कोरोना ऐप्स की नीयत सही लेकिन प्राइवेसी चिंताओं पर गौर जरूरी

• सूचना को सार्वजनिक तौर पर फैलाए जाने का खतरा
• मौजूदा लोकेशन की डेटा को किया जा सकता है ट्रैक

मध्य प्रदेश सरकार के मोबाइल फोन आधारित क्वारनटीन मॉनिटरिंग सिस्टम से बड़े डेटा लीक ने कॉन्टेक्ट ट्रेसिंग ऐप्स से जुड़ी प्राइवेसी को लेकर बहस को तेज कर दिया है. खास तौर पर केंद्र सरकार के ऐसे ही ऐप ‘आरोग्य सेतु’ को लेकर. मध्य प्रदेश का डेटा प्लेटफॉर्म रविवार तक पब्लिक यूजर्स को दिख रहा था लेकिन अब इसे वापस ले लिया गया है.

प्लेटफ़ॉर्म का विचार संक्रमित रोगियों, क्वारनटीन किए गए नागरिकों और अन्य लोगों की सूची को प्रदर्शित करना था. जबकि उनके मोबाइल डिवाइस का नाम, ओएस संस्करण, एप्लिकेशन संस्करण कोड, जिला, ऑफिस लोकेशन जीपीएस, मौजूदा लोकेशन, जीपीएस कोऑर्डिनेट्स, आखिरी कैप्चर की टाइमस्टैम्प आदि भी साथ डिस्प्ले कर दिए गए.

हालांकि दुनिया भर में इस तरह के डेटा प्लेटफॉर्म और मोबाइल एप्लिकेशन का विचार लोगों तक उनके पड़ोस में केसों के फैलाव से जुड़ी उपयोगी सूचना पहुंचाना है. साथ ही सरकारी एजेंसियों की कॉन्टेक्ट ट्रेसिंग में मदद करना है. उक्त डेटा को सिक्योरिटी और सारे प्राइवेसी प्रोटोकॉल्स, चिंताओ को ध्यान में रखकर इकट्ठा, स्टोर और डिस्प्ले किया जाना चाहिए.

फोकस में चिंताएं

मध्य प्रदेश सरकार की ओर से रोल किए गए इस डेटा प्लेटफ़ॉर्म के साथ जुड़ी चिंता यूजर्स के डेटा लोकेशन जैसी संवेदनशील जानकारी इकट्ठा करने को लेकर नहीं हैं. क्योंकि ये दुनिया भर में COVID-19 कॉन्टेक्ट ट्रेसिंग और क्वारनटीन मॉनिटरिंग एप्लीकेशंस के साथ एक मानक बन गया है. उस सूचना को सार्वजनिक तौर पर फैलाए जाने में खतरा निहित है. पोर्टल में एक अजब फीचर रखा गया जिससे डेटा को लोगों की ओर से एक्सेल शीट में एक्सपोर्ट किया जा सकता था. ऐसे में उसका इस्तेमाल किसी भी मकसद के लिए हो सकता था. ये डेटा का सबसे संवेदनशील हिस्सा था.

उपलब्ध एक बहुत ही अजीब विशेषता में, डेटा को जनता के लिए एक एक्सेल शीट में निर्यात किया जा सकता है, जिस उद्देश्य के लिए यह डिज़ाइन किया गया था. यह डेटा का अत्यधिक संवेदनशील टुकड़ा है.

यह ऐसा था जैसे कि एप्लीकेशन को इंस्टाल करने वाले यूजर्स को सार्वजनिक निगरानी के लिए छोड़ दिया जाए. मोटी मिसाल के लिए जैसे कि चोर यूजर के मौजूदा लोकेशन डेटा को ट्रैक कर सकते हैं और उसी के हिसाब से चोरी का वक्त तय कर सकते हैं. या फिर शरारती तत्व खुद को सरकारी अधिकारी बता कर संवेदनशील डेटा के साथ नागरिकों को ठग सकते हैं.

यह सब यहीं खत्म नहीं होता. अपने आप में वेबसाइट खुद ही सुरक्षित नहीं थी. उदाहरण के लिए, GET API रिक्वेस्ट के साथ वेबसाइट को हिट करने पर इसने JSON फॉर्मेट में डेटा फ़ील्ड का एक अतिरिक्त सेट दिखाया जैसा कि नीचे चित्र में दिखाया गया है. ध्यान दें कि इसमें एप्लिकेशन यूजर्स के फ़ोन नंबर भी शामिल थे. यह गोपनीयता का एक गंभीर उल्लंघन है और लगता नहीं कि इसे एप्लीकेशन के नियमों और शर्तों में जोड़ा गया था.

इसके अतिरिक्त, वेबसाइट इसलिए भी सुरक्षित नहीं क्योंकि यह डेटा ट्रांसफर करने के "HTTP" मोड का उपयोग करती है जो ट्रांसमिशन का सबसे सुरक्षित तरीका नहीं है. एक आम आदमी के समझाने के लिए, आपने देखा होगा कि संवेदनशील जानकारी वाली वेबसाइट्स के डेटा ट्रांसमिशन के सुरक्षित साधनों के लिए उनके वेब पते की शुरुआत "HTTPS" के साथ होती हैं. जिन वेबसाइटों के पास यह नहीं है, वे डेटा लीक और उल्लंघनों के लिए संदिग्ध होती हैं.

यह कई ट्विटर हैंडल्स की ओर से रविवार को रिपोर्ट किया गया जिसके बाद पोर्टल से जुड़े संबंधित अधिकारियों ने इस पर ध्यान देने का वादा किया था. ट्विटर पर आधिकारिक तौर पर उन्होंने लिखा- “हमने इस मुद्दे पर संज्ञान लिया है और विस्तार से जांच की जा रही है. तब तक डैशबोर्ड को हटाया जा चुका है. धन्यवाद!"

IF THIS IS #MadhyaPradesh GOVERNMENTS' IDEA OF DATA MANAGEMENT... GOD HELP IT'S PEOPLE.

Before you question my credentials to comment on this, FYI... I have been part of complex data security projects for governments and banks around the world. #COVID19INDIA #DATASECURITY pic.twitter.com/9cXZ0rPUJB

— Saikiran Kannan (@saikirankannan) May 10, 2020

In India, the state of Madhya Pradesh created a #Covid19 dashboard with:

- name of quarantined people

- their device id and name

- os version

- app version code

- the gps coordinates of their current location

- the gps coordinates of their officehttps://t.co/lRKaqGmc8P pic.twitter.com/EKgdhKqL7p

— Elliot Alderson (@fs0c131y) May 10, 2020

यह ध्यान रखना महत्वपूर्ण है कि डेटा का रहस्यमय तरीके से उपयोग किया जा सकता है. इस तरह के मोबाइल एप्लिकेशन को नागरिकों के लिए अनिवार्य बनाया जा रहा है, ऐसी स्थिति में यूजर्स की संवेदनशील जानकारी की सुरक्षा और गोपनीयता सुनिश्चित करना बहुत अहम है. यह भी एक तथ्य है कि अधिकतर यूजर्स पूरी तरह से मोबाइल एप्लिकेशन के नियमों और शर्तों की सूची और और डेटा पॉइंटर्स से अवगत नहीं होते.

भारत में राज्यों को यह सुनिश्चित करना है कि ऐसे मजबूत साइबर कानून हैं, जो मोशन प्रोटोकॉल्स सेट करते हैं. जिनसे डेटा कलेक्शन और शेयरिंग के मानकों की बेहतर निगरानी की जा सकती है. मिसाल के लिए, तेलंगाना जैसे राज्यों में पहले से ही एक सरकारी आदेश के रूप में प्रोटोकॉल हैं, जो मरीजों की निजी जानकारी जैसे कि नाम आदि को उजागर करने से प्रतिबंधित करता है.

डेटा प्राइवेसी उल्लंघन की वैश्विक घटनाएं

अलग अलग देशों में लाए गए कॉन्टेक्ट ट्रेसिंग ऐप्स को लेकर मुद्दे और चिंताएं जताई जा रही हैं. हालांकि वो वो मध्यप्रदेश के COVID-19 मरीजों के पोर्टल से जुड़ी चिंताओं जितनी गंभीर नहीं हो सकतीं, लेकिन एप्लीकेशन यूजर्स की प्राइवेसी की सुरक्षा को सुनिश्चित करने की दिशा में बहस में योगदान देती हैं. भारत में एजेंसियों के लिए इस तरह के घटनाक्रम का संज्ञान लेना और डेटा सुरक्षा के उच्चतम मानकों को सुनिश्चित करना जरूरी है.

यूनाइटेड किंगडम की नेशनल हेल्थ सर्विस (NHS) ने मैनुअल कॉन्टेक्ट ट्रेसिंग को बदल कर कॉन्टेक्ट ट्रेसिंग मोबाइल एप्लिकेशन को रोल आउट किया. ऐसा संक्रमण के बहुत बड़े क्षेत्र में फैले होने की वजह से करना जरूरी था. यह एप्लिकेशन मुख्य रूप से ब्लूटूथ तकनीक से काम करता है. जो भी फोन इसके नजदीक आते हैं उनसे एक सीक्रेट और रैंडम संकेत का एक दूसरे से आदान प्रदान होता है. समस्या ये है कि उपरोक्त ऐप्लीकेशन NHS के डेटा के साथ सेंट्रलाइज्ड है. विवाद यह है कि NHS भविष्य के लिए वायरल संक्रमण के पैटर्न की स्टडी के लिए डेटा को अपने पास बनाए रखना जारी रखेगा. इसकी वजह से पॉलिसी मेकर्स, लोग और नेताओं से इसे बहुत आलोचना मिल रही है.

ऑस्ट्रेलिया भी डेटा कलेक्शन को लेकर इसी तरह के मुद्दे का सामना कर रहा है. अब वहां सरकार लोगों को आश्वस्त करने की कोशिश कर रही है कि महामारी का खतरा खत्म होने के बाद डेटा को डिलीट कर दिया जाएगा.

यह देखना अच्छी बात है कि डेटा दुनिया भर में एक संवेदनशील विषय बन गया है. यह भारत और भारतीयों के लिए भी जरूरी है कि डेटा को जिस तरह कलेक्ट किया जाता है और जिस तरह उसका इस्तेमाल किया जाता है, उस पर सतर्क और आलोचनात्मक दृष्टिकोण रखें.

(लेखक सिंगापुर स्थित ओपन सोर्स इंटेलिजेंस एनालिस्ट हैं)