२७ फागुन, काठमाडौं । अनलाइनमार्फत खाना र खाजा डेलिभरी गर्ने ‘फुडमान्डु’को वेबसाइटका ५० हजार ग्राहकको व्यक्तिगत विवरण चोरेर ह्याकर समूहले आइतबार सार्वजनिक गर्यो ।
यो प्रकरणमा प्रहरीले अनुसन्धान थालेको त छ ।
विज्ञहरुले फुडमाण्डुको यो प्रकरणबाट पाठ सिक्दै वैयक्तिक विवरणको सुरक्षामा ध्यान दिन सरकारी तथा निजी सेवा प्रदायकलाई सुझाव दिएका छन् । यो घटनामा प्रहरीको साइबर ब्युरोले अनुसन्धान थालेको छ ।
तर, नेपालमा महत्वपूर्ण विवरण चोरेर सार्वजनिक गर्नेमाथि कारवाही गर्ने सामान्य कानूनी आधार भए पनि सुरक्षा गर्न नसक्ने कम्पनीमाथि गम्भीर कानूनी प्रश्न उठाउन कठीन हुने छ ।
यो पनि पढ्नुहोस
फुडमान्डुमा साइबर हमला, ३० हजार ग्राहकको विवरण चोरियो
नेपालमा वैयक्तिक सूचना र विवरणको गोपनीयतालाई महत्व दिएर विशेष कानूनहरु नबन्दा विभिन्न सार्वजनिक निकाय तथा निजी सेवा प्रदायकले लिएका सूचना बाहिरिँदा पनि पीडितहरु चुप लागेर बस्नुपर्ने अवस्था छ ।
प्रविधिको प्रयोगमार्फत ग्राहक बटुलेर उनीहरुको वैयक्तिक विवरण लिएका कम्पनीलाई जिम्मेवार बनाउने गरी विशेष कानूनी प्रवन्ध भएको छैन । ग्राहकको विवरण लिने तर आफ्नो प्रणालीलाई साइबर हमलाबाट जोगाउने प्रवन्ध नगर्ने कम्पनीलाई नियमन र कारवाही गर्ने कानून नै बनेको छैन ।
सुरक्षित राख्ने प्रतिवद्धता गरेर ग्राहकसँग व्यक्तिगत विवरण संकलन गर्ने, तर आफ्नो प्रणालीको सुरक्षामा खर्च पनि नगर्ने र सुरक्षा अवस्थाको वार्षिक रुपमा परीक्षण नगराउने कम्पनीहरु सयौंको संख्यामा छन् ।
नेपालका विभिन्न किसिमका अनलाइन तथा इन्टरनेटमा आधारित कम्पनीले खर्च बढ्ने डरले प्रणालीमा बलियो सुरक्षा प्रणाली राखेका छैनन् । नेपाल दूरसञ्चार प्राधिकरणका पूर्वअध्यक्ष भेषराज कँडेल यस्तो विवरण सार्वजनिक हुँदा आपराधिक समूहले दुरुपयोग गर्ने खतरा हुने बताउँछन् ।
‘भर्खर विकास हुँदै गरेका अनलाइनमा आधारित कम्पनीले ठूलो खर्च हुने भएकाले व्यक्तिगत विवरणको सुरक्षामा लगानी गर्न सकेका छैनन्,’ उनी भन्छन्,‘तर, यस्तो परिघटनाबाट सरकार र सेवाप्रदायकहरुले सिक्नुपर्छ, वैयक्तिक विवरण लिएर हुनसक्ने आपराधिक कार्यलाई निरुत्साहित गर्न गर्नुपर्छ ।’
उनले अमेरिकामा चुनावका बेला डोनाल्ड ट्रम्पले फेसबुकबाट यस्तो विवरण किनेर मतदातालाई प्रभावित गरेको उदारहण यस्ता विवरणहरु दुरुपयोग हुन नदिन बलियो कानूनी प्रवन्धनहरु गर्नुपर्ने बताए ।
अहिलेसम्म नेपालमा यस्तो विवरण दुरुपयोग हुने सम्भावना कम भएपनि भविष्यमा यस्तो विषय गम्भीर मुद्दा बन्न सक्ने भएकाले सबैमा सचेतता आवश्यक देख्छन्, पूर्वअध्यक्ष कँडेल ।
गम्भीर कि हल्काफुल्का विषय ?
शनिबार राति फुडमान्डुको प्रणालीबाट चोरिएको ग्राहकको नाम, ठेगाना, फोन नम्बर इमेल ह्याकर समूहले आइतबार सार्वजनिक गरेको थियो । अन्तर्राष्ट्रिय स्तरमा विवरणहरु बाहिरिनुलाई निकै ठूलो अपराध मानिन्छ । नेपालमा भने यसलाई हल्काफुल्का रुपमै लिने गरिएको छ ।
ग्राहकको विवरण लिएपछि त्यसको हिफाजत गर्नु दायित्व भए पनि ह्याकर समूहले अनपेक्षित रुपमा आक्रमण गर्दा आफूहरु दुःखित भएको फुडमान्डुका संस्थापक मनोहर अधिकारी बताउँछन् । आफ्नो प्रणालीलाई बलियो बनाउन खोज्दा खोज्दै पनि ग्राहक बारेको सूचना बाहिरिएको उनको गुनासो छ ।
‘ग्राहकको व्यक्तिगत विवरण बाहिरिनुहुँदैनथ्यो,’ उनले भने,‘तर आपराधिक समूहले नै यस्तो काम गरेकाले हामीले प्रहरीको सहयोग मागेका छौं ।’ उनले यसका विरुद्ध कानूनी लडाइँ लड्ने बताए ।
प्रहरीले भने प्रारम्भमै यसलाई गम्भीर अपराधका रुपमा देखेको छैन । यो घटनाको प्रारम्भिक अनुसन्धानमा संलग्न एक प्रहरी अधिकृतका अनुसार प्रकरणको पछाडि अपराधिक मानसिकता देखिएको छैन । अहिलेसम्मको विश्लेषणबाट डाटा चोरीले मात्रै खतरा देखिने स्थिति नरहेको प्रहरीको दावी छ ।
‘कम्पनीको वेबसाइट पनि डाउन भएको छैन, ह्याक वा दुरुपयोग पनि गरिएको छैन’, ती अधिकृतले अनलाइनखबरसँग भने, ‘कसैले मेरो क्षमता यति छ भनेर देखाउनलाई पनि गरेको हुन सक्छ ।’
उपभोक्ता अधिकारकर्मी तथा अधिवक्ता ज्योति बानियाँ यसले कम्पनीलाई हानी नगरे पनि सेवाग्राहीको गोपनियता भंग हुनुलाई सामान्य मान्न नसकिने बताउँछन् ।
‘यो अक्षम्य लापरवाही हो, व्यक्तिगत विवरण सुरक्षित राख्छु भनेर ग्राहकसाग सूचना लिने अनि त्यसको सुरक्षामा जिम्मेवार बन्न नसक्ने नेपाली कम्पनीहरुको हेपाह र पैसामुखी प्रवृत्ति उपभोक्ता हित र अधिकारकाविरुद्ध छ,’ उनी भन्छन्,‘कुनै ग्राहकले आफ्नो विवरण बाहिरएको बारे उजुरी गरे त्यहाँ कानूनी प्रश्न उठ्छ, कम्पनीले क्षतिपूर्ति पनि तिर्नुपर्छ ।’
अनलाइनको माध्यमबाट ठूलो संख्यामा उपभोक्तासँग जोडिने कम्पनीहरुले ग्राहकको व्यक्तिगत सूचना जोगाउने गरी प्रणाली बलियो बनाउनुपर्ने उनको भनाइ छ ।
त्यसो नभए ग्राहक पनि पीडित हुने र कम्पनीमाथि पनि नैतिक तथा कानूनी प्रश्न उठिरहने उनको भनाइ छ । सरकारले यस्तो गम्भीर विषयलाई समेटेर कानून पनि ल्याउनुपर्ने उपभोक्ता अधिकारकर्मीहरुको माग छ ।
फितलो कानून
नेपालका केही कानूनहरुले यस्ता विवरण गोपनीयतासँग सम्बन्धित हुने भन्दै संरक्षणका लागि आंशिक रुपमा जिम्मेवार बनाउन त खोजेका छन्, तर व्यवस्थाहरु अपुरो छन् । संविधानले गोपनीयताको हक दिएको छ, तर त्यसको कार्यान्वयनका लागि प्रभावकारी कानूनहरू बनेका छैनन् ।
वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ले कुनै पनि व्यक्तिसँग सम्बन्धित जात, जाति, जन्म, उत्पत्ति, धर्म, वर्ण वा वैवाहिक स्थिति, ठेगाना, टेलिफोन वा विद्युतीय पत्र (इमेल) को ठेगाना लगायतलाई वैयक्तिक सूचनाको रुपमा परिभाषित गरेको छ । ऐनले संकलित यस्ता सूचनाको संरक्षण गर्नुपर्ने दात्यिव किटान गरेको छ ।
ऐनको दफा १९मा भनिएको छ, ‘प्रत्येक व्यक्तिलाई विद्युतीय माध्यममा रहेको निजको कुनै पनि वैयक्तिक सूचना, लिखत, पत्राचार, तथ्यांक वा चरित्रसम्बन्धी कुराको गोपनीयता राख्न पाउने अधिकार हुनेछ ।’ यसै दफाको उपदफा १मा कसैले कुनै पनि व्यक्तिको विद्युतीय माध्यममा रहेको सूचना, जानकारी, पत्राचार अनधिकृतरूपमा प्राप्त गर्न, त्यसको गोपनीयता भंग गर्न वा अनधिकृतरूपमा कसैलाई उपलब्ध गराउन नहुने उल्लेख छ ।
ऐनको दफा २३ मा कुनै सार्वजनिक निकायले संकलन गरेको वा त्यस्तो निकायको जिम्मा वा नियन्त्रणमा रहेको वैयक्तिक सूचना त्यस्तो निकायले संरक्षण गर्नुपर्ने भनिएको छ । यस्तो वैयक्तिक सूचनामा हुन सक्ने अनधिकृत पहुँच वा त्यस्तो सूचनाको अनधिकृत उपयोग, हेरफेर, खुलासा, प्रकाशन वा प्रसारण विरुद्ध हुन सक्ने जोखिमका विरुद्ध सुरक्षाको उपयुक्त प्रबन्ध गर्नु पर्ने व्यस्था यसै दफाको उपदफा २ मा गरिएको छ ।
विद्युतीय कारोबार ऐन २०६३ को दफा ४८मा कुनै विद्युतीय अभिलेख, किताब, रजिष्टर, पत्र व्यवहार, सूचना, कागजात वा अन्य सामग्रीहरुमा पहुँच प्राप्त गरेको कुनै व्यक्तिले कुनै अनधिकृत व्यक्तिलाई त्यस्तो अभिलेख, किताब, रजिष्टर, पत्र व्यवहार, सूचना, कागजात वा सामग्रीको गोपनीयता भंग गरेमा वा भंग गर्न लगाएमा कसूरको मात्रा हेरी एक लाख रुपैयाँसम्म जरिबाना वा दुई वर्षसम्म कैद वा दुवै सजायँ हुने व्यवस्था गरेको छ ।
तर, यी व्यवस्थाहरुले ग्राहकको डाटा लिएर बसेका कम्पनीहरुलाई जिम्मेवार बनाउन पर्याप्त छैनन् । कमजोर कानूनकै कारण ग्राहकको व्यक्तिगत सूचनामा खेलाँची गर्ने क्रम बढ्दो छ ।
अनलाइन बिजनेस फस्टाएका समयमा बाहरिएको व्यक्तिगत विवरण दुरुपयोग हुने खतरा उत्तिकै बढ्दै छ । त्यस्ता पीडित ग्राहकको पोन र इमेललाई विभिन्न मार्केटिङ कम्पनीले आफ्ना उत्पादनको प्रचारमा उपयोग गर्ने जमेखिम पनि हुन्छ ।
ह्याकरले आक्रमण नगर्दा पनि एउटा प्रयोजनमा कुनै कम्पनीले लिएको व्यक्तिगत विवरण अर्को कम्पनीलाई विक्री गर्ने खतरा पनि उत्तिकै छ । अझ सञ्चालक एउटै रहेका फरक बिजनेस हाउसले एउटा प्रयोजनमा लिएको वैयक्तिक विवरणहरु फोन र इमेल अर्को प्रयोजनको कम्पनीको बजारीकरणमा प्रयोग गर्ने जोखिम छ । यसले ग्राहकलाई अनावश्यक हैरानीमा त पार्छ नै, उसको गोपनीयताको अधिकार पनि खोसिन पुग्छ ।
अन्तर्राष्ट्रिय रुपमा गम्भीर अपराध
नेपालमा यस्तो विषयलाई ठूलो नमानिए पनि अन्तर्राष्ट्रिय स्तरमा भने ग्राहकको व्यक्तिगत विवरणलाई उच्च्तम् महत्व दिइन्छ । ग्राहकको व्यक्तिगत विवरणको सुरक्षा गर्न नसक्दा कयौं कम्पनीले अर्बौं रकम क्षतिपूर्ति स्वरुप तिर्नुपरेको उदहारणहरु छन् ।
तथ्यांक सुरक्षा गर्न नसकेको आरोपमा सबैभन्दा बढी जरीवाना बुझाउने कम्पनी इक्युफ्याक्स हो । उसले १५ करोड ग्राहकको डेटाको सुरक्षा गर्न नसकेको मुद्दा सुल्झाउन उसले अमेरिकाको फेडेरल ट्रेड कमिशन र कन्ज्युमर फाइनान्सियल प्रोटेक्शन ब्यूरोसँग सन् २०१९ मा ५७ करोड ५० लाख डलर जरीवाना बुझाउन सहमत भएको थियो । कम्पनीमाथि सन् २०१७ मा साइबर आक्रमण भएको थियो ।
ब्रिटिश एयरवेजलाई पनि बेलायतमा डेटा सुरक्षा गर्न नसकेको भन्दै यूरोपेली नियामकले २३ करोड डलर जरीवाना गरेको थियो । त्यस्तै सोही प्रकृतिको मुद्दामा चर्चित अनलाइन ट्याक्सी सेवा प्रदायक उबरलाई पनि १४ करोड ८० लाख डलर जरीवाना गरिएको थियो ।
याहुले पनि सन् २०१३ मा भएको साइबर आक्रमणमा आफ्नो डेटा सुरक्षा गर्न नसकेको मुद्दामा समग्रमा ८ करोड ५० लाख डलर जरीवाना बुझाएको थियो । डाटा सुरक्षाको मुद्दामा गुगलले पनि ७५ लाख डलर जरिवाना बुझाउन सहमति जनाएको छ । सन् २०१८ मा देखिएको समस्या सुल्झाउन कम्पनी उक्त जरीवाना बुझाउन सहमत हुनुपरेको थियो ।
त्यस्तै फेसबुक, क्याथे प्यासिफिक, इक्युफ्याक्सजस्ता कम्पनीले पनि सन् २०१८ मा बेलायतमा डाटा सुरक्षाको मामिलामा समान ६ लाख ५० हजार डलर जरीवाना बुझाएका थिए । यस्ता नाम चलेका धेरै कम्पनीहरु छन्, जसले विभिन्न मुलुकमा डेटा सुरक्षा गर्न नसकेको आरोपमा जरिवानाको सामना गरिसकेका छन् ।
