भारत में स्पैम कॉल की समस्या अब कोई मामूली बात नहीं रह गई है, बल्कि यह डेटा गोपनीयता और उपभोक्ताओं को स्पैम कॉल से बचाने में हितधारकों की अक्षमता पर गंभीर सवाल उठाती है.
मुद्दे ने इस हद तक हलचल मचा दी है कि सितंबर 2024 में भारतीय दूरसंचार नियामक प्राधिकरण (ट्राई) ने कहा कि वह स्पैम विनियमन में आमूलचूल परिवर्तन पर विचार कर रहा है, जिसमें निजी और इंडस्ट्री लेवल के स्पैमर के लिए अलग-अलग नियम शामिल हैं.
दूरसंचार कंपनियां भी स्पैम कॉल की इस सुनामी से निपटने के लिए कदम उठा रही हैं. भारती एयरटेल ने पिछले महीने सभी यूज़र्स के लिए ‘स्पैम शील्ड’ लॉन्च किया, जो इसका एक उदाहरण है.
विशेषज्ञों की राय में इस समस्या से निपटने के लिए “सीधे-सादे फॉर्मूले” से कहीं ज़्यादा की ज़रूरत है.
इस सीरीज़ की पहली रिपोर्ट में दिप्रिंट ने स्पैम कॉल की शुरुआत और स्पैमर और स्कैमर द्वारा इस्तेमाल की जाने वाली विभिन्न तकनीकों पर नज़र डाली, उसके बाद दूसरी रिपोर्ट में टेलीमार्केटिंग की दुनिया को जाना.
सीरीज़ की तीसरी रिपोर्ट में दिप्रिंट सिस्टम में खामियों, जवाबदेही तय करने की ज़रूरत और स्पैम कॉल की समस्या से निपटने में डेटा सिक्योरिटी लॉ के लागू करने पर नज़र डाल रहा है.
एनएस नप्पिनई भारत की सुप्रीम कोर्ट में वरिष्ठ अधिवक्ता हैं और साइबर साथी नामक एक गैर-लाभकारी संस्था की संस्थापक हैं, जो साइबर सुरक्षा के लिए समर्पित है.
उन्होंने समझाया, “डीएनडी रजिस्ट्रेशन के बावजूद स्पैम कॉल की बाढ़ आ गई है. हमारी जानकारी का स्रोत अब व्यापक है और दुरुपयोग के लिए खुला है. हमें ऐसे नियमों की ज़रूरत थी जो समस्या को शुरू से लेकर लागू होने तक रोक सकें और यहीं पर एक बड़ा अंतर है.”
वे आगे कहती हैं कि केवल दंड या लाइसेंस रद्द करने की धमकियां अप्रभावी साबित हुई हैं और केवल कानूनी उपाय ही निवारक के रूप में काम कर सकते हैं. “अन्यथा व्यक्तियों के रूप में हमारे अधिकारों पर बार-बार हमला किया जा रहा है.”
व्यक्तिगत जानकारी तक पहुंच स्पैम कॉल की समस्या के केंद्र में है.
इस मुद्दे से कैसे निपटा गया, इसका आकलन घटनाओं की समय-सीमा को देखकर किया जा सकता है — सुप्रीम कोर्ट द्वारा निजता को मौलिक अधिकार घोषित करने के बाद, डेटा सिक्योरिटी कानून का मसौदा तैयार करने में संसद को छह साल लग गए.
लेकिन संसद में इसे पारित हुए एक साल से अधिक समय हो गया है, लेकिन डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम के लिए सार्वजनिक परामर्श के नियम अभी तक तैयार नहीं किए गए हैं.
नप्पिनई ने कहा, “संस्थाएं अन्य संस्थाओं को डेटा साझा और बेच रही हैं, जो इसका इस्तेमाल प्रचार कॉल और संदेशों के लिए कर रहे हैं. सहमति के बिना व्यक्तिगत जानकारी साझा करने वाली संस्थाओं के लिए सख्त दंड सुनिश्चित करने के लिए डेटा सुरक्षा अधिनियम के तहत कदम उठाने होंगे.”
विशेषज्ञों की राय
ट्राई के 2018 दिशा-निर्देशों के अनुसार, अवांछित संचार शुरू करने वालों के खिलाफ कार्रवाई करने की ज़िम्मेदारी दूरसंचार कंपनियों की है. ट्राई ने स्पैम पर लगाम लगाने में विफल रहने के लिए सरकारी स्वामित्व वाली बीएसएनएल और एमटीएनएल के साथ-साथ निजी दूरसंचार कंपनियों भारती एयरटेल, वोडाफोन आइडिया और रिलायंस जियो पर भी जुर्माना लगाया है.
टेक पॉलिसी थिंक टैंक द डायलॉग के संस्थापक काज़िम रिज़वी कहते हैं कि टेलीकॉम कमर्शियल कम्युनिकेशंस कस्टमर प्रेफरेंस रेगुलेशन (TCCCPR), 2018 “बहुत महत्वाकांक्षी” थे, लेकिन इन दिशा-निर्देशों के लागू होने में काफी अंतर है. “यह विनियमन अनरजिस्टर्ड टेलीमार्केटर्स के लिए निवारक के रूप में कार्य करने में सक्षम नहीं है.”
कंसल्टिंग फर्म अंकुरा के डेटा एंड टेक्नोलॉजी प्रैक्टिस के वरिष्ठ प्रबंध निदेशक अमित जाजू भी इस बात से सहमत हैं. उनका कहना है कि 2018 दिशा-निर्देशों का कार्यान्वयन “बोझिल रहा है और प्रयास सफल नहीं हुए हैं”.
अगस्त 2024 में जारी किए गए परामर्श पत्र में ट्राई ने स्वीकार किया कि “कई संस्थाओं ने 10-अंक वाले मोबाइल/लैंडलाइन नंबरों का उपयोग करके प्रचार कॉल करना शुरू कर दिया है”.
नियामक ने इस खतरे को रोकने के लिए एक निश्चित सीमा से परे 10-अंक वाले य मोबाइल और लैंडलाइन नंबरों के लिए अलग-अलग टैरिफ का भी प्रस्ताव रखा था.
लेकिन न्यूयॉर्क स्थित सॉफ्टवेयर फ्रीडम लॉ सेंटर की संस्थापक और पूर्व कानूनी निदेशक मिशी चौधरी “निश्चित नहीं है कि जब तक प्रभावी प्रवर्तन नहीं होता है, तब तक दंड एक निवारक है या नहीं”.
रिज़वी ने कहा कि ट्राई का परामर्श पत्र सही दिशा में एक कदम है, लेकिन अभी भी इस बात को लेकर अस्पष्टता है कि टेलीकॉम कंपनियां 10-अंक वाले मोबाइल/लैंडलाइन नंबरों का उपयोग करके किए गए प्रचार कॉल के मुद्दे से कैसे निपटेंगी.
जिम्मेदारी किसकी है?
विशेषज्ञों का यह भी मानना है कि दूरसंचार कंपनियों की भूमिका महत्वपूर्ण है, लेकिन टेलीमार्केटर्स से लेकर व्यवसाय और क्लाउड टेलीफोनी सर्विस प्रोवाइडर तक अन्य हितधारक भी नियम-आधारित पारिस्थितिकी तंत्र बनाने के लिए समान रूप से जिम्मेदार हैं.
रिज़वी ने कहा, “व्यवसाय और टेलीमार्केटर्स अक्सर नियमों का उल्लंघन करते हैं और स्पैम कॉल करने के लिए स्थापित सिस्टम को दरकिनार करने के लिए नए-नए तरीके अपनाते हैं. ट्राई और दूरसंचार विभाग को इस खतरे को रोकने के लिए दूरसंचार कंपनियों के साथ सहयोग सुनिश्चित करने के लिए अपने प्रयासों को बढ़ाना होगा.”
जैसा कि दिप्रिंट ने इस सीरीज़ की दूसरी रिपोर्ट में बताया है, ऑटो डायलर और इंटरेक्टिव वॉयस रिस्पॉन्स (आईवीआर) के आगमन ने स्पैम कॉल के खतरे को और बढ़ा दिया है.
जाजू की राय में, थोक में फोन नंबरों की बिक्री और खरीद की जांच करने के लिए मौजूद सिस्टम में “कोई पारदर्शिता” नहीं है. “बड़ी या छोटी आईटी कंपनियों में बैठे लोगों से लेकर दूरसंचार कर्मचारियों तक, सभी ये जानकारियां बेच रहे हैं. कोई भी कहीं भी एसआईपी (सेशन इनिशिएशन प्रोटोकॉल) पते का उपयोग कर सकता है और कॉल करना शुरू कर सकता है. परेशानी यह है कि एसआईपी के वास्तविक वैध मालिक को इस उल्लंघन के बारे में पता ही नहीं चलेगा.”
उन्होंने कहा कि जिम्मेदार लोगों को कोई वित्तीय नुकसान नहीं होता. “शायद ही कोई निरीक्षण होता है और जब तक उन्हें चिह्नित किया जाता है, तब तक पारिस्थितिकी तंत्र में हज़ारों नंबर तैर रहे होते हैं.”
जाजू गांवों और दूरदराज के इलाकों में काम करने वाली छोटी एजेंसियों की “मशीनरी” की ओर भी इशारा करते हैं, जो “उन लोगों की आईडी के आधार पर सिम कार्ड खरीदते हैं जिनके नाम पर नौ से कम सिम हैं और इसे थोक में बेचते हैं”.
डीएनडी रजिस्ट्री
ट्राई द्वारा यूजर्स को नेविगेट करने और स्पैम कॉल की रिपोर्ट करने में मदद करने के लिए अपना ‘डीएनडी ऐप’ लॉन्च किए हुए आठ साल से अधिक समय बीत चुका है, लेकिन विशेषज्ञों का कहना है कि ऐप कुछ हद तक खामियों को दूर करने में विफल रहा है. उनका कहना है कि ऐप अपने आप में “बोझिल” है और शिकायतों से निपटने के लिए अधिक पारदर्शी तंत्र की ज़रूरत है.
जाजू ने कहा, “शिकायतों के निरीक्षण पर कोई स्पष्टता नहीं है. ऑपरेटर स्तर पर फिल्टरिंग के लिए अधिक उन्नत ऐप की दरकार है ताकि कॉल मोबाइल फोन यूज़र्स तक भी न पहुंचे. इसे शुरू होने पर ही रोकना होगा. उदाहरण के लिए ट्रूकॉलर जैसे समुदाय आधारित ऐप में ऐसे उपाय हैं जो एक रिंग के बाद ही कॉल को ब्लॉक कर देते हैं.”
उनका और अन्य लोगों का यह भी कहना है कि अधिकांश टेलीमार्केटर या कॉल सेंटर DNC रजिस्ट्री स्क्रबिंग नामक प्रक्रिया का पालन नहीं करते हैं, जिसके लिए उन्हें नेशनल डू नॉट कॉल रजिस्ट्री (NDNC) पर पंजीकृत लोगों के फोन नंबर अपने डेटाबेस से हटाने होते हैं.
जाजू बताते हैं, “यह एक क्लासिक ट्रेड ऑफ है. उन्हें जो दंड भुगतना पड़ेगा, वह विनियमों को पारित करके अर्जित किए गए दंड से बहुत कम है.”
एक और व्यापक रूप से स्वीकृत धारणा यह है कि स्पैम कॉल करने वाले निजी नंबरों का उपयोग करते हैं और रडार से दूर रहने के लिए सिम कार्ड बदलते रहते हैं, जबकि अवैध स्रोतों से फोन नंबर प्राप्त करते हैं, जो अनिवार्य रूप से KYC प्रक्रिया को धोखा देते हैं.
रिज़वी ने कहा, “इन मामलों में DND रजिस्ट्री काम नहीं करती है. इसके अलावा, टेलीमार्केटर रजिस्ट्री को बायपास करने के लिए सहमति तंत्र में खामियों का भी फायदा उठाते हैं. परामर्श पत्र अब स्पष्ट सहमति का प्रस्ताव करता है जो इस तरह की प्रथाओं को रोकने में मदद कर सकता है.”
डेटा नया काम है
आपकी निजी जानकारी स्पैमर्स के हाथों में कैसे पहुंचती है? सीधे शब्दों में कहें तो, निजी डेटा नई चीज़ है, लेकिन पुरानी जितनी ज़्यादा रेगुलेट नहीं.
चौधरी ने कहा, “आप किसी भी स्टोर में खरीदारी नहीं कर सकते या किसी रेस्टोरेंट में खाना नहीं खा सकते, बिना किसी के फोन नंबर सहित आपकी जानकारी मांगे. उन्हें इसकी क्या ज़रूरत है? इसका इस्तेमाल किस लिए किया जाता है? इसे कैसे सुरक्षित रखा जाता है? कोई नहीं पूछता और कोई नहीं बताता.”
हालांकि, डिजिटल व्यक्तिगत डेटा सुरक्षा अधिनियम, 2023 उपयोग के मामलों में नहीं जाता है, लेकिन विशेषज्ञों का कहना है कि यह व्यवसायों द्वारा अनचाहे संचार के लिए फोन नंबरों के उपयोग को महत्वपूर्ण रूप से प्रभावित कर सकता है, क्योंकि इसके प्रावधान उन उद्देश्यों को प्रतिबंधित करते हैं जिनके लिए व्यक्तिगत डेटा का उपयोग किया जा सकता है.
रिज़वी इसे ऐसे समझाते हैं, “चूंकि, उद्यम व्यक्तियों को कॉल करने और मैसेज भेजने के लिए फोन नंबर (निजी जानकारी) संसाधित करते हैं, इसलिए उन्हें डेटा फिड्यूशियरी के रूप में वर्गीकृत किया जाएगा, जो DPDPA, 2023 के दायरे में आते हैं. साथ ही, कुछ संस्थाओं को डेटा प्रोसेसर के रूप में वर्गीकृत किया जा सकता है अगर वह कॉल और संदेश गतिविधियों के साथ उद्यम का समर्थन करने वाले तृतीय-पक्ष विक्रेता हैं.”
“इसका तात्पर्य यह है कि कॉलिंग और मैसेजिंग की गतिविधि में शामिल उद्यमों और तीसरे पक्ष के विक्रेताओं को कानून में निहित गोपनीयता और डेटा सुरक्षा के मूलभूत सिद्धांतों, जैसे उद्देश्य सीमा, डेटा न्यूनीकरण, सहमति प्रसंस्करण आदि का पालन करना पड़ सकता है.”
DPDPA, 2023, शिकायत निवारण का अधिकार भी प्रदान करता है, जहां व्यक्ति स्पैम के बारे में शिकायतों के साथ डेटा फिड्यूशियरी से संपर्क कर सकते हैं और अगर ज़रूरी हो तो व्यक्तिगत जानकारी मिटाने के लिए अपनी सहमति वापस ले सकते हैं.
लेकिन ऐसे लोग भी हैं जिनका मानना है कि यह स्पैमर्स को रोकने के लिए काफी नहीं है जो कि अपर्याप्त या कमज़ोर प्रवर्तन के कारण दंड से मुक्त होकर काम करना जारी रखेंगे.
स्पैम कॉल के खतरे को समाप्त करने के लिए कोई रामबाण उपाय नहीं है. अधिकांश विशेषज्ञों का मानना है कि व्यवस्थित रूप से स्पैम कॉल से निपटना एक लंबी प्रक्रिया होगी, लेकिन पहला कदम स्पैम कॉल के समय-संवेदनशील तकनीकी और फोरेंसिक ऑडिट को सुनिश्चित करने के लिए एक तंत्र स्थापित करना है.
जाजू ने कहा, “किसी भी पक्षपात से बचने के लिए रोटेशन के आधार पर एक थर्ड पार्टी फोरेंसिक ऑडिट टीम को तैनात किया जाना चाहिए और नियमित बैठकें आयोजित की जानी चाहिए, जहां परिदृश्यों (स्पैमर्स द्वारा खामियों का उपयोग करने, नियमों को दरकिनार करने) पर चर्चा की जानी चाहिए. इन रिपोर्टों को प्रस्तुत करने की समयसीमा तय की जानी चाहिए, उदाहरण के लिए हर तीन से छह महीने में. पुरानी शराब को नई बोतलों में परोसने से कोई फायदा नहीं होने वाला है. घोटालेबाज और स्पैमर विकसित हो रहे हैं, इसलिए हमें भी विकसित होना चाहिए.”
स्पैम कॉल की संदिग्ध दुनिया की अंदरूनी कहानी पर तीन-पार्ट की इस सीरीज़ की यह तीसरी रिपोर्ट है.
(इस रिपोर्ट को अंग्रेज़ी में पढ़ने के लिए यहां क्लिक करें)
यह भी पढ़ें: रुकिए कहीं यह स्पैम कॉल तो नहीं! कॉल सेंटर और कोल्ड-कॉलिंग की दुनिया कैसे करती है काम