नेपालमा डाटा प्रोटेक्सनको बहस दुई घटनापछि अघि बढेको हो । पहिलो, २०६९ जेठ १८ मा काठमाडौंमा न्यायाधीश रणबहादुर बमको हत्याको अनुसन्धान गर्न गठित टिमबाट भएको गोपनीयता हकको उल्लंघन ।

यस टिमले ५ लाखवटा फोनको कल डिटेल र ३० हजार वटाको एसएमएस डिटेल लिएको खुलासा त्यही वर्ष कान्तिपुरले भदौ ११ मा गर्‍यो । समाचार अनुसार, सूचनामा भएका प्रेम र यौनबारे विवरण अनुसन्धानमा संलग्न नभएका प्रहरी अधिकृतले पनि हेर्ने गरेका थिए र ती उनीहरूको मनोरञ्जन गर्ने उपाय भएका थिए ।

यसपछि मानवअधिकारकर्मी/अधिवक्ता बाबुराम अर्याल, टंकराज अर्याल, सन्तोषबाबु सिग्देल र तारानाथ दाहालले त्यही समाचारका आधारमा सर्वोच्च अदालतमा रिट हाले । यसको फैसला २०७२ माघ २१ मा भयो । त्यस फैसलामा गोपनीयता सम्बन्धी कानुन नभएको अवस्थामा अदालतको आदेशबाट मात्र यस्तो वैयक्तिक सूचना दिन मिल्ने भनिएको छ । यसका साथै यसमा नेपाल टेलिकम र एनसेलजस्ता ‘सूचना सेवाप्रदायक संस्थाहरूसँग संगृहीत ‘व्यक्ति, संस्था र स्वयम् सरकारी निकायहरूका सूचना रहने हुनाले त्यस्तो सूचनाको संरक्षण व्यक्तिको हकहितको सुरक्षाको प्रश्न नभई राज्यकै हित र सुरक्षाको हकमा समेत लागू हुने कुरो हो’ भनिएको छ । यसको मतलब कसरी यस्ता वैयक्तिक डाटा सुरक्षित राख्नमा सूचना सेवाप्रदायक र सरकारलाई सजग रहनुपर्ने देखियो जुन डाटा प्रोटेक्सनको एउटा पाटो हो ।

दोस्रो, २०७३ सालमा स्मार्ट ड्राइभिङ लाइसेन्सको डाटा भारतीय कम्पनीसँग भएको खोज पत्रकारिता केन्द्रबाट भएको रिपोर्टिङले उब्जाएको बहस । १४ मंसीर २०७२ देखि यातायात विभागले बागमती अञ्चल यातायात व्यवस्था कार्यालयबाट ‘इलेक्ट्रोनिक ड्राइभिङ लाइसेन्स’ वितरण गर्‍यो । सुरुमा काठमाडौंबाट १ लाख ६० हजार स्मार्ट कार्डको वितरण भएको थियो । चिप पनि भएको यस्तो कार्डमा चालकको बायोमेट्रिक डाटा पनि थियो र यस्तो डाटा सार्वजनिक भएमा खतरा हुन सक्थ्यो । यस्तो अवस्थामा यो अनुसन्धानात्मक रिपोर्ट बाहिर आएको थियो ।

त्यस रिपोर्टमा ड्राइभिङ लाइसेन्सको डाटा भारतमा पठाइने जानकारी दिइएको थियो । यातायात विभागले ‘इलेक्ट्रोनिक ड्राइभिङ लाइसेन्स र सवारी दर्ता प्रणाली’ का लागि अन्तर्राष्ट्रिय टेन्डर आह्वान गरेको थियो जसमा ४२ कम्पनीले भाग लिएका थिए । अन्तिममा भारतीय कम्पनी ‘मद्रास सेक्युरिटिज प्रिन्टर्स’ लाई छानिएको थियो । त्यस बेला नेपालमा डाटा प्रोटेक्सनको कानुन नभएको बारे चर्चा भएको थियो ।

डाटा प्रोटेक्सनलाई कानुनी संयन्त्र मानिन्छ जसले वैयक्तिक डाटाको संकलन र प्रशोधनलाई कहिले र कसरी गर्न सकिन्छ भन्ने व्यवस्था गर्छ । संसारमा डाटा प्रोटेक्सनको बहस धेरै चर्किनुको एउटा कारण युरोपियन युनियनले सन् २०१६ मा पारित गरेको अनि २०१८ देखि लागू गरेको जनरल डाटा प्रोटेक्सन रेगुलेसन हो । यस रेगुलेसनले डाटा संकलक/प्रयोगकर्ताले स्वीकार गर्नुपर्ने केही सिद्धान्त र डाटाकर्ताको अधिकार युरोपमा स्थापित गरेको छ । डाटा प्रोटेक्सनको कानुनले प्रयोगकर्ताले कानुनसम्मत र पारदर्शी तरिकाले डाटा प्रयोगको र अत्यावश्यक डाटाको मात्र संकलनको व्यवस्था गरेको छ । निश्चित समयका लागि मात्र डाटालाई भण्डारण गर्न सकिने व्यस्था पनि गरेको छ । संकलित डाटाको प्रयोग कसरी गरिन्छ भन्ने थाहा पाउने अधिकार डाटाकर्तालाइ छ; उनीहरूले आफ्नो संकलित डाटा माग्न, हटाउन वा गलत भए सच्याउन अनुरोध गर्न पनि सक्छन् । र, आफ्नो अधिकार हनन भएमा क्षतिपूर्तिसमेत माग्ने अधिकार डाटाकर्ताको हुन्छ ।

नसमेटिकाएका कानुनी पाटा

डाटा प्रोटेक्सनको अवस्थाबारे जारी अनुसन्धानले नेपालमा भएका कानुनले डाटा प्रोटेक्सनका महत्त्वपूर्ण प्रावधानलाई सम्बोधन नगरेको देखाएको छ (‘सुरक्षा’ भन्दा यसको अर्थ संकुचन भई ‘डाटा सेक्युरिटी’ बुझिने डर भएकाले यस लेखमा अंग्रेजी शब्द ‘डाटा प्रोटेक्सन’ कै प्रयोग गरिएको हो) । यसका लागि डाटाको संकलन, सुरक्षा र प्रयोगलाई नेपाली कानुनले कसरी नियमन गरेको छ भनी बुझ्न जरुरी छ ।

नेपालमा डाटा संकलन सम्बन्धी नीतिगत व्यवस्था देखिन्छ । वैयक्तिक गोपनीयता सम्बन्धी ऐन–२०७५ ले यस्तो सूचना कसरी संकलन गर्ने मात्र उल्लेख गरेको छैन, यस्ता सूचनाको वर्गीकरण पनि गरेको छ । उदाहरणका लागि, यस कानुनले जात, जाति, धर्म, शिक्षा, टेलिफोन, राहदानी/नागरिक नम्बर, मतदाता परिचयपत्रको विवरण, बायोमेट्रिक सूचना, फौजदारी कसुरको विवरणलाई वैयक्तिक सूचना भनेको छ । यस कानुनको परिच्छेद १० मा सूचना संकलनको व्यवस्था छ । अधिकार दिइएको व्यक्तिले मुख्यतः वैयक्तिक सूचना संकलन गर्नुपर्ने भनिएको छ । तर अध्ययन वा अनुसन्धान गर्न सम्बन्धित व्यक्तिको स्वीकृति भए पनि यस्तो विवरण संकलन गर्न पाइन्छ । त्यस्तै, यसरी संकलन गर्दा भने सूचना संकलन गर्ने समय, सूचनाको विषयवस्तु, सूचनाको प्रकृति, सूचना संकलनको उद्देश्य, सूचना परीक्षणको विधि र प्रक्रिया, सूचनाको गोपनीयता र सूचना सुरक्षित राख्ने विधिको जानकारी व्यक्तिलाई दिन आवश्यक छ पनि भनिएको छ ।

डाटाको सुरक्षाबारे केही नीतिगत कानुन छन् । उदाहरणका लागि, वैयक्तिक गोपनीयता सम्बन्धी ऐन–२०७५ मा सूचना संकलन गर्ने निकायले त्यसको संरक्षण गर्नुपर्ने व्यवस्था गरेको छ । दफा २५ मा ‘सार्वजनिक निकायले वैयक्तिक सूचनामा हुन सक्ने अनधिकृत पहुँच वा त्यस्तो सूचनाको अनधिकृत उपयोग, हेरफेर, खुलासा, प्रकाशन वा प्रसारणविरुद्ध हुन सक्ने जोखिमका विरुद्ध सुरक्षाको उपयुक्त प्रबन्ध गर्नुपर्नेछ’ भनिएको छ ।

डाटाको सुरक्षामा राष्ट्र बैंकले पनि ध्यान दिएको छ । नेपाली बैंकहरूमा अनलाइन नेटवर्क सुरु भएपछि वित्तीय घाटा र इलेक्ट्रोनिक ठगी बढेको पृष्ठभूमिमा नेपाल राष्ट्र बैंकले २०६९ भदौतिर नेपाल राष्ट्र बैंक इन्फर्मेसन टेक्नोलोजी गाइडलाइन वा नेपाल राष्ट्र बैंक सूचना प्रविधि कार्यविधि नै ल्यायो । बैंकले सूचना प्रविधि सम्बन्धी रणनीति तथा नीति बनाउनुपर्ने, कर्मचारीलाई सूचना सेक्युरिटी शिक्षा दिनुपर्ने, सूचना प्रविधि लेखापरीक्षण वा इन्फर्मेसन सिस्टम अडिट गर्नुपर्ने प्रावधान पनि राखिएको थियो । साइबर सेक्युरिटी विज्ञका अनुसार, आईटी एडिटका क्रममा संस्थाभित्र सूचना प्रविधि सम्बन्धी सफ्टवेयर, हार्डवेयर र सिस्टमको सुरक्षा कस्तो छ भन्ने हेरिन्छ र सुरक्षा कमजोर भए सुधारका उपायहरू सुझाइन्छन् ।

सार्वजनिक संस्थासँग भएका डाटाको प्रयोगबारे भने भएका नीति–कानुनले पर्याप्त ध्यान दिन सकेका छैनन् । उदाहरणका लागि, वैयक्तिक गोपनीयता सम्बन्धी ऐन–२०७५ को दफा २६ मा प्रयोजन खुलाई संकलन गरिएको सूचना र सहमतिबाट प्राप्त सूचना फौजदारी मुद्दाका क्रममा अनुसन्धान र अभियोजन गर्न, निश्चित प्रश्नको निवारण गर्न सूचना अधिकारीले लिखित रूपमा माग गरेमा प्रयोग गर्न पाउने भनिएको छ । यहाँ ध्यान दिनुपर्ने एउटा विषय सार्वजनिक संस्थामा रहेको वैयक्तिक सूचनालाई सच्याउन पाउने व्यवस्था हो । यसबारे ऐनको धारा २८ मा यसरी राखिएको सूचना गलत वा तथ्यमा आधारित नभएमा सच्याउन सकिने त भनिएको छ तर सोही विवरणका आधारमा लाभ वा फाइदा लिएको भए सच्याउन निवेदन दिन नपाउने पनि भनिएको छ । माथि उल्लेख गरिए झैं, गलत सूचना सच्याउने अधिकार अन्य देशको डाटा प्रोटेक्सनको कानुनले डाटाकर्तालाई दिने गर्छ तर नेपालमा गोपनीयता कानुनले यो अधिकार भने दिएको देखिँदैन ।

त्यसैले यो कानुन सार्वजनिक संस्थासँग भएको सूचनाको प्रयोगका धेरै पक्षबारे मौन छ । संकलित सूचना कति समयसम्म राख्ने भन्ने विषयलाइ यो कानुनले सम्बोधन गरेको छैन । त्यस्तै प्रयोजनबारे खुलाएर सूचना संकलन गरिन्छ भनिएको त छ तर अर्कै प्रयोजनका लागि त्यस्ता सूचना प्रयोग गरे कस्तो सजाय हुन्छ भन्ने स्पष्ट भनिएको छैन । संकलित वैयक्तिक सूचना सेक्युरिटी अभावले सार्वजनिक भयो भने सम्बद्ध संस्थालाई के गर्ने भन्नेमा पनि यो कानुन मौन छ ।

अबको बाटो

नीतिगत अभावका कारण नेपालमा डाटा प्रोटेक्सनको कानुन बनाउन आवश्यक छ । एकातिर, अहिले डाटाको प्रशोधन गर्ने संस्थाले अत्यावश्यक नभएको डाटा पनि संकलन गरिरहेका छन् कि भन्ने शंका उत्पन्न भइरहेको छ । अनि निश्चित उद्देश्यका लागि दिइएका वैयक्तिक डाटा विज्ञापन लगायत अरू प्रयोजनका लागि प्रयोग हुँदा यस्तो डाटाको किनबेच त भइरहेको छैन भन्ने प्रश्न पनि उब्जिरहेको छ । अर्कोतिर, विभिन्न क्षेत्रमा रहेका वैयक्तिक डाटा बाहिर आएमा यसले व्यक्तिको गोपनीयता हनन हुने र जीवनयापन नै कष्टकर बन्ने सम्भावना पनि छ । स्वास्थ्य क्षेत्रमा भएका बिरामीका संवेदनशील डाटा सार्वजनिक भएमा अवस्था अझ भयावह हुन सक्छ ।

नेपालमा डाटा प्रोटेक्सनको कानुन बनाउने दुई तरिका छन् । एउटा, वैयक्तिक गोपनीयता ऐनमै आवश्यक कुरा थप्न सकिन्छ । हुन पनि यस ऐनको प्रस्तावनामै ‘सूचनाको संरक्षण र सुरक्षित उपयोगको व्यवस्था गर्ने’ उद्देश्यले यो कानुन बनाइएको उल्लेख छ । यसको मतलब यो कानुनले समेट्नुपर्ने विषय डाटा प्रोटेक्सनका मुद्दाहरू पनि थिए । हुन त यो कानुन निर्माणका क्रममा सरोकारवालाले डाटा प्रोटेक्सनको मुद्दा पनि समेटिनुपर्ने सुझाव दिएका थिए तर कानुन पारित हुँदा त्यसलाई समेटिएन । मुख्यतः डाटा प्रयोगकर्ताको दायित्व र डाटादाताको अधिकारका प्रावधानलाई थप्न सकिन्छ । यस क्रममा कुनै पनि डाटाको संकलन र प्रयोग गर्न मिल्ने हो कि होइन भन्ने निर्धारण गर्ने छुट्टै निकायको व्यवस्था गर्न सकिन्छ । अर्को, माथि उल्लेख गरिएका दायित्व र अधिकारलाई सुनिश्चित गर्ने छुट्टै डाटा प्रोटेक्सन कानुन बनाउन सकिन्छ ।

मार्टिन चौतारीका अनुसन्धाता महर्जन डिजिटल प्रविधि नीति र प्रयोगबारे चासो राख्छन् ।