के साथ गोपनीयता के लिहाज से संवेदनशील प्रणालियों की डिजाइनिंग करनी चाहिए। उदाहरण के लिए, फिंगरप्रिंट रीडर, जो गुप्‍त रूप से डेटा को स्‍टोर करता है, में गोपनीयता भंग होने का खतरा बना रहता है।

अटूट एन्क्रिप्शन के जरिए संपूर्ण सुरक्षा और ‘मल्‍टीपल-फैक्‍टर’ प्रमाणीकरण को बगैर किसी बाधा के भुगतान प्रणालियों में शामिल किया जाना चाहिए। यूएसएसडी और एसएमएस जैसे असुरक्षित संचार प्रोटोकॉल पर बिल्‍कुल कोई भी भुगतान लेन-देन नहीं होना चाहिए। जब तक डीएफएस के अंतर्गत विरासत में मिली असुरक्षित प्रौद्योगिकियों का ही इस्तेमाल किया जाता रहेगा, तब तक अत्याधुनिक उद्योग होने संबंधी इसके दावे पर सवालिया निशान लगते रहेंगे। केवल इंटरनेट-आधारित डेटा हस्तांतरण (ट्रांसफर) ही सुरक्षित होते हैं क्‍योंकि ये अटूट तरीके से एन्क्रिप्ट किए जाते हैं। यही नहीं, केवल ‘ओपन क्रिप्टोग्राफिक’ मानकों को अपनाने से ही उपभोक्ता अपने डेटा सुरक्षा को लेकर अच्‍छी तरह संतुष्ट‍ हो पाएंगे।

यूएसएसडी और एसएमएस जैसे असुरक्षित संचार प्रोटोकॉल पर बिल्‍कुल कोई भी भुगतान लेन-देन नहीं होना चाहिए।

डिजिटल भुगतान की सफलता खुलेपन पर निर्भर करती है। यूपीआई के तहत डीएफएस प्रदाताओं को कनेक्‍ट होने के लिए खुला इंटरफेस मिलता है। वैसे तो यह सही दिशा में एक कदम है, लेकिन खुलेपन के सिद्धांत के तहत अभी बहुत कुछ करना बाकी है। ओपन प्रोटोकॉल का उपयोग डेटा संचार के लिए और ओपन फॉर्मेट का इस्‍तेमाल स्टोरेज के लिए किया जाना चाहिए। इस सेक्‍टर को खुले तकनीकी मानकों को अपनाना चाहिए और जहां यह असंभव हो, वहां उचित एवं गैर-भेदभावपूर्ण लाइसेंसिंग को अपनाना चाहिए, ताकि नवाचार को बढ़ावा दिया जा सके और लागत को कम किया जा सके। खुले मानक विशेष रूप से स्मार्टफोन निर्माताओं के लिए खास अहमियत रखते हैं, क्‍योंकि इनकी बदौलत पेटेंटों की भरमार से बचना और उपभोक्ताओं को सस्‍ते उपकरण सुलभ कराना संभव है।

चूंकि कोड ही कानून है, इसलिए डीएफएस सेक्टर में ज्‍यादातर गोपनीयता और सुरक्षा जोखिमों को उचित डिजाइनिंग एवं इंजीनियरिंग के जरिए कम किया जा सकता है। [11] हालांकि, ‘अंतर्निहित संपूर्ण गोपनीयता’ सुनिश्चित करने के लिए गोपनीयता कानून अत्‍यंत आवश्यक है। यही नहीं, इसी कानून के तहत उपभोक्ताओं को ऐसे गोपनीयता अधिकार अवश्‍य ही दिए जाने चाहिए जिन्‍हें लागू करना संभव हो। यह सच है कि परंपरागत उपभोक्ता गोपनीयता कानून, जिसे ‘सूचना और सहमति’ मॉडल पर बनाया गया है, विफल हो रहा है। वैसे तो सहमति का चलन समाप्‍त नहीं हुआ है, लेकिन इसके बारे में बस फि‍र से परिकल्‍पना करने की जरूरत है। डेटा से जुड़े तौर-तरीकों [12] के लिए जवाबदेही सुनिश्चित करने का एक तरीका यह है कि इसे उपयोग आधारित विनियमन और गोपनीयता की प्रासंगिक अपेक्षाओं पर आधारित अनिवार्य अहित चेतावनियों [13] के जरिए संभव किया जाए। [14]

आखिर में एक और बात महत्‍वपूर्ण है। नवाचार एवं विकास पर फोकस वाले जीवंत डीएफएस सेक्‍टर के सृजन को सही स्‍वरूप प्रदान करने और उपभोक्ताओं एवं राष्ट्रीय अर्थव्यवस्था के हितों की रक्षा के लिए भारत को एक मजबूत बाजार नियामक की जरूरत है। दिसंबर 2016 में रतन वटल समिति ने भारतीय रिजर्व बैंक से भुगतान नियामक बोर्ड को अलग करके उसे एक स्वतंत्र निकाय का रूप देने का प्रस्‍ताव किया था। जब इसका गठन हो जाए, तो नए नियामक की निरंतर पहुंच डेटा गोपनीयता एवं सुरक्षा विशेषज्ञता तक होनी चाहिए।[15] जब डेटा का अच्छी तरह से विनियमन होने लगेगा, केवल तभी डिजिटल वित्तीय सेवाओं (डीएफएस) की क्षमता का पूर्ण उपयोग त्‍वरित एवं परिवर्तनकारी सामाजिक-आर्थिक बदलाव सुनिश्चित करने में किया जा सकता है।


लेखक के बारे में

भैरव आचार्य वाशिंगटन डीसी स्थित न्यू अमेरिकाज ओपन टेक्नोलॉजी इंस्टीट्यूट में प्रोग्राम फेलो हैं। इस मुद्दे पर व्‍यक्‍त किए गए विचार उनके निजी विचार हैं।


[1] Sunil Abraham, “It’s the technology, stupid,” The Hindu Business Line, March 31, 2017, http://www.thehindubusinessline.com/blink/cover/11-reasons-why-aadhaar-is-not-just-nonsmart-but-also-insecure/article9608225.ece.

[2] Ravi Shankar Prasad, “UIDAI Achieves 111 Crore Mark on Aadhaar Generation Unique Identity Covers to Over 99 Percent Adult Residents of India,” Press Information Bureau (Statement of the Minister of Information Technology and Law), January 27, 2017, http://pib.nic.in/newsite/PrintRelease.aspx?relid=157709.

[3] Aman Sethi, Samarth Bansal and Saurav Roy, “Details of over a million Aadhaar numbers published on Jharkhand govt website,” Hindustan Times, April 29, 2017, http://www.hindustantimes.com/india-news/in-massive-data-breach-over-a-million-aadhaar-numbers-published-on-jharkhand-govt-website/story-EeFlScg5Dn5neLyBzrkw1I.html.

[4] Brendan I. Koerner, “Inside the Cyberattack that Shocked the US Government,” Wired, October 23, 2016, https://www.wired.com/2016/10/inside-cyberattack-shocked-us-government/.

[5] Sunil Abraham, interview by Sahil Makkar, “Aadhaar is actually surveillance tech,” Business Standard, March 12, 2016, http://www.business-standard.com/article/opinion/aadhaar-is-actually-surveillance-tech-sunil-abraham-116031200790_1.html.

[6] “Aadhaar Hacked,” YouTube video, 1.46, posted by “Skoch Consultancy Services Pvt Ltd,” May 3, 2017, https://www.youtube.com/watch?v=XrKwO2yW910.

[7] Rajeev Deshpande and Mahendra Singh, “Probe against 3 firms for illegal use of Aadhaar biometrics,” The Times of India, February 24, 2017, http://timesofindia.indiatimes.com/india/probe-against-3-firms-for-illegal-use-of-aadhaar-biometrics/articleshow/57321007.cms?from=mdr.

[8] National Payments Corporation of India, “Unified Payments Interface: Procedural Guidelines” (Version 1.5, July 2016, page 5 of 62), http://www.npci.org.in/documents/UPI_Procedural_Guidelines.pdf.

[9] Samuel Gibbs, “SS7 hack explained: what can you do about it?” The Guardian, April 19, 2016, https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls; Parmy Olson, “SIM Cards Have Finally Been Hacked, And The Flaw Could Affect Millions Of Phones,” Forbes, July 21, 2013, https://www.forbes.com/sites/parmyolson/2013/07/21/sim-cards-have-finally-been-hacked-and-the-flaw-could-affect-millions-of-phones/#33b6181a17b8.

[10] Bruce Schneier, “The Failure of Two-Factor Authentication,” Schneier on Security, March 15, 2005, https://www.schneier.com/blog/archives/2005/03/the_failure_of.html.

[11] Lawrence Lessig, Code and Other Laws of Cyberspace (New York: Basic Books, 1999).

[12] Craig Mundie, “Privacy Pragmatism,” Foreign Affairs, March/April 2014, https://www.foreignaffairs.com/articles/2014-02-12/privacy-pragmatism.

[13] Melissa W. Bailey, “Seduction by Technology: Why Consumers Opt Out of Privacy by Buying into the Internet of Things,” Texas Law Review 94 (2016): 1042-44.

[14] Helen Nissenbaum, “A Contextual Approach to Privacy Online,” Daedalus 140 (2011): 32-48.

[15] Committee on Digital Payments, Ministry of Finance, Government of India, “Medium Term Recommendations to Strengthen Digital Payments Ecosystem,” December 2016, http://finmin.nic.in/reports/watal_report271216.pdf.

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.