कोरोना ऐप्स की नीयत सही लेकिन प्राइवेसी चिंताओं पर गौर जरूरी

• सूचना को सार्वजनिक तौर पर फैलाए जाने का खतरा
• मौजूदा लोकेशन की डेटा को किया जा सकता है ट्रैक

मध्य प्रदेश सरकार के मोबाइल फोन आधारित क्वारनटीन मॉनिटरिंग सिस्टम से बड़े डेटा लीक ने कॉन्टेक्ट ट्रेसिंग ऐप्स से जुड़ी प्राइवेसी को लेकर बहस को तेज कर दिया है. खास तौर पर केंद्र सरकार के ऐसे ही ऐप ‘आरोग्य सेतु’ को लेकर. मध्य प्रदेश का डेटा प्लेटफॉर्म रविवार तक पब्लिक यूजर्स को दिख रहा था लेकिन अब इसे वापस ले लिया गया है.

प्लेटफ़ॉर्म का विचार संक्रमित रोगियों, क्वारनटीन किए गए नागरिकों और अन्य लोगों की सूची को प्रदर्शित करना था. जबकि उनके मोबाइल डिवाइस का नाम, ओएस संस्करण, एप्लिकेशन संस्करण कोड, जिला, ऑफिस लोकेशन जीपीएस, मौजूदा लोकेशन, जीपीएस कोऑर्डिनेट्स, आखिरी कैप्चर की टाइमस्टैम्प आदि भी साथ डिस्प्ले कर दिए गए.

हालांकि दुनिया भर में इस तरह के डेटा प्लेटफॉर्म और मोबाइल एप्लिकेशन का विचार लोगों तक उनके पड़ोस में केसों के फैलाव से जुड़ी उपयोगी सूचना पहुंचाना है. साथ ही सरकारी एजेंसियों की कॉन्टेक्ट ट्रेसिंग में मदद करना है. उक्त डेटा को सिक्योरिटी और सारे प्राइवेसी प्रोटोकॉल्स, चिंताओ को ध्यान में रखकर इकट्ठा, स्टोर और डिस्प्ले किया जाना चाहिए.

फोकस में चिंताएं

मध्य प्रदेश सरकार की ओर से रोल किए गए इस डेटा प्लेटफ़ॉर्म के साथ जुड़ी चिंता यूजर्स के डेटा लोकेशन जैसी संवेदनशील जानकारी इकट्ठा करने को लेकर नहीं हैं. क्योंकि ये दुनिया भर में COVID-19 कॉन्टेक्ट ट्रेसिंग और क्वारनटीन मॉनिटरिंग एप्लीकेशंस के साथ एक मानक बन गया है. उस सूचना को सार्वजनिक तौर पर फैलाए जाने में खतरा निहित है. पोर्टल में एक अजब फीचर रखा गया जिससे डेटा को लोगों की ओर से एक्सेल शीट में एक्सपोर्ट किया जा सकता था. ऐसे में उसका इस्तेमाल किसी भी मकसद के लिए हो सकता था. ये डेटा का सबसे संवेदनशील हिस्सा था.

उपलब्ध एक बहुत ही अजीब विशेषता में, डेटा को जनता के लिए एक एक्सेल शीट में निर्यात किया जा सकता है, जिस उद्देश्य के लिए यह डिज़ाइन किया गया था. यह डेटा का अत्यधिक संवेदनशील टुकड़ा है.

यह ऐसा था जैसे कि एप्लीकेशन को इंस्टाल करने वाले यूजर्स को सार्वजनिक निगरानी के लिए छोड़ दिया जाए. मोटी मिसाल के लिए जैसे कि चोर यूजर के मौजूदा लोकेशन डेटा को ट्रैक कर सकते हैं और उसी के हिसाब से चोरी का वक्त तय कर सकते हैं. या फिर शरारती तत्व खुद को सरकारी अधिकारी बता कर संवेदनशील डेटा के साथ नागरिकों को ठग सकते हैं.

यह सब यहीं खत्म नहीं होता. अपने आप में वेबसाइट खुद ही सुरक्षित नहीं थी. उदाहरण के लिए, GET API रिक्वेस्ट के साथ वेबसाइट को हिट करने पर इसने JSON फॉर्मेट में डेटा फ़ील्ड का एक अतिरिक्त सेट दिखाया जैसा कि नीचे चित्र में दिखाया गया है. ध्यान दें कि इसमें एप्लिकेशन यूजर्स के फ़ोन नंबर भी शामिल थे. यह गोपनीयता का एक गंभीर उल्लंघन है और लगता नहीं कि इसे एप्लीकेशन के नियमों और शर्तों में जोड़ा गया था.

इसके अतिरिक्त, वेबसाइट इसलिए भी सुरक्षित नहीं क्योंकि यह डेटा ट्रांसफर करने के "HTTP" मोड का उपयोग करती है जो ट्रांसमिशन का सबसे सुरक्षित तरीका नहीं है. एक आम आदमी के समझाने के लिए, आपने देखा होगा कि संवेदनशील जानकारी वाली वेबसाइट्स के डेटा ट्रांसमिशन के सुरक्षित साधनों के लिए उनके वेब पते की शुरुआत "HTTPS" के साथ होती हैं. जिन वेबसाइटों के पास यह नहीं है, वे डेटा लीक और उल्लंघनों के लिए संदिग्ध होती हैं.

यह कई ट्विटर हैंडल्स की ओर से रविवार को रिपोर्ट किया गया जिसके बाद पोर्टल से जुड़े संबंधित अधिकारियों ने इस पर ध्यान देने का वादा किया था. ट्विटर पर आधिकारिक तौर पर उन्होंने लिखा- “हमने इस मुद्दे पर संज्ञान लिया है और विस्तार से जांच की जा रही है. तब तक डैशबोर्ड को हटाया जा चुका है. धन्यवाद!"

यह ध्यान रखना महत्वपूर्ण है कि डेटा का रहस्यमय तरीके से उपयोग किया जा सकता है. इस तरह के मोबाइल एप्लिकेशन को नागरिकों के लिए अनिवार्य बनाया जा रहा है, ऐसी स्थिति में यूजर्स की संवेदनशील जानकारी की सुरक्षा और गोपनीयता सुनिश्चित करना बहुत अहम है. यह भी एक तथ्य है कि अधिकतर यूजर्स पूरी तरह से मोबाइल एप्लिकेशन के नियमों और शर्तों की सूची और और डेटा पॉइंटर्स से अवगत नहीं होते.

भारत में राज्यों को यह सुनिश्चित करना है कि ऐसे मजबूत साइबर कानून हैं, जो मोशन प्रोटोकॉल्स सेट करते हैं. जिनसे डेटा कलेक्शन और शेयरिंग के मानकों की बेहतर निगरानी की जा सकती है. मिसाल के लिए, तेलंगाना जैसे राज्यों में पहले से ही एक सरकारी आदेश के रूप में प्रोटोकॉल हैं, जो मरीजों की निजी जानकारी जैसे कि नाम आदि को उजागर करने से प्रतिबंधित करता है.

डेटा प्राइवेसी उल्लंघन की वैश्विक घटनाएं

अलग अलग देशों में लाए गए कॉन्टेक्ट ट्रेसिंग ऐप्स को लेकर मुद्दे और चिंताएं जताई जा रही हैं. हालांकि वो वो मध्यप्रदेश के COVID-19 मरीजों के पोर्टल से जुड़ी चिंताओं जितनी गंभीर नहीं हो सकतीं, लेकिन एप्लीकेशन यूजर्स की प्राइवेसी की सुरक्षा को सुनिश्चित करने की दिशा में बहस में योगदान देती हैं. भारत में एजेंसियों के लिए इस तरह के घटनाक्रम का संज्ञान लेना और डेटा सुरक्षा के उच्चतम मानकों को सुनिश्चित करना जरूरी है.

यूनाइटेड किंगडम की नेशनल हेल्थ सर्विस (NHS) ने मैनुअल कॉन्टेक्ट ट्रेसिंग को बदल कर कॉन्टेक्ट ट्रेसिंग मोबाइल एप्लिकेशन को रोल आउट किया. ऐसा संक्रमण के बहुत बड़े क्षेत्र में फैले होने की वजह से करना जरूरी था. यह एप्लिकेशन मुख्य रूप से ब्लूटूथ तकनीक से काम करता है. जो भी फोन इसके नजदीक आते हैं उनसे एक सीक्रेट और रैंडम संकेत का एक दूसरे से आदान प्रदान होता है. समस्या ये है कि उपरोक्त ऐप्लीकेशन NHS के डेटा के साथ सेंट्रलाइज्ड है. विवाद यह है कि NHS भविष्य के लिए वायरल संक्रमण के पैटर्न की स्टडी के लिए डेटा को अपने पास बनाए रखना जारी रखेगा. इसकी वजह से पॉलिसी मेकर्स, लोग और नेताओं से इसे बहुत आलोचना मिल रही है.

ऑस्ट्रेलिया भी डेटा कलेक्शन को लेकर इसी तरह के मुद्दे का सामना कर रहा है. अब वहां सरकार लोगों को आश्वस्त करने की कोशिश कर रही है कि महामारी का खतरा खत्म होने के बाद डेटा को डिलीट कर दिया जाएगा.

यह देखना अच्छी बात है कि डेटा दुनिया भर में एक संवेदनशील विषय बन गया है. यह भारत और भारतीयों के लिए भी जरूरी है कि डेटा को जिस तरह कलेक्ट किया जाता है और जिस तरह उसका इस्तेमाल किया जाता है, उस पर सतर्क और आलोचनात्मक दृष्टिकोण रखें.

(लेखक सिंगापुर स्थित ओपन सोर्स इंटेलिजेंस एनालिस्ट हैं)