मोबाइल इंस्टॉलेशन के बग़ैर भी फेसबुक कर रहा है हमारी जासूसी: सरकार को जल्द करने होंगे सुरक्षात्मक उपाय

मार्च 2020 में इस बात का खुलासा हुआ था कि ज़ूम iOS ऐप अपने उपयोगकर्ताओं का डेटा उनकी जानकारी के बग़ैर फेसबुक से साझा कर रहा है. ज़ूम ने अपने iOS ऐप पर गुपचुप तरीके से ‘फेसबुक से लॉग-इन करें’ का विकल्प अमल में ला रखा था जिसके बाद फेसबुक सॉफ्टवेयर डेवलपमेंट किट (एसडीके) को iOS प्लैटफ़ॉर्म में शामिल कर लिया गया था. इस फ़ीचर को अमल में लाए जाने से ज़ूम प्लैटफ़ॉर्म इस्तेमाल करने वालों के डेटा तक फ़ेसबुक की पहुंच आसानी से हो रही थी. तब ज़ूम को इस घटना के लिए माफ़ी भी मांगनी पड़ी थी. उसका कहना था कि ऐप बनाते वक़्त उसे इस तरह के असर के बारे में पता नहीं था. ज़ूम का कहना था कि अब उसने अपनी ग़लती सुधार ली है और ऐप में ज़रूरी सुधार कर फेसबुक एसडीके को हटा दिया है.

इस घटना को एकाकी तरीके से देखें तो भी ये एक विकराल समस्या जैसी लगती है. जब हम इस विषय पर आगे जांच-पड़ताल करते हैं तो हमें थर्ड पार्टी डेटा संकलन जैसी गतिविधियों के बारे में पता चलता है. ज़ूम-फ़ेसबुक का मामला एक बड़ी समस्या का अंश मात्र है.

निजी डेटा संरक्षण विधेयक को कई आधारों पर चुनौती दी जा रही है. कहा जा रहा है कि ये विधेयक एक निगरानी रखने वाली राजसत्ता की स्थापना करता है लेकिन उपयोगकर्ताओं के डेटा की सुरक्षा के लिए व्यावहारिक तौर पर कुछ भी नहीं करता. ये विधेयक थर्ड पार्टी डेटा कलेक्शन से जुड़े मसलों और समस्याओं को सुलझा पाने में नाकाम है.  थर्ड पार्टी डेटा माइनिंग पर चर्चा करने और उसमें सुधार के उपाय सुझाने का यही माकूल समय है. विधेयक को फिर से तैयार किए जाने से पहले परिचर्चाओं के एक और दौर से गुज़रना होगा.

इस विषय पर आगे जांच-पड़ताल करते हैं तो हमें थर्ड पार्टी डेटा संकलन जैसी गतिविधियों के बारे में पता चलता है. ज़ूम-फ़ेसबुक का मामला एक बड़ी समस्या का अंश मात्र है.

सबसे पहले ये समझ लेना ज़रूरी है कि थर्ड पार्टी डेटा एकत्रीकरण और थर्ड पार्टी डेटा संकलन में फ़र्क़ होता है. थर्ड पार्टी डेटा एकत्रीकरण तब होता है जब कोई फ़र्म या व्यक्ति थर्ड पार्टी की सेवाएं अपने डेटा को एक ख़ास परिप्रेक्ष्य में रखने के लिए लेता है और कुशल तरीके से विज्ञापन कराने या दूसरे उद्देश्यों से एक सामान्यीकृत मॉडल तैयार करने के लिए उनका उपयोग करता है. चाहे ये उद्देश्य कुछ भी क्यों न हों. डेटा एकत्रीकरण में डेटा काफ़ी हद तक अज्ञात या गुप्त रहता है और उसका व्यक्तिगत तरीकों के विपरीत एक सामान्यीकृत तरीके से इस्तेमाल किया जाता है.

दूसरी तरफ़ थर्ड पार्टी डेटा संकलन तब होता है जब कोई ऐप जो फ़ेसबुक या अल्फ़ाबेट परिवार का सदस्य नहीं है, फ़ेसबुक के एसडीके और गूगल ऐडसेन्स को अपनी व्यवस्था को मांझने और अपने विज्ञापनों के लिए एक बेहतर लक्ष्य तय करने के लिए इस्तेमाल करता है. इसके ज़रिए ये ऐप थर्ड पार्टियों को अपने प्लैटफ़ॉर्म के यूज़र डेटा तक पहुंच दिलाता है. आम तौर पर कई डेवलपर्स ऐसे थर्ड पार्टी फ़ीचर पर अमल करते हैं क्योंकि ये तकनीकी रूप से प्रगतिशील होते हैं.

इन थर्ड पार्टियों द्वारा इकट्ठा किए गए डेटा को मोटे तौर पर दो भागों को बांटा जा सकता है:

1. हर ऐप अपने तंत्र का इस्तेमाल करता है, संग्रहकर्ता लगातार यूनिक ऐड आईडी, फ़ोन के मॉडल का नाम और उपयोग करने वाले का नंबर इकट्ठा करते रहते हैं.
2. सापेक्षिक रूप से देखें तो संग्रहकर्ता वैसे आंकड़े संकलित करते हैं जो प्राइमरी ऐप अपनी गतिविधियों के लिए अनन्य रूप से जमा करते हैं.

इसको बेहतर ढंग से समझने के लिए हम एक उदाहरण सोच सकते हैं: मान लेते हैं कि आपके फ़ोन में तीन ऐप हैं और तीनों ही फ़ेसबुक के एसडीके का इस्तेमाल करते हैं. ऐप ए मौसम से जुड़ा ऐप है जो आपकी लोकेशन से जुड़ी जानकारियां इकट्ठा करता है, ऐप बी एक कॉन्टैक्ट ऐप है जो आपके कॉन्टैक्ट से जुड़ी सूचनाएं संकलित करता है और ऐप सी राजनीति से जुड़ा ऐप है जो आपके राजनीतिक रुझानों से जुड़ी जानकारियां जमा करता है. तीनों ही ऐप फेसबुक को आपकी यूनिक ऐड आईडी, आपके फ़ोन का नाम और नंबर भेजेंगे. ऐप ए आपके लोकेशन के बारे में बताएगा, ऐप बी आपके कॉन्टैक्ट लिस्ट से जुड़ी जानकारियां देगा और ऐप सी आपकी राजनीतिक विचारधारा से जुड़ी सूचनाएं देगा. अब फ़ेसबुक के पास एक यूनिक ऐड आईडी, उपकरण के नाम और नंबर से जुड़े तीन यूनिक डेटा प्वाइंट होंगे. ऐसे में हम ये निष्कर्ष निकाल सकते हैं कि डेटा गुप्त या अज्ञात नहीं रह जाता है. फ़ेसबुक के पास आपके व्यक्तित्व से जुड़ी व्यापक जानकारी पहुंच जाती है और मज़े की बात देखिए कि आपके फ़ोन में फ़ेसबुक ऐप है ही नहीं!

इस तरह के डेटा संकलन से जुड़े ख़तरे इतने छिपे हुए होते हैं कि ऐसे डेटा कलेक्टर्स और इस तरह डेटा संग्रह किए जाने की प्रक्रियाओं में उत्तरदायित्व लाने के लिए सीधे तौर पर कोई कानून नहीं बनाया जा सका है. 

इस बात में कोई आश्चर्य नहीं रह जाता है कि इस तरह के डेटा संकलन से जुड़े ख़तरे इतने छिपे हुए होते हैं कि ऐसे डेटा कलेक्टर्स और इस तरह डेटा संग्रह किए जाने की प्रक्रियाओं में उत्तरदायित्व लाने के लिए सीधे तौर पर कोई कानून नहीं बनाया जा सका है. हालांकि, ये दलील दी जाती है कि ऐसे ऐप के ज़रिए संग्रहित किए गए डेटा का इस्तेमाल केवल बेहतर यूज़र इंटरफ़ेस बनाने और उपयोगकर्ताओं तक लक्षित विज्ञापन पहुंचाने के लिए किया जाता है लेकिन इस तरह के डेटा संग्रहण में निजता को पूरी तरह से भुलाने का ख़तरा बहुत विकराल है. इसे रोकने के लिए तत्काल सुधारात्मक कदम उठाए जाने की ज़रूरत है.

ऐसी गतिविधियों के संदर्भ में दायित्व तय करने वाली नीतियों और कानूनों की संरचना मुश्किलों भरी है. अक्सर ये कहा जाता है कि डेटा संग्रह करने वाली थर्ड पार्टी किसी व्यक्तिविशेष के संपूर्ण डेटा को जानबूझकर संग्रहित करने का प्रयास नहीं करती. ऐप का निर्माण करने वालों की वजह से और उनके थर्ड पार्टी डेटा संग्रह करने वालों के सिस्टम के उपयोग करने की वजह से संग्राहकों के पास ऐसे डेटा जमा होने लगते हैं. हालांकि, इस तरह के डेटा संकलन से जुड़े हर महत्वपूर्ण चरण पर निगरानी रखने की व्यवस्था बनाई जा सकती है ताकि डेटा का बेहतर नियमन हो सके और उपयोगकर्ताओं की निजता की रक्षा की जा सके. डेटा संकलन के संदर्भ में नियमों की अवज्ञा के मामले में रोकथाम और दायित्व के बारे में सिफ़ारिशें देना लगभग हमेशा ही काफ़ी कठिनाई भरा होता है. बहरहाल, कुछ तयशुदा और निरपेक्ष लक्ष्यों को ध्यान में रखकर विधेयक के बारे में चंद सिफ़ारिशें की नीचे चर्चा की गई है.

रोकथाम के लिए सिफ़ारिशें

1. डेटा संरक्षण प्राधिकरण (डीपीए) के तहत एक उपसमिति का गठन किया जाना चाहिए. इसमें डेटा साइंटिस्ट/गणितज्ञ/कंप्यूटर विज्ञानी या इस क्षेत्र से जुड़े सामान्य विशेषज्ञों को रखा जाना चाहिए. उपसमिति के गठन के पीछे की वजह ये है कि डेटा संग्रह से जुड़े मामलों में दायित्व तय कर पाना इतना आसान नहीं होता और इसे केवल मामले-दर-मामले के हिसाब से ही तय किया जा सकता है. इस तरह की उपसमिति सापेक्षिक रूप से नियमों के उल्लंघन के गंभीर मामलों से निपट सकती है और हर मामले में नुकसानों के हिसाब से दायित्व तय कर सकती है.

2. मौजूदा पीडीपी के हिसाब से यूज़र डेटा को प्रोसेस करने वाली हरेक कंपनी के लिए एक डेटा कंट्रोलर की व्यवस्था को अनिवार्य कर दिया जाना चाहिए. मौजूदा विधेयक के मुताबिक ऐसा कंट्रोलर सरकार द्वारा मुहैया कराया जाएगा लेकिन प्रस्तावित कंट्रोलर कंपनी के ही भीतर का हो सकता है. कंट्रोलर को ये सुनिश्चित करना होगा कि कंपनी नियमित रूप से जोखिमों की जांच-पड़ताल करे और देश के नियम-कानूनों का पूरी तरह से पालन करे. कंट्रोलर को ये भी सुनिश्चित करना होगा कि उसका वेंचर हरेक वित्त वर्ष में डेटा को ऑडिट कराए और ऑडिट रिपोर्ट को अनिवार्य रूप से डेटा संरक्षण प्राधिकरण (डीपीए) के सुपुर्द करे. मोटे तौर पर कंट्रोलर की भूमिका थर्ड पार्टी संग्राहकों और डीपीए के बीच के संपर्क सूत्र के रूप में होनी चाहिए.

3. धार्मिक आस्था, बैंक खातों से जुड़ी जानकारियां, राजनीतिक विचारधारा जैसी संवेदनशील सूचनाओं को थर्ड पार्टी संग्राहकों तक पहुंचने से रोकने के कानूनी प्रावधान होने चाहिए. 

3. सूचनाओं के बेहतर प्रसार और प्राइमरी डेवलपर्स और थर्ड पार्टी संग्राहकों के बीच पारदर्शिता के लिए थर्ड पार्टी को इस बात को लेकर पूरी तरह से स्पष्टता दिखाना चाहिए कि वो किस तरह के डेटा इकट्ठा करेगा, संग्रह किए गए डेटा को कैसे प्रोसेस किया जाएगा और इस तरह से जमा और प्रोसेस किए गए डेटा का इस्तेमाल कैसे होगा. थर्ड पार्टी संग्रहकर्ताओं द्वारा मुहैया कराए जाने वाले उत्पादों और सेवाओं से जुड़ी शर्तों और मानकों के ज़रिए इस तरह की पारदर्शिता का प्रचार किया जाना चाहिए. जिन मामलों में संग्रहण पारदर्शी न हों उनके बारे में प्राइमरी डेवलपर थर्ड पार्टी के ख़िलाफ़ मुक़दमा दर्ज करा सकता है.

4. इस तरह के लेनदेन के बारे में लोगों को अवगत कराने के लिए थर्ड पार्टी कलेक्टर को उन ऐप की एक आवर्ती सूची तैयार करनी चाहिए जो उसके सिस्टम के पब्लिक डोमेन का इस्तेमाल करते हैं.

6. धार्मिक आस्था, बैंक खातों से जुड़ी जानकारियां, राजनीतिक विचारधारा जैसी संवेदनशील सूचनाओं को थर्ड पार्टी संग्राहकों तक पहुंचने से रोकने के कानूनी प्रावधान होने चाहिए. इस तरह की दीवार खड़ी करने की ज़िम्मेदारी अनिवार्य रूप से प्राइमरी डेवलपर के पास होनी चाहिए.
7. प्राइमरी डेवलपर्स को भी अपने यूज़र्स को इस बात की स्पष्ट तौर पर जानकारी देनी होगी कि थर्ड पार्टी द्वारा उनके बारे में किस तरह के डेटा जमा किए जाएंगे और ये थर्ड पार्टी कौन होंगे. इतना ही नहीं प्राइमरी ऐप्स को अपने यूज़र्स को ये आज़ादी भी देनी होगी कि वो उन जानकारियों को साझा करने से मना कर सकें जिनके बारे में वो नहीं चाहते कि वो थर्ड पार्टी तक पहुंचे.

8. अगर प्राइमरी डेवलपर्स अपने यूज़र्स के प्रति पारदर्शी नहीं रहते और उन्हें बाहर निकलने का विकल्प देने में नाकाम रहते हैं तो इसके लिए वो उत्तरदायी होंगे

वस्तुपरक दायित्व

1. शुरुआत में ही ये स्पष्ट हो जाना चाहिए कि अगर थर्ड पार्टी संग्रहकर्ता प्राइमरी डेवलपर्स के प्रति पारदर्शी नहीं रहते और तय दिशानिर्देशों का पालन नहीं करते तो इन सबकी ज़िम्मेदारी उनके ऊपर ही रहेगी.
2. अगर प्राइमरी डेवलपर्स अपने यूज़र्स के प्रति पारदर्शी नहीं रहते और उन्हें बाहर निकलने का विकल्प देने में नाकाम रहते हैं तो इसके लिए वो उत्तरदायी होंगे

जैसा कि इस लेख से स्पष्ट है थर्ड पार्टी कलेक्शन- चाहे संग्राहक जिस भी मकसद से डेटा संकलित कर रहा हो- में डेटा की निजता और पहचान के खुले तौर पर ज़ाहिर होने के बीच के फ़र्क़ को कुंद करने की पूरी ताक़त मौजूद है. ऐसी कंपनियों की नीयत और प्रेरणा का शायद ही कभी पता चल पाता हो, ये सच है कि ऐसे संग्राहकों द्वारा नियम कायदे तोड़े जाने की बातें किसी से छिपी नहीं हैं. लिहाजा सरकारों को रोकथाम के उपाय तय करने की दिशा में कार्य करना चाहिए ताकि यूज़र्स को सुरक्षा का भरोसा दिलाया जा सके. इसके साथ ही जहां और जब आवश्यक हो दायित्व और दावों से जुड़े स्पष्ट दिशानिर्देश भी तय किए जाने चाहिए.

---

लेखक ORF में रिसर्च इंटर्न है.

• Cyber Security
• Cyber and Technology
• India
• इंटरनेट
• गोपनीयता और निगरानी
• साइबर और प्रौद्योगिकी
• साइबर सुरक्षा
• साइबर सुरक्षा और इंटरनेट प्रशासन

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.