- अमेरिका के federal और state laws कानून-प्रवर्तन एजेंसियों को ऑनलाइन सेवाओं को दिए गए व्यक्तिगत डेटा की मांग करने का अधिकार देते हैं
- कानून-प्रवर्तन एजेंसियां subscriber information, metadata, stored content, और content in transit जैसे डेटा के अलग-अलग रूप कानूनी प्रक्रियाओं के जरिए हासिल कर सकती हैं
- इन अनुरोधों को subpoena, court order, search warrant, और super warrant जैसी श्रेणियों में बांटा जाता है, और हर प्रक्रिया में जरूरी सबूत का स्तर और यूज़र को सूचना देने के नियम अलग होते हैं
- सेवा प्रदाता न्यूनतम डेटा संग्रह, transparency reports, end-to-end encryption (e2ee) आदि के जरिए यूज़र privacy को मजबूत कर सकते हैं
- जब व्यक्ति और सेवा प्रदाता साथ मिलकर प्रतिक्रिया देते हैं, तो अत्यधिक निगरानी और डेटा के दुरुपयोग को रोका जा सकता है
ऑनलाइन निजी डेटा तक पहुंच की कानूनी संरचना
- अमेरिकी जांच एजेंसियां कई कानूनी प्रक्रियाओं के जरिए ऑनलाइन सेवाओं में संग्रहीत व्यक्तिगत डेटा की मांग कर सकती हैं
- federal और state laws ऐसे पहुंच अधिकारों को परिभाषित करते हैं
- यूज़रों को डेटा साझा करते समय से ही इन कानूनी जोखिमों के बारे में सचेत रहना चाहिए
- इंटरनेट के शुरुआती दौर से ही अत्यधिक तलाशी और जब्ती के मामले मौजूद रहे हैं, और आज केवल बड़ी सेवाएं ही नहीं बल्कि निजी सर्वर चलाने वाले लोग भी निशाने पर आ सकते हैं
- “cloud” आखिरकार किसी और का कंप्यूटर ही है, इसलिए सेवा प्रदाताओं की जिम्मेदारी है कि वे कानूनी सीमाओं के भीतर यूज़र privacy की रक्षा करें
किन प्रकार के डेटा जुटाए जा सकते हैं
- subscriber data: सेवा इस्तेमाल करते समय दिया गया नाम, भुगतान जानकारी, IP, ईमेल, फोन नंबर आदि
- इसके जरिए गुमनाम अकाउंट के वास्तविक उपयोगकर्ता की पहचान की जा सकती है
- non-content data (metadata): लॉगिन या कनेक्शन का समय, किससे संचार हुआ, उपयोग पैटर्न आदि
- जांच एजेंसियां इसके जरिए social graph या लॉगिन इतिहास को ट्रैक कर सकती हैं
- stored content: संदेश, ड्राफ्ट आदि, यानी वह वास्तविक सामग्री जिसे सेवा एक्सेस कर सकती है
- इसका उपयोग अपराध के सबूत जुटाने के लिए किया जा सकता है, लेकिन अत्यधिक व्यापक अनुरोधों में दूसरे यूज़रों की जानकारी भी शामिल हो सकती है
- content in transit: संचार के दौरान रीयल-टाइम में बहने वाला डेटा
- जांच एजेंसियां सेवा पर wiretap आदेश लागू कर सकती हैं, जिससे संबंधित यूज़रों की privacy भी प्रभावित होती है
डेटा तक पहुंच के लिए इस्तेमाल होने वाली कानूनी प्रक्रियाएं
- Subpoena
- इसे जज की मंजूरी के बिना जारी किया जा सकता है, और केवल जांच से उसका संबंध दिखाना पर्याप्त होता है
- अदालत की निगरानी सीमित होने से दुरुपयोग का जोखिम अधिक रहता है
- Court Order
- किसी विशेष कानून के आधार पर जज की मंजूरी जरूरी होती है
- उदाहरण: Stored Communications Act (SCA) के तहत non-content information मांगी जा सकती है
- Search Warrant
- इसे जज जारी करता है, और अपराध के सबूत मिलने की उचित संभावना (probable cause) दिखानी होती है
- आम तौर पर पहले से आपत्ति दर्ज नहीं की जा सकती, और इसके साथ gag order भी लगाया जा सकता है
- Super Warrant
- रीयल-टाइम संचार इंटरसेप्ट करने के लिए, इसमें exhaustion और minimization जैसी शर्तें जरूरी होती हैं
- निगरानी के दौरान लक्ष्य को सूचना नहीं दी जा सकती, और कुछ मामलों में समाप्ति के बाद सूचना देना जरूरी होता है
- Gag Order
- जांच एजेंसियां सेवा प्रदाता को निगरानी की बात सार्वजनिक करने से रोक सकती हैं
- अभिव्यक्ति की स्वतंत्रता पर असर की चिंता को लेकर EFF लगातार इसका विरोध उठाता रहा है
सेवा प्रदाता यूज़रों की सुरक्षा कैसे मजबूत कर सकते हैं
- कानूनी प्रक्रिया का पालन: अनौपचारिक रूप से जानकारी देना या अपवाद मान लेना privacy उल्लंघन तक ले जा सकता है
- छोटे होस्टिंग प्रदाताओं को भी कानूनी सलाह लेकर अनुचित मांगों का जवाब देने की जरूरत है
- अनुचित अनुरोधों को चुनौती देना: अत्यधिक व्यापक या असंवैधानिक मांगों को अदालत में रद्द कराया जा सकता है
- यूज़र को सूचना देना: जहां कानून मना न करे, वहां अनुरोध की जानकारी यूज़र को जल्दी से जल्दी देनी चाहिए
- स्पष्ट privacy policy: “जरूरत पड़ने पर उपलब्ध कराया जाएगा” जैसे अस्पष्ट वाक्यांशों की जगह, कानूनी सीमा के भीतर अधिकतम प्रतिरोध की इच्छा साफ लिखी जानी चाहिए
- नियमित transparency reports जारी करके भरोसा बनाया जा सकता है
- न्यूनतम डेटा संग्रह और कम retention period
- गैर-जरूरी डेटा भी जांच एजेंसियों का लक्ष्य बन सकता है, इसलिए auto-delete policies और disappearing messages उपयोगी हैं
- डेटा साझाकरण सीमित करना
- third-party login, ad networks, और data brokers के साथ साझाकरण को न्यूनतम रखना चाहिए
- data brokers के जरिए होने वाली परोक्ष जांच पहुंच की संभावना को कम किया जा सकता है
- वास्तविक end-to-end encryption (e2ee)
- ऐसी संरचना जिसमें सेवा प्रदाता भी संदेशों की सामग्री न पढ़ सके
- उदाहरण: Signal केवल फोन नंबर, खाता बनाए जाने की तारीख, और आखिरी लॉगिन/कनेक्शन की तारीख रखता है
- backdoored encryption या client-side scanning e2ee के सिद्धांत के खिलाफ हैं
व्यक्तिगत यूज़र कौन से सुरक्षा कदम उठा सकते हैं
- व्यक्तिगत डेटा की सुरक्षा विश्वसनीय सेवाओं के चयन और security settings मजबूत करने से शुरू होती है
- EFF की Surveillance Self-Defense (SSD) सामग्री के जरिए जोखिम का आकलन और उससे निपटने के तरीके सीखे जा सकते हैं
- Privacy Badger जैसे browser extension डेटा ट्रैकिंग रोकने में मदद कर सकते हैं
- privacy साझी कोशिश से कायम रहती है, इसलिए शिक्षा और नीति सुधार में भागीदारी महत्वपूर्ण है
- स्थानीय और राष्ट्रीय स्तर पर digital rights की रक्षा के आंदोलनों में शामिल होकर लंबे समय का बदलाव लाया जा सकता है
1 टिप्पणियां
Hacker News टिप्पणी
मैं सहयोगी दस्तावेज़ों को end-to-end encryption से सुरक्षित रखने के लिए CryptPad इस्तेमाल करता हूँ
ख़ासकर इसका Kanban ऐप बहुत तेज़ है। तुलना में Trello बहुत भारी और धीमा लगता है
एक और सिफारिश XMPP protocol है। यह OMEMO (यानी Signal protocol) के साथ E2E encryption सपोर्ट करता है, और मैं Dino (Debian) तथा Conversations (Android) clients इस्तेमाल कर रहा हूँ
WhatsApp की तरह audio·video calls भी हो जाती हैं, और public channels के ज़रिए नए लोगों से भी जुड़ा जा सकता है
server providers providers.xmpp.net पर मिल सकते हैं। यह सब free software पर आधारित है, जो मुझे पसंद है
“क्लाउड जैसा कुछ नहीं होता, वह बस किसी और का कंप्यूटर है” — यह बात असरदार लगी
अब EFF को Stallman की बात उद्धृत करते देख लगता है कि वे आख़िरकार मान रहे हैं कि वह सही था
2021 में FSF में उसकी फिर से नियुक्ति का विरोध उसके व्यवहार संबंधी मुद्दों की वजह से था, न कि free software दर्शन की वजह से
data brokers क़ानूनी निगरानी व्यवस्था की एक खामी हैं
पुलिस बिना वारंट के भी commercial brokers से निजी डेटा खरीद सकती है
यह बाज़ार बिना नियमन के चलता है, इसलिए पारंपरिक privacy safeguards को पूरी तरह दरकिनार कर देता है
real-time communications intercept करने के लिए ‘super warrant’ चाहिए, लेकिन ज़्यादातर लोगों को इसके अस्तित्व तक का पता नहीं है
इसके अलावा gag order की वजह से कंपनियाँ उपयोगकर्ताओं को यह नहीं बता पातीं कि ऐसा अनुरोध आया था, जिससे निगरानी का पैमाना छिपा रहता है
लेख में यह बात कि ‘stored communications के लिए search warrant पर पहले से आपत्ति नहीं की जा सकती’ मुझे ग़लत लगती है
असल में कंपनियाँ अक्सर विशिष्टता की कमी या अत्यधिक बोझ का हवाला देकर आपत्ति उठाती हैं
उदाहरण के लिए, Google ने कहा कि 2024 में उसे मिले warrants में से लगभग 90% पर ही उसने डेटा दिया
अमेरिकी क़ानूनी व्यवस्था पुलिस के बुरे आचरण को रोकने से ज़्यादा, उसके नतीजों को अदालती सबूत के रूप में इस्तेमाल होने से रोकने वाली संरचना है
लेकिन तलाशी के लिए पूर्व वारंट चाहिए, इसलिए क़ानून की बनावट ही संग्रह को रोकने की दिशा में है
अफ़सोस है कि लेख में अमेरिकी डेटा और विदेशी ख़ुफ़िया एजेंसियों के संबंध का लगभग कोई ज़िक्र नहीं है
मैं सच में जानना चाहता हूँ कि जब कोई विदेशी जांच एजेंसी अमेरिकी सेवा के उपयोगकर्ता डेटा की माँग करती है, तो प्रक्रिया क्या होती है
उदाहरण के लिए, अगर किसी विदेशी जांचकर्ता को अमेरिका में मौजूद किसी .com domain registrar से किसी साइट के मालिक की जानकारी चाहिए, तो व्यवहार में यह कैसे संभाला जाता है
इससे जुड़ा मामला FBI का archive.today संस्थापक की पहचान उजागर करने की माँग वाला मामला याद दिलाता है
इस लेख में पहली बार मैंने ‘super warrant’ शब्द सुना
यह सवाल उठता है कि क्या online data तक पहुँच को First Amendment के तहत संरक्षित नहीं होना चाहिए
घर की तलाशी के लिए वारंट चाहिए, तो online data के लिए भी वैसा ही नहीं होना चाहिए?
अगर अदालत दखल न दे, तो बुनियादी स्वतंत्रताएँ और अधिकार ही गायब हो जाते हैं
उपयोगकर्ता ने जैसे ही डेटा सौंप दिया, क़ानून की नज़र में वह डेटा अब उसका नहीं रहता
Third-party doctrine देखें
क़ानूनी रूप से यह संभव है, लेकिन privacy के लिहाज़ से बेहद ख़तरनाक है
online data provider के server पर होता है, इसलिए क़ानूनी रूप से वह व्यक्ति का ‘घर’ नहीं है
आख़िरकार तर्क यही है: “आपका डेटा किसी और के कंप्यूटर पर है, इसलिए उस दूसरे व्यक्ति की सहमति काफ़ी है”
Google की transparency report बहुत उपयोगी सामग्री है
10 साल पहले तक सिर्फ़ metadata access ही बड़ा विवाद था, अब तो संदेशों की असल सामग्री तक निगरानी पहुँच चुकी है
सरकार search results में हेरफेर कर सकती है, या कुछ जानकारी छिपा या उभार सकती है
कहा जाता है कि क़ानूनी प्रक्रिया होती है, लेकिन व्यवहार में ज़्यादातर निगरानी जानकारी इकट्ठा करने के लिए होती है और अदालत में सबूत के रूप में इस्तेमाल नहीं होती
data brokers, app developers, और device manufacturers — सभी को कारोबार चलाने के लिए सरकार के साथ सहयोग करना पड़ सकता है
यहाँ तक कि पहचान में हेरफेर या online-आधारित identity theft भी संभव है
यह सोचकर सिहरन होती है कि cloud documents पर काम करते समय भी जांच एजेंसियाँ real time में सामग्री देख सकती हैं
हक़ीक़त में वे बिल्कुल भी जवाबदेह नहीं हैं, और राजनीतिक हितों के कारण पूरी तरह भ्रष्ट हो चुकी हैं
search history ऐसा क्षेत्र है जहाँ वारंट या सूचना के बिना भी पहुँचा जा सकता है
Third-party doctrine की वजह से इसे संरक्षण नहीं मिलता