व्यक्तिगत डाटा संरक्षणका लागि कानुन नहुँदा चोरीका घटना बढ्दै

पछिल्ला वर्षमा नागरिकका विवरणलाई बैंकिङ सेवा, सामाजिक सुरक्षा, बिमा, सरकारी अनुदान र विभिन्न सार्वजनिक सेवासँग क्रमशः एकीकृत र अनिवार्य बनाउँदै लगिएको छ । राज्यले यसलाई ‘डिजिटल इकोसिस्टम’ एकीकरणको आधार मानेको छ ।

एउटै परिचयका आधारमा नागरिकले सेवा पाउने, कागजी झन्झट घट्ने र सेवा प्रवाह प्रभावकारी हुने सरकारी दाबी छ । व्यवहारमा कतिपय सेवा छिटो भएका पनि छन् । तर यस्तो प्रयोजनका लागि प्रयोग हुने व्यक्तिगत डाटा संरक्षणको विषय भने नेपालमा अझै नीति र कानुनविहीन अवस्थामा छ ।

नागरिकका नाम, ठेगाना, उमेर, पारिवारिक विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख, वित्तीय अवस्था, सम्पत्ति विवरण, शैक्षिक प्रमाणपत्रदेखि मोबाइल नम्बर र डिजिटल गतिविधिसम्मका विवरण राज्य र निजीक्षेत्र दुवैले सङ्कलन गरिरहे पनि ती विवरण क–कसले सङ्कलन गर्‍यो ? कुन निकायसँग साझा गरियो ? कति समय राखिन्छ ? र कति सुरक्षित छन् भन्नेबारे नागरिक अनभिज्ञ छन् । सङ्कलित डाटा चुहावट वा दुरुपयोग भएमा त्यसको जिम्मेवारी कसले लिने र पीडितले कसरी न्याय पाउने भन्ने स्पष्ट कानुनी आधार बनिसकेको छैन ।

राष्ट्रिय परिचयपत्र, राहदानी, मतदाता परिचयपत्र, सवारी चालक अनुमतिपत्र, करदाता दर्ता, सामाजिक सुरक्षा भत्ता, स्वास्थ्य बिमालगायत अनेकौँ सेवाका लागि नागरिकका विस्तृत व्यक्तिगत विवरण सङ्कलन गरिन्छ । यस्ता विवरण केवल सरकारी निकायमा मात्र सीमित छैनन् । बैंक तथा वित्तीय संस्था, दूरसञ्चार कम्पनी, अस्पताल, बिमा कम्पनी, अनलाइन प्लेटफर्म र अन्य व्यावसायिक संस्थाले पनि ठूलो मात्रामा व्यक्तिगत डाटा सङ्कलन र भण्डारण गरिरहेका छन् । 

नागरिकको निजत्व, सम्पत्ति, तथ्याङ्क, लिखित तथा अन्य व्यक्तिगत सूचनाको गोपनीयताको हक व्यवहारमा सुनिश्चित हुन सकेको छैन । यस्ता संवेदनशील डाटा सुरक्षित नहुँदा पहिचान चोरी, आर्थिक ठगी, सामाजिक बदनामी, मानसिक आघात मात्र होइन, राष्ट्रिय सुरक्षामा पनि जोखिम उत्पन्न हुनसक्ने विज्ञहरू बताउँछन् ।

नीति अनुसन्धान प्रतिष्ठानका सह–अनुसन्धानकर्ता दीपेन्द्रप्रसाद पन्तले व्यक्तिगत डाटा संरक्षणलाई सामान्य प्राविधिक वा प्रशासनिक विषयका रूपमा हेर्न नहुने बताउनुभयो । उहाँका अनुसार यो विषय नागरिक अधिकार, लोकतान्त्रिक शासन र राष्ट्रिय सुरक्षासँग प्रत्यक्ष जोडिएको छ । 

“नेपालमा व्यक्तिगत डाटा संरक्षणका लागि स्पष्ट नीति छैन भने छुट्टै कानुन र प्रभावकारी संरचना बन्न सकेका छैनन् । व्यक्तिगत विवरण खुल्दा त्यसले व्यक्तिको गोपनीयतामा मात्र होइन, राष्ट्रिय सुरक्षामा प्रतिकूल प्रभाव पार्न सक्छ । अरू देशहरूले व्यक्तिगत गोप्यताका विषयलाई अत्यन्त गम्भीर रूपमा लिने गरे पनि हामी अझै आधारभूत तहमा अड्किएका छौँ”, पन्तले भन्नुभयो । वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ र वैयक्तिक गोपनीयतासम्बन्धी नियमावली, २०७७ कार्यान्वयनमा भए पनि यसले डिटिजल डाटा प्रयोग र सुरक्षणलाई आंशिक रूपमा मात्र समेट्ने उहाँको भनाइ छ । 

उहाँका अनुसार डाटा चुहावटको असर कुनै एक व्यक्तिको क्षतिमा सीमित हुँदैन । नागरिकको परिचय विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख वा वित्तीय तथ्याङ्क बाहिरिएर त्यसलाई सङ्गठित अपराध, साइबर अपराधलगायत अवैध गतिविधि बढ्ने जोखिम रहन्छ । “व्यक्तिगत विवरण बाहिरिँदा त्यसको दुरुपयोगबाट सामाजिक अस्थिरता, आर्थिक अपराध र राष्ट्रिय सुरक्षासम्बन्धी जोखिम पैदा हुन सक्छन् । यसलाई सामान्य प्रशासनिक कमजोरी भनेर नजर अन्दाज गर्न मिल्दैन”, उहाँले भन्नुभयो ।

व्यक्तिगत विवरण चुहावट हुँदा व्यक्तिको सामाजिक छवि, मानसिक अवस्था र व्यक्तिगत सुरक्षामा गहिरो असर पर्छ । नेपालमा यस्तो क्षतिको दायित्व कसले लिने र पीडितले कति क्षतिपूर्ति पाउने भन्नेबारे कुनै कानुनी व्यवस्था छैन । कानुनी दण्ड र क्षतिपूर्तिको प्रावधान नहुँदा डाटा सुरक्षालाई प्राथमिकतामा राख्ने संस्कार नै विकास हुन नसकेको पन्तको बुझाइ छ ।

नेपालको संविधानले सूचना पाउने अधिकार र गोपनीयताको हक दुवैलाई मौलिक हकका रूपमा सुनिश्चित गरेको छ । तर यी दुई हकबीच सन्तुलन कसरी कायम गर्ने भन्ने विषयमा स्पष्ट कानुनी मार्गनिर्देशन नभएको उहाँले उल्लेख गर्नुभयो ।

“सूचना पाउने अधिकार र व्यक्तिको गोपनीयताबीच स्पष्टता जरुरी छ । सबै सूचना सार्वजनिक हुनुपर्छ भन्ने बुझाइले व्यक्तिगत गोपनीयता कुण्ठित गर्न सक्छ”, पन्तले भन्नुभयो । कुन अवस्थामा व्यक्तिगत विवरण लुकाउनुपर्ने, कुन सूचना सार्वजनिक हितका लागि आवश्यक हुन्छ भन्ने स्पष्टता नहुँदा विवाद र दुरुपयोगको जोखिम बढिरहेको छ । सरकारले डिजिटल नेपाल अभियानअन्तर्गत अधिकांश सार्वजनिक सेवा ‘पेपरलेस’ बनाउने घोषणा गरेको छ । डिजिटल प्रणालीमा राखिएका विवरण कति सुरक्षित छन् भन्ने प्रश्नको स्पष्ट उत्तर छैन । 

“हामीले सबै सार्वजनिक काम पेपरलेस (कागजरहित प्रणाली) बनाउँदै जाने भनेका छौँ । तर राखिएका विवरण पूर्ण रूपमा सुरक्षित छन् भनेर भन्नसक्ने अवस्था छैन । व्यक्तिगत डाटा सुरक्षाका संयन्त्र विकास गर्न सकिएन भने हामी प्रविधिमा होइन, जोखिममा अघि बढिरहेका हुन्छौँ”, पन्तले भन्नुभयो । ‘डिजिटलाइजेसन’सँगै डाटा संरक्षण कानुन, स्वतन्त्र नियामक निकाय, प्राविधिक मापदण्ड र दक्ष जनशक्ति एकसाथ विकास हुनुपर्ने उहाँको धारणा छ । नेपालमा सेवा विस्तारको गति र सुरक्षा तयारीबीच गहिरो अन्तर देखिएको उहाँले बताउनुभयो ।

साइबर सुरक्षाविद् विजय लिम्बूले वैयक्तिक गोपनीयतासम्बन्धी कानुनको प्रभावकारी कार्यान्वयन नभएको र डाटा सुरक्षाका लागि संस्थागत रूपमा कुनै नियामक निकाय बन्न नसकेको अहिलेको अवस्थामा सूचना प्रविधिका क्षेत्रमा नेपालमा काम गर्न चाहने विदेशी कम्पनी इच्छुक नहुने उल्लेख गर्नुभयो । डाटा सुरक्षणका लागि अन्तरराष्ट्रिय मापदण्डसहितका कानुन नभए पनि संविधानले प्रत्याभूत गरेको वैयक्तिक गोपनीयताको हक तथा यससम्बन्धी कानुन कार्यान्वयनमा रहेका उहाँको भनाइ छ ।

“कानुनको प्रभावकारी कार्यान्वयन नहुनु, नियामक निकाय बनाउन नसक्नु र डाटा सुरक्षाका विषयलाई महत्व दिएर अभ्यासमा ल्याउन नसक्नु प्रमुख समस्या हुन्”, उहाँले भन्नुभयो, “भएकै कानुन पनि कार्यान्वयनमा कमजोर हुँदा सूचना प्रविधिसँग जोडिएका अन्तरराष्ट्रिय कम्पनीहरु नेपाललाई सहजै विश्वास गर्दैनन् ।”

प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयअन्तर्गतको ई–गभर्नेन्स बोर्डले व्यक्तिगत डाटा संरक्षण नीति, २०८२ को मस्यौदा तयार पारेको लामो समय भइसकेको छ । उक्त नीति अझै स्वीकृत भएर कार्यान्वयनमा आएको छैन । नीति नबनेकले यससँग सम्बन्धित ऐन, कानुन पनि अघि बढ्न सकेका छैनन् ।

ई–गभर्नेन्स बोर्डका सहसचिव अनीलकुमार दत्तले नीतिको मस्यौदा तयार भइसके पनि प्रक्रिया ढिलो भएको स्वीकार गर्नुभयो । “विभिन्न निकायसँग व्यक्तिका विभिन्न खालका डाटा छन् । त्यसमा कतिपय संवेदनशील र व्यक्तिगत गोपनीयतासँग जोडिएका पनि हुन सक्छन् । अहिले कुन डाटा दिने र कुन नदिने भन्ने स्पष्टता छैन”, उहाँले भन्नुभयो ।

व्यक्तिगत डाटाको वर्गीकरण आवश्यक भइसकेको पनि दत्त बताउनुहुन्छ । “व्यक्तिगत विवरणसँग सम्बन्धित तथ्याङ्कको वर्गीकरण आवश्यक छ । यसले कुन निकायले व्यक्तिको कतिसम्मका विवरण सङ्कलन गर्न पाउने र अर्को निकायलाई उपलब्ध गराउँदा कतिसम्म दिने भन्ने स्पष्टता ल्याउँछ”, उहाँले भन्नुभयो ।

व्यक्तिगत डाटा संरक्षणसम्बन्धी कानुन नहुँदा डाटा सङ्कलन, स्थानान्तरण, वर्गीकरण र साझेदारीका लागि कुनै स्पष्ट मापदण्ड छैन । कुनकुन निकाय डाटा सङ्कलन, प्रशोधन र विश्लेषणमा संलग्न छन् भन्ने तथ्यसमेत अस्पष्ट छ । प्रविधिको प्रयोगलाई बढावा दिइरहँदा त्यसले निम्त्याउने सुरक्षाका विषयलाई नजरअन्दाज गर्न नहुने राष्ट्रिय सूचना प्रविधि केन्द्रका कार्यालय प्रमुख मनिष भट्टराईले बताउनुभयो । त्यसका लागि डाटा संरक्षणको नीति र कानुन अपरिहार्य बनिसकेको उहाँको बुझाइ छ ।

विद्यमान अवस्थालाई विश्लेषण गर्ने हो भने डिजिटल डाटा सङ्कलन गर्ने निकायले त्यसको सुरक्षा, भण्डारण, क्लाउड पहुँच र नियन्त्रणबारे नागरिकलाई विश्वस्त गराउन सकेका छैनन् । सङ्कलित डाटाको नियमन गर्ने कानुनी व्यवस्था, संस्थागत संरचना र पूर्वाधार बन्न सकेका छैनन् । 

व्यक्तिको डाटा सङ्कलनदेखि विसर्जनसम्म कानुनबमोजिम भए/नभएको सुनिश्चित गर्ने संयन्त्र छैन । अनधिकृत प्रयोग भएमा कसरी कानुनी दायरामा ल्याउने भन्ने स्पष्ट छैन । डाटा सङ्कलन गर्दा व्यक्तिको सहमति लिने प्रचलनसमेत स्थापित हुन सकेको छैन ।

सरकारी वा गैरसरकारी निकायले व्यक्तिगत डाटा सङ्कलन गर्दा त्यसको उद्देश्य स्पष्ट गर्नुपर्ने र सोही उद्देश्यका लागि मात्र प्रयोग गर्नुपर्नेमा व्यवहारमा यस्तो अभ्यास देखिँदैन । डाटा कति समयसम्म राख्ने, कहिले नष्ट गर्ने भन्नेबारे कुनै कानुनी व्यवस्था छैन । विदेशमा भने व्यक्तिगत डाटा सङ्कलनदेखि विसर्जनसम्मको कार्यको निरीक्षण तथा अनुगमनका लागि डाटा अडिट प्रतिवेदन तयार गर्ने प्रचलन छ । 

त्यसैगरी, संवेदनशील डाटाको पहुँचमा बहुपक्षीय प्रमाणीकरण (मल्टी–फ्याक्टर अथेन्टिकेसन) र पहुँचसम्बन्धी सूचना (नोटिफिकेसन) प्रणाली लागू हुन सकेको छैन । सूचना प्रविधि विभागका अनुसार गत आर्थिक वर्ष २०८१/८२ मा विभिन्न २५ वटा सरकारी निकायका ३० वटा सूचना प्रणालीको सेक्युरिटी अडिट गरिएको थियो । आवको अन्त्यसम्ममा विभिन्न ३५१ वटा सरकारी निकायको ५०६ वटा प्रणालीको सेक्युरिटी अडिट सुरक्षित बनाउन आवश्यक रहेको भन्दै विभागले सुझावसहितको प्रतिवेदन दिएको देखिन्छ । यो तथ्याङ्कले पनि सरकारी निकायका सूचना प्रणाली कमजोर रहेको पुष्टि गर्छ ।

अभिलेखविहीन आँकडा 

विभिन्न सरकारी तथा गैरसरकारी कार्यालयको सूचना प्रणाली तथा सम्बन्धित सर्भरमा अनधिकृत पहुँच पु¥याएर व्यक्तिगत विवरण चोरी गर्ने र सार्वजनिक गर्नेक्रम पछिल्ला वर्षमा निरन्तर बढिरहेका छन् । यस्तो प्रकृतिका घटनाको एकीकृत तथ्याङ्क कुनै पनि सरकारी निकायसँग उपलब्ध छैन । राष्ट्रिय साइबर सुरक्षा केन्द्रका निर्देशक राजकुमार महर्जनले कुन निकायबाट कस्तो किसिमको सूचना चुहावट भयो र त्यसको गलत प्रयोग भयो भन्ने अभिलेख नरहेको बताउनुभयो ।

“विभिन्न निकायका वेबसाइटमा अनधिकृत पहुँच, तथ्याङ्क चोरीजस्ता विषय सञ्चारमाध्यमबाट सुन्ने गरिन्छ । तीमध्ये धेरैजसोको हामीलाई औपचारिक रुपमा जानकारी आएको देखिँदैन । केन्द्रलाई जानकारी नै नआएपछि त्यसको अभिलेखसमेत राख्ने गरिएको छैन”, उहाँले रासससँग भन्नुभयो । 

राहदानी विभाग, उद्योग विभाग, जल तथा मौसम विज्ञान विभाग, हेलो सरकार र अर्थ मन्त्रालय गरी पाँच वटा निकायले मात्रै हालसम्म आफ्नो वेबसाइट, सर्भर तथा सूचना प्रणालीमा बाह्य आक्रमणको शङ्कासहितको जानकारी केन्द्रलाई गराएका छन् । यी निकायमा गएर आवश्यक समन्वय गरी समस्या समाधान गरेको केन्द्रका निर्देशक महर्जनले बताउनुभयो । यी निकायबाट के–कस्ता विवरण/तथ्याङ्क क्षति पुग्यो वा बाहिरियो भन्ने आधिकारिक जानकारी आइसकेको उहाँको भनाइ छ ।

नेपाल प्रहरीको साइबर ब्युरोमा दर्ता हुने साइबर अपराधसम्बन्धी उजुरीको सङ्ख्या पछिल्ला वर्षमा बढिरहेको छन् । ब्युरोमा दर्ता भएका उजुरीका तथ्याङ्कअनुसार डाटा चुहावट, वेबसाइट ह्याकिङ तथा इमेल दुरुपयोगसम्बन्धी घटना उल्लेखनीय रूपमा देखिएका छन् । यस्ता सबै घटना ब्युरोसम्म आइनपुग्ने प्रवक्ता दीपकराज अवस्थीले उल्लेख गर्नुभयो ।

आव २०७९/८० मा साइबर ब्युरोमा दुई वटा डाटा चुहावटसम्बन्धी उजुरी दर्ता भएकामा २०८०/८१ मा तीन पुगेको थियो । उक्त सङ्ख्या २०८१/८२ मा बढेर छ पुगेको छ, जसले डिजिटल सूचना सुरक्षामा बढ्दो चुनौतीलाई स्पष्ट रुपमा सङ्केत गर्छ । 

त्यस्तै, वेबसाइट ह्याकिङसम्बन्धी उजुरी पनि क्रमशः बढ्दै गएका छन् । विसं २०७९/८० र २०८०/८१ मा एक/एक वटा उजुरी दर्ता भएकामा २०८१/८२ मा दुई र २०८२/८३ को पछिल्लो छ महिनामा मात्र तीन उजुरी दर्ता भएका छन् । अनधिकृत पहुँच वा ह्याकिङसम्बन्धी उजुरी २०७९/८० मा छ र २०८०/८१ मा सात वटा दर्ता भए पनि २०८१/८२ मा घटेर चारमा सीमित भएको साइबर ब्युरोको तथ्याङ्कमा उल्लेख छ । 

अनधिकृत पहुँच प्रयाससम्बन्धी उजुरी भने प्रत्येक वर्ष निरन्तर रूपमा देखिँदै आएका छन् । र्‍यान्समवेयर आक्रमणसम्बन्धी उजुरी आव २०८०/८१ र २०८१/८२ मा एक–एक वटा दर्ता भएका छन् । यस्तै, व्यावसायिक इमेल दुरुपयोग र इमेल खाता दुरुपयोगसम्बन्धी उजुरी पनि बर्सेनि ब्युरोमा आउने गरेका छन् । 

चोरी र चुहावटका घटना  

गत पुस २६ र २७ गते नेपाल टेलिकमको सिमकार्ड प्रयोगकर्तालाई सडक प्रदर्शनका लागि आह्वानसहित राजनीतिक प्रकृतिको ‘बल्क म्यासेज’ पठाइएको थियो । नेपाल दूरसञ्चार कम्पनी लिमिटेड (नेपाल टेलिकम) का प्रवक्ता रविन्द्र मानन्धरका अनुसार ‘आकाशटेल’ नामक कम्पनीबाट करिब सात लाख हाराहारी नम्बरमा ‘बल्क एसएमएस’ गएको थियो । यस प्रकरणमा नेपाल प्रहरीले निर्देश सेढाईं नामका व्यक्तिलाई पक्राउ गरी अनुसन्धान गरिरहेको छ । 

त्यति ठूलो सङ्ख्यामा मोबाइल नम्बर कहाँबाट उपलब्ध भए भन्ने अझै खुलिसकेको छैन । नेपाल टेलिकमले भने कुनै पनि सेवाग्राहीको व्यक्तिगत मोबाइल नम्बर तथा अन्य विवरण उपलब्ध नगराएको भन्दै गत पुस २९ गते विज्ञप्तिसमेत जारी गरेको छ ।

नेपाल मेडिकल काउन्सिल, राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभाग, निर्वाचन आयोगलगायत कार्यालयको वेबसाइटमा अधिकृत पहुँच पु¥याएको भन्दै नेपाल प्रहरीको साइबर ब्युरोले गत पुस १८ गते सिन्धुपाल्चोकबाट एक जना र गत मङ्सिर २८ गते झापाबाट एक जना पक्राउ गरी कारबाही प्रक्रिया अघि बढाएको छ । यी सबै निकाय व्यक्तिगत विवरण सङ्कलन र प्रयोग गर्ने निकायभित्र पर्दछन् । यी निकायमा कार्यालयको वेबसाइट मात्र ह्याक भएको हो वा सर्भरमै अनधिकृत पहुँच पुगेर व्यक्तिगत विवरणमा छेडखानी भएको हो भन्ने स्पष्ट छैन । 

त्यस्तै, पछिल्ला केही महिनायता मात्र लुम्बिनी प्रदेश र नेपाल प्रहरीको वेबसाइट ह्याक गरी विभिन्न विवरण र जानकारी डार्क वेभ’मार्फत सार्वजनिक भएका थिए । सरकारी निकाय मात्र नभई निजी क्षेत्रका संस्थाबाट पनि व्यक्तिगत विवरण तथा तथ्याङ्कहरु बाहिरिने गरेका छन् । विसं २०७६ फागुनमा अनलाइन ‘फुड डेलिभरी कम्पनी’ फुडमाण्डुको सर्भर ह्याक भएर ५० हजारभन्दा बढी व्यक्तिको नाम, ठेगाना, मोबाइल नम्बर, इमेललगायत विवरण बाहिरिएको थियो । 

त्यस्तै, २०७६ चैतमा इन्टरनेट सेवाप्रदायक कम्पनी भायोनेटका ग्राहकको व्यक्तिगत तथ्याङ्क ह्याकरले सामाजिक सञ्जालमा सार्वजनिक गरिदिएका दिए । नेपाल प्रहरीको साइबर ब्युरोले फुडमाण्डु प्रकरणमा संलग्न नवलपरासी पश्चिमको सुनवल नगरपालिका घर भएका १९ वर्षीय युवक २०७७ मङ्सिरमा र भायोनेट प्रकरणमा संलग्न रुपन्देहीको तिलोत्तमा नगरपालिकाका एक युवकलाई २०७७ पुसमा पक्राउ गरेको थियो ।

यी ह्याकिङ प्रकरणमा संलग्न व्यक्तिहरुलाई विद्युतीय (इलेक्ट्रोनिक) कारोबार ऐन, २०६३ को परिच्छेद ९ बमोजिमको कसुर गरेको भनी कारबाही प्रक्रिया अघि बढ्यो । तर, व्यक्तिको तथ्याङ्क सङ्कलन गरेर सुरक्षित राख्न नसकेका कम्पनीको हकमा भने कुनै अनुसन्धान र अभियोजनको प्रक्रिया अघि बढेन । अनधिकृत सार्वजनिक भएका ती विवरण अहिले पनि सामाजिक सञ्जालमा छ्यापछ्याप्ती भेटिन्छन् ।