व्यक्तिगत डाटा संरक्षणका लागि कानुन नहुँदा चोरीका घटना बढ्दै

काठमाडौं – पछिल्ला वर्षमा नागरिकका विवरणलाई बैंकिङ्ग सेवा, सामाजिक सुरक्षा, बीमा, सरकारी अनुदान र विभिन्न सार्वजनिक सेवासँग क्रमशः एकीकृत र अनिवार्य बनाउँदै लगिएको छ। राज्यले यसलाई ‘डिजिटल इकोसिस्टम’ एकीकरणको आधार मानेको छ। एउटै परिचयका आधारमा नागरिकले सेवा पाउने, कागजी झन्झट घट्ने र सेवा प्रवाह प्रभावकारी हुने सरकारी दाबी छ। व्यवहारमा कतिपय सेवा छिटो भएका पनि छन्। तर, यस्तो प्रयोजनका लागि प्रयोग हुने व्यक्तिगत डाटा संरक्षणको विषय भने नेपालमा अझै नीति र कानुनविहीन अवस्थामा छ।

नागरिकका नाम, ठेगाना, उमेर, पारिवारिक विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख, वित्तीय अवस्था, सम्पत्ति विवरण, शैक्षिक प्रमाणपत्रदेखि मोबाइल नम्बर र डिजिटल गतिविधिसम्मका विवरण राज्य र निजीक्षेत्र दुवैले सङ्कलन गरिरहे पनि ती विवरण क–कसले सङ्कलन गर्‍यो ? कुन निकायसँग साझा गरियो ? कति समय राखिन्छ ? र कति सुरक्षित छन् भन्नेबारे नागरिक अनभिज्ञ छन्। सङ्कलित डाटा चुहावट वा दुरुपयोग भएमा त्यसको जिम्मेवारी कसले लिने र पीडितले कसरी न्याय पाउने भन्ने स्पष्ट कानुनी आधार बनिसकेको छैन।

राष्ट्रिय परिचयपत्र, राहदानी, मतदाता परिचयपत्र, सवारीचालक अनुमतिपत्र, करदाता दर्ता, सामाजिक सुरक्षा भत्ता, स्वास्थ्य बीमालगायत अनेकौँ सेवाका लागि नागरिकका विस्तृत व्यक्तिगत विवरण सङ्कलन गरिन्छ। यस्ता विवरण केवल सरकारी निकायमा मात्र सीमित छैनन्। बैंक तथा वित्तीय संस्था, दूरसञ्चार कम्पनी, अस्पताल, बीमा कम्पनी, अनलाइन प्लेटफर्म र अन्य व्यावसायिक संस्थाले पनि ठूलो मात्रामा व्यक्तिगत डाटा सङ्कलन र भण्डारण गरिरहेका छन्।

नागरिकको निजत्व, सम्पत्ति, तथ्यांक, लिखित तथा अन्य व्यक्तिगत सूचनाको गोपनीयताको हक व्यवहारमा सुनिश्चित हुन सकेको छैन । यस्ता संवेदनशील डाटा सुरक्षित नहुँदा पहिचान चोरी, आर्थिक ठगी, सामाजिक बदनामी, मानसिक आघात मात्र होइन, राष्ट्रिय सुरक्षामा पनि जोखिम उत्पन्न हुनसक्ने विज्ञहरू बताउँछन्।

नीति अनुसन्धान प्रतिष्ठानका सह–अनुसन्धानकर्ता दीपेन्द्रप्रसाद पन्तले व्यक्तिगत डाटा संरक्षणलाई सामान्य प्राविधिक वा प्रशासनिक विषयका रूपमा हेर्न नहुने बताए। उनका अनुसार यो विषय नागरिक अधिकार, लोकतान्त्रिक शासन र राष्ट्रिय सुरक्षासँग प्रत्यक्ष जोडिएको छ।

‘नेपालमा व्यक्तिगत डाटा संरक्षणका लागि स्पष्ट नीति छैन भने छुट्टै कानुन र प्रभावकारी संरचना बन्न सकेका छैनन्। व्यक्तिगत विवरण खुल्दा त्यसले व्यक्तिको गोपनीयतामा मात्र होइन, राष्ट्रिय सुरक्षामा प्रतिकूल प्रभाव पार्न सक्छ। अरू देशहरूले व्यक्तिगत गोप्यताका विषयलाई अत्यन्त गम्भीर रूपमा लिने गरे पनि हामी अझै आधारभूत तहमा अड्किएका छौँ’, पन्तले भने। वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ र वैयक्तिक गोपनीयतासम्बन्धी नियमावली, २०७७ कार्यान्वयनमा भए पनि यसले डिटिजल डाटा प्रयोग र सुरक्षणलाई आंशिक रूपमा मात्र समेट्ने उनको भनाइ छ।

उनका अनुसार डाटा चुहावटको असर कुनै एक व्यक्तिको क्षतिमा सीमित हुँदैन। नागरिकको परिचय विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख वा वित्तीय तथ्यांक बाहिरिएर त्यसलाई सङ्गठित अपराध, साइबर अपराधलगायत अवैध गतिविधि बढ्ने जोखिम रहन्छ। ‘व्यक्तिगत विवरण बाहिरिँदा त्यसको दुरुपयोगबाट सामाजिक अस्थिरता, आर्थिक अपराध र राष्ट्रिय सुरक्षासम्बन्धी जोखिम पैदा हुन सक्छन्। यसलाई सामान्य प्रशासनिक कमजोरी भनेर नजर अन्दाज गर्न मिल्दैन’, उनले भने।

व्यक्तिगत विवरण चुहावट हुँदा व्यक्तिको सामाजिक छवि, मानसिक अवस्था र व्यक्तिगत सुरक्षामा गहिरो असर पर्छ। नेपालमा यस्तो क्षतिको दायित्व कसले लिने र पीडितले कति क्षतिपूर्ति पाउने भन्नेबारे कुनै कानुनी व्यवस्था छैन। कानुनी दण्ड र क्षतिपूर्तिको प्रावधान नहुँदा डाटा सुरक्षालाई प्राथमिकतामा राख्ने संस्कार नै विकास हुन नसकेको पन्तको बुझाइ छ।

नेपालको संविधानले सूचना पाउने अधिकार र गोपनीयताको हक दुवैलाई मौलिक हकका रूपमा सुनिश्चित गरेको छ। तर, यी दुई हकबीच सन्तुलन कसरी कायम गर्ने भन्ने विषयमा स्पष्ट कानुनी मार्गनिर्देशन नभएको उनले उल्लेख गरे।

‘सूचना पाउने अधिकार र व्यक्तिको गोपनीयताबीच स्पष्टता जरुरी छ। सबै सूचना सार्वजनिक हुनुपर्छ भन्ने बुझाइले व्यक्तिगत गोपनीयता कुण्ठित गर्न सक्छ’, पन्तले भने। कुन अवस्थामा व्यक्तिगत विवरण लुकाउनुपर्ने, कुन सूचना सार्वजनिक हितका लागि आवश्यक हुन्छ भन्ने स्पष्टता नहुँदा विवाद र दुरुपयोगको जोखिम बढिरहेको छ। सरकारले डिजिटल नेपाल अभियानअन्तर्गत अधिकांश सार्वजनिक सेवा ‘पेपरलेस’ बनाउने घोषणा गरेको छ । डिजिटल प्रणालीमा राखिएका विवरण कति सुरक्षित छन् भन्ने प्रश्नको स्पष्ट उत्तर छैन।

‘हामीले सबै सार्वजनिक काम पेपरलेस (कागजरहित प्रणाली) बनाउँदै जाने भनेका छौँ। तर, राखिएका विवरण पूर्ण रूपमा सुरक्षित छन् भनेर भन्नसक्ने अवस्था छैन। व्यक्तिगत डाटा सुरक्षाका संयन्त्र विकास गर्न सकिएन भने हामी प्रविधिमा होइन, जोखिममा अघि बढिरहेका हुन्छौँ’, पन्तले भने। ‘डिजिटलाइजेसन’सँगै डाटा संरक्षण कानुन, स्वतन्त्र नियामक निकाय, प्राविधिक मापदण्ड र दक्ष जनशक्ति एकसाथ विकास हुनुपर्ने उनको धारणा छ। नेपालमा सेवा विस्तारको गति र सुरक्षा तयारीबीच गहिरो अन्तर देखिएको उनले बताए।

साइबर सुरक्षाविद् विजय लिम्बूले वैयक्तिक गोपनीयतासम्बन्धी कानुनको प्रभावकारी कार्यान्वयन नभएको र डाटा सुरक्षाका लागि संस्थागत रूपमा कुनै नियामक निकाय बन्न नसकेको अहिलेको अवस्थामा सूचना प्रविधिका क्षेत्रमा नेपालमा काम गर्न चाहने विदेशी कम्पनी इच्छुक नहुने उल्लेख गरे। डाटा सुरक्षणका लागि अन्तर्राष्ट्रिय मापदण्डसहितका कानुन नभए पनि संविधानले प्रत्याभूत गरेको वैयक्तिक गोपनीयताको हक तथा यससम्बन्धी कानुन कार्यान्वयनमा रहेका उनको भनाइ छ।

‘कानुनको प्रभावकारी कार्यान्वयन नहुनु, नियामक निकाय बनाउन नसक्नु र डाटा सुरक्षाका विषयलाई महत्त्व दिएर अभ्यासमा ल्याउन नसक्नु प्रमुख समस्या हुन्’, उनले भने, ‘भएकै कानुन पनि कार्यान्वयनमा कमजोर हुँदा सूचना प्रविधिसँग जोडिएका अन्तर्राष्ट्रिय कम्पनीहरू नेपाललाई सहजै विश्वास गर्दैनन्।’

प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयअन्तर्गतको ई–गभर्नेन्स बोर्डले व्यक्तिगत डाटा संरक्षण नीति, २०८२ को मस्यौदा तयार पारेको लामो समय भइसकेको छ । उक्त नीति अझै स्वीकृत भएर कार्यान्वयनमा आएको छैन । नीति नबनेकले यससँग सम्बन्धित ऐन, कानुन पनि अघि बढ्न सकेका छैनन्।

ई–गभर्नेन्स बोर्डका सहसचिव अनीलकुमार दत्तले नीतिको मस्यौदा तयार भइसके पनि प्रक्रिया ढिलो भएको स्वीकार गरे। ‘विभिन्न निकायसँग व्यक्तिका विभिन्न खालका डाटा छन्। त्यसमा कतिपय संवेदनशील र व्यक्तिगत गोपनीयतासँग जोडिएका पनि हुन सक्छन् । अहिले कुन डाटा दिने र कुन नदिने भन्ने स्पष्टता छैन’, उनले भने।

व्यक्तिगत डाटाको वर्गीकरण आवश्यक भइसकेको पनि दत्त बताउँछन्। ‘व्यक्तिगत विवरणसँग सम्बन्धित तथ्यांकको वर्गीकरण आवश्यक छ। यसले कुन निकायले व्यक्तिको कतिसम्मका विवरण सङ्कलन गर्न पाउने र अर्को निकायलाई उपलब्ध गराउँदा कतिसम्म दिने भन्ने स्पष्टता ल्याउँछ’, उनले भने।

व्यक्तिगत डाटा संरक्षणसम्बन्धी कानुन नहुँदा डाटा सङ्कलन, स्थानान्तरण, वर्गीकरण र साझेदारीका लागि कुनै स्पष्ट मापदण्ड छैन। कुन–कुन निकाय डाटा सङ्कलन, प्रशोधन र विश्लेषणमा संलग्न छन् भन्ने तथ्यसमेत अस्पष्ट छ। प्रविधिको प्रयोगलाई बढावा दिइरहँदा त्यसले निम्त्याउने सुरक्षाका विषयलाई नजरअन्दाज गर्न नहुने राष्ट्रिय सूचना प्रविधि केन्द्रका कार्यालय प्रमुख मनिष भट्टराईले बताए । त्यसका लागि डाटा संरक्षणको नीति र कानुन अपरिहार्य बनिसकेको उनको बुझाइ छ।

विद्यमान अवस्थालाई विश्लेषण गर्ने हो भने डिजिटल डाटा सङ्कलन गर्ने निकायले त्यसको सुरक्षा, भण्डारण, क्लाउड पहुँच र नियन्त्रणबारे नागरिकलाई विश्वस्त गराउन सकेका छैनन्। सङ्कलित डाटाको नियमन गर्ने कानुनी व्यवस्था, संस्थागत संरचना र पूर्वाधार बन्न सकेका छैनन्।

व्यक्तिको डाटा सङ्कलनदेखि विसर्जनसम्म कानुनबमोजिम भए/नभएको सुनिश्चित गर्ने संयन्त्र छैन। अनधिकृत प्रयोग भएमा कसरी कानुनी दायरामा ल्याउने भन्ने स्पष्ट छैन । डाटा सङ्कलन गर्दा व्यक्तिको सहमति लिने प्रचलनसमेत स्थापित हुन सकेको छैन।

सरकारी वा गैरसरकारी निकायले व्यक्तिगत डाटा सङ्कलन गर्दा त्यसको उद्देश्य स्पष्ट गर्नुपर्ने र सोही उद्देश्यका लागि मात्र प्रयोग गर्नुपर्नेमा व्यवहारमा यस्तो अभ्यास देखिँदैन । डाटा कति समयसम्म राख्ने, कहिले नष्ट गर्ने भन्नेबारे कुनै कानुनी व्यवस्था छैन। विदेशमा भने व्यक्तिगत डाटा सङ्कलनदेखि विसर्जनसम्मको कार्यको निरीक्षण तथा अनुगमनका लागि डाटा अडिट प्रतिवेदन तयार गर्ने प्रचलन छ।

त्यसैगरी, संवेदनशील डाटाको पहुँचमा बहुपक्षीय प्रमाणीकरण (मल्टी–फ्याक्टर अथेन्टिकेसन) र पहुँचसम्बन्धी सूचना (नोटिफिकेसन) प्रणाली लागू हुन सकेको छैन । सूचना प्रविधि विभागका अनुसार गत आर्थिक वर्ष २०८१/८२ मा विभिन्न २५ वटा सरकारी निकायका ३० वटा सूचना प्रणालीको सेक्युरिटी अडिट गरिएको थियो। आवको अन्त्यसम्ममा विभिन्न ३५१ वटा सरकारी निकायको ५०६ वटा प्रणालीको सेक्युरिटी अडिट सुरक्षित बनाउन आवश्यक रहेको भन्दै विभागले सुझावसहितको प्रतिवेदन दिएको देखिन्छ। यो तथ्यांकले पनि सरकारी निकायका सूचना प्रणाली कमजोर रहेको पुष्टि गर्छ।

अभिलेखविहीन आँकडा

विभिन्न सरकारी तथा गैरसरकारी कार्यालयको सूचना प्रणाली तथा सम्बन्धित सर्भरमा अनधिकृत पहुँच पुर्‍याएर व्यक्तिगत विवरण चोरी गर्ने र सार्वजनिक गर्नेक्रम पछिल्ला वर्षमा निरन्तर बढिरहेका छन्। यस्तो प्रकृतिका घटनाको एकीकृत तथ्यांक कुनै पनि सरकारी निकायसँग उपलब्ध छैन। राष्ट्रिय साइबर सुरक्षा केन्द्रका निर्देशक राजकुमार महर्जनले कुन निकायबाट कस्तो किसिमको सूचना चुहावट भयो र त्यसको गलत प्रयोग भयो भन्ने अभिलेख नरहेको बताए। ‘विभिन्न निकायका वेबसाइटमा अनधिकृत पहुँच, तथ्यांक चोरीजस्ता विषय सञ्चारमाध्यमबाट सुन्ने गरिन्छ। तीमध्ये धेरैजसोको हामीलाई औपचारिक रूपमा जानकारी आएको देखिँदैन। केन्द्रलाई जानकारी नै नआएपछि त्यसको अभिलेखसमेत राख्ने गरिएको छैन’, उनले रासससँग भने।

राहदानी विभाग, उद्योग विभाग, जल तथा मौसम विज्ञान विभाग, हेलो सरकार र अर्थ मन्त्रालय गरी पाँचवटा निकायले मात्रै हालसम्म आफ्नो वेबसाइट, सर्भर तथा सूचना प्रणालीमा बाह्य आक्रमणको शङ्कासहितको जानकारी केन्द्रलाई गराएका छन्। यी निकायमा गएर आवश्यक समन्वय गरी समस्या समाधान गरेको केन्द्रका निर्देशक महर्जनले बताए। यी निकायबाट के–कस्ता विवरण/तथ्यांक क्षति पुग्यो वा बाहिरियो भन्ने आधिकारिक जानकारी आइसकेको उनको भनाइ छ।

नेपाल प्रहरीको साइबर ब्युरोमा दर्ता हुने साइबर अपराधसम्बन्धी उजुरीको सङ्ख्या पछिल्ला वर्षमा बढिरहेको छन्। ब्युरोमा दर्ता भएका उजुरीका तथ्यांकअनुसार डाटा चुहावट, वेबसाइट ह्याकिङ तथा इमेल दुरुपयोगसम्बन्धी घटना उल्लेखनीय रूपमा देखिएका छन् । यस्ता सबै घटना ब्युरोसम्म आइनपुग्ने प्रवक्ता दीपकराज अवस्थीले उल्लेख गरे।

आव २०७९/८० मा साइबर ब्युरोमा दुईवटा डाटा चुहावटसम्बन्धी उजुरी दर्ता भएकामा २०८०/८१ मा तीन पुगेको थियो। उक्त संख्या २०८१/८२ मा बढेर छ पुगेको छ, जसले डिजिटल सूचना सुरक्षामा बढ्दो चुनौतीलाई स्पष्ट रुपमा संकेत गर्छ।

त्यस्तै, वेबसाइट ह्याकिङसम्बन्धी उजुरी पनि क्रमशः बढ्दै गएका छन्। विसं २०७९/८० र २०८०/८१ मा एक/एक वटा उजुरी दर्ता भएकामा २०८१/८२ मा दुई र २०८२/८३ को पछिल्लो छ महिनामा मात्र तीन उजुरी दर्ता भएका छन्। अनधिकृत पहुँच वा ह्याकिङसम्बन्धी उजुरी २०७९/८० मा छ र २०८०/८१ मा सात वटा दर्ता भए पनि २०८१/८२ मा घटेर चारमा सीमित भएको साइबर ब्युरोको तथ्यांकमा उल्लेख छ।

अनधिकृत पहुँच प्रयाससम्बन्धी उजुरी भने प्रत्येक वर्ष निरन्तर रूपमा देखिँदै आएका छन्। र्‍यान्समवेयर आक्रमणसम्बन्धी उजुरी आव २०८०/८१ र २०८१/८२ मा एक–एक वटा दर्ता भएका छन्। यस्तै, व्यावसायिक इमेल दुरुपयोग र इमेल खाता दुरुपयोगसम्बन्धी उजुरी पनि बर्सेनि ब्युरोमा आउने गरेका छन्।

चोरी र चुहावटका घटना

गत २६ र २७ पुसमा नेपाल टेलिकमको सिमकार्ड प्रयोगकर्तालाई सडक प्रदर्शनका लागि आह्वानसहित राजनीतिक प्रकृतिको ‘बल्क म्यासेज’ पठाइएको थियो। नेपाल दूरसञ्चार कम्पनी लिमिटेड (नेपाल टेलिकम) का प्रवक्ता रवीन्द्र मानन्धरका अनुसार ‘आकासटेल’ नामक कम्पनीबाट करिब सात लाख हाराहारी नम्बरमा ‘बल्क एसएमएस’ गएको थियो। यस प्रकरणमा नेपाल प्रहरीले निर्देश सेढाईं नामका व्यक्तिलाई पक्राउ गरी अनुसन्धान गरिरहेको छ।

त्यति ठूलो संख्यामा मोबाइल नम्बर कहाँबाट उपलब्ध भए भन्ने अझै खुलिसकेको छैन। नेपाल टेलिकमले भने कुनै पनि सेवाग्राहीको व्यक्तिगत मोबाइल नम्बर तथा अन्य विवरण उपलब्ध नगराएको भन्दै गत २९ पुसमा  विज्ञप्तिसमेत जारी गरेको छ।

नेपाल मेडिकल काउन्सिल, राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभाग, निर्वाचन आयोगलगायत कार्यालयको वेबसाइटमा अधिकृत पहुँच पुर्‍याएको भन्दै नेपाल प्रहरीको साइबर ब्युरोले गत १८ पुसमा सिन्धुपाल्चोकबाट एक जना र गत २८ मंसिरमा झापाबाट एक जना पक्राउ गरी कारबाही प्रक्रिया अघि बढाएको छ। यी सबै निकाय व्यक्तिगत विवरण सङ्कलन र प्रयोग गर्ने निकायभित्र पर्छन्। यी निकायमा कार्यालयको वेबसाइट मात्र ह्याक भएको हो वा सर्भरमै अनधिकृत पहुँच पुगेर व्यक्तिगत विवरणमा छेडखानी भएको हो भन्ने स्पष्ट छैन।

त्यस्तै, पछिल्ला केही महिनायता मात्र लुम्बिनी प्रदेश र नेपाल प्रहरीको वेबसाइट ह्याक गरी विभिन्न विवरण र जानकारी डार्क वेभ’मार्फत सार्वजनिक भएका थिए। सरकारी निकाय मात्र नभई निजीक्षेत्रका संस्थाबाट पनि व्यक्तिगत विवरण तथा तथ्यांकहरू बाहिरिने गरेका छन्। फागुन २०७६ मा अनलाइन ‘फुड डेलिभरी कम्पनी’ फुडमान्डुको सर्भर ह्याक भएर ५० हजारभन्दा बढी व्यक्तिको नाम, ठेगाना, मोबाइल नम्बर, इमेललगायत विवरण बाहिरिएको थियो।

त्यस्तै, चैत २०७६ मा इन्टरनेट सेवाप्रदायक कम्पनी भायोनेटका ग्राहकको व्यक्तिगत तथ्यांक ह्याकरले सामाजिक सञ्जालमा सार्वजनिक गरिदिएका दिए। नेपाल प्रहरीको साइबर ब्युरोले फुडमान्डु प्रकरणमा संलग्न नवलपरासी पश्चिमको सुनवल नगरपालिका घर भएका १९ वर्षीय युवक मंसिर २०७७ मा र भायोनेट प्रकरणमा संलग्न रुपन्देहीको तिलोत्तमा नगरपालिकाका एक युवकलाई पुस २०७७ मा पक्राउ गरेको थियो।

यी ह्याकिङ प्रकरणमा संलग्न व्यक्तिहरूलाई विद्युतीय (इलेक्ट्रोनिक) कारोबार ऐन, २०६३ को परिच्छेद ९ बमोजिमको कसुर गरेको भनी कारबाही प्रक्रिया अघि बढ्यो। तर, व्यक्तिको तथ्यांक सङ्कलन गरेर सुरक्षित राख्न नसकेका कम्पनीको हकमा भने कुनै अनुसन्धान र अभियोजनको प्रक्रिया अघि बढेन। अनधिकृत सार्वजनिक भएका ती विवरण अहिले पनि सामाजिक सञ्जालमा छ्यापछ्याप्ती भेटिन्छन्।