मानवीय संगठनों को डेटा सुरक्षा और रक्षा को प्राथमिकता देनी चाहिए, खासकर उन क्षेत्रों में जहां डेटा संबंधी कानून कमजोर या अस्तित्वहीन हैं.
कोई नुकसान न पहुंचाए: निजता और डेटा संबंधी क़ानून को और मज़बूत बनाने की ज़रूरत
आसानी से उपलब्ध कनेक्टिविटी के आगमन ने सार्वजनिक क्षेत्र को व्यापक रूप से प्रभावित किया है. इसने उपभोगकर्ताओं को अपनी विभिन्न आवश्यकताओं के लिए डिजिटल स्पेस के संपर्क में आने का मौका दिया. यह आवश्यकता शिक्षा, कार्य, स्वास्थ्य, ई-कॉमर्स अथवा संचार से जुड़ी हुई हो सकती है. डिजिटलाइजेशन और डेटा कलेक्शन यानी जानकारी संग्रह अब सभी क्षेत्रों में महत्वपूर्ण हो गया है. अत: मानवीय सहायता मुहैया करवाने वाले भी इससे अछूते नहीं रहे. लेकिन डिजिटल क्षेत्र में विचरण करते वक्त अथवा इस क्षेत्र से संवाद साधते वक्त ‘‘डू नो हार्म’’ अर्थात ‘‘कोई नुकसान न पहुंचाएं’’ की प्रक्रिया अब भी एक चुनौतीपूर्ण विषय बना हुआ है.
डिजिटलाइजेशन और डेटा कलेक्शन यानी जानकारी संग्रह अब सभी क्षेत्रों में महत्वपूर्ण हो गया है. अत: मानवीय सहायता मुहैया करवाने वाले भी इससे अछूते नहीं रहे. लेकिन डिजिटल क्षेत्र में विचरण करते वक्त अथवा इस क्षेत्र से संवाद साधते वक्त ‘‘डू नो हार्म’’ अर्थात ‘‘कोई नुकसान न पहुंचाएं’’ की प्रक्रिया अब भी एक चुनौतीपूर्ण विषय बना हुआ है.
कोविड-19 ने साबित कर दिया कि इंटरनेट एक अहम आवश्यकता है. इसके साथ ही डिजिटल सुरक्षा और रक्षा जैसे विषय भी जुड़े हुए हैं. इंटरनेशनल टेलीकम्युनिकेशन्स यूनियन (आईटीयू) के अनुसार, ‘‘महामारी के पहले वर्ष में इंटरनेट उपयोगकर्ताओं की संख्या में 10.2 प्रतिशत की वृद्धि देखी गई. एक दशक में देखी गई यह सबसे उल्लेखनीय वृद्धि थी. विकासशील देशों से जुड़ने वाले इंटरनेट उपयोगकर्ताओं ने इसे गति प्रदान की थी. इन देशों में इंटरनेट का उपयोग करने वाले लोगों की संख्या में 13.3 प्रतिशत का इजाफा देखा गया. 2021 में यह वृद्धि 5.8 प्रतिशत की अपनी सामान्य रफ्तार पर लौट आयी. यह रफ्तार महामारी के पहले वाली दर की स्थिति को दर्शाती है.’’
इस संबंध में, हमें यह याद रखने की आवश्यकता है कि पारंपरिक डिजिटल जरूरतों और मार्केटिंग डेटा के अलावा, निजी मानवीय डेटा भी होता है, जिसे मानवीय सहायता प्रदाता एकत्रित करते हैं. इस तरह एकत्रित की गई निजी जानकारी के आधार पर ही मानवीय जरूरतों को ध्यान में रखकर आवश्यकताओं की पूर्ति की जाती है. इसमें प्राप्त सेवाओं के रिकॉर्ड, परिवार के विवरण, आईडी, पासपोर्ट, फोटोग्राफ, बायोमेट्रिक्स डेटा, स्वास्थ्य डेटा और साक्षात्कार के जवाब शामिल हैं. डिजिटल क्षेत्र में एकत्रित की जा रही यह सारी व्यक्तिगत जानकारी कुछ खतरों को भी पैदा करती है.
उदाहरण के तौर पर, जनवरी 2022 में इंटरनेशनल कमेटी ऑफ द रेड क्रॉस (आईसीआरसी) को एक तेज और कुशाग्र बुद्धि वाले व्यक्ति ने अपना निशाना बनाया
और वैश्विक स्तर पर 515,000 लोगों से जुड़ी जानकारी यानी डेटा खतरे में पड़ गई. आईसीआरसी-जिनेवा के बयान के अनुसार, ‘‘..यह स्वीकार किया जाता है कि रिस्टोरिंग फैमिली लिंक्स् अर्थात परिवारों के पुनर्मिलन प्रोग्राम से जुड़ी जानकारी को साइबर हमलावरों ने निशाना बनाया है. इस वजह से आईसीआरसी बुरी तरह प्रभावित हुआ है. 60 नेशनल रेड क्रॉस एवं रेड क्रिसेन्ट सोसाइटीज् का संचालन इस हमले से प्रभावित हुआ है. यहां यह बताना महत्वपूर्ण है कि यह प्रोग्राम सशस्त्र संघर्ष, हिंसा, स्थानांतरण और अन्य कारणों से हुए विस्थापन से प्रभावित परिवारों के पुनर्मिलन की मूल मानवीय जरूरत पर काम करता है.’’
सुव्यवस्थित तरीके से स्थापित संगठनों पर साइबर हमले की घटना यह साबित करती है कि डिजिटल स्पेस में कोई भी सुरक्षित नहीं है. ऐसे में जब बात व्यक्तिगत डेटा की आती है, तो हमें ‘जीरो ट्रस्ट’ नीति का ही पालन करना चाहिए.
30 अगस्त, 2019 को संयुक्त राष्ट्र के जिनेवा स्थित कार्यालय को हैक किया गया. ‘‘द न्यू ह्यूमैनिटेरियन से संयुक्त राष्ट्र की एक गोपनीय रिपोर्ट के अनुसार, दर्जनों संयुक्त राष्ट्र सर्वर – जिनमें इसके मानवाधिकार कार्यालयों और इसके मानव संसाधन विभाग के सिस्टम शामिल हैं – इस हैकिंग की वजह से प्रभावित हुए हैं. इसके अलावा कुछ एडमिनिस्ट्रेटर अकाउंट्स यानी व्यवस्थापक खातों को भी भेदा गया है.’’
सुव्यवस्थित तरीके से स्थापित संगठनों पर साइबर हमले की घटना यह साबित करती है कि डिजिटल स्पेस में कोई भी सुरक्षित नहीं है. ऐसे में जब बात व्यक्तिगत डेटा की आती है, तो हमें ‘जीरो ट्रस्ट’ नीति का ही पालन करना चाहिए. यह केवल अनुमान ही लगाया जा सकता है कि अब तक न जाने कितने गैर सरकारी संगठन (एनजीओ) साइबर हमले का शिकार हुए होंगे. खासतौर पर राजनीतिक रूप से अस्थिर इलाकों में, जहां डिजिटल कौशल और साक्षरता का स्तर बेहद कम है. कोह्न्रेजनिक के एक सर्वे के अनुसार, ‘‘दो-तिहाई से ज्यादा नॉन प्रॉफिट्स यानी गैर लाभकारी संगठन अपनी साइबर सुरक्षा पर मंडरा रहे खतरे के स्तर का अनुमान लगाने में विफल पाए गए.’’
आईटीयू के आंकड़े बताते हैं कि दुनिया अभी भी ऐसे लोगों को लेकर संघर्ष कर रही है, जो बुनियादी सूचना और संचार प्रौद्योगिकी (आईसीटी) कौशल प्राप्त करने में सक्षम नहीं है. राजनीतिक रूप से अस्थिर देशों में तो अब तक इस मामले को लेकर क्षमताओं का आकलन तक नहीं किया जा सका है.
गैर लाभकारी क्षेत्र आईसीटी पर आश्रित है, जिसमें टेलीकॉम, लाइसेंस्ड् सॉफ्टवेयर, डिवाइसेस् और टेक प्लैटफॉर्मस् का समावेश हैं, लेकिन इन्हें पर्याप्त रूप से सुरक्षित करने के उपाय अब तक नहीं किए गए हैं. यह एक लंबा संघर्ष है. कई बार यह एक टकराव भी बन जाता है. क्योंकि लोग नए तरीके से काम करने और नौकरशाही को स्वीकार नहीं करने का विरोध करते है. इससे भी ज्यादा यह एकत्रित किए गए डेटा को लेकर डेटा दाता संगठन की जरूरतों और परियोजना पर काम करने वाले एजेंसी की ओर से डिजिटल सुरक्षा को लेकर की जाने वाली आवश्यक तैयारियों की उपेक्षा से भी जुड़ा होता है.
यह प्रतिरोध मुख्य रूप से डिजिटल कौशल और डिजिटल अधिकार अवधारणाओं की नवीनता को लेकर होता है. चूंकि इसमें वास्तविक भौतिक खतरे की भावना तत्काल नहीं होती, अत: लोग आवश्यक सुरक्षा उपायों की तलाश नहीं करते. इसकी गंभीरता को उसी वक्त समझा जाता है जब लोग और सिस्टम साइबर हमले का शिकार होते है. या फिर स्कैम, फिशिंग और डिजिटल आइडेंटिटी यानी पहचान की चोरी का शिकार होते है.
मानवीय क्षेत्र को अपनी आभासी यानी वर्चुअल जानकारी की सुरक्षा करनी होगी. उसे यह बात साइबर स्पेस का उपयोग करने वाले नेटिजन्स यानी इंटरनेट उपयोगकर्ता को समझानी होगी कि इस आभासी दुनिया में भी भौतिकवादी दुनिया के समान स्तर पर ही उन्हें सक्षम होने को लेकर ठोस रणनीति और तंत्र विकसित करने की आवश्यकता है. ताकि नुकसान होने से पहले सुरक्षा के उपाय का प्रबंध किया जा सके.
मानवीय क्षेत्र को अपनी आभासी यानी वर्चुअल जानकारी की सुरक्षा करनी होगी. उसे यह बात साइबर स्पेस का उपयोग करने वाले नेटिजन्स यानी इंटरनेट उपयोगकर्ता को समझानी होगी कि इस आभासी दुनिया में भी भौतिकवादी दुनिया के समान स्तर पर ही उन्हें सक्षम होने को लेकर ठोस रणनीति और तंत्र विकसित करने की आवश्यकता है.
पर्सनल डेटा कलेक्शन और प्रोसेसिंग अर्थात निजी जानकारी संग्रह और प्रसंस्करण मानवीय प्रतिक्रिया व्यवस्था के सभी चरणों में होता है. उदाहरण के तौर पर स्थिति को लेकर जागरुकता बढ़ाने में, विश्लेषण करने में, जारी कार्यक्रमों की सहायता करने में और सहायता का सुरक्षित वितरण करने में यह जानकारी एकत्रित की जाती है. लेकिन जिन देशों से यह जानकारी एकत्रित की जा रही है, वहां डेटा सुरक्षा व्यवस्था नहीं के बराबर है. जहां यह व्यवस्था मौजूद भी है, वहां जानकारी लेने से पहले जानकारी प्रदाता की सहमति से निजी डेटा की सुरक्षा करने पर जोर नहीं दिया जाता.
यूएनसीटीएडी (यूनाइटेड नेशन्स कॉन्फ्रेंस ऑन ट्रेड एंड डेवलपमेंट अर्थात संयुक्त राष्ट्र व्यापार एवं विकास सम्मेलन) की एक रिपोर्ट के अनुसार 194 में से 137 देशों ने सुरक्षित डेटा रक्षा और निजता को सुरक्षित रखने से जुड़े कानून पर अमल किया है. अफ्रीका और एशिया में इसे अपनाने के स्तर भी भिन्न हैं. वहां क्रमश: 61 और 57 प्रतिशत देशों ने ही इस तरह के कानून को अपनाया है. कम विकसित देशों में केवल 48 प्रतिशत के पास ऐसे कानून हैं. दुर्भाग्य से, उचित कानूनी और डिटिजल अधिकार प्रदान करने वाले प्रावधानों के साथ बनाए गए कानून भी अपने अधिकार क्षेत्र से बाहर आने वाले क्षेत्रों में सुरक्षा सुनिश्चित नहीं कर सकते. उदाहरण के तौर पर यूरोपियन यूनियन के जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) में निजी डेटा की प्रोसेसिंग के नियम बनाए गए है और डिजिटल अधिकारों की व्याख्या भी की गई है. लेकिन वह इसे, ऐसे अनेक इलाकों में लागू नहीं कर सकता, जहां मानवीय सहायता का वितरण किया जा रहा है.
यह एक मुश्किल काम हो सकता है, लेकिन हितधारकों को शिक्षित करने और डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट अर्थात व्यवस्थित डेटा संरक्षण प्रभाव आकलन (डीपीआईए) के माध्यम से इसके खतरों को कम कर संवेदनशील डेटा को सुरक्षित किया जा सकता है.
हितधारकों को डिजिटल सुरक्षा प्रशिक्षण और मूल सुरक्षा सावधानी की जानकारी देकर उनके शिक्षा की शुरुआत की जा सकती है. इसमें दाता संगठन कर्मचारियों को अपने ज्ञान को अपडेट करने के अतिरिक्त अवसर उपलब्ध करवाने के साथ सबसे अपडेटेड ज्ञान के स्तर तक पहुंचने का मौका प्रदान करते हैं. इसके अलावा सुविधा मुहैया करवाने वाली थर्ड पार्टी का ड्यू डिलिजंस यानी नेतृत्व भी किया जा सकता है.
इसके बाद डीपीआईए पर अमल करने का काम आता है, जिससे विभिन्न कार्यक्रमों के दौरान एकत्रित की गई जानकारी को समझने में सहायता होती है. इसके आधार पर निजी डेटा की सुरक्षा नीति बनाने, डेटा देने वाले लोगों के अधिकारों पर मंडरा रहे खतरों का आकलन करने, डेटा का वर्गीकरण करने, साइबर वारदातों के बाद हुए नुकसान को कम करने और डेटा सुरक्षित करने के लिए अतिरिक्त उपाय किए जा सकते हैं.
एक रिपोर्ट के अनुसार 194 में से 137 देशों ने सुरक्षित डेटा रक्षा और निजता को सुरक्षित रखने से जुड़े कानून पर अमल किया है. अफ्रीका और एशिया में इसे अपनाने के स्तर भी भिन्न हैं. वहां क्रमश: 61 और 57 प्रतिशत देशों ने ही इस तरह के कानून को अपनाया है. कम विकसित देशों में केवल 48 प्रतिशत के पास ऐसे कानून हैं.
उदाहरण के लिए, यूएनएचसीआर (शरणार्थियों के लिए संयुक्त राष्ट्रीय उच्चायुक्त) की ओर से सीसीसीएम (कैंप समन्वय और शिविर प्रबंधन) द्वारा बनाए गए शरणार्थी शिविर में रहने वाले सभी निवासियों की सूची तक पहुंच मुहैया करवाने का अनुरोध करता है. ऐसा हर महीने किया जाता है, ताकि नकद सहायता के लिए उनकी पात्रता की जांच की जा सके. डीपीआईए डेटा साझा करने की आवश्यकता, नियमित डेटा हस्तांतरण के जोखिम, साझा किए जाने वाले डेटा की श्रेणियों और डेटा अधिकारों के लिए अन्य संभावित खतरों की जांच करेगा. चूंकि शरणार्थी शिविरों में घुसपैठ का खतरा मंडराता रहता है, अत: वहां दस्तावेजों की डिजिटल प्रति के साथ ही भौतिक प्रति भी रखी होती है. अत: डीपीआईए इस बात की खोज करेगा कि कौन से डेटा को प्रोसेस कर स्टोर किया गया है. इसमें डिजिटल सेवा प्रदाता की जानकारी को ईमानदारी से संरक्षित रखने और अपलोड किए गए डेटा की उपलब्धता को लेकर किए गए सुरक्षा उपाय शामिल हैं.
डीपीआईए व्यक्तिगत गोपनीयता पर मंडराने वाले खतरों की पहचान को सक्षम बनाते हुए जोखिम कम करने की रणनीति विकसित कर इससे जुड़े लोगों की प्रतिष्ठा की रक्षा करता है. इसका काम गतिविधियों का वर्णन करना; डेटा का टाइप (प्रकार) और रिटेंशन (अवधारण) विधि समझना; और भंडारण की समयावधि; उपयोग किए गए उपकरण और उनका नियंत्रण और कुछ मामलों में संचालन करना भी होता है. द फ्रेंच डेटा प्रोटेक्शन अथॉरिटी (सीएनआईएल) की ओर से प्रायवसी इम्पैक्ट असेसमेंट यानी निजता प्रभाव आकलन पर तीन पदप्रदर्शक मुहैया करवाए गए हैं, जिनका उपयोग करके डेटा जोखिम आकलन की शुरुआत की जा सकती है.
अंत में डेटा संग्रह की शुरूआत से पहले ही ‘‘कोई नुकसान न पहुंचाएं’’ की शपथ ले लेना बेहद आवश्यक है. इसके लिए हमें सुरक्षा/राजनीतिक संदर्भ, व्यक्ति से पूछे जाने वाले सवालों की संवेदनशीलता, क्षेत्र में गुणवत्ता नियंत्रण की क्षमता, जानकारी उजागर होने के संभावित मामलों तथा डिजिटल साक्षरता प्रशिक्षण पर विचार करने की जरूरत है.
द फ्रेंच डेटा प्रोटेक्शन अथॉरिटी (सीएनआईएल) की ओर से प्रायवसी इम्पैक्ट असेसमेंट यानी निजता प्रभाव आकलन पर तीन पदप्रदर्शक मुहैया करवाए गए हैं, जिनका उपयोग करके डेटा जोखिम आकलन की शुरुआत की जा सकती है.
अधिकार धारकों को कारोबार के हिस्से के रूप में नहीं देखा जाना चाहिए. ताकि उन्हें विपणन केंद्र बिंदु के रूप में लक्षित किया जा सकें. इसके अलावा, मानवीय और निजी क्षेत्र के बीच साझेदारी आपसी विश्वास और जवाबदेही पर आधारित होनी चाहिए. डेटा सब्जेक्ट (जिसकी जानकार ली जा रही हो) के मौलिक मानवाधिकारों और स्वतंत्रता को संगठन के लाभ और वार्षिक प्रमुख संकेतकों के मुकाबले प्राथमिकता दी जानी चाहिए.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.
PREV
