भारतीय दूरसंचार विनियामक प्राधिकरण (ट्राई) ने 9 अगस्त 2017 को दूरसंचार क्षेत्र में डेटा की गोपनीयता, सुरक्षा और स्वामित्व पर परामर्श पत्र जारी किया। उसका कुछ अंश यहां हिन्दी में प्रस्तुत किया जा रहा है जिससे शोधककर्ताओं के साथ एक आम नागरिक को भी यह समझने में मदद मिलेगी कि कैसे इंटरनेट की दुनिया में सभी शर्तें सेवा मुहैया कराने वालों की होती हैं और यूजर्स को सेवा प्रदान करने वालों की शर्तों को मानने को विवश करके रखा जाता है।
स्टेकहोल्डर्सः डिजिटल ढांचा
निजता, गोपनीयता और सुरक्षा की शर्तें टेलीकॉम सेवा प्रदाता (टीएसपी) द्वारा दी जाने वाली सेवाओं के लिए बेहद जरूरी हैं। यह माना जाता है कि निजता को लेकर चिंताएं इंटरनेट की दुनिया में सक्रिय तमाम हितधारकों की गतिविधियों से पैदा होती हैं, जो उपयोगकर्ता यानी यूजर्स के व्यक्तिगत डेटा का अपने हित में इस्तेमाल और उसे नियंत्रित करते हैं। इसमें कंटेंट यानी सामग्री व एप्लिकेशन सेवा मुहैया कराने वाले, डिवाइस बनाने वाले, ब्राउजर्स, ऑपरेटिंग सिस्टम आदि जैसे हितधारक शामिल होते हैं। निम्न कुछ तरीके हैं जिनमें यूजर्स से संबंधित डेटा को विभिन्न हितधारक देख या उसे नियंत्रित कर सकते हैं।
कुकीज और फिंगरप्रिटिंग
कुकी एक छोटी सी फाइल है, जिसमें आमतौर पर अक्षर और संख्याएं होती हैं, जो किसी वेबसाइट के उपयोगकर्ता की डिवाइस की पहचान करने की इजाजत देती है। कुकीज कई प्रकार की हो सकती हैं, मसलन सेशन कुकीज जो एक खास ब्राउजर सेशन यानी किसी वेबसाइट को देखने के एक निश्चित समय बाद वह खत्म हो जाती है। पर्सिस्टेंट कुकीज (स्थायी कुकीज) जिसका किसी अवधि में किसी उपयोगकर्ता की गतिविधियों की निगरानी के लिए उपयोग किया जा सकता है। किसी यूजर के किसी वेबसाइट को देखने के बाद उस वेबसाइट द्वारा जो कुकीज बनती है, उसे फर्स्ट पार्टी कुकीज कहा जाता है। तीसरे पक्ष की कुकी, जो कि उपयोगकर्ता द्वारा देखी जाने वाली किसी अन्य डोमेन के द्वारा निर्धारित की जाती है। शोध बताते हैं कि सामान्य तौर पर उपयोगकर्ताओं में कुकीज के अर्थ और उसके इस्तेमाल के बारे में तथा उसके फायदे या नुकसान के बारे में बहुत कम जानकारी होती है।1 वेबसाइटों द्वारा उपयोगकर्ता के लॉगइन विवरण को सहेजने या उसकी ब्राउजिंग हिस्ट्री (उन साइट्स और पेज की सूची होती है जिन्हें यूजर ने पहले कभी देखा हो) पर बारीकी से नजर रखने के मकसद से किया जाता है और ये सब करने के पीछे वेबसाइटों का उद्देश्य उपभोक्ता को अपना सामान, सेवा बेचने से संबंधित विज्ञापन दिखाना होता है।
इंटरनेट उपयोगकर्ताओं पर निगरानी रखने के कई अन्य ट्रैकिंग तकनीकें भी उपयोग में हैं। उदाहरण के लिए, “डिवाइस फिंगरप्रिंटिंग” यह एक ऐसा तरीका है जिसका उपयोग करके विभिन्न सूचना तत्वों के जरिये डिवाइस आपकी पहचान करती है। विभिन्न सॉफ्टवेयर, प्लेटफॉर्म और एपीआई (एप्लीकेशन प्रोग्राम इंटरफेस)* अलग-अलग सूचना तत्वों तक पहुंच और डिवाइस में एकत्रित सूचनाओं को मुहैया कराने की पेशकश करते हैं। उदाहरण के तौर पर वेब ब्राउजर जावा स्क्रिप्ट एपीआई जो स्क्रीन साइज, रंग के बारे में और सिस्टम में उपलब्ध फॉन्ट के बारे में सूचना मुहैया करा सकते हैं। अन्य एपीआई, फर्मवेयर जैसे सीपीयू, ऑपरेटिंग सिस्टम जैसे ओएस या ग्राफिक्स कार्ड मॉडल में संग्रहीत सूचनाओं तक पहुंचने में मददगार साबित होते हैं। हालांकि, इस तरह फिंगरप्रिंट सभी एकत्रित सूचनाओं को एक साथ मुहैया कराने की क्षमता रखता है। साथ ही इंटरनेट पर उपभोक्ता की गतिविधि को ट्रैक करने के लिए कुकीज का छिपे हुए विकल्प के रूप में इसका इस्तेमाल किया जा सकता है।
अनुमति हासिल करने का खेल
एक बड़ी संख्या में सॉफ्टवेयर एप्लीकेशन्स (एप्स) के डिजिटल ढांचे को खास उद्देश्यों खातिर मसलन मनोरंजन, ई-मेल या संचार, खरीदारी, बैकिंग और भुगतान आदि के लिए तैयार किया गया है। अध्ययनों से पता चलता है कि पिछले वर्ष वैश्विक इस्तेमाल की तुलना में भारत में एप्प का उपयोग करने वालों की तादाद में तकरीबन चार गुना बढ़ोतरी हुई है। वैश्विक स्तर पर एप्प का इस्तेमाल 11 प्रतिशत किया जाता है जबकि भारत में उससे करीब चार गुना अधिक 43 फीसदी एप्प का उपयोग किया जाता है।3 हालांकि एप्स का इस्तेमाल बढ़ने से उपयोकर्ताओं को अपना काम निपटाने में सहूलियत और इससे एप्स डेवलेपर्स की दक्षता तो बढ़ी है, लेकिन एप्प के मालिकों को इससे उपयोगकर्ताओं की भारी मात्रा में डेटा हासिल करने की इजाजत भी मिल जाती है और यही निजता की सुरक्षा को लेकर चिंता पैदा करती है। दूसरी तरफ, एप परितंत्र में एप मालिक और डेवलपर्स के अलावा कई अन्य खिलाड़ी हैं जैसे एप स्टोर्स, ऑपरेटिंग सिस्टम, डिवाइस निर्माता और अन्य तीसरे पक्ष जैसे कि एनालिटिक्स और विज्ञापन प्रदाता जो एप के जरिये व्यक्तिगत डेटा को एकत्रित और उसे इस्तेमाल करने में भूमिका निभाते हैं।
एप्स अपनी शर्तों में बंधे ग्राहकों के माध्यम से अन्य लोगों (जोकि एप्स के ग्राहक नहीं हैं) के बारे में भी जानकारी एकत्रित कर लेते हैं। उदाहरण के लिए देखें तो एक ग्राहक बड़े पैमाने पर फोन नंबर जुटाने का एक बड़ा माध्यम बन गया है जिसे अंग्रेजी में क्राउड सोर्स थ्रू कस्टमर्स (Crowd-sourced through customers) कहा जा रहा है। ध्यान रहे कोई एप्प डाउनलोड करते समय आपसे आपके फोन या कंप्यूटर सिस्टम में रखी तमाम चीजों को देखने की इजाजत हासिल कर ली जाती है और इसी अनुमित की शर्तों के जरिये आपके फोन में सुरक्षित सभी फोन नंबरों तक एप्प की पहुंच सहज ही हो जाती है। यह बहुत हद तक संभव है कि जिस व्यक्ति की व्यक्तिगत जानकारी एप्प द्वारा साझा की जा रही है, वह इस साझेदारी के बारे में जागरूक नहीं है।
खासकर एप्स, अपने उपयोगकर्ताओं के फोन और कंप्यूटर से बड़ी मात्रा में डेटा एकत्रित करने में सक्षम होते हैं और विभिन्न व्यावसायिक उद्देश्यों से उनका इस्तेमाल करते हैं। इसमें उपयोगकर्ता को उपयुक्त सेवा मुहैया कराने के लिए एप्प को आवश्यक जानकारी हासिल करने की अपनी एकतरफा शर्त शामिल होती है। इसके तहत किसी एप्प को फोटो एडिटिंग के लिए आपकी संग्रहीत तस्वीरों तक पहुंच हासिल करने की शर्त शामिल होती है। यानी अमुक एप्प आपको फोन में रखी हरेक तस्वीर को देख सकता है। इसी तरह विभिन्न तरह की सेवा मुहैया कराने वाले तमाम एप्प अन्य श्रेणियों की जानकारी जैसे कि उपयोगकर्ता के फोन में सुरक्षित फोन नंबर्स, मैसेज, कैमरा, लोकेशन आदि जानकारी अपनी शर्तों पर हासिल कर लेते हैं जबकि सीधे तौर इन सब चीजों से उन्हें कोई लेना देना नहीं होता है लेकिन वे ऐसा करते हैं। उपयोगकर्ता द्वारा एप्स को विभिन्न श्रेणियों की जानकारी तक पहुंच की अनुमति अक्सर उन परिस्थितियों में प्रदान की जाती है जहां उपयोगकर्ता सहमति हासिल करने के पीछे एप्स के छिपे निहितार्थों को पूरी तरह से समझ नहीं पाते हैं। इन व्यवस्थाओं की एकपक्षीय प्रकृति के कारण सेवा प्रदाता और उपयोगकर्ता के बीच असमान सौदेबाजी का तत्व अंतर्निहित होता है। ऐसे में यूजर्स के पास कोई प्रभावी विकल्प नहीं होता है जिससे कि वह अपनी सूचनाओं को साझा न करने की अधिकृत शर्त पर अमुक एप्प की सेवाएं हासिल कर पाए। यानी इंटरनेट की दुनिया सभी शर्तें सेवा मुहैया कराने वालों की होती हैं और यूजर्स को सेवा प्रदान करने वालों की शर्तों को मानने को विवश करके रखा जाता है।
कुछ एप्स में पर्याप्त सुरक्षा ढांचे की कमी भी चिंता का एक प्रमुख विषय है। असुरक्षित एप्स पर मैलवेयर हमले की हमेशा बनी रहती है और इस वजह से उसके उपयोगकर्ताओं की निजी जानकारी जैसे पासवर्ड, तस्वीरें और वित्तीय डेटा सार्वजनिक हो जाता है। यानी तीसरे पक्ष की अवैध गतिविधि से यूजर्स को बेवजह का नुकसान उठाना पड़ता है।
प्लेटफार्म और ऑपरेटिंग सिस्टम-गूगल एंड्रॉइड, एप्पल के आईओएस और माइक्रोसॉफ्ट के विंडोज तथा इनके द्वारा चलाए जाने वाले एप स्टोर्स एप मुहैया कराने वाले और उपयोगकर्ताओं के बीच मध्यस्थ की भूमिका निभाते हैं। इससे उन्हें यूजर्स की सूचनाओं को हासिल करने, उसका खुलासा और गोपनियता नियंत्रण पर पारदर्शिता संबंधी अनुमति को लेकर नियम कायदा बनाने की छूट मिल जाती है। अन्य अधिकार क्षेत्र के तहत इस संबंध में कुछ उपाय सुझाव दिए गए हैं जिसमें समय समय पर उपयोगकर्ताओं को उनकी संवेदनशील सूचनाओं को देखने की अनुमति देने से पहले इसके बारे में उन्हें बताने की आवश्यकता पर जोर दिया गया है। साथ ही उन्हें डैशबोर्ड सुविधा दी जानी चाहिए जिससे वह गोपनीयता संबधी अपनी उन अनुमतियों को देख-जान सके जिसके लिए उनकी रजामंदी ली गई होती है। एप्प डेवलेपर्स को भी अपने लिए कार्यपद्धति तैयार करनी चाहिए और साथ ही “डू नॉट ट्रैक” की व्यवस्था बनानी चाहिए ताकि यूजर्स को विज्ञापनदाताओं या तीसरे पक्ष को अपनी निजी सूचना को देखने या न देखने देने की अनुमति देने का अधिकार मिल सके।
डिवाइस द्वारा नियंत्रण– इंटरनेट की दुनिया के खिलाड़ी अपने नेटवर्क से जुड़ने वाले उपयोगकर्ताओं की सूचनाओं को बड़े पैमाने पर जुटाने में सक्षम हो जाते हैं। यानी जैसे ही आप इंटरनेट से जुड़ते हैं आपकी गतिविधियों पर तमाम वेबसाइटों की नजर रहती है। ऐसी कई घटनाएं सामने आई हैं जहां निर्माताओं ने डिवाइस में पहले से ही इस तरह के सॉफ्टवेयर डाले हुए हैं जो उन्हें डिवाइस का इस्तेमाल करने वाले की लोकेशन, फोन कॉल तथा संदेश की गतिविधियों की निगरानी करने में सक्षम बनाता है।6 अन्य मामलों में डिवाइस बनाने वाली कंपनियां अगर चाहें तो वे अपने यूजर्स की निजी सूचनाओं में किसी तीसरे पक्ष की सेंधमारी को रोक सकती हैं। या ऐसे उपाय भी कर सकती है जिसमें बिना अनुमित के किसी की निजी सूचना में घुसपैठ नहीं की जा सकती है।
चीजों के इंटरनेट** (आईओटी) डिवाइस के इस्तेमाल में बढ़ोतरी ने एकत्रित डेटा की प्रकृति और उसकी सीमा ने चिंता बढ़ाई है। ऐसे उपकरणों की सुरक्षा को लेकर भी सवाल उठ रहे हैं। संभंवतः आईटी एक्ट के प्रावधानों में उपरोक्त मुद्दों को शामिल किया गया हो, लेकिन हम अभी तक देश के लिए व्यापक गोपनीयता और डाटा संरक्षण को लेकर कानून तैयार नहीं कर पाए हैं। इस दिशा में कोई भी कदम उठाने के लिए जरूरी है कि विशेष रूप से उन सूचनाओं की श्रेणी तैयार की जानी चाहिए जिन्हें सुरक्षित बनाए जाने की आवश्यकता है। हितधारकों को डेटा की सुरक्षा के लिए बाध्य किया जाना चाहिए और इसे लेकर उन्हें जिम्मेदारी का अहसास होना चाहिए।
इस संदर्भ में यह ध्यान देने योग्य है कि परम्परागत तौर पर डेटा संरक्षण नियमन का दायरा सिर्फ निजी डेटा तक सीमित रहा है। क्योंकि किसी की व्यक्तिगत जानकारी सार्वजनिक होने से उसे कई तरह के नुकसान का सामना करना पड़ता है। मसलन एटीएम कार्ड, वोटर आईडी कार्ड, आधार की सूचना लीक होना, वित्तीय नुकसान, मान व मर्यादा को ठेस पहुंचना, मानसिक शांति में बाधा, शरीरिक सुरक्षा और भेदभाव की धमकी आदि। फलस्वरूप, डिजिटल संचार में सामग्री और मेटाडेटा के बीच एक मानक भेद होता है। अत्याधुनिक उपकरणों के आने से परंपरागत अंतर कम हो रहा है। जैसे कुकीज, लोकेशन तथा कई स्रोतों के जरिए ट्रैफिक ट्रैकिंग से विशिष्ट उपयोगकर्ताओं की पहचान की जा सकती है। इसलिए, व्यक्तिगत डेटा पर विचार किए जाने के दायरे को व्यापक बनाने को लेकर प्रौद्योगिकी के क्षेत्र में परिवर्तन और सूचना एकत्रित करने के तौर तरीकों को ध्यान में रखना महत्वपूर्ण हो सकता है।
चूंकि डेटा का उपयोग बढ़ रहा है, इसलिए यह महत्वपूर्ण है कि उसके उपयोग के दायरे और उपयोग में विविधता के नियमन पर विचार किया जाए। यह एक तकनीकी ढांचे को बनाने में मददगार होगा, जो डेटा के उपयोग की निगरानी और विभिन्न नियमनों का अनुपालन सुनिश्चित कर सकता है। इससे नियामक ढांचा सक्रिय रूप से निगरानी करने में सक्षम होगा। साथ ही धोखाधड़ी का पता लगाने के लिए उन्नत तकनीकों को इस्तेमाल में लाया जा सकेगा। डिजिटल लॉकर प्राधिकरण ने एक इलेक्ट्रॉनिक सहमति फ्रेमवर्क7 को जारी किया है जो कि इन उद्देश्यों के अनुकूल और विस्तार के योग्य हो सकता है।
सूचना के प्रवाह के नियमन के लिए भारतीय दूर संचार विनियामक प्राधिकरण (ट्राई) द्वारा कई तकनीकों का इस्तेमाल किया जाता है और इसके अपने अधिकार क्षेत्र में उपभोक्ताओं को सुरक्षित रखने के साथ ही डेटा के अन्य उपयोगों मसलन स्वास्थ्य व वित्त क्षेत्र में भी यह लागू होता है।
बुनियादी ढांचे को सुरक्षित बनाने की खातिर उपयुक्त ढांचा तैयार किए जाने की जरूरत है।
उपयोगकर्ताओं की निजी जानकारियां सार्वजनिक होने के साथ ही संस्थाओं या संगठनों के लिए डेटा के चोरी होने की आशंका बन रहती है और इससे वित्तीय नुकसान के साथ उनकी साख को भी ठेस पहुंच सकती है। वर्ष 2016 के दौरान डेटा चोरी के 4,149 मामले दर्ज हुए जिसमें 4.2 अरब से ज्यादा रिकॉर्ड सार्वजनिक हो गए। हैकर्स ने जो सूचनाएं सार्वजनिक की, उनमें ई-मेल पता (42.6 प्रतिशत), पासवर्ड (38.1 प्रतिशत), नाम और यूजर के नाम (क्रमशः 35.1 और 21.6 प्रतिशत) और पता (20.4 प्रतिशत) शामिल हैं।8 इस समस्या की गंभीरता को ध्यान में रखते हुए हमें उन कदमों या उपायों को लेकर भी विचार करना चाहिए जिसमें विभिन्न हितधारकों द्वारा उपभोक्ताओं को अपनी निजी सूचनाओं को सुरक्षित बनाने के लिए जागरूक किया जाना चाहिए। इसी तरह के उपाय प्रभावी हो सकते हैं।
अंत में, हमें जानना चाहिए कि सीमा पार डेटा हस्तांतरण और सेवा सेवा मुहैया कराने वाली कंपनियां सीधे तौर पर देश में मौजूद नहीं हैं। इसलिए भारतीय न्यायिक अधिकार क्षेत्र में आने से बचने का उन्हें रास्ता मिल जाता है। डेटा सुरक्षा को प्रभावी बनाने के लिए इन उपर्युक्त मुद्दों को ध्यान में रखने की आवश्यकता है जो व्यापार नवाचार, दक्षता और सुरक्षा की आवश्यकताओं को संतुलित बनाये।
*एप्लीकेशन प्रोग्राम इंटरफेस, प्रोग्रामिंग कोड है जो की दो अलग-अलग सॉफ्टवेयर प्रोग्राम्स को आपस मे कम्युनिकेट करने में मदद करता है।
** चीजों के इंटरनेट का मतलब चीजें हमारे आदेश पर काम करने या दूर से नियंत्रित होने के लिये पहले से ही तैयार हों।
अंग्रेजी से अनुवाद- संजय कुमार बलौदिया
संदर्भ सूची
1.Information Commissioner’s Office, Guidance on the rules on use of cookies and similar technologies, May,2012, https://ico.org.uk/media/for- organisations/documents/1545/cookies_guidance.pdf.
2.Working Party under Article 29 of Directive 95/46/EC, Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting, 25 November 2014, https://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp224_en.pdf.
3.Manishree Bhattacharya, India – the lucrative App market, 24 March 2017,
https://community.nasscom.in/community/discuss/product/blog/2017/03/24/india-the-lucrative-app-market.
4. Working Party under Article 29 of Directive 95/46/EC, Opinion 02/2013 on apps on smart devices, Adopted
on 27 February 2013, https://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/
files/2013/wp202_en.pdf.
5. FTC Staff Report, Mobile Privacy Disclosures – Building Trust Through Transparency, February, 2013,
https://www.ftc.gov/sites/default/files/documents/reports/mobile-privacy-disclosures-building-trust-throughtransparency-
federal-trade-commission-staff-report/130201mobileprivacyreport.pdf.
6. Matt Apuzo and Michael S. Schmidt, Secret Back Door in Some U.S. Phones Sent Data to China, Analysts
Say, 15 Novermber, 2016, https://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html.
7. https://dla.gov.in/sites/default/files/pdf/DigitalLockerTechnologyFramework%20v1.1.pdf
8. Data Breach QuickView Report, January, 2017,
https://pages.riskbasedsecurity.com/hubfs/Reports/2017%20Q1%20Data%20Breach%20Quick%20View%20Report.pdf.
