विशाल दानव बन चुके ‘आधार’ को काबू कर पाना मुश्किल, सिर्फ सुप्रीम कोर्ट ही लगा सकती है लगाम: पवन दुग्गल

119 करोड़ भारतीयों की बायोमेट्रिक जानकारी रखने वाले आधार डाटाबेस से कोई भी व्यक्ति 500 रुपये में जानकारी हासिल कर सकता है। इससे भी हैरान करने वाली स्थिति ये है कि 300 रुपये अतिरिक्त खर्च कर कोई भी आधार पर किसी की जानाकारी के साथ छेड़छाड़ कर सकता है। मोदी सरकार द्वारा आधार को अनिवार्य बनाने की कोशिश के बीच हाल में ‘द ट्रिब्यून’ में छपे एक आलेख ने आधार परियोजना की कुछ बड़ी खामियों को उजागर किया है। पवन दुग्गल सुप्रीम कोर्ट में वकील हैं और वह 2009 में आधार परियोजना की शुरुआत से ही राष्ट्रीय सुरक्षा और संप्रभुता के मुद्दों को लेकर इस परियोजना के मुखर आलोचक रहे हैं। आधार डाटा लीक, अनधिकृत पहुंच और इसके प्रतिरूपण की खबरों के बीच दुग्गल ने नवजीवन से बात की। पेश हैं बातचीत के मुख्य अंश।

आधार डाटा में सेंध की घटनाओं से निपटने में ‘वर्चुअल आईडी’ कितनी प्रभावी होगी?

वर्चुअल आईडी एक आकर्षक अवधारणा है। हालांकि सर्कुलर में इसके तकनीकी और साइबर सुरक्षा मानकों का विवरण नहीं दिया गया है। इसके अलावा, 1 जून 2018 से शुरू होने वाले इस तथाकथित आभासी पहचान (वर्चुअल आईडी) की शुरूआत का समय भी संदिग्ध है। यह एक ऐसे व्यक्ति की तरह है जिसका शरीर पहले ही विकिरण की चपेट में आ चुका है और तब उसे यह सोचकर एक शर्ट पहनने के लिए दिया जाए कि वह शर्ट उसके शरीर की हिफाजत में मदद करेगा। लेकिन तब तक नुकसान हो चुका होता है।

सबसे महत्वपूर्ण बात है कि वर्चुअल आईडी की यह अवधारणा सबसे पहले एक स्वैच्छिक अवधारणा है। सरकार ने इसे अनिवार्य नहीं बनाया है। आप आधार तंत्र में दो वर्ग के सेट बनाने की कोशिश कर रहे हैं। पहला वर्ग उन लोगों का, जो सुरक्षा के लगभग नगण्य स्तरों के साथ सहज हैं और दूसरा वैसे लोगों का वर्ग, जो अपनी गोपनीयता और सुरक्षा के प्रति अधिक संवेदनशील हो सकते हैं। इसलिए, इसे लागू करने की दिशा में आगे बढ़ने पर कई बड़ी व्यावहारिक चुनौतियां सामने आने वाली हैं।

इसके अलावा अन्य व्यावहारिक चुनौतियां भी हैं। सबसे पहला और सबसे अहम बात ये है कि इसकी अधिसूचना आधार अधिनियम, 2016 के तहत जारी की गई है। इसके तहत यह एक ऐसी अवधारणा को पेश करने की कोशिश है, जो आधार कानून के दायरे और मापदंडों से परे है। सर्कुलर में यह भी नहीं बताया गया है कि यह किन धाराओं के तहत जारी किया गया है।

यूआईडीएआई को आधार अधिनियम की धारा 53 के तहत विभिन्न निर्देश जारी करने की शक्ति दी गई है। लेकिन सर्कुलर कोई नियम नहीं है। आधार अधिनियम की धारा 54 के तहत, यूआईडीएआई नियमावली जारी कर सकता है। जाहिर है, नियमों को कानून के प्रावधानों को लागू करने के इरादे से बनाया गया है। इसके अलावा, यह सर्कुलर अधिनियम के प्रावधानों के विपरीत है। क्योंकि आधार अधिनियम के तहत, सरकार ने स्पष्ट किया है,

आधार अधिनियम के अध्ययन से पता चलता है कि संसद ने कभी आभासी पहचान की किसी अवधारणा पर विचार नहीं किया है। अब, इस तरह की अवधारणा को लागू करना बुनियादी तौर आधार के मूलतत्व को बदलने के बराबर है। इसलिए, अन्य मुद्दों के साथ ही इस आधार पर इस सर्कुलर को अदालत में चुनौती दी जा सकती है कि यह आधार अधिनियम के दायरे से परे है।

आधार संख्या का प्रमाणीकरण केवल आधार अधिनियम की धारा 8 के तहत किया जा सकता है। कानून के अनुसार, आधार संख्या के स्थान पर वर्चुअल आईडी शुरू करने की अनुमति नहीं है। एक सर्कुलर के माध्यम से यूआईडीएआई आधार अधिनियम के प्रावधानों के परे नहीं जा सकता है। आधार उपयोगकर्ताओं के पास अपना आधार नंबर किसी के साथ साझा नहीं करने का भी विकल्प है। लेकिन, जब मैं इस प्रक्रिया के विस्तृत प्रावधानों को देखता हूं कि यह किस तरह लागू होगा तो मुझे इसमें कोई भी साइबर सुरक्षा के उपाय नहीं नजर आते हैं, जिन्हें कि इस संरचना का अभिन्न अंग होना चाहिए था।

वर्चुअल आईडी डाटा की गोपनीयता के साथ-साथ किसी की व्यक्तिगत जानकारी की हिफाजत किस तरह करेंगे, यह अभी तक स्पष्ट नहीं है।

जिस तरह से वैश्विक एयूए और स्थानीय एयूए के बीच कृत्रिम भेद की मांग की जा रही है, यह साफ तौर पर कानून के प्रावधानों को समाप्त करने के प्रयास से पता चलता है। आधार अधिनियम का मूल उद्देश्य यह सुनिश्चित करना है कि आधार जानकारी लीक नहीं हो। लेकिन यह प्रक्रिया वैश्विक एयूए को अपने सिस्टम पर आधार संख्या को स्टोर करने में सक्षम बनाता है। सर्कुलर के 16 पैराग्राफ उस तकनीकी संरचना की व्याख्या नहीं करते हैं, जिसके जरिये इन वर्चुअल आईडी का उत्पादन, रखरखाव, और उन्हें इस तरह संरक्षित रखा जाएगा जो कि पूरी तरह से सुरक्षित हों। बड़ी संख्या में लोगों के पास आधार डाटाबेस तक अनधिकृत पहुंच है, जो कि आधार संख्याओं का इस्तेमाल कर नकली या फर्जी वर्चुअल आईडी बनाना उनके लिए संभव बनाता है।

अब तक 1.19 अरब लोगों का आधार बन चुका है। इसको और अधिक सुरक्षित बनाने के लिए सरकार को कागजी अधिसूचना जारी करने के बजाय ठोस समाधान पेश करना चाहिए। भारतीय नागरिकों के साथ सरकार के प्रयोगशाला की प्रयोगात्मक सामग्री की तरह व्यवहार नहीं होना चाहिए। पहले से ही आधार अधिनियम की अपनी खामियां हैं। अगर किसी की आधार संख्या के साथ किसी तरह की छेड़छाड़ होती है, तो उनके पास पुलिस स्टेशन जाने और प्राथमिकी दर्ज कराने का भी कोई अधिकार नहीं है। यह सर्कुलर एक पट्टी के जरिये लीक हो रही छत की मरम्मत करने की कोशिश जैसा है। इसके लिए अधिक समग्र, व्यापक और अभिनव दृष्टिकोण अपनाने की जरूरत है।

यूआईडीएआई ने वर्चुअल आईडी लाने की योजना के तहत वैश्विक और निजी एयूए पेश करने का प्रस्ताव दिया है। क्या आप इन प्रस्तावों पर कुछ प्रकाश डाल सकते हैं?

सर्कुलर के 9वें पाराग्राफ में एयूयू की चर्चा है। यह एक वर्गीकरण है जिसको बनाने की वे मांग कर रहे हैं

यह भी स्पष्ट नहीं है कि वैश्विक और स्थानीय एयूए कौन हो सकते हैं। यह भी स्पष्ट नहीं है कि ये वैश्विक एयूए भारत के बाहर स्थित होंगे या वे विदेशों से संचालित होने वाली भारतीय संस्थाएं होंगी। इसी तरह, स्थानीय एयूए को भी सही से परिभाषित नहीं किया गया है, लेकिन यह घरेलू एयूए के संदर्भ में हो सकता है। आधार संख्याओं को एकत्र करने की अनुमति देकर एयूए में अधिक विश्वास जताने का कोई आधार नहीं है। एयूयू का वर्गीकरण एक बार फिर कानून के प्राकृतिक सिद्धांत के विपरीत जाता है, क्योंकि स्थानीय एयूए के पास आधार संख्याओं को एकत्र करने की शक्ति नहीं होगी।

इसलिए, यूआईडीएआई द्वारा तकनीकी विवरण जारी किए जाने और किस तरह वे इस प्रस्ताव को लागू करने की योजना बनाते हैं, उसका इंतजार है। इस सर्कुलर में किए गए व्यापक घोषणाओं से इसके क्रियान्वयन की जमीनी हकीकत बहुत अलग है।

‘द ट्रिब्यून ‘ने हाल ही में एक गैरसरकारी शख्स द्वारा आधार डाटा में सेंध और उसके बेचे जाने की रिपोर्ट प्रकाशित की थी। इस तरह की घटनाएं कितनी खतरनाक हैं और उन्हें कैसे रोका जा सकता है?

‘द ट्रिब्यून’ मामला बहुत ही उचित मुद्दे की तरफ इशारा करता है। मार्च 2016 में आधार विवरण लीक होने के बाद से यह पूरी आधार परियोजना पर सबसे बड़ा धब्बा है। इस मामले के उजागर होने से पहले हम साइबर सुरक्षा के कई अलग अलग उल्लंघन देख रहे थे, लेकिन उनमें जोखिम का स्तर अपेक्षाकृत कम था। झारखंड सरकार की वेबसाइट से 4.4 लाख आधार नंबर लीक होने की घटना हमारे सामने है। जियो आधार लीक के दौरान 10 करोड़ लोगों के आधार की जानकारी लीक हुई थी।

लेकिन ‘ट्रिब्यून’ की रिपोर्ट ने खुलासा किया कि किस तरह आधार का पूरा डाटाबेस महज 500 रुपये में उपलब्ध था। खास बात यह कि किसी भी व्यक्ति के आधार का प्रिंट सिर्फ 300 रुपये अतिरिक्त भुगतान कर प्राप्त किया जा सकता था। इस रिपोर्ट ने इस तर्क को फिर से मजबूत किया है कि आधार सुरक्षित नहीं है।

दरअसल, सरकार के बदलते रुख के कारण आधार विपत्ति में रहा है। 2009 में जब यह शुरू हुआ तो यह एक बीटा प्रोजेक्ट था। इसको इसलिए प्रोत्साहन मिला क्योंकि कई लोगों को यह लगने लगा कि आधार संख्या का होना सरकारी मान्यता का पुख्ता स्वरुप हो सकता है।

2016 में आधार को वैध किए जाने के बावजूद, यह अभी भी स्वैच्छिक था। इसलिए, यह कानून में सिर्फ बायोमेट्रिक और भौगोलिक सूचनाओं को संग्रहीत कर डाटा भंडार की सुरक्षा पर केंद्रीत था। लेकिन तब, सरकार ने अपने निर्देशों को बदलना शुरू कर दिया। इसने आधार को अनिवार्य बनाना शुरू कर दिया। इसलिए, विभिन्न सेवाओं को आधार से जोड़ा जाने लगा, जैसे बैंक खाता, आयकर, कंपनी पंजीकरण और अन्य।

किसी को पता चले बिना, आधार के इर्द-गिर्द एक पारिस्थितिकी तंत्र विकसित होने लगा। और यह पारिस्थितिकी तंत्र पूरी तरह असुरक्षित है। इसमें साइबर सुरक्षा के कोई मापदंड नहीं हैं। इस पारिस्थितिकी तंत्र के हितधारक लोगों की आधार संख्या का अपनी मर्जी से भंडारण कर रहे हैं, क्योंकि इसके लिए कोई नियमन नहीं था। वर्चुअल आईडी संख्या पेश करना ऐसा पारिस्थितिकी तंत्र है जो कई चुनौतियां खड़ी करने जा रहा है। आधार पर किसी भी तरह का हमला राष्ट्रीय अखंडता, संप्रभुता और देश की सुरक्षा को कमजोर कर सकता है। आधार पर 1 अरब 19 करोड़ लोगों की बायोमेट्रिक्स जानकारी होने के कारण यह भारत का नाजुक या जोखिम भरा अहम बुनियादी सूचना ढांचा बन गया है।

क्या आपको लगता है कि 2009 में संयुक्त प्रगतिशील गठबंधन (यूपीए) के कार्यकाल में जिस आधार की परिकल्पना की गई थी, जहां आज यह पहुंच गया है वह इससे अलग था? और क्या आपको लगता है कि आधार की शुरुआत बगैर किसी पूर्ण सुरक्षित व्यवस्था और जल्दबाजी में ही कर दी गई थी?

एक परियोजना के तौर पर आधार हमेशा से एक दोषपूर्ण प्रयोग था। इस बात पर पर्याप्त विचार नहीं किया गया कि अगर आपके पास 1.19 अरब लोगों के बायोमेट्रिक विवरण हैं, तो यह ऐसा है जैसे आप एक जिंदा टाइम बम के ऊपर बैठे हैं। जब तक आप बायोमेट्रिक विवरणों को सुरक्षित और संरक्षित करने के लिए कानूनी और विनियामक रणनीतियों पर सही से विचार नहीं करेंगे, तब तक बड़े पैमाने पर चुनौतियां खड़ी होने वाली हैं।

आधार में साइबर सुरक्षा की आंतरिक समस्याएं हमेशा से मौजूद थीं। उदाहरण के लिए, आधार का पंजीयन कई बार संदिग्ध छवि के उप ठेकेदारों के हाथो में था। मृत व्यक्तियों, पत्थरों और पेड़ों को आधार नंबर जारी कर दिए गए। इस डाटाबेस की प्रामाणिकता और सच्चाई सवालों में है। गोपनीयता एक चिंता का विषय था, लेकिन आधार के वैकल्पिक होने के कारण यह अधिक बड़ा विषय था।

लेकिन जैसे ही सरकार ने इसे अनिवार्य बनाना शुरू किया, तभी गोपनीयता को लेकर चिंताएं सार्वजनिक रूप से सामने आने लगीं। डाटा में सेंध की लगातार हो रही घटनाओं ने इस तथ्य की ओर इशारा किया कि आधार डाटाबेस पर्याप्त रूप से से सुरक्षित नहीं था और अधिकारी बस आश्वासन पर आश्वासन देते रहे।

इसलिए, यूआईडीएआई में जो काम होना चाहिए था वह नहीं हुआ। अब, यह एक ऐसे विशाल राक्षस के तौर पर विकसित हो चुका है जिसके बारे में आप नहीं जानते कि उसे कैसे नियंत्रित किया जाए। इसके अलावा, यह व्यवस्था बीच बीच में नियम बदल रही है, जो एक मध्यवर्ती उत्पादक साबित हो सकता है क्योंकि इससे भ्रम पैदा हो सकता है जो सरकार के लिए कानूनी चुनौतियां बढ़ा सकती हैं।

क्या अब आधार परियोजना को खत्म करना संभव है?

हमें निजता के मामले में सुप्रीम कोर्ट के फैसले का इंतजार करना होगा। अगर सुप्रीम कोर्ट को लगता है कि आधार निजता का उल्लंघन है, तो वह ऐसा ही करेगा।

हालांकि, व्यावहारिक दृष्टि से सरकार के पास पहले से ही 1.19 अरब लोगों की बायोमेट्रिक जानकारी है। इससे पहले विश्व में कहीं भी इतने बड़े पैमाने पर डाटाबेस नहीं बनाया गया है। इसलिए, एक प्रकार से अब आधार एक वास्तविकता है। परियोजना को वापस लेने की कोशिश सरकार के लिए एक बहुत बड़ी किरकिरी होगी। आधार की समीक्षा बहुत पहले की जानी चाहिए थी। इंग्लैंड ने इसी तरह का प्रयास किया था, लेकिन यह महसूस करते हुए इसे बीच में ही बंद कर दिया था कि इस तरह की कोशिश सुरक्षित नहीं होगी।

हमें अब आधार पारिस्थितिकी तंत्र में साइबर सुरक्षा और निजता के संदर्भ में खामियों की पहचान करने और इसे सुरक्षित बनाने की कोशिश करनी चाहिए। आधार को मजबूत करने की कोशिश की जानी चाहिए। इसे समाप्त किया जाए या नहीं, यह फैसला सरकार या सुप्रीम कोर्ट ही कर सकता है।

क्या यह यूआईडीएआई की विफलता नहीं है कि वह आधार डाटा की सुरक्षा सुनिश्चित कर पाने में सक्षम नहीं रहा है? क्या डाटा के उल्लंघन को उजागर करने वाले व्हिसलब्लोअर पर कानून के तहत मुकदमा चलाया जा सकता है?

आधार कानून की धारा 52 के आधार पर, यूआईडीएआई को किसी भी दायित्व से छूट प्राप्त है, जिसके तहत केंद्र सरकार के साथ यूआईडीएआई और उसके सभी कर्मचारियों के खिलाफ मुकदमा नहीं चलाया जा सकता है। इसलिए, डाटा उल्लंघन के मामलों में सरकार या यूआईडीएआई के खिलाफ मुकदमा नहीं हो सकता है।

जहां तक व्हिसिलब्लोअर की बात है तो आधार कानून की परिकल्पना कभी भी पत्रकारों को निशाना बनाने, या सूचना देने वाले को ही दंडित करने के उद्देश्य से नहीं की गई थी। अधिनियम की धारा 7 में वर्णित दंड/जुर्माना, नामांकन के समय प्रतिरूपण, डाटा भंडार के अनधिकृत उपयोग और केंद्र सरकार और अन्य के साथ डाटा में छेड़छाड़ करने से संबंधित है। व्यापक रूप से कहें तो, इस अधिनियम का उद्देश्य नागरिकों की जानकारी की सत्यता और प्रामाणिकता की रक्षा करना और इसकी कमियों की ओर इशारा करने वाले किसी भी शख्स को निशाना बनाना नहीं है।

अधिकारियों को व्हिसिलब्लोअर्स को निशाना बनाने के लिए अपने कानून के इस्तेमाल में और अधिक विवेकपूर्ण होना चाहिए।

सुप्रीम कोर्ट आधार को अनिवार्य करने के केंद्र सरकार के निर्णय को चुनौती देने वाली कई याचिकाओं पर सुनवाई करेगा। क्या आपको लगता है कि यह मामला कानूनी रूप से मजबूत है?

वर्चुअल आईडी पर सरकार के सर्कुलर के अनुसार यह 1 जून से शुरू होने वाला है, इसलिए सरकार 31 मार्च को अगली सुनवाई के दौरान तारीख आगे बढ़ाने की मांग कर सकती है।

एक समग्र दृष्टिकोण से देखें तो अब तक 1.19 अरब लोग आधार पंजीकरण करा चुके हैं। साइबर सुरक्षा की चिंताओं पर ध्यान दिए बिना इसे अनिवार्य बनाने में हमें बहुत सावधानी बरतनी चाहिए। सूचना प्रौद्योगिकी मध्यस्थ नियम, 2011 के अनुसार इसमें उचित सुरक्षा उपाय होने चाहिए। अधिनियम कहता है, अधिकार प्राधिकरणों में निहित है, लेकिन साइबर सुरक्षा के उपायों के बारे में लोगों के पास पर्याप्त जानकारी नहीं है।

यहां तक कि वर्चुअल आईडी के लिए 2018 के सर्कुलर में इस बात का जिक्र नहीं है कि यह एयूए द्वारा किस तरह सुरक्षित और संरक्षित होगा। आधार अधिनियम, 2016 को भी संशोधित किया जाना चाहिए क्योंकि यह बदली हुई वास्तविकताओं का प्रतिनिधित्व नहीं करता है। जिन लोगों के आधार विवरणों के साथ छेड़छाड़ हुआ है, उन लोगों मदद की जानी चाहिए।