काठमाडौँ । पछिल्ला वर्षमा नागरिकका विवरणलाई बैंकिङ सेवा, सामाजिक सुरक्षा, बिमा, सरकारी अनुदान र विभिन्न सार्वजनिक सेवासँग क्रमशः एकीकृत र अनिवार्य बनाउँदै लगिएको छ । राज्यले यसलाई ‘डिजिटल इकोसिस्टम’ एकीकरणको आधार मानेको छ ।
एउटै परिचयका आधारमा नागरिकले सेवा पाउने, कागजी झन्झट घट्ने र सेवा प्रवाह प्रभावकारी हुने सरकारी दाबी छ । व्यवहारमा कतिपय सेवा छिटो भएका पनि छन् । तर यस्तो प्रयोजनका लागि प्रयोग हुने व्यक्तिगत डाटा संरक्षणको विषय भने नेपालमा अझै नीति र कानुनविहीन अवस्थामा छ ।
नागरिकका नाम, ठेगाना, उमेर, पारिवारिक विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख, वित्तीय अवस्था, सम्पत्ति विवरण, शैक्षिक प्रमाणपत्रदेखि मोबाइल नम्बर र डिजिटल गतिविधिसम्मका विवरण राज्य र निजीक्षेत्र दुवैले सङ्कलन गरिरहे पनि ती विवरण क–कसले सङ्कलन गर्यो ? कुन निकायसँग साझा गरियो रु कति समय राखिन्छ रु र कति सुरक्षित छन् भन्नेबारे नागरिक अनभिज्ञ छन् । सङ्कलित डाटा चुहावट वा दुरुपयोग भएमा त्यसको जिम्मेवारी कसले लिने र पीडितले कसरी न्याय पाउने भन्ने स्पष्ट कानुनी आधार बनिसकेको छैन ।
राष्ट्रिय परिचयपत्र, राहदानी, मतदाता परिचयपत्र, सवारी चालक अनुमतिपत्र, करदाता दर्ता, सामाजिक सुरक्षा भत्ता, स्वास्थ्य बिमालगायत अनेकौँ सेवाका लागि नागरिकका विस्तृत व्यक्तिगत विवरण सङ्कलन गरिन्छ । यस्ता विवरण केवल सरकारी निकायमा मात्र सीमित छैनन् । बैंक तथा वित्तीय संस्था, दूरसञ्चार कम्पनी, अस्पताल, बिमा कम्पनी, अनलाइन प्लेटफर्म र अन्य व्यावसायिक संस्थाले पनि ठूलो मात्रामा व्यक्तिगत डाटा सङ्कलन र भण्डारण गरिरहेका छन् ।
नागरिकको निजत्व, सम्पत्ति, तथ्याङ्क, लिखित तथा अन्य व्यक्तिगत सूचनाको गोपनीयताको हक व्यवहारमा सुनिश्चित हुन सकेको छैन । यस्ता संवेदनशील डाटा सुरक्षित नहुँदा पहिचान चोरी, आर्थिक ठगी, सामाजिक बदनामी, मानसिक आघात मात्र होइन, राष्ट्रिय सुरक्षामा पनि जोखिम उत्पन्न हुनसक्ने विज्ञहरू बताउँछन् ।
नीति अनुसन्धान प्रतिष्ठानका सह–अनुसन्धानकर्ता दीपेन्द्रप्रसाद पन्तले व्यक्तिगत डाटा संरक्षणलाई सामान्य प्राविधिक वा प्रशासनिक विषयका रूपमा हेर्न नहुने बताए । उनका अनुसार यो विषय नागरिक अधिकार, लोकतान्त्रिक शासन र राष्ट्रिय सुरक्षासँग प्रत्यक्ष जोडिएको छ ।
“नेपालमा व्यक्तिगत डाटा संरक्षणका लागि स्पष्ट नीति छैन भने छुट्टै कानुन र प्रभावकारी संरचना बन्न सकेका छैनन् । व्यक्तिगत विवरण खुल्दा त्यसले व्यक्तिको गोपनीयतामा मात्र होइन, राष्ट्रिय सुरक्षामा प्रतिकूल प्रभाव पार्न सक्छ । अरू देशहरूले व्यक्तिगत गोप्यताका विषयलाई अत्यन्त गम्भीर रूपमा लिने गरे पनि हामी अझै आधारभूत तहमा अड्किएका छौँ”, पन्तले भने । वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ र वैयक्तिक गोपनीयतासम्बन्धी नियमावली, २०७७ कार्यान्वयनमा भए पनि यसले डिटिजल डाटा प्रयोग र सुरक्षणलाई आंशिक रूपमा मात्र समेट्ने उनको भनाइ छ ।
उनका अनुसार डाटा चुहावटको असर कुनै एक व्यक्तिको क्षतिमा सीमित हुँदैन । नागरिकको परिचय विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख वा वित्तीय तथ्याङ्क बाहिरिएर त्यसलाई सङ्गठित अपराध, साइबर अपराधलगायत अवैध गतिविधि बढ्ने जोखिम रहन्छ । “व्यक्तिगत विवरण बाहिरिँदा त्यसको दुरुपयोगबाट सामाजिक अस्थिरता, आर्थिक अपराध र राष्ट्रिय सुरक्षासम्बन्धी जोखिम पैदा हुन सक्छन् । यसलाई सामान्य प्रशासनिक कमजोरी भनेर नजर अन्दाज गर्न मिल्दैन”, उनले भने।
व्यक्तिगत विवरण चुहावट हुँदा व्यक्तिको सामाजिक छवि, मानसिक अवस्था र व्यक्तिगत सुरक्षामा गहिरो असर पर्छ । नेपालमा यस्तो क्षतिको दायित्व कसले लिने र पीडितले कति क्षतिपूर्ति पाउने भन्नेबारे कुनै कानुनी व्यवस्था छैन । कानुनी दण्ड र क्षतिपूर्तिको प्रावधान नहुँदा डाटा सुरक्षालाई प्राथमिकतामा राख्ने संस्कार नै विकास हुन नसकेको पन्तको बुझाइ छ ।
नेपालको संविधानले सूचना पाउने अधिकार र गोपनीयताको हक दुवैलाई मौलिक हकका रूपमा सुनिश्चित गरेको छ । तर यी दुई हकबीच सन्तुलन कसरी कायम गर्ने भन्ने विषयमा स्पष्ट कानुनी मार्गनिर्देशन नभएको उनले उल्लेख गरे ।
“सूचना पाउने अधिकार र व्यक्तिको गोपनीयताबीच स्पष्टता जरुरी छ । सबै सूचना सार्वजनिक हुनुपर्छ भन्ने बुझाइले व्यक्तिगत गोपनीयता कुण्ठित गर्न सक्छ”, पन्तले भने । कुन अवस्थामा व्यक्तिगत विवरण लुकाउनुपर्ने, कुन सूचना सार्वजनिक हितका लागि आवश्यक हुन्छ भन्ने स्पष्टता नहुँदा विवाद र दुरुपयोगको जोखिम बढिरहेको छ । सरकारले डिजिटल नेपाल अभियानअन्तर्गत अधिकांश सार्वजनिक सेवा ‘पेपरलेस’ बनाउने घोषणा गरेको छ । डिजिटल प्रणालीमा राखिएका विवरण कति सुरक्षित छन् भन्ने प्रश्नको स्पष्ट उत्तर छैन ।
“हामीले सबै सार्वजनिक काम पेपरलेस (कागजरहित प्रणाली) बनाउँदै जाने भनेका छौँ । तर राखिएका विवरण पूर्ण रूपमा सुरक्षित छन् भनेर भन्नसक्ने अवस्था छैन । व्यक्तिगत डाटा सुरक्षाका संयन्त्र विकास गर्न सकिएन भने हामी प्रविधिमा होइन, जोखिममा अघि बढिरहेका हुन्छौँ”, पन्तले भने । ‘डिजिटलाइजेसन’सँगै डाटा संरक्षण कानुन, स्वतन्त्र नियामक निकाय, प्राविधिक मापदण्ड र दक्ष जनशक्ति एकसाथ विकास हुनुपर्ने उहाँको धारणा छ । नेपालमा सेवा विस्तारको गति र सुरक्षा तयारीबीच गहिरो अन्तर देखिएको उनले बताए।
साइबर सुरक्षाविद् विजय लिम्बूले वैयक्तिक गोपनीयतासम्बन्धी कानुनको प्रभावकारी कार्यान्वयन नभएको र डाटा सुरक्षाका लागि संस्थागत रूपमा कुनै नियामक निकाय बन्न नसकेको अहिलेको अवस्थामा सूचना प्रविधिका क्षेत्रमा नेपालमा काम गर्न चाहने विदेशी कम्पनी इच्छुक नहुने उल्लेख गरे । डाटा सुरक्षणका लागि अन्तरराष्ट्रिय मापदण्डसहितका कानुन नभए पनि संविधानले प्रत्याभूत गरेको वैयक्तिक गोपनीयताको हक तथा यससम्बन्धी कानुन कार्यान्वयनमा रहेका उनको भनाइ छ ।
“कानुनको प्रभावकारी कार्यान्वयन नहुनु, नियामक निकाय बनाउन नसक्नु र डाटा सुरक्षाका विषयलाई महत्व दिएर अभ्यासमा ल्याउन नसक्नु प्रमुख समस्या हुन्”, उनले भने, “भएकै कानुन पनि कार्यान्वयनमा कमजोर हुँदा सूचना प्रविधिसँग जोडिएका अन्तरराष्ट्रिय कम्पनीहरु नेपाललाई सहजै विश्वास गर्दैनन् ।”
प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयअन्तर्गतको ई–गभर्नेन्स बोर्डले व्यक्तिगत डाटा संरक्षण नीति, २०८२ को मस्यौदा तयार पारेको लामो समय भइसकेको छ । उक्त नीति अझै स्वीकृत भएर कार्यान्वयनमा आएको छैन । नीति नबनेकले यससँग सम्बन्धित ऐन, कानुन पनि अघि बढ्न सकेका छैनन् ।
ई–गभर्नेन्स बोर्डका सहसचिव अनीलकुमार दत्तले नीतिको मस्यौदा तयार भइसके पनि प्रक्रिया ढिलो भएको स्वीकार गरे । “विभिन्न निकायसँग व्यक्तिका विभिन्न खालका डाटा छन् । त्यसमा कतिपय संवेदनशील र व्यक्तिगत गोपनीयतासँग जोडिएका पनि हुन सक्छन् । अहिले कुन डाटा दिने र कुन नदिने भन्ने स्पष्टता छैन”, उनले भने ।
व्यक्तिगत डाटाको वर्गीकरण आवश्यक भइसकेको पनि दत्त बताउँछन्। “व्यक्तिगत विवरणसँग सम्बन्धित तथ्याङ्कको वर्गीकरण आवश्यक छ । यसले कुन निकायले व्यक्तिको कतिसम्मका विवरण सङ्कलन गर्न पाउने र अर्को निकायलाई उपलब्ध गराउँदा कतिसम्म दिने भन्ने स्पष्टता ल्याउँछ”, उनले भने ।
व्यक्तिगत डाटा संरक्षणसम्बन्धी कानुन नहुँदा डाटा सङ्कलन, स्थानान्तरण, वर्गीकरण र साझेदारीका लागि कुनै स्पष्ट मापदण्ड छैन । कुनकुन निकाय डाटा सङ्कलन, प्रशोधन र विश्लेषणमा संलग्न छन् भन्ने तथ्यसमेत अस्पष्ट छ । प्रविधिको प्रयोगलाई बढावा दिइरहँदा त्यसले निम्त्याउने सुरक्षाका विषयलाई नजरअन्दाज गर्न नहुने राष्ट्रिय सूचना प्रविधि केन्द्रका कार्यालय प्रमुख मनिष भट्टराईले बताउनुभयो । त्यसका लागि डाटा संरक्षणको नीति र कानुन अपरिहार्य बनिसकेको उनको बुझाइ छ ।
विद्यमान अवस्थालाई विश्लेषण गर्ने हो भने डिजिटल डाटा सङ्कलन गर्ने निकायले त्यसको सुरक्षा, भण्डारण, क्लाउड पहुँच र नियन्त्रणबारे नागरिकलाई विश्वस्त गराउन सकेका छैनन् । सङ्कलित डाटाको नियमन गर्ने कानुनी व्यवस्था, संस्थागत संरचना र पूर्वाधार बन्न सकेका छैनन् ।
व्यक्तिको डाटा सङ्कलनदेखि विसर्जनसम्म कानुनबमोजिम भएरनभएको सुनिश्चित गर्ने संयन्त्र छैन । अनधिकृत प्रयोग भएमा कसरी कानुनी दायरामा ल्याउने भन्ने स्पष्ट छैन । डाटा सङ्कलन गर्दा व्यक्तिको सहमति लिने प्रचलनसमेत स्थापित हुन सकेको छैन ।
सरकारी वा गैरसरकारी निकायले व्यक्तिगत डाटा सङ्कलन गर्दा त्यसको उद्देश्य स्पष्ट गर्नुपर्ने र सोही उद्देश्यका लागि मात्र प्रयोग गर्नुपर्नेमा व्यवहारमा यस्तो अभ्यास देखिँदैन । डाटा कति समयसम्म राख्ने, कहिले नष्ट गर्ने भन्नेबारे कुनै कानुनी व्यवस्था छैन । विदेशमा भने व्यक्तिगत डाटा सङ्कलनदेखि विसर्जनसम्मको कार्यको निरीक्षण तथा अनुगमनका लागि डाटा अडिट प्रतिवेदन तयार गर्ने प्रचलन छ ।
त्यसैगरी, संवेदनशील डाटाको पहुँचमा बहुपक्षीय प्रमाणीकरण (मल्टी–फ्याक्टर अथेन्टिकेसन) र पहुँचसम्बन्धी सूचना (नोटिफिकेसन) प्रणाली लागू हुन सकेको छैन । सूचना प्रविधि विभागका अनुसार गत आर्थिक वर्ष २०८१र८२ मा विभिन्न २५ वटा सरकारी निकायका ३० वटा सूचना प्रणालीको सेक्युरिटी अडिट गरिएको थियो । आवको अन्त्यसम्ममा विभिन्न ३५१ वटा सरकारी निकायको ५०६ वटा प्रणालीको सेक्युरिटी अडिट सुरक्षित बनाउन आवश्यक रहेको भन्दै विभागले सुझावसहितको प्रतिवेदन दिएको देखिन्छ । यो तथ्याङ्कले पनि सरकारी निकायका सूचना प्रणाली कमजोर रहेको पुष्टि गर्छ ।
अभिलेखविहीन आँकडा
विभिन्न सरकारी तथा गैरसरकारी कार्यालयको सूचना प्रणाली तथा सम्बन्धित सर्भरमा अनधिकृत पहुँच पु¥याएर व्यक्तिगत विवरण चोरी गर्ने र सार्वजनिक गर्नेक्रम पछिल्ला वर्षमा निरन्तर बढिरहेका छन् । यस्तो प्रकृतिका घटनाको एकीकृत तथ्याङ्क कुनै पनि सरकारी निकायसँग उपलब्ध छैन । राष्ट्रिय साइबर सुरक्षा केन्द्रका निर्देशक राजकुमार महर्जनले कुन निकायबाट कस्तो किसिमको सूचना चुहावट भयो र त्यसको गलत प्रयोग भयो भन्ने अभिलेख नरहेको बताए ।
“विभिन्न निकायका वेबसाइटमा अनधिकृत पहुँच, तथ्याङ्क चोरीजस्ता विषय सञ्चारमाध्यमबाट सुन्ने गरिन्छ । तीमध्ये धेरैजसोको हामीलाई औपचारिक रुपमा जानकारी आएको देखिँदैन । केन्द्रलाई जानकारी नै नआएपछि त्यसको अभिलेखसमेत राख्ने गरिएको छैन”, उनले भने ।
राहदानी विभाग, उद्योग विभाग, जल तथा मौसम विज्ञान विभाग, हेलो सरकार र अर्थ मन्त्रालय गरी पाँच वटा निकायले मात्रै हालसम्म आफ्नो वेबसाइट, सर्भर तथा सूचना प्रणालीमा बाह्य आक्रमणको शङ्कासहितको जानकारी केन्द्रलाई गराएका छन् । यी निकायमा गएर आवश्यक समन्वय गरी समस्या समाधान गरेको केन्द्रका निर्देशक महर्जनले बताउनुभयो । यी निकायबाट के–कस्ता विवरणरतथ्याङ्क क्षति पुग्यो वा बाहिरियो भन्ने आधिकारिक जानकारी आइसकेको उनको भनाइ छ ।
नेपाल प्रहरीको साइबर ब्युरोमा दर्ता हुने साइबर अपराधसम्बन्धी उजुरीको सङ्ख्या पछिल्ला वर्षमा बढिरहेको छन् । ब्युरोमा दर्ता भएका उजुरीका तथ्याङ्कअनुसार डाटा चुहावट, वेबसाइट ह्याकिङ तथा इमेल दुरुपयोगसम्बन्धी घटना उल्लेखनीय रूपमा देखिएका छन् । यस्ता सबै घटना ब्युरोसम्म आइनपुग्ने प्रवक्ता दीपकराज अवस्थीले उल्लेख गरे ।
आव २०७९र८० मा साइबर ब्युरोमा दुई वटा डाटा चुहावटसम्बन्धी उजुरी दर्ता भएकामा २०८०र८१ मा तीन पुगेको थियो । उक्त सङ्ख्या २०८१र८२ मा बढेर छ पुगेको छ, जसले डिजिटल सूचना सुरक्षामा बढ्दो चुनौतीलाई स्पष्ट रुपमा सङ्केत गर्छ ।
त्यस्तै, वेबसाइट ह्याकिङसम्बन्धी उजुरी पनि क्रमशः बढ्दै गएका छन् । विसं २०७९र८० र २०८०र८१ मा एकरएक वटा उजुरी दर्ता भएकामा २०८१र८२ मा दुई र २०८२र८३ को पछिल्लो छ महिनामा मात्र तीन उजुरी दर्ता भएका छन् । अनधिकृत पहुँच वा ह्याकिङसम्बन्धी उजुरी २०७९र८० मा छ र २०८०र८१ मा सात वटा दर्ता भए पनि २०८१र८२ मा घटेर चारमा सीमित भएको साइबर ब्युरोको तथ्याङ्कमा उल्लेख छ ।
अनधिकृत पहुँच प्रयाससम्बन्धी उजुरी भने प्रत्येक वर्ष निरन्तर रूपमा देखिँदै आएका छन् । र्यान्समवेयर आक्रमणसम्बन्धी उजुरी आव २०८०र८१ र २०८१र८२ मा एक–एक वटा दर्ता भएका छन् । यस्तै, व्यावसायिक इमेल दुरुपयोग र इमेल खाता दुरुपयोगसम्बन्धी उजुरी पनि बर्सेनि ब्युरोमा आउने गरेका छन् ।
चोरी र चुहावटका घटना
गत पुस २६ र २७ गते नेपाल टेलिकमको सिमकार्ड प्रयोगकर्तालाई सडक प्रदर्शनका लागि आह्वानसहित राजनीतिक प्रकृतिको ‘बल्क म्यासेज’ पठाइएको थियो । नेपाल दूरसञ्चार कम्पनी लिमिटेड (नेपाल टेलिकम) का प्रवक्ता रविन्द्र मानन्धरका अनुसार ‘आकाशटेल’ नामक कम्पनीबाट करिब सात लाख हाराहारी नम्बरमा ‘बल्क एसएमएस’ गएको थियो । यस प्रकरणमा नेपाल प्रहरीले निर्देश सेढाईं नामका व्यक्तिलाई पक्राउ गरी अनुसन्धान गरिरहेको छ ।
त्यति ठूलो सङ्ख्यामा मोबाइल नम्बर कहाँबाट उपलब्ध भए भन्ने अझै खुलिसकेको छैन । नेपाल टेलिकमले भने कुनै पनि सेवाग्राहीको व्यक्तिगत मोबाइल नम्बर तथा अन्य विवरण उपलब्ध नगराएको भन्दै गत पुस २९ गते विज्ञप्तिसमेत जारी गरेको छ ।
नेपाल मेडिकल काउन्सिल, राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभाग, निर्वाचन आयोगलगायत कार्यालयको वेबसाइटमा अधिकृत पहुँच पु¥याएको भन्दै नेपाल प्रहरीको साइबर ब्युरोले गत पुस १८ गते सिन्धुपाल्चोकबाट एक जना र गत मङ्सिर २८ गते झापाबाट एक जना पक्राउ गरी कारबाही प्रक्रिया अघि बढाएको छ । यी सबै निकाय व्यक्तिगत विवरण सङ्कलन र प्रयोग गर्ने निकायभित्र पर्दछन् । यी निकायमा कार्यालयको वेबसाइट मात्र ह्याक भएको हो वा सर्भरमै अनधिकृत पहुँच पुगेर व्यक्तिगत विवरणमा छेडखानी भएको हो भन्ने स्पष्ट छैन ।
त्यस्तै, पछिल्ला केही महिनायता मात्र लुम्बिनी प्रदेश र नेपाल प्रहरीको वेबसाइट ह्याक गरी विभिन्न विवरण र जानकारी डार्क वेभ’मार्फत सार्वजनिक भएका थिए । सरकारी निकाय मात्र नभई निजी क्षेत्रका संस्थाबाट पनि व्यक्तिगत विवरण तथा तथ्याङ्कहरु बाहिरिने गरेका छन् । विसं २०७६ फागुनमा अनलाइन ‘फुड डेलिभरी कम्पनी’ फुडमाण्डुको सर्भर ह्याक भएर ५० हजारभन्दा बढी व्यक्तिको नाम, ठेगाना, मोबाइल नम्बर, इमेललगायत विवरण बाहिरिएको थियो ।
त्यस्तै, २०७६ चैतमा इन्टरनेट सेवाप्रदायक कम्पनी भायोनेटका ग्राहकको व्यक्तिगत तथ्याङ्क ह्याकरले सामाजिक सञ्जालमा सार्वजनिक गरिदिएका दिए । नेपाल प्रहरीको साइबर ब्युरोले फुडमाण्डु प्रकरणमा संलग्न नवलपरासी पश्चिमको सुनवल नगरपालिका घर भएका १९ वर्षीय युवक २०७७ मङ्सिरमा र भायोनेट प्रकरणमा संलग्न रुपन्देहीको तिलोत्तमा नगरपालिकाका एक युवकलाई २०७७ पुसमा पक्राउ गरेको थियो ।
यी ह्याकिङ प्रकरणमा संलग्न व्यक्तिहरुलाई विद्युतीय (इलेक्ट्रोनिक) कारोबार ऐन, २०६३ को परिच्छेद ९ बमोजिमको कसुर गरेको भनी कारबाही प्रक्रिया अघि बढ्यो । तर, व्यक्तिको तथ्याङ्क सङ्कलन गरेर सुरक्षित राख्न नसकेका कम्पनीको हकमा भने कुनै अनुसन्धान र अभियोजनको प्रक्रिया अघि बढेन । अनधिकृत सार्वजनिक भएका ती विवरण अहिले पनि सामाजिक सञ्जालमा छ्यापछ्याप्ती भेटिन्छन् ।
