नई दिल्ली: क्या आपने कभी सोचा है कि जिन बैंकों से आपने कभी संपर्क नहीं किया, उनकी तरफ से क्रेडिट कार्ड, लोन और निवेश आदि के लिए आपको इतने सारे फोन कॉल या मैसेज क्यों आते हैं? या फिर आपको ‘अपना केवाईसी अपडेट करें’ या ‘अपना प्रीपेड नंबर रिचार्ज करें’ जैसे लिंक के साथ अज्ञात स्रोतों से तमाम सारे मैसेज क्यों मिलते हैं? इतने सारे अजनबियों को आपका नाम और नंबर कैसे पता होता है?
‘स्पैम’ कॉल और मैसेज केवल झुंझलाहट ही पैदा नहीं करते हैं, वे आमतौर पर आपके व्यक्तिगत डेटा में घुसपैठ वाली गतिविधियों का नतीजा होते हैं. आपका नंबर सिर्फ एक नंबर भर नहीं है. यह आपके बारे में डेटा सेट से जुड़ा है जो आपको आयु, स्थान, रोजगार, कुल संपत्ति, खरीदारी की आदतों आदि अलग-अलग श्रेणियों में रखता है.
यह डेटा आपकी तरफ से स्वेच्छा से किसी बैंक या फोन रिचार्ज वेबसाइट या उस स्टोर को दी गई जानकारी से प्राप्त हो सकता है जहां आपने खरीदारी की थी.
लेकिन उसके बाद आपकी सहमति कोई मायने नहीं रखती. आपका निजी डेटा इसे खरीदने के इच्छुक लोगों को कभी भी बेचा जा सकता है, चाहे वह टेलीमार्केटिंग कंपनी हो, या अपना टार्गेट तलाश रहा आपराधिक मॉड्यूल.
आपसे निजी विवरण मांगने वाले कुछ कॉलर आपके साथ धोखाधड़ी का इरादा रखने वाले (विशिंग) हो सकते हैं और आपको फिशिंग लिंक वाले स्पैम मैसेज भेज सकते हैं, जिस पर क्लिक करने से आपका बैंक खाता खाली हो सकता है.
अच्छी पत्रकारिता मायने रखती है, संकटकाल में तो और भी अधिक
दिप्रिंट आपके लिए ले कर आता है कहानियां जो आपको पढ़नी चाहिए, वो भी वहां से जहां वे हो रही हैं
हम इसे तभी जारी रख सकते हैं अगर आप हमारी रिपोर्टिंग, लेखन और तस्वीरों के लिए हमारा सहयोग करें.
दिल्ली पुलिस की इंटेलिजेंस फ्यूजन एंड स्ट्रैटेजिक ऑपरेशंस (आईएफएसओ) यूनिट में पुलिस उपायुक्त (डीसीपी) के.पी.एस. मल्होत्रा ने कहा, ‘कंपनियों के साथ-साथ नागरिकों को भी सतर्क और जिम्मेदार होना चाहिए कि वे किसके साथ डेटा साझा कर रहे हैं.’
उन्होंने बताया, ‘घोटालों को काफी अच्छी तरह मिलीभगत वाले सिंडिकेट अंजाम देते हैं जिन्होंने अपना पूरा मॉड्यूल बना रखा है. इस सबके के लिए मोबाइल नंबर वे विभिन्न संस्थाओं से हासिल करते हैं.’
कुछ डेटाबेस तो ऑनलाइन फ्री डाउनलोड करने के लिए भी उपलब्ध हैं. अपने नंबर और पते के साथ अपना नाम खोजने की कोशिश करें और हो सकता है कि आप एचएनआई (हाई नेटवर्थ वाले व्यक्तियों) जैसी लक्षित श्रेणी में खुद को सूचीबद्ध पाएं. इसके जरिये जो कोई भी चाहे आप तक पहुंच सकता है.
भारत में अभी तक डेटा सुरक्षा पर कोई विशेष कानून नहीं है, और ऐसे में जब डेटा बेचने, साझा करने या खरीदने की बात आती है तो किसी की कोई जवाबदेही नहीं होती है.
सुप्रीम कोर्ट में वकील और वकीलों और एक्टिविस्ट के संगठन इंडियन सिविल लिबर्टीज यूनियन के संस्थापक अनस तनवीर ने दिप्रिंट को बताया, ‘मौजूदा कानूनी ढांचे में कोई भी संगठन ग्राहक को यह बताने के लिए बाध्य नहीं है कि वे इस डेटा का उपयोग किस तरह करने जा रहे हैं. यहां तक कि संबंधित व्यक्ति की सहमति के बिना भी यह डेटा साझा किया जा सकता है. यही वजह है कि डेटा संरक्षण कानून की जरूरत महसूस की जाती है.’
डेटा सुरक्षा कानूनों की कमी से साइबर अपराध बढ़े
टार्गेट किए गए लोगों को फर्जी लिंक भेजने और उस पर क्लिक कराकर बैंकिंग जानकारी हासिल करके उनके बैंक खाते खाली कर देने जैसे साइबर अपराध तेजी से आम होते जा रहे हैं.
ये फिशिंग या स्मिशिंग के रूप में हो सकते हैं जिसका आशय क्रमशः ईमेल या एसएमएस पर भेजे गए लिंक को संदर्भित करता है. वहीं विशिंग का मतलब है फोन पर बात करते समय आपका विवरण हासिल करना.
आईएफएसओ के वरिष्ठ अधिकारियों के मुताबिक, यह समस्या भारत में एक उचित डेटा संरक्षण कानून के अभाव के कारण ज्यादा है, क्योंकि इससे किसी जिम्मेदारी और जवाबदेही तय करना मुश्किल हो जाता है.
एक आईएफएसओ अधिकारी ने केवाईसी (अपने ग्राहक को जानो) धोखाधड़ी के मामले का उदाहरण दिया, जिसमें पुलिस ने एक ऐसे गिरोह का भंडाफोड़ किया था जो देशभर में लगभग 8,000 लोगों को अपना निशाना बना चुका था. इस घोटाले में लोगों से अपना केवाईसी अपडेट करने को कहा गया और फिर उन्हें फिशिंग लिंक भेज दिया गया.
इस मामले में अधिकारी ने बताया कि गिरोह को कुछ डेटा दिया गया था—जो संभावित टार्गेट के मोबाइल नंबर थे. जिस महिला ने यह डेटा दिया था उसने दावा कि वह गिरोह के ‘इरादों से अनजान’ थी. उसे मामले में आरोपी नहीं बनाया गया है.
उन्होंने आगे कहा, ‘हमारे पास डेटा सुरक्षा कानून नहीं हैं, जो डेटा बेचने वाली कंपनियों को इस मामले में अधिक जवाबदेह बनाए कि वे किसके साथ काम कर रहे हैं. अभी, कोई भी डेटा खरीद सकता है और फिर उसे बेच सकता है.’
अधिकारी ने बताया कि उनके द्वारा हासिल किए गए मोबाइल नंबरों का उपयोग करके गिरोह ने कई चरणों में और कई टीमों के जरिये घोटालों को अंजाम दिया.
अधिकारी ने बताया, ‘एक टीम के पास पहला फिशिंग लिंक भेजने की जिम्मेदारी थी. अगर टार्गेट ने पहली बार में लिंक क्लिक नहीं किया, तो ये नंबर दूसरी टीम को भेज दिया जाता. जो फिर से नया लिंक भेजती. यह तब तक जारी रहता जब तक कोई उस लिंक पर क्लिक नहीं करता. एक तीसरी टीम इस सब पर लगातार नजर रख रही थी. एक बार लिंक सक्रिय होने पर दूसरी टीम एक्टिव हुई और पैसा बैंक खाते से निकाल लिया गया और और मनी ट्रेल को मिटा दिया गया.’
भारत का प्रस्तावित व्यक्तिगत डेटा संरक्षण विधेयक वर्षों से पाइपलाइन में है. हालांकि, आईटी मंत्री अश्विनी वैष्णव ने कथित तौर पर कहा है कि सरकार को मानसून सत्र में इस पर संसद की मंजूरी मिलने की उम्मीद है.
अन्य बातों के अलावा प्रस्तावित कानून नागरिकों की सहमति के बिना व्यक्तिगत डेटा का उपयोग प्रतिबंधित करेगा. इसके मसौदे के मुताबिक, भारतीय दंड संहिता के तहत साइबर अपराध कानूनों और प्रावधानों के तहत डेटा उपलब्ध कराने वालों को जवाबदेह ठहराया जा सकेगा.
मसौदा उन संगठनों की पहचान पर भी जोर देता है जो व्यक्तिगत डेटा को लीक करने वाले स्रोतों की पहचान करना कठिन बनाते हैं.
मई में लोकल सर्किल के एक सर्वेक्षण से पता चलता है कि 64 प्रतिशत भारतीयों को औसतन रोजाना तीन या अधिक स्पैम फोन कॉल आते हैं. सर्वेक्षण में यह भी पाया गया कि जिन लोगों ने ट्राई की डीएनडी (डू नॉट डिस्टर्ब) लिस्ट के साथ अपना नंबर पंजीकृत कराया है, उनमें से 95 प्रतिशत को अभी भी ऐसे कॉल मिल रहे हैं.
कॉलर आईडी और ब्लॉकिंग ऐप ट्रूकॉलर ने अपनी ‘ग्लोबल स्पैम रिपोर्ट 2021’ में स्पैम/स्कैम कॉल से सबसे अधिक प्रभावित देशों की सूची में भारत को चौथे नंबर पर रखा है. पिछले साल भारत नौवें स्थान पर था.
यह भी पढ़ें : दिल्ली पुलिस ने ‘किडनी रैकेट’ का किया भंडाफोड़, गरीबों को लालच देकर दिया जा रहा था काम को अंजाम
‘ग्राहकों को नहीं पता कि किसके लिए सहमति दे रहे हैं’
कानूनी विशेषज्ञों के मुताबिक, डेटा ट्रेल और लीक करने वाले स्रोत का पता लगाने का कोई तरीका नहीं है.
यही नहीं, जब भी कोई संगठन या व्यवसाय किसी ग्राहक से कोई डेटा मांगता है, तो वे शायद ही कभी यह बताता हो कि वे इसका क्या उपयोग करेंगे या पूरी तरह से कोई नियम और शर्तें बना रखी हों.
एडवोकेट अनस तनवीर ने कहा, ‘जब हम खरीदारी करते हैं, तो कंपनियों के पास आपका फोन नंबर लेने के वैध कारण हो सकते हैं—उत्पादों की वारंटी होती है और इसकी जांच के लिए कुछ यूजर इंफॉर्मेशन जरूरी हो सकती है. लेकिन इस बारे में लोगों को जानकारी देकर कोई सहमति नहीं ली जाती है.’
उन्होंने कहा, ‘यह जानने का कोई तरीका नहीं है कि वे किसके साथ डेटा साझा कर रहे हैं. ग्राहक नहीं जानते कि वे किसलिए सहमति दे रहे हैं.’
इस सवाल पर कि क्या पीड़ित या ग्राहक यह पता चलने पर अदालत का दरवाजा खटखटा सकते हैं कि उनका डेटा लीक हो गया है, तनवीर ने कहा कि बहुत कम गुंजाइश है. उन्होंने कहा, ‘आईटी अधिनियम में कुछ उपाय हैं लेकिन उन्हें लागू करना बमुश्किल ही संभव है. एक ग्राहक को केवल क्षतिपूर्ति का अधिकार मिल सकता है और इससे अधिक कुछ नहीं होता.’
दिप्रिंट ने नई दिल्ली में एक लोकप्रिय कॉस्मेटिक कंपनी के एक स्टाफ से बात की, जिसने बताया कि आम तौर पर ग्राहकों से कांटैक्ट नंबर लिए जाते हैं ताकि वे स्टोर पॉइंट सिस्टम का लाभ उठा सकें और टेक्स्ट मैसेज के माध्यम से उन्हें नए उत्पादों के बारे में जानकारी दी जा सके. उक्त कर्मचारी ने कहा, ‘हम ग्राहकों को कॉल नहीं करते हैं और न ही उनका डेटा कहीं भी साझा करते हैं.’
गत मई में पिज्जा डिलीवरी सेवा डोमिनोज इंडिया बड़े पैमाने पर डेटा ब्रीच की शिकार बनी, जिसके कारण लगभग 18 करोड़ ऑर्डर सार्वजनिक हो गए. दिप्रिंट ने डोमिनोज की प्रतिक्रिया के लिए एक ईमेल किया, लेकिन यह रिपोर्ट प्रकाशित होने तक कोई जवाब नहीं आया.
तनवीर ने कहा कि यहां तक कि प्रमुख सोशल मीडिया मध्यस्थ भी कभी-कभी अपनी गोपनीयता नीतियों में अस्पष्ट शब्दों का इस्तेमाल करते हैं, जिससे यूजर्स को अपने निर्णय के बारे में पूरी तरह जानकारी नहीं होती है.
उन्होंने कहा, ‘उदाहरण के तौर पर मेटा (पूर्व में फेसबुक) के नियम और शर्तें काफी लंबी-चौड़ी होती हैं, जिन पर हम आसानी से सहमति दे देते हैं. कई कंपनियां अपनी डेटा गोपनीयता नीतियों का मसौदा इस तरह तैयार करती हैं, जिसमें डेटा का उपयोग कैसे किया जा सकता है, इस पर कोई निर्धारित दिशानिर्देश नहीं होते हैं. उद्देश्यों की कोई सीमा निर्धारित नहीं की जाती है और इस सबको केवल एक कड़े डेटा संरक्षण कानून के जरिये ही नियंत्रित किया जा सकता है. डेटा संरक्षण बिल में इस पहलू का पहले ही उल्लेख किया गया है कि डेटा प्रोसेसिंग निष्पक्ष और पारदर्शी तरीके से होनी चाहिए.’
इसी अप्रैल में, फेसबुक विवादों के घेरे में आ गया जब एक लीक मेमो में कथित तौर पर डेटा की तुलना झील में फेंकी गई बोतल से की गई जो यह दर्शाती है कि कंपनी के पास यह जानने का कोई तरीका नहीं है कि डेटा कहां जाता है या इसका क्या किया जाता है.
दिप्रिंट ने फोन कॉल के माध्यम से एक मेटा प्रवक्ता से संपर्क किया लेकिन उन्होंने इस मुद्दे पर कोई टिप्पणी करने से साफ इनकार कर दिया. हालांकि, पिछले महीने, मेटा ने एक नई गोपनीयता नीति जारी की है, जो ‘बेहतर तरीके से यह समझाने की कोशिश करती है कि हमसे और हमारे प्लेटफॉर्म का उपयोग करने वालों से क्या अपेक्षा की जाती है.’
यह कदम सोशल मीडिया कंपनियों की अस्पष्ट तौर पर लिखी गोपनीयता और डेटा उपयोग संबंधी नीतियों को लेकर बढ़ती आलोचना के बीच उठाया गया है. कंपनी ने सार्वजनिक बयान में कहा है, ‘हमने अपनी गोपनीयता नीति में अधिक विस्तृत स्पष्टीकरण जोड़ा है, जिसमें संबंधित जानकारी के उपयोग और इसे थर्ड पार्टी के साथ साझा करने के तरीके के बारे में भी बताया गया है.’
(इस खबर को अंग्रेजी में पढ़ने के लिए यहां क्लिक करें)
यह भी पढ़ें : डिलीट किया गया डेटा, टूटा फोन- ‘ब्लाइंड केस’ सुलझाने में कैसे मदद करती है दिल्ली की साइबर-फॉरेंसिक लैब