काठमाडौँ। पछिल्ला वर्षमा नागरिकका विवरणलाई बैंकिङ सेवा, सामाजिक सुरक्षा, बिमा, सरकारी अनुदान र विभिन्न सार्वजनिक सेवासँग क्रमशः एकीकृत र अनिवार्य बनाउँदै लगिएको छ । राज्यले यसलाई ‘डिजिटल इकोसिस्टम’ एकीकरणको आधार मानेको छ ।
एउटै परिचयका आधारमा नागरिकले सेवा पाउने, कागजी झन्झट घट्ने र सेवा प्रवाह प्रभावकारी हुने सरकारी दाबी छ । व्यवहारमा कतिपय सेवा छिटो भएका पनि छन् । तर यस्तो प्रयोजनका लागि प्रयोग हुने व्यक्तिगत डाटा संरक्षणको विषय भने नेपालमा अझै नीति र कानुनविहीन अवस्थामा छ ।
नागरिकका नाम, ठेगाना, उमेर, पारिवारिक विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख, वित्तीय अवस्था, सम्पत्ति विवरण, शैक्षिक प्रमाणपत्रदेखि मोबाइल नम्बर र डिजिटल गतिविधिसम्मका विवरण राज्य र निजीक्षेत्र दुवैले सङ्कलन गरिरहे पनि ती विवरण क–कसले सङ्कलन गर्यो रु कुन निकायसँग साझा गरियो रु कति समय राखिन्छ रु र कति सुरक्षित छन् भन्नेबारे नागरिक अनभिज्ञ छन् । सङ्कलित डाटा चुहावट वा दुरुपयोग भएमा त्यसको जिम्मेवारी कसले लिने र पीडितले कसरी न्याय पाउने भन्ने स्पष्ट कानुनी आधार बनिसकेको छैन ।
राष्ट्रिय परिचयपत्र, राहदानी, मतदाता परिचयपत्र, सवारी चालक अनुमतिपत्र, करदाता दर्ता, सामाजिक सुरक्षा भत्ता, स्वास्थ्य बिमालगायत अनेकौँ सेवाका लागि नागरिकका विस्तृत व्यक्तिगत विवरण सङ्कलन गरिन्छ । यस्ता विवरण केवल सरकारी निकायमा मात्र सीमित छैनन् । बैंक तथा वित्तीय संस्था, दूरसञ्चार कम्पनी, अस्पताल, बिमा कम्पनी, अनलाइन प्लेटफर्म र अन्य व्यावसायिक संस्थाले पनि ठूलो मात्रामा व्यक्तिगत डाटा सङ्कलन र भण्डारण गरिरहेका छन् ।
नागरिकको निजत्व, सम्पत्ति, तथ्याङ्क, लिखित तथा अन्य व्यक्तिगत सूचनाको गोपनीयताको हक व्यवहारमा सुनिश्चित हुन सकेको छैन । यस्ता संवेदनशील डाटा सुरक्षित नहुँदा पहिचान चोरी, आर्थिक ठगी, सामाजिक बदनामी, मानसिक आघात मात्र होइन, राष्ट्रिय सुरक्षामा पनि जोखिम उत्पन्न हुनसक्ने विज्ञहरू बताउँछन् ।
नीति अनुसन्धान प्रतिष्ठानका सह–अनुसन्धानकर्ता दीपेन्द्रप्रसाद पन्तले व्यक्तिगत डाटा संरक्षणलाई सामान्य प्राविधिक वा प्रशासनिक विषयका रूपमा हेर्न नहुने बताउनुभयो । उहाँका अनुसार यो विषय नागरिक अधिकार, लोकतान्त्रिक शासन र राष्ट्रिय सुरक्षासँग प्रत्यक्ष जोडिएको छ ।
“नेपालमा व्यक्तिगत डाटा संरक्षणका लागि स्पष्ट नीति छैन भने छुट्टै कानुन र प्रभावकारी संरचना बन्न सकेका छैनन् । व्यक्तिगत विवरण खुल्दा त्यसले व्यक्तिको गोपनीयतामा मात्र होइन, राष्ट्रिय सुरक्षामा प्रतिकूल प्रभाव पार्न सक्छ । अरू देशहरूले व्यक्तिगत गोप्यताका विषयलाई अत्यन्त गम्भीर रूपमा लिने गरे पनि हामी अझै आधारभूत तहमा अड्किएका छौँ”, पन्तले भन्नुभयो । वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ र वैयक्तिक गोपनीयतासम्बन्धी नियमावली, २०७७ कार्यान्वयनमा भए पनि यसले डिटिजल डाटा प्रयोग र सुरक्षणलाई आंशिक रूपमा मात्र समेट्ने उहाँको भनाइ छ ।
उहाँका अनुसार डाटा चुहावटको असर कुनै एक व्यक्तिको क्षतिमा सीमित हुँदैन । नागरिकको परिचय विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख वा वित्तीय तथ्याङ्क बाहिरिएर त्यसलाई सङ्गठित अपराध, साइबर अपराधलगायत अवैध गतिविधि बढ्ने जोखिम रहन्छ । “व्यक्तिगत विवरण बाहिरिँदा त्यसको दुरुपयोगबाट सामाजिक अस्थिरता, आर्थिक अपराध र राष्ट्रिय सुरक्षासम्बन्धी जोखिम पैदा हुन सक्छन् । यसलाई सामान्य प्रशासनिक कमजोरी भनेर नजर अन्दाज गर्न मिल्दैन”, उहाँले भन्नुभयो ।
व्यक्तिगत विवरण चुहावट हुँदा व्यक्तिको सामाजिक छवि, मानसिक अवस्था र व्यक्तिगत सुरक्षामा गहिरो असर पर्छ । नेपालमा यस्तो क्षतिको दायित्व कसले लिने र पीडितले कति क्षतिपूर्ति पाउने भन्नेबारे कुनै कानुनी व्यवस्था छैन । कानुनी दण्ड र क्षतिपूर्तिको प्रावधान नहुँदा डाटा सुरक्षालाई प्राथमिकतामा राख्ने संस्कार नै विकास हुन नसकेको पन्तको बुझाइ छ ।
नेपालको संविधानले सूचना पाउने अधिकार र गोपनीयताको हक दुवैलाई मौलिक हकका रूपमा सुनिश्चित गरेको छ । तर यी दुई हकबीच सन्तुलन कसरी कायम गर्ने भन्ने विषयमा स्पष्ट कानुनी मार्गनिर्देशन नभएको उहाँले उल्लेख गर्नुभयो ।
“सूचना पाउने अधिकार र व्यक्तिको गोपनीयताबीच स्पष्टता जरुरी छ । सबै सूचना सार्वजनिक हुनुपर्छ भन्ने बुझाइले व्यक्तिगत गोपनीयता कुण्ठित गर्न सक्छ”, पन्तले भन्नुभयो । कुन अवस्थामा व्यक्तिगत विवरण लुकाउनुपर्ने, कुन सूचना सार्वजनिक हितका लागि आवश्यक हुन्छ भन्ने स्पष्टता नहुँदा विवाद र दुरुपयोगको जोखिम बढिरहेको छ । सरकारले डिजिटल नेपाल अभियानअन्तर्गत अधिकांश सार्वजनिक सेवा ‘पेपरलेस’ बनाउने घोषणा गरेको छ । डिजिटल प्रणालीमा राखिएका विवरण कति सुरक्षित छन् भन्ने प्रश्नको स्पष्ट उत्तर छैन ।
“हामीले सबै सार्वजनिक काम पेपरलेस ९कागजरहित प्रणाली० बनाउँदै जाने भनेका छौँ । तर राखिएका विवरण पूर्ण रूपमा सुरक्षित छन् भनेर भन्नसक्ने अवस्था छैन । व्यक्तिगत डाटा सुरक्षाका संयन्त्र विकास गर्न सकिएन भने हामी प्रविधिमा होइन, जोखिममा अघि बढिरहेका हुन्छौँ”, पन्तले भन्नुभयो । ‘डिजिटलाइजेसन’सँगै डाटा संरक्षण कानुन, स्वतन्त्र नियामक निकाय, प्राविधिक मापदण्ड र दक्ष जनशक्ति एकसाथ विकास हुनुपर्ने उहाँको धारणा छ । नेपालमा सेवा विस्तारको गति र सुरक्षा तयारीबीच गहिरो अन्तर देखिएको उहाँले बताउनुभयो ।
साइबर सुरक्षाविद् विजय लिम्बूले वैयक्तिक गोपनीयतासम्बन्धी कानुनको प्रभावकारी कार्यान्वयन नभएको र डाटा सुरक्षाका लागि संस्थागत रूपमा कुनै नियामक निकाय बन्न नसकेको अहिलेको अवस्थामा सूचना प्रविधिका क्षेत्रमा नेपालमा काम गर्न चाहने विदेशी कम्पनी इच्छुक नहुने उल्लेख गर्नुभयो । डाटा सुरक्षणका लागि अन्तरराष्ट्रिय मापदण्डसहितका कानुन नभए पनि संविधानले प्रत्याभूत गरेको वैयक्तिक गोपनीयताको हक तथा यससम्बन्धी कानुन कार्यान्वयनमा रहेका उहाँको भनाइ छ ।
“कानुनको प्रभावकारी कार्यान्वयन नहुनु, नियामक निकाय बनाउन नसक्नु र डाटा सुरक्षाका विषयलाई महत्व दिएर अभ्यासमा ल्याउन नसक्नु प्रमुख समस्या हुन्”, उहाँले भन्नुभयो, “भएकै कानुन पनि कार्यान्वयनमा कमजोर हुँदा सूचना प्रविधिसँग जोडिएका अन्तरराष्ट्रिय कम्पनीहरु नेपाललाई सहजै विश्वास गर्दैनन् ।”
प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयअन्तर्गतको ई–गभर्नेन्स बोर्डले व्यक्तिगत डाटा संरक्षण नीति, २०८२ को मस्यौदा तयार पारेको लामो समय भइसकेको छ । उक्त नीति अझै स्वीकृत भएर कार्यान्वयनमा आएको छैन । नीति नबनेकले यससँग सम्बन्धित ऐन, कानुन पनि अघि बढ्न सकेका छैनन् ।
ई–गभर्नेन्स बोर्डका सहसचिव अनीलकुमार दत्तले नीतिको मस्यौदा तयार भइसके पनि प्रक्रिया ढिलो भएको स्वीकार गर्नुभयो । “विभिन्न निकायसँग व्यक्तिका विभिन्न खालका डाटा छन् । त्यसमा कतिपय संवेदनशील र व्यक्तिगत गोपनीयतासँग जोडिएका पनि हुन सक्छन् । अहिले कुन डाटा दिने र कुन नदिने भन्ने स्पष्टता छैन”, उहाँले भन्नुभयो ।
व्यक्तिगत डाटाको वर्गीकरण आवश्यक भइसकेको पनि दत्त बताउनुहुन्छ । “व्यक्तिगत विवरणसँग सम्बन्धित तथ्याङ्कको वर्गीकरण आवश्यक छ । यसले कुन निकायले व्यक्तिको कतिसम्मका विवरण सङ्कलन गर्न पाउने र अर्को निकायलाई उपलब्ध गराउँदा कतिसम्म दिने भन्ने स्पष्टता ल्याउँछ”, उहाँले भन्नुभयो ।
व्यक्तिगत डाटा संरक्षणसम्बन्धी कानुन नहुँदा डाटा सङ्कलन, स्थानान्तरण, वर्गीकरण र साझेदारीका लागि कुनै स्पष्ट मापदण्ड छैन । कुनकुन निकाय डाटा सङ्कलन, प्रशोधन र विश्लेषणमा संलग्न छन् भन्ने तथ्यसमेत अस्पष्ट छ । प्रविधिको प्रयोगलाई बढावा दिइरहँदा त्यसले निम्त्याउने सुरक्षाका विषयलाई नजरअन्दाज गर्न नहुने राष्ट्रिय सूचना प्रविधि केन्द्रका कार्यालय प्रमुख मनिष भट्टराईले बताउनुभयो । त्यसका लागि डाटा संरक्षणको नीति र कानुन अपरिहार्य बनिसकेको उहाँको बुझाइ छ ।
विद्यमान अवस्थालाई विश्लेषण गर्ने हो भने डिजिटल डाटा सङ्कलन गर्ने निकायले त्यसको सुरक्षा, भण्डारण, क्लाउड पहुँच र नियन्त्रणबारे नागरिकलाई विश्वस्त गराउन सकेका छैनन् । सङ्कलित डाटाको नियमन गर्ने कानुनी व्यवस्था, संस्थागत संरचना र पूर्वाधार बन्न सकेका छैनन् ।
व्यक्तिको डाटा सङ्कलनदेखि विसर्जनसम्म कानुनबमोजिम भएरनभएको सुनिश्चित गर्ने संयन्त्र छैन । अनधिकृत प्रयोग भएमा कसरी कानुनी दायरामा ल्याउने भन्ने स्पष्ट छैन । डाटा सङ्कलन गर्दा व्यक्तिको सहमति लिने प्रचलनसमेत स्थापित हुन सकेको छैन ।
सरकारी वा गैरसरकारी निकायले व्यक्तिगत डाटा सङ्कलन गर्दा त्यसको उद्देश्य स्पष्ट गर्नुपर्ने र सोही उद्देश्यका लागि मात्र प्रयोग गर्नुपर्नेमा व्यवहारमा यस्तो अभ्यास देखिँदैन । डाटा कति समयसम्म राख्ने, कहिले नष्ट गर्ने भन्नेबारे कुनै कानुनी व्यवस्था छैन । विदेशमा भने व्यक्तिगत डाटा सङ्कलनदेखि विसर्जनसम्मको कार्यको निरीक्षण तथा अनुगमनका लागि डाटा अडिट प्रतिवेदन तयार गर्ने प्रचलन छ ।
त्यसैगरी, संवेदनशील डाटाको पहुँचमा बहुपक्षीय प्रमाणीकरण ९मल्टी–फ्याक्टर अथेन्टिकेसन० र पहुँचसम्बन्धी सूचना ९नोटिफिकेसन० प्रणाली लागू हुन सकेको छैन । सूचना प्रविधि विभागका अनुसार गत आर्थिक वर्ष २०८१र८२ मा विभिन्न २५ वटा सरकारी निकायका ३० वटा सूचना प्रणालीको सेक्युरिटी अडिट गरिएको थियो । आवको अन्त्यसम्ममा विभिन्न ३५१ वटा सरकारी निकायको ५०६ वटा प्रणालीको सेक्युरिटी अडिट सुरक्षित बनाउन आवश्यक रहेको भन्दै विभागले सुझावसहितको प्रतिवेदन दिएको देखिन्छ । यो तथ्याङ्कले पनि सरकारी निकायका सूचना प्रणाली कमजोर रहेको पुष्टि गर्छ ।
अभिलेखविहीन आँकडा
विभिन्न सरकारी तथा गैरसरकारी कार्यालयको सूचना प्रणाली तथा सम्बन्धित सर्भरमा अनधिकृत पहुँच पु¥याएर व्यक्तिगत विवरण चोरी गर्ने र सार्वजनिक गर्नेक्रम पछिल्ला वर्षमा निरन्तर बढिरहेका छन् । यस्तो प्रकृतिका घटनाको एकीकृत तथ्याङ्क कुनै पनि सरकारी निकायसँग उपलब्ध छैन । राष्ट्रिय साइबर सुरक्षा केन्द्रका निर्देशक राजकुमार महर्जनले कुन निकायबाट कस्तो किसिमको सूचना चुहावट भयो र त्यसको गलत प्रयोग भयो भन्ने अभिलेख नरहेको बताउनुभयो ।
“विभिन्न निकायका वेबसाइटमा अनधिकृत पहुँच, तथ्याङ्क चोरीजस्ता विषय सञ्चारमाध्यमबाट सुन्ने गरिन्छ । तीमध्ये धेरैजसोको हामीलाई औपचारिक रुपमा जानकारी आएको देखिँदैन । केन्द्रलाई जानकारी नै नआएपछि त्यसको अभिलेखसमेत राख्ने गरिएको छैन”, उहाँले रासससँग भन्नुभयो ।
राहदानी विभाग, उद्योग विभाग, जल तथा मौसम विज्ञान विभाग, हेलो सरकार र अर्थ मन्त्रालय गरी पाँच वटा निकायले मात्रै हालसम्म आफ्नो वेबसाइट, सर्भर तथा सूचना प्रणालीमा बाह्य आक्रमणको शङ्कासहितको जानकारी केन्द्रलाई गराएका छन् । यी निकायमा गएर आवश्यक समन्वय गरी समस्या समाधान गरेको केन्द्रका निर्देशक महर्जनले बताउनुभयो । यी निकायबाट के–कस्ता विवरणरतथ्याङ्क क्षति पुग्यो वा बाहिरियो भन्ने आधिकारिक जानकारी आइसकेको उहाँको भनाइ छ ।
नेपाल प्रहरीको साइबर ब्युरोमा दर्ता हुने साइबर अपराधसम्बन्धी उजुरीको सङ्ख्या पछिल्ला वर्षमा बढिरहेको छन् । ब्युरोमा दर्ता भएका उजुरीका तथ्याङ्कअनुसार डाटा चुहावट, वेबसाइट ह्याकिङ तथा इमेल दुरुपयोगसम्बन्धी घटना उल्लेखनीय रूपमा देखिएका छन् । यस्ता सबै घटना ब्युरोसम्म आइनपुग्ने प्रवक्ता दीपकराज अवस्थीले उल्लेख गर्नुभयो ।
आव २०७९र८० मा साइबर ब्युरोमा दुई वटा डाटा चुहावटसम्बन्धी उजुरी दर्ता भएकामा २०८०र८१ मा तीन पुगेको थियो । उक्त सङ्ख्या २०८१र८२ मा बढेर छ पुगेको छ, जसले डिजिटल सूचना सुरक्षामा बढ्दो चुनौतीलाई स्पष्ट रुपमा सङ्केत गर्छ ।
त्यस्तै, वेबसाइट ह्याकिङसम्बन्धी उजुरी पनि क्रमशः बढ्दै गएका छन् । विसं २०७९र८० र २०८०र८१ मा एकरएक वटा उजुरी दर्ता भएकामा २०८१र८२ मा दुई र २०८२र८३ को पछिल्लो छ महिनामा मात्र तीन उजुरी दर्ता भएका छन् । अनधिकृत पहुँच वा ह्याकिङसम्बन्धी उजुरी २०७९र८० मा छ र २०८०र८१ मा सात वटा दर्ता भए पनि २०८१र८२ मा घटेर चारमा सीमित भएको साइबर ब्युरोको तथ्याङ्कमा उल्लेख छ ।
अनधिकृत पहुँच प्रयाससम्बन्धी उजुरी भने प्रत्येक वर्ष निरन्तर रूपमा देखिँदै आएका छन् । र्यान्समवेयर आक्रमणसम्बन्धी उजुरी आव २०८०र८१ र २०८१र८२ मा एक–एक वटा दर्ता भएका छन् । यस्तै, व्यावसायिक इमेल दुरुपयोग र इमेल खाता दुरुपयोगसम्बन्धी उजुरी पनि बर्सेनि ब्युरोमा आउने गरेका छन् ।
चोरी र चुहावटका घटना
गत पुस २६ र २७ गते नेपाल टेलिकमको सिमकार्ड प्रयोगकर्तालाई सडक प्रदर्शनका लागि आह्वानसहित राजनीतिक प्रकृतिको ‘बल्क म्यासेज’ पठाइएको थियो । नेपाल दूरसञ्चार कम्पनी लिमिटेड ९नेपाल टेलिकम० का प्रवक्ता रविन्द्र मानन्धरका अनुसार ‘आकाशटेल’ नामक कम्पनीबाट करिब सात लाख हाराहारी नम्बरमा ‘बल्क एसएमएस’ गएको थियो । यस प्रकरणमा नेपाल प्रहरीले निर्देश सेढाईं नामका व्यक्तिलाई पक्राउ गरी अनुसन्धान गरिरहेको छ ।
त्यति ठूलो सङ्ख्यामा मोबाइल नम्बर कहाँबाट उपलब्ध भए भन्ने अझै खुलिसकेको छैन । नेपाल टेलिकमले भने कुनै पनि सेवाग्राहीको व्यक्तिगत मोबाइल नम्बर तथा अन्य विवरण उपलब्ध नगराएको भन्दै गत पुस २९ गते विज्ञप्तिसमेत जारी गरेको छ ।
नेपाल मेडिकल काउन्सिल, राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभाग, निर्वाचन आयोगलगायत कार्यालयको वेबसाइटमा अधिकृत पहुँच पु¥याएको भन्दै नेपाल प्रहरीको साइबर ब्युरोले गत पुस १८ गते सिन्धुपाल्चोकबाट एक जना र गत मङ्सिर २८ गते झापाबाट एक जना पक्राउ गरी कारबाही प्रक्रिया अघि बढाएको छ । यी सबै निकाय व्यक्तिगत विवरण सङ्कलन र प्रयोग गर्ने निकायभित्र पर्दछन् । यी निकायमा कार्यालयको वेबसाइट मात्र ह्याक भएको हो वा सर्भरमै अनधिकृत पहुँच पुगेर व्यक्तिगत विवरणमा छेडखानी भएको हो भन्ने स्पष्ट छैन ।
त्यस्तै, पछिल्ला केही महिनायता मात्र लुम्बिनी प्रदेश र नेपाल प्रहरीको वेबसाइट ह्याक गरी विभिन्न विवरण र जानकारी डार्क वेभ’मार्फत सार्वजनिक भएका थिए । सरकारी निकाय मात्र नभई निजी क्षेत्रका संस्थाबाट पनि व्यक्तिगत विवरण तथा तथ्याङ्कहरु बाहिरिने गरेका छन् । विसं २०७६ फागुनमा अनलाइन ‘फुड डेलिभरी कम्पनी’ फुडमाण्डुको सर्भर ह्याक भएर ५० हजारभन्दा बढी व्यक्तिको नाम, ठेगाना, मोबाइल नम्बर, इमेललगायत विवरण बाहिरिएको थियो ।
त्यस्तै, २०७६ चैतमा इन्टरनेट सेवाप्रदायक कम्पनी भायोनेटका ग्राहकको व्यक्तिगत तथ्याङ्क ह्याकरले सामाजिक सञ्जालमा सार्वजनिक गरिदिएका दिए । नेपाल प्रहरीको साइबर ब्युरोले फुडमाण्डु प्रकरणमा संलग्न नवलपरासी पश्चिमको सुनवल नगरपालिका घर भएका १९ वर्षीय युवक २०७७ मङ्सिरमा र भायोनेट प्रकरणमा संलग्न रुपन्देहीको तिलोत्तमा नगरपालिकाका एक युवकलाई २०७७ पुसमा पक्राउ गरेको थियो ।
यी ह्याकिङ प्रकरणमा संलग्न व्यक्तिहरुलाई विद्युतीय ९इलेक्ट्रोनिक० कारोबार ऐन, २०६३ को परिच्छेद ९ बमोजिमको कसुर गरेको भनी कारबाही प्रक्रिया अघि बढ्यो । तर, व्यक्तिको तथ्याङ्क सङ्कलन गरेर सुरक्षित राख्न नसकेका कम्पनीको हकमा भने कुनै अनुसन्धान र अभियोजनको प्रक्रिया अघि बढेन । अनधिकृत सार्वजनिक भएका ती विवरण अहिले पनि सामाजिक सञ्जालमा छ्यापछ्याप्ती भेटिन्छन् ।
