काठमाडौँ। पछिल्ला वर्षमा नागरिकका विवरणलाई बैंकिङ सेवा, सामाजिक सुरक्षा, बिमा, सरकारी अनुदान र विभिन्न सार्वजनिक सेवासँग क्रमशः एकीकृत र अनिवार्य बनाउँदै लगिएको छ। राज्यले यसलाई ‘डिजिटल इकोसिस्टम’ एकीकरणको आधार मानेको छ।
एउटै परिचयका आधारमा नागरिकले सेवा पाउने, कागजी झन्झट घट्ने र सेवा प्रवाह प्रभावकारी हुने सरकारी दाबी छ। व्यवहारमा कतिपय सेवा छिटो भएका पनि छन्। तर यस्तो प्रयोजनका लागि प्रयोग हुने व्यक्तिगत डाटा संरक्षणको विषय भने नेपालमा अझै नीति र कानुनविहीन अवस्थामा छ।
नागरिकका नाम, ठेगाना, उमेर, पारिवारिक विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख, वित्तीय अवस्था, सम्पत्ति विवरण, शैक्षिक प्रमाणपत्रदेखि मोबाइल नम्बर र डिजिटल गतिविधिसम्मका विवरण राज्य र निजी क्षेत्र दुवैले सङ्कलन गरिरहेका छन्। तर ती विवरण कसले सङ्कलन ग-र्यो, कुन निकायसँग साझा गरियो, कति समय राखिन्छ र कति सुरक्षित छन् भन्नेबारे नागरिक अनभिज्ञ छन्। सङ्कलित डाटा चुहावट वा दुरुपयोग भएमा त्यसको जिम्मेवारी कसले लिने र पीडितले कसरी न्याय पाउने भन्ने स्पष्ट कानुनी आधार बनिसकेको छैन।
राष्ट्रिय परिचयपत्र, राहदानी, मतदाता परिचयपत्र, सवारी चालक अनुमतिपत्र, करदाता दर्ता, सामाजिक सुरक्षा भत्ता, स्वास्थ्य बिमालगायत सेवाका लागि नागरिकका विस्तृत व्यक्तिगत विवरण सङ्कलन गरिन्छ। यस्ता विवरण सरकारी निकायमा मात्र सीमित छैनन्। बैंक तथा वित्तीय संस्था, दूरसञ्चार कम्पनी, अस्पताल, बिमा कम्पनी, अनलाइन प्लेटफर्म र अन्य व्यावसायिक संस्थाले पनि ठूलो मात्रामा व्यक्तिगत डाटा सङ्कलन र भण्डारण गरिरहेका छन्।
नागरिकको निजत्व, सम्पत्ति, तथ्याङ्क तथा व्यक्तिगत सूचनाको गोपनीयताको हक व्यवहारमा सुनिश्चित हुन सकेको छैन। यस्ता संवेदनशील डाटा सुरक्षित नहुँदा पहिचान चोरी, आर्थिक ठगी, सामाजिक बदनामी, मानसिक आघात मात्र होइन, राष्ट्रिय सुरक्षामा समेत जोखिम उत्पन्न हुन सक्ने विज्ञहरूको भनाइ छ।
नीति अनुसन्धान प्रतिष्ठानका सह–अनुसन्धानकर्ता दीपेन्द्रप्रसाद पन्तका अनुसार व्यक्तिगत डाटा संरक्षणलाई सामान्य प्राविधिक वा प्रशासनिक विषयका रूपमा हेर्न मिल्दैन। यो विषय नागरिक अधिकार, लोकतान्त्रिक शासन र राष्ट्रिय सुरक्षासँग प्रत्यक्ष जोडिएको छ।
नेपालमा व्यक्तिगत डाटा संरक्षणका लागि स्पष्ट नीति, छुट्टै कानुन र प्रभावकारी संरचना बन्न नसकेको उनको भनाइ छ। व्यक्तिगत विवरण खुल्दा त्यसले व्यक्तिको गोपनीयतामात्र होइन, राष्ट्रिय सुरक्षामा समेत प्रतिकूल प्रभाव पार्न सक्छ। वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ र नियमावली, २०७७ कार्यान्वयनमा भए पनि डिजिटल डाटा प्रयोग र सुरक्षणका विषयलाई ती कानुनले आंशिक रूपमा मात्र समेट्ने बताइएको छ।
पन्तका अनुसार डाटा चुहावटको असर कुनै एक व्यक्तिमा सीमित हुँदैन। नागरिकको परिचय विवरण, बायोमेट्रिक सूचना, स्वास्थ्य अभिलेख वा वित्तीय तथ्याङ्क बाहिरिँदा त्यसको दुरुपयोगबाट सङ्गठित अपराध, साइबर अपराध, आर्थिक अपराध र सामाजिक अस्थिरता बढ्ने जोखिम रहन्छ।
व्यक्तिगत विवरण चुहावट हुँदा व्यक्तिको सामाजिक छवि, मानसिक अवस्था र व्यक्तिगत सुरक्षामा गहिरो असर पर्छ। नेपालमा यस्तो क्षतिको दायित्व कसले लिने र पीडितले कति क्षतिपूर्ति पाउने भन्नेबारे स्पष्ट कानुनी व्यवस्था छैन। कानुनी दण्ड र क्षतिपूर्तिको प्रावधान नहुँदा डाटा सुरक्षालाई प्राथमिकतामा राख्ने संस्कार नै विकास हुन नसकेको पन्तको बुझाइ छ।
नेपालको संविधानले सूचना पाउने अधिकार र गोपनीयताको हक दुवैलाई मौलिक हकका रूपमा सुनिश्चित गरेको छ। तर यी दुई हकबीच सन्तुलन कसरी कायम गर्ने भन्ने विषयमा स्पष्ट कानुनी मार्गनिर्देशन छैन। सबै सूचना सार्वजनिक हुनुपर्छ भन्ने बुझाइले व्यक्तिगत गोपनीयता कुण्ठित गर्न सक्ने खतरा रहेको विज्ञहरूको भनाइ छ।
सरकारले डिजिटल नेपाल अभियानअन्तर्गत अधिकांश सार्वजनिक सेवा कागजरहित प्रणालीमा लैजाने घोषणा गरेको छ। तर डिजिटल प्रणालीमा राखिएका विवरण कति सुरक्षित छन् भन्ने प्रश्न अझै अनुत्तरित छ। डिजिटलाइजेसनसँगै डाटा संरक्षण कानुन, स्वतन्त्र नियामक निकाय, प्राविधिक मापदण्ड र दक्ष जनशक्ति एकसाथ विकास हुनुपर्ने आवश्यकता औँल्याइएको छ।
साइबर सुरक्षाविद् विजय लिम्बूका अनुसार वैयक्तिक गोपनीयतासम्बन्धी कानुनको प्रभावकारी कार्यान्वयन नहुनु र डाटा सुरक्षाका लागि नियामक निकाय नहुनुका कारण सूचना प्रविधि क्षेत्रमा काम गर्न चाहने अन्तरराष्ट्रिय कम्पनी नेपालप्रति विश्वस्त हुन सकेका छैनन्।
प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयअन्तर्गतको ई–गभर्नेन्स बोर्डले व्यक्तिगत डाटा संरक्षण नीति, २०८२ को मस्यौदा तयार पारे पनि अझै स्वीकृत भई कार्यान्वयनमा आएको छैन। नीति नबन्दा यससँग सम्बन्धित ऐन र कानुन पनि अघि बढ्न सकेका छैनन्।
ई–गभर्नेन्स बोर्डका सहसचिव अनीलकुमार दत्तका अनुसार नीतिको मस्यौदा तयार भए पनि प्रक्रिया ढिलो भएको छ। विभिन्न निकायसँग रहेका डाटामध्ये कुन डाटा साझा गर्ने र कुन नगर्ने भन्ने स्पष्टता नहुँदा जोखिम बढिरहेको उनको भनाइ छ। व्यक्तिगत डाटाको वर्गीकरण आवश्यक भइसकेको र यसले डाटा सङ्कलन, साझेदारी र प्रयोगको सीमा स्पष्ट पार्ने दत्तले बताए।
व्यक्तिगत डाटा संरक्षणसम्बन्धी कानुन नहुँदा डाटा सङ्कलन, स्थानान्तरण, वर्गीकरण र साझेदारीका लागि स्पष्ट मापदण्ड छैन। डाटा सङ्कलनदेखि विसर्जनसम्मको प्रक्रिया कानुनबमोजिम भए–नभएको सुनिश्चित गर्ने संयन्त्रसमेत छैन।
सरकारी तथा गैरसरकारी निकायले व्यक्तिगत डाटा सङ्कलन गर्दा उद्देश्य स्पष्ट गर्ने, सोही उद्देश्यका लागि मात्र प्रयोग गर्ने, कति समयसम्म राख्ने र कहिले नष्ट गर्ने भन्ने अभ्यास स्थापित हुन सकेको छैन। विदेशमा भने यस्ता प्रक्रियाको निरीक्षणका लागि डाटा अडिट प्रतिवेदन तयार गर्ने प्रचलन रहेको छ।
संवेदनशील डाटाको पहुँचमा बहुपक्षीय प्रमाणीकरण (मल्टी–फ्याक्टर अथेन्टिकेसन) र पहुँचसम्बन्धी सूचना प्रणालीसमेत प्रभावकारी रूपमा लागू हुन सकेको छैन। सूचना प्रविधि विभागका अनुसार गत आर्थिक वर्ष २०८१÷८२ मा २५ सरकारी निकायका ३० सूचना प्रणालीको सुरक्षा अडिट गरिएको थियो। बाँकी ३५१ निकायका ५०६ प्रणाली अझै अडिटको पर्खाइमा छन्, जसले सरकारी सूचना प्रणालीको कमजोरी देखाउँछ।
अभिलेखविहीन आँकडा
सरकारी तथा गैरसरकारी निकायका सूचना प्रणालीमा अनधिकृत पहुँच पु¥याई व्यक्तिगत विवरण चोरी र सार्वजनिक गर्ने घटना पछिल्ला वर्षमा बढ्दै गएका छन्। तर यस्ता घटनाको एकीकृत तथ्याङ्क कुनै पनि सरकारी निकायसँग उपलब्ध छैन।
राष्ट्रिय साइबर सुरक्षा केन्द्रका निर्देशक राजकुमार महर्जनका अनुसार कुन निकायबाट कस्तो विवरण चुहावट भयो भन्ने आधिकारिक अभिलेख छैन। राहदानी विभाग, उद्योग विभाग, जल तथा मौसम विज्ञान विभाग, हेलो सरकार र अर्थ मन्त्रालयले मात्र हालसम्म बाह्य आक्रमणको शङ्कासहित जानकारी दिएका छन्।
नेपाल प्रहरीको साइबर ब्युरोमा दर्ता हुने साइबर अपराधसम्बन्धी उजुरी पनि बढ्दै गएका छन्। डाटा चुहावट, वेबसाइट ह्याकिङ, इमेल दुरुपयोगलगायत घटनाको सङ्ख्या पछिल्ला वर्षमा उल्लेखनीय रूपमा बढेको देखिन्छ।
गत पुसमा नेपाल टेलिकमका करिब सात लाख प्रयोगकर्तालाई राजनीतिक प्रकृतिको बल्क एसएमएस पठाइएको घटना, विभिन्न सरकारी निकायका वेबसाइट ह्याक, निजी कम्पनीका सर्भरबाट व्यक्तिगत विवरण चुहावटजस्ता प्रकरणले डाटा सुरक्षाको कमजोरी उजागर गरेका छन्।
ह्याकिङ प्रकरणमा संलग्न व्यक्तिलाई विद्युतीय कारोबार ऐन, २०६३ अनुसार कारबाही भए पनि व्यक्तिगत डाटा सुरक्षित राख्न असफल संस्थामाथि भने अनुसन्धान र अभियोजनको प्रक्रिया अघि बढेको छैन। अनधिकृत रूपमा सार्वजनिक भएका धेरै विवरण अहिले पनि इन्टरनेट र सामाजिक सञ्जालमा उपलब्ध छन्।
प्रतिक्रिया