यह लेख Aarushi Chopra ने लिखा है। इस लेख में, लेखक विशेष रूप से इस बात पर ध्यान केंद्रित करने का इरादा रखते है कि भारत डेटा चोरी से कैसे निपट रहा है और क्या मौजूदा इन्फॉर्मेशन टेक्नोलॉजी एक्ट और इंडियन पीनल कोड के दायरे में संगठन (ऑर्गेनाइजेशन) को डेटा चोरी का शिकार होने से बचाने के लिए पर्याप्त प्रावधान (प्रोविजन) हैं। इस लेख का अनुवाद Sakshi Gupta द्वारा किया गया है।
Table of Contents
परिचय (इंट्रोडक्शन)
इंटरनेट के उपयोग में वृद्धि के साथ, डेटा एक महत्वपूर्ण संसाधन (रिसोर्स) बन गया है, जो अब हमारे जीवन का एक हिस्सा है। यह मानते हुए कि डेटा अधिकांश संगठनों के लिए सबसे महत्वपूर्ण जानकारी या संपत्ति है, तो चोरी, हैकिंग, डिलीटिंग, रिमूविंग से संबंधित अपराध होने की संभावना है। साइबर क्राइम का एक नया सिलसिला सामने आया है। इसने एक नए और विभिन्न प्रकार के अपराधियों को बनाया है, जो कंप्यूटर प्रोग्राम की लाचारी का फायदा उठाने और अपने फायदे के लिए या सिर्फ नुकसान पहुंचाने के लिए इसका इस्तेमाल करने की योजना (प्लान) बनाते हैं। इसलिए टेक्नोलोजी की प्रगति के साथ, जहां लगभग सब कुछ डिजीटल हो रहा है, डेटा चोरी किसी भी संगठन या व्यक्ति के लिए एक बड़ा खतरा बन गया है। इसलिए, संवेदनशील (सेंसिटिव) डेटा की सुरक्षा हर कीमत पर अत्यंत महत्वपूर्ण हो गई है और किसी भी मजबूत एंटीवायरस से अधिक, जो एक निवारक उपाय (प्रिवेंटिव मेजर) के रूप में काम करता है, किसी भी संगठन या व्यक्ति के रूप में और जब भी अपराधों से निपटने के लिए मजबूत इनेक्टमेंट्स की आवश्यकता होती है। बहुत सारे देश पहले से ही विशेष एक्ट्स के साथ आए हैं जो डेटा की सुरक्षा करने में मदद करते हैं जैसे कि यू.एस.ए. (यू.एस. प्राइवेसी एक्ट, 1974), यू.के. (डेटा प्रोटेक्शन एक्ट, 1984) और सिंगापुर (पर्सनल डेटा प्रोटेक्शन एक्ट, 2012), लेकिन भारत अभी भी इस महत्वपूर्ण क्षेत्र में पीछे है।
एक सदी पहले, विचाराधीन (इन-क्वेश्चन) संसाधन तेल था। अब इसी तरह की चिंताओं को डिजिटल युग के तेल, डेटा का सौदा करने वाली दिग्गज (जायंट) कंपनियों द्वारा उठाया जा रहा है। अर्थशास्त्रियो (इकोनॉमिस्ट्स) के अनुसार, डेटा अब दुनिया का सबसे मूल्यवान संसाधन है, जो तेल को पछाड़ रहा है। यह सरकार से लेकर लोकल कंपनियों तक हर चीज की सुचारू (स्मूथ) कार्यक्षमता (फंक्शनैलिटी) की कुंजी है।
डेटा के बिना, प्रगति रुक जाएगी। 97% व्यवसाय अपने व्यावसायिक अवसरों को बढ़ाने के लिए डेटा का उपयोग करते हैं और 76% व्यवसाय डेटा का उपयोग व्यावसायिक रणनीति (स्ट्रेटजी) बनाने के एक अभिन्न (इंटीग्रल) अंग के रूप में करते हैं। इंटरनेट दुनिया भर में हर जगह खोज, सेव, स्थानांतरित (ट्रान्सफर), शेयर, खरीदे, बेचे जा रहे लाखों डेटा के कंपीलेशन के अलावा और कुछ नहीं है। वेब पर एक साथ काम करने वाले संगठनों द्वारा हर दिन बड़ी मात्रा में जानकारी दी जाती है ताकि उन पेटर्न्स को अलग करने से मूल्य निकाला जा सके, जो सत्य के क्षण (मूमेंट) का प्रतिनिधित्व (रिप्रेजेंट) करते हैं जो उनके संगठनों को बनाते या तोड़ते हैं। बाजार में बड़ी हिस्सेदारी (शेयर) हासिल करने के लिए कॉरपोरेट्स के लिए यह एक महत्वपूर्ण हथियार है। एक संगठन के पास मौजूद डेटा में ग्राहकों का व्यक्तिगत (पर्सनल) डेटा, कॉन्फिडेंशियल डेटा, फाइनेंशियल डेटा, व्यवसाय की अवधि में उत्पादित (प्रोड्यूस) इन-हाउस जानकारी, प्रोग्रामिंग, ट्रेड सीक्रेट्स, आदि शामिल हैं। इसलिए इलेक्ट्रॉनिक स्ट्रक्चर में कोई भी जानकारी/रिपोर्ट किसी भी कागजी दस्तावेज़ की तुलना में चोरी की तरफ अधिक प्रवृत्त (इंक्लाइंड) होती है। ऐसा इसलिए है क्योंकि वे पोर्टेबल हैं और कॉपी करने में आसान हैं। इतना ही नहीं, जितनी मात्रा में चोरी हुई है, वह भयावह है
इसके साथ ही, आइए डेटा की परिभाषा को समझते हैं।
डेटा क्या है?
“आईटी एक्ट, 2000 के तहत, ‘डेटा’ का अर्थ जानकारी, ज्ञान, तथ्य (फैक्ट), अवधारणा (कांसेप्ट) या निर्देश (इंस्ट्रक्शन) का प्रतिनिधित्व है जो तैयार किया जा रहा है या औपचारिक (फॉर्मेलाइज्ड) तरीके से तैयार किया गया है, और संसाधित (प्रोसेस्ड) होने का इरादा है, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क में संसाधित किया जा रहा है या किया गया है, और किसी भी रूप में (कंप्यूटर प्रिंटआउट, मैग्नेटिक या ऑप्टिकल स्टोरेज मीडिया, पंच्ड कार्ड, पंच्ड टेप सहित) या कंप्यूटर की मेमोरी में इंटरनली रूप से स्टोर्ड है। पर्सनल डेटा प्रोटेक्शन बिल, 2019 के अनुसार, “डेटा” में “जानकारी , तथ्य, अवधारणा, राय (ओपिनियन) या निर्देश का प्रतिनिधित्व शामिल है जो मनुष्यों द्वारा या ऑटोमेटेड माध्यम से कम्यूनिकेशन, इंटरप्रेटेशन या प्रोसेसिंग के लिए उपयुक्त (सूटेबल) है।” सरल शब्दों में, डेटा मात्रा, वर्ण (कैरेक्टर) या प्रतीक (सिंबल) है, जिस पर कंप्यूटर द्वारा कार्य किया जाता है, जिसे इलेक्ट्रिकल इंडिकेटर के रूप में स्टोर्ड और कम्युनिकेट किया जा सकता है और मैग्नेटिक, मैकेनिकल या ऑप्टिकल रिकॉर्डिंग मीडिया पर रिकॉर्ड किया जा सकता है।
अब जब हम समझ गए हैं कि डेटा का क्या मतलब है, तो अगला सवाल यह उठता है कि डेटा चोरी क्या है?
डेटा चोरी क्या है?
सरल शब्दों में डेटा चोरी किसी एसोसिएशन की सहमति या जानकारी के बिना उसकी कॉन्फिडेंशियल, मूल्यवान या व्यक्तिगत जानकारी को अवैध/अस्वीकृत (अनअप्रूव्ड) दोहराने (रिप्लिकेटिंग), लेने या हटाने का एक कार्य है। यह किसी की प्राइवेसी से समझौता करने या कॉन्फिडेंशियल डेटा प्राप्त करने के उद्देश्य से वर्चुअल डेटा लेने का कार्य है। यह पासवर्ड, बैंकिंग डेटा, ग्राहकों का व्यक्तिगत डेटा, मास्टर कार्ड डेटा या कुछ अन्य डेटा लेने या हैक करने के बारे में हो सकता है, उदाहरण के लिए, व्यापार रहस्य, सोर्स कोड, प्रोग्रामिंग, ग्राहक डेटाबेस और किसी भी एसोसिएशन का जरूरी डेटा, या सरकारी डेटाबेस की हैकिंग में कॉन्फिडेंशियल डेटा लेने और उनका दुरुपयोग करने के लिए और इनके अनुसार कुछ और करने के लिए होता है।
“डेटा चोरी वर्तमान में भारत के साथ-साथ दुनिया भर में हर जगह अपराध का एक नया युग है। वेब और टेक्नोलॉजी के तेजी से बढ़ते इस्तेमाल के साथ साइबर क्राइम की एक नई श्रृंखला (सीरीज) सामने आई है। इसने अपराधियों की एक नई नस्ल (ब्रीड) बना दी है, जो कंप्यूटर प्रोग्राम की लाचारी का फायदा उठाने की योजना बनाते हैं और इसका इस्तेमाल अपने फायदे के लिए करते हैं या सिर्फ नुकसान पहुंचाने के लिए करते हैं।”
तो कंप्यूटराइज्ड डेटा और उन्नत (एडवांस) व्यापार की प्रगति के साथ, जहां हमारा दैनिक जीवन इंटरनेट से जुड़ा हुआ है, ई-मैसेजेस और नेटवर्किंग साइटों पर आधारित एक्सचेंज, ई-शॉपिंग एक नया चलन है, जहां संगठन वर्चुअल स्पेस में बनाए जाते हैं और सब कुछ डिजिटलाइज्ड है, वहा डेटा चोरी व्यक्तियों के लिए एक बड़ा खतरा बनी हुई है।”
‘डेटा चोरी’ शब्द वास्तव में एक मिथ्या नाम (मिस्नोमर) है। भारतीय कानून के अनुसार, चल (मूवेबल) संपत्ति के संबंध में चोरी की जाती है। जानकारी एक चल संपत्ति के अलावा कुछ और भी है, और इसके परिणामस्वरूप इलेक्ट्रॉनिक रूप से जानकारी के निष्कासन (एक्सक्लूजन) के अस्वीकृत कार्य (उदाहरण के लिए इसे ई-मैसेजिंग के माध्यम से या पीसी फ्रेमवर्क में हैक करके) को चोरी नहीं माना जाता है। किसी भी मामले में, जानकारी लेना कोई अनिश्चितता (अनसर्टेनिटी) नहीं एक क्रिमिनल अपराध है, और कानून के तहत दोषी है।”
आईपीसी, 1860 की धारा 378 ‘चोरी’ को परिभाषित करती है
इस धारा में, कोई भी किसी व्यक्ति की सहमति के बिना किसी व्यक्ति के कब्जे से कोई चल संपत्ति बेईमानी से लेने का इरादा रखता है, उस संपत्ति को लेने के लिए स्थानांतरित करता है, उसे चोरी करना कहा जाता है।
आईपीसी, 1860 की धारा 22 ‘चल संपत्ति’ को परिभाषित करती है
इस धारा में, चल संपत्ति शब्द का उद्देश्य हर विवरण (डिस्क्रिप्शन) की भौतिक (कॉरपोरियल) संपत्ति को शामिल करना है, सिवाय भूमि और पृथ्वी से जुड़ी चीजों को छोड़कर या स्थायी (परमानेंटली) रूप से किसी भी चीज से जुड़ी हुई चीज जो पृथ्वी से जुड़ी हुई है। ”
डेटा आमतौर पर चोरी हो जाता है:
- कर्मियों (पर्सोनल) या कानूनी रूप से बाध्यकारी/प्रशासन (एडमिनिस्ट्रेशन) व्यापारियों द्वारा अपने आधिकारिक (ऑफिशियल) कार्य के दौरान इसका उपयोग करना।
- कंप्यूटर फ्रेमवर्क की हैकिंग के माध्यम से।
“मुख्य मामले में, यह सलाह दी जाती है कि कर्मचारियों और अस्थायी (टेंपरेरी) कर्मचारियों के साथ सहमति में उपयुक्त (अप्रोप्रिएट) प्रावधान होने चाहिए, जो अस्वीकृत उपयोग और डेटा तक पहुंच के लिए विश्वास का उल्लंघन (ब्रीच ऑफ़ ट्रस्ट) पैदा कर सकते हैं। इस तरह की समझ स्पष्ट रूप से व्यक्त करनी चाहिए कि पार्टियों को डेटा सौंपना है और उन्हें उस विस्तार (एक्सटेंशन) और टेक्नोलॉजी तक सीमित करना चाहिए जिसमें वे डेटा को मैनेज कर सकें। उदाहरण के लिए: यदि संदर्भित (रेफर) किए गए कर्मियों ने किसी विशेष परियोजना (प्रोजेक्ट) के संबंध में एक नॉन डिस्क्लोजर अरेंजमेंट (एनडीए) के लिए सहमति दी है और बाद में वह उस डेटा को किसी अन्य व्यक्ति को पेश करता है या अपने लाभ के लिए उसका दुरुपयोग करता है, तो वह एनडीए के तहत शर्तों को तोड़ने के लिए क्रिमिनली जिम्मेदार माना जा सकता है और उसे इसके लिए गंभीर रूप से दंडित किया जा सकता है। ”
डेटा चोरी की सजा क्या है?
“आईटी एक्ट, 2000, डेटा अपराधों के लिए दंड से संबंधित है, यह वेब के माध्यम से टेक्नोलॉजी की मदद से किए गए उल्लंघनों के रिड्रेसल के लिए एक विधि (मेथड) बनाता है। यह एक्ट, ई-कॉमर्स का प्रबंधन करने वाला सुप्रीम कानून है और निम्नलिखित के लिए दंड प्रदान करता है:”
- कंप्यूटर फ्रेमवर्क की अनधिकृत (अनऑथराइज्ड) पहुंच,
- कंप्यूटर फ्रेमवर्क प्रोग्रामिंग का विनाश,
- अनधिकृत डाउनलोड या डेटा की नकल,
- कंप्यूटर सोर्स कोड के साथ छेड़छाड़,
- कंप्यूटर फ्रेमवर्क में हैकिंग,
- सुरक्षित फ्रेमवर्क में रखी गई जानकारी तक पहुंचना और उसका दुरुपयोग करना। सुरक्षित प्रणाली (सिस्टम) डेटा, वह डेटा है जिसे लेजिस्लेचर द्वारा सुरक्षित जानकारी के रूप में व्यक्त किया जाता है,
- किसी ऐसे व्यक्ति द्वारा कॉन्फिडेंशियलिटी भंग करना और डेटा को सुरक्षित करना जिसे आईटी एक्ट के तहत अधिकार प्राप्त हैं।”
“आईपीसी ‘चोरी’ को परिभाषित करता है और चल संपत्ति की चोरी के लिए दंड देता है जो सभी भौतिक संपत्ति को समेकित (कंसोलिडेट) करता है। यह स्पष्ट करता है कि डेटा, जो अभेद्य (इंपालपेबल) है, आईपीसी की सीमा से परे है। किसी भी स्थिति में, यदि जानकारी को एक माध्यम में रखा जाता है, उदाहरण के लिए: फ्लॉपी डिस्क, सीडी, पेन ड्राइव, हार्ड ड्राइव, आदि तो आईपीसी में चोरी के साथ लागू किया जा सकता है और इस प्रकार दोषी को अपराधिक अदालत में पेश किया जाएगा और यदि दोष साबित हो जाता है, तो उसी के लिए अपराधिक रूप से आरोप लगाया जाएगा।
“यदि डेटा अपराध या जानकारी के दुरुपयोग से जुड़े किसी साइबर क्राइम के संबंध में कोई मुद्दा सामने आता है, तो प्रभावित व्यक्ति पुलिस स्टेशन में या उनके शहर के साइबर सेल में अपराधिक शिकायत के माध्यम से शिकायत दर्ज कर सकता है और इसके अलावा अपराध की प्रकृति के अनुसार एक सिविल शिकायत दर्ज कर सकता है।
देश के डेटा सुरक्षा कानूनों में मुख्य रूप से शामिल हैं:
- संवेदनशील व्यक्तिगत डेटा की सुरक्षा में असमर्थता (इनेबिलिटी) के लिए मुआवजे (कंपनसेशन) के निपटान के लिए कानूनी व्यवस्था; तथा
- डेटा विषय की जानकारी, सहमति या कॉन्ट्रैक्ट के उल्लंघन के बिना निजी डेटा के प्रदर्शन (एक्स्पोज़र) के लिए एक अपराधिक व्यवस्था।
हालाँकि, दोनों प्रावधान तब लागू होते हैं, जब इस तरह के डिस्क्लोजर या उल्लंघन से गलत लाभ या हानि हुई हो।
प्राइवेसी पर सरकार द्वारा निर्धारित (प्रेस्क्राइब्ड) नियम तब तक लागू होते हैं जब तक पार्टीज अपने स्वयं के सुरक्षा मानकों (स्टैंडर्ड) से सहमत नहीं होती हैं और यदि वे लागू भी होते हैं, तो गैर-अनुपालन (नॉन-कंप्लायंस) का परिणाम मुआवजे का भुगतान करना होगा यदि उल्लंघन के परिणामस्वरूप गलत लाभ या हानि होती है।
अब तक हमारे पास एक ऐसी स्थिति है जहां दो अपराधों के घटक (कंपोनेंट्स) समान होने के बावजूद, आईपीसी और आईटी एक्ट दोनों द्वारा कई तरह के अपराधों को दंडित किया जाता है। इन एक्ट्स के तहत दंडों में असाधारण (एक्सेप्शनली) रूप से विनीत (अनऑब्ट्रूसिव) विरोधाभास (कंट्रास्ट) हैं, स्पष्ट रूप से इस दृष्टिकोण (व्यूपॉइंट) में कि अपराध बेलेबल या कंपाउंडेबल या कॉग्निजेबल हैं।
गगन हर्ष शर्मा बनाम महाराष्ट्र स्टेट के मामले में, कुछ व्यक्तियों पर उनके एंप्लॉयर से डेटा और सॉफ्टवेयर की चोरी का आरोप लगाया गया था और आईपीसी की धारा 408 और 420 और आईटी एक्ट की धारा 43, 65 और 66 के तहत भी आरोप लगाया गया था।
आईपीसी की धारा 408 और 420 के तहत अपराध नॉन-बेलेबल हैं और अदालत की अनुमति के अलावा इसे कंपाउंड नहीं किया जा सकता है। आईटी एक्ट की धारा 43, 65 और 66 के तहत अपराध कंपाउंडेबल और बेलेबल हैं। इसलिए, याचिकाकर्ताओं (पेटीशनर्स) ने अनुरोध किया कि उनके खिलाफ आईपीसी के तहत आरोप हटा दिए जाएं और उनके खिलाफ आईटी एक्ट के तहत आरोपों की जांच की जाए और उन पर कार्रवाई की जाए। आगे तर्क दिया गया था कि यदि शरत बाबू दिगुमर्ती में सुप्रीम कोर्ट के फैसले का पालन किया जाता है, तो याचिकाकर्ताओं पर केवल आईटी एक्ट के तहत आरोप लगाया जा सकता है, न कि आईपीसी के तहत, समान कार्यों से उत्पन्न होने वाले अपराधों के लिए। बॉम्बे हाई कोर्ट ने याचिकाकर्ताओं की दलीलों को बरकरार रखा और फैसला सुनाया कि उनके खिलाफ आईपीसी के तहत आरोप हटा दिए जाएंगे
डेटा चोरों के खिलाफ कौन से आरोप लगाए जाएंगे (व्हाट आर द चार्जेस विच विल बी इंपोज्ड अगेंस्ट डेटा थीव्स)?
डेटा चोरी जैसे साइबर क्राइम्स से निपटने के लिए एक अलग एक्ट की अनुपस्थिति के कारण, प्रभावित व्यक्ति के बयान पर बदमाशों के खिलाफ आरोप लगाए जाते हैं। तदनुसार, यह जरूरी है कि पीड़ित को उन फंडामेंटल कानूनों के बारे में पता हो जो डेटा के दुरुपयोग की पहचान करते हैं। ऐसे कार्य की अक्सर रिपोर्ट की जाती है और विभिन्न कानूनों की छत्रछाया (अंब्रेला) में इसे दंडित किया जाता है।
साइबर क्राइम दुनिया भर के देशों द्वारा हाल ही में देखे गए प्रमुख महत्वपूर्ण मुद्दों में से एक है। इसमें डेटा की अस्वीकृत पहुंच और वेब के उपयोग के साथ किसी व्यक्ति की प्राइवेसी, पासवर्ड, और इसी तरह की सुरक्षा को तोड़ना शामिल है। साइबर चोरी, साइबर क्राइम के हिस्सो में से एक है जिसका अर्थ है कि पीसी या वेब के माध्यम के द्वारा चोरी।
साइबर चोरी के सबसे व्यापक (वाइड) रूप से पहचाने जाने वाले वर्गों (क्लास) में हैकिंग, विशिंग, ई-मेल स्पूफिंग, फ़िशिंग, वायरस अटैक, कार्डिंग, रैंसमवेयर अटैक इत्यादि जैसी विभिन्न रणनीतियों का उपयोग करने के लिए जानकारी या व्यक्तिगत डेटा लेना शामिल है:
- पहचान की चोरी,
- किसी व्यक्ति की व्यक्तिगत पहचान का गलत संग्रह (कलेक्शन),
- ऐसे व्यक्ति को वैध (लेजिटिमेट) नुकसान पहुंचाने के उद्देश्य से इस तरह के डेटा का गलत उपयोग।
- पासवर्ड चोरी, डेटा की चोरी, इंटरनेट समय की चोरी आदि।
- इंटेलेक्चुअल प्रोपर्टी की चोरी,
- इंटरनेट समय की चोरी।
इस संबंध में सबसे महत्वपूर्ण प्रावधान आईपीसी, 1860, आईटी एक्ट, 2000 और कॉपीराइट एक्ट, 1957 में निहित हैं, जिन्हें अपराधी के खिलाफ दर्ज किया जा सकता है:
विश्वास का अपराधिक उल्लंघन (क्रिमिनल ब्रीच ऑफ़ ट्रस्ट) (आईपीसी की धारा 405 और 408)
इस धारा में, “जिस किसी को भी किसी भी तरह की संपत्ति सौंपी जा रही है, या संपत्ति पर किसी भी प्रभुत्व (डोमिनियन) के साथ, उस संपत्ति का बेईमानी से दुरुपयोग या अपने स्वयं के उपयोग में परिवर्तित (कन्वर्ट) किया जाता है, या बेईमानी से उस संपत्ति का उपयोग या निपटान कानून की किसी भी दिशा जिसे इस तरह के ट्रस्ट का निर्वहन (डिस्चार्ज) करने के लिए निर्धारित किया गया हो, का उल्लंघन करता है, या किसी भी कानूनी कॉन्ट्रैक्ट, व्यक्त या निहित (इंप्लाइड) है, जिसे उसने ऐसे विश्वास के निर्वहन के लिए बनाया है, या ऐसा करने के लिए किसी अन्य व्यक्ति को जानबूझकर पीड़ित करता है, तो वह ‘विश्वास का अपराधिक उल्लंघन’ करता है।
दंड: 3 साल तक की कैद, या जुर्माना, या दोनों। यदि कर्मचारी (नौकर) द्वारा किया जाता है, तो यह 7 साल तक की कैद, या जुर्माना, या दोनों को आकर्षित करता है।
लोक सेवक, या बैंकर, व्यापारी, या एजेंट द्वारा विश्वास का अपराधिक उल्लंघन (आईपीसी की धारा 409)
इस धारा में, कोई भी व्यक्ति जिसे किसी भी तरह की संपत्ति सौंपी गई हो, या एक लोक सेवक के रूप में या एक बैंकर, व्यापारी, फैक्टर, ब्रोकर, अटॉर्नी या एजेंट के रूप में, उनके व्यवसाय के लिए संपत्ति पर किसी भी प्रभुत्व (डोमिनियम) के साथ, और वह उस संपत्ति के संबंध में विश्वास का अपराधिक उल्लंघन करता है, तो वह आजीवन कारावास या दोनों में से किसी भी प्रकार के कारावास से दंडित किया जाएगा, जिसकी अवधि 10 वर्ष तक हो सकती है, और जुर्माने के लिए भी उत्तरदायी होगा।
दंड: आजीवन कारावास या दोनों में से किसी भी प्रकार का कारावास, जिसकी अवधि 10 वर्ष तक हो सकती है, और जुर्माने के लिए भी उत्तरदायी होगा।
कंप्यूटर और कंप्यूटर सिस्टम को नुकसान पहुंचाने के लिए जुर्माना और मुआवजा (पेनल्टी एंड कंपनसेशन फॉर डैमेज टू कंप्यूटर एंड कंप्यूटर सिस्टम) (आईटी एक्ट की धारा 43)
इस धारा में, यदि कोई व्यक्ति मालिक (ओनर) या किसी अन्य प्रभारी (इन-चार्ज) व्यक्ति की अनुमति के बिना कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क में निम्नलिखित चीज करता है:
(a) ऐसे कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क या कंप्यूटर रिसोर्स तक पहुंच सुरक्षित करता है;
(b) ऐसे कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क से किसी भी डेटा, कंप्यूटर डेटाबेस या जानकारी को डाउनलोड, कॉपी या एक्सट्रैक्ट करता है, जिसमें किसी भी रिमूवेबल स्टोरेज मीडियम में संग्रहीत जानकारी या डेटा शामिल है;
(c) किसी भी कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क में कोई भी कंप्यूटर कंटामिनेंट या कंप्यूटर वायरस डाल देता है या पेश करता है;
(d) किसी कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क, या ऐसे कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क में रहने वाले डेटा, कंप्यूटर डेटाबेस या किसी भी अन्य प्रोग्राम को क्षति (डैमेज) पहुंचाता है या क्षतिग्रस्त (डैमेज) करता है;
(e) किसी कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क को बाधित (डिसरप्ट) करता है;
(f) किसी भी कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क को किसी भी माध्यम से एक्सेस करने के लिए अधिकृत किसी व्यक्ति को एक्सेस करने से इनकार करता है;
(g) इस एक्ट, के तहत बनाए गए नियमों या विनियमों (रेगुलेशन) के प्रावधानों के उल्लंघन में किसी भी व्यक्ति को कंप्यूटर, कंप्यूटर सिस्टम या कंप्यूटर नेटवर्क के एक्सेस की सुविधा के लिए सहायता प्रदान करता है,
(h) किसी कंप्यूटर, कंप्यूटर सिस्टम, या कंप्यूटर नेटवर्क के साथ छेड़छाड़ या हेरफेर करके किसी व्यक्ति द्वारा ली गई सेवाओं को किसी अन्य व्यक्ति के खाते में चार्ज करता है,
(i) कंप्यूटर रिसोर्स में रहने वाली किसी भी जानकारी को डिस्ट्रॉय, डिलीट या ऑल्टर कर देता है या उसके मूल्य या उपयोगिता (यूटिलिटी) को कम करता है या किसी भी तरह से इसे हानिकारक रूप से प्रभावित करता है;
(j) चोरी करने, छिपाने, डिस्ट्रॉय या ऑल्टर या किसी व्यक्ति को नुकसान पहुंचाने के इरादे से किसी कंप्यूटर रिसोर्स के लिए उपयोग किए गए किसी भी कंप्यूटर सोर्स कोड को चुराने, छुपाने, डिस्ट्रॉय या ऑल्टर करने का कारण बनता है, वह प्रभावित व्यक्ति को मुआवजे के रूप में नुकसान का भुगतान करने के लिए उत्तरदायी होगा, जो 1 करोड़ रुपये से अधिक नहीं होगा।”
दंड: 1 करोड़ रुपये तक का प्रतिपूरक (कंपेंसेटरी) दंड।
सुरक्षा में विफलता के लिए मुआवजा (कंपनसेशन फॉर फेलियर टू प्रोटेक्ट) (आईटी एक्ट की धारा 43 A)
इस धारा में, जब भी किसी कॉर्पोरेट बॉडी के पास कोई संवेदनशील व्यक्तिगत डेटा या जानकारी होती है, और ऐसे डेटा या जानकारी की सुरक्षा के लिए उचित सुरक्षा बनाए रखने में लापरवाही होती है, जिससे किसी व्यक्ति को गलत तरीके से नुकसान या गलत लाभ होता है, तो ऐसी कॉर्पोरेट बॉडी प्रभावित व्यक्ति (व्यक्तियों) को हर्जाना देने के लिए उत्तरदायी होगी ।
कंप्यूटर से संबंधित अपराध (आईटी एक्ट की धारा 66)
इस धारा में, यदि कोई व्यक्ति बेईमानी से, कपटपूर्वक (फ्रॉडुलेंटली), धारा 43 में संदर्भित कोई कार्य करता है, तो उसे कारावास होगा जो 3 साल तक बढ़ाया जा सकता है या जुर्माना जो 5 लाख रुपये तक हो सकता है या दोनों के साथ दंडनीय होगा।
दंड: 3 साल तक की कैद, या 5 लाख रुपये तक का जुर्माना, या दोनों।
कॉन्फिडेंशियलिटी और प्राइवेसी के उल्लंघन के लिए दंड (आईटी एक्ट की धारा 72)
इस धारा में, यदि कोई व्यक्ति, जिसने इस एक्ट के तहत बनाए गए नियमों या विनियमों के तहत प्रदत्त (काॅन्फर) किसी भी शक्ति के अनुसरण (पर्सुएंस) में, व्यक्ति की सहमति के बिना किसी भी इलेक्ट्रॉनिक रिकॉर्ड, पुस्तक, रजिस्टर, पत्राचार (कॉरेस्पोंडेंस), जानकारी , डॉक्यूमेंट या अन्य सामग्री तक पहुंच प्राप्त की है और किसी अन्य व्यक्ति को ऐसे इलेक्ट्रॉनिक रिकॉर्ड, पुस्तक, रजिस्टर, पत्राचार, जानकारी , डॉक्यूमेंट या अन्य सामग्री का खुलासा करता है, तो उसे 2 साल तक की कैद या 1 लाख रुपये तक के जुर्माना या दोनों से दंडित किया जा सकता है।
वैध कॉन्ट्रैक्ट के उल्लंघन में जानकारी के डिस्क्लोजर के लिए दंड (पनिशमेंट फॉर डिस्क्लोजर ऑफ इन्फॉर्मेशन इन ब्रीच ऑफ लॉफुल कॉन्ट्रैक्ट) (आईटी एक्ट की धारा 72A)
इस धारा में, एक इंटरमीडियरी सहित कोई भी व्यक्ति, जो वैध कॉन्ट्रैक्ट की शर्तों के तहत सेवाएं प्रदान करते समय, किसी अन्य व्यक्ति के बारे में व्यक्तिगत जानकारी वाली किसी भी चीज की, संबंधित व्यक्ति की सहमति के बिना, इस उद्देश्य से या यह जानने के इरादे से एक्सेस प्राप्त करता है, कि वह गलत तरीके से नुकसान या गलत लाभ का कारण बन सकता है, तो उसे कारावास होगा जिसकी अवधि 3 वर्ष तक हो सकती है, या जुर्माने से, जो 5 लाख रुपए तक हो सकता है या दोनों के साथ, दंडित किया जाएगा।
कॉपीराइट का उल्लंघन (कॉपीराइट एक्ट की धारा 2(o) और 63)
धारा 2(o) के तहत, साहित्यिक (लिटरेरी) कार्य में कंप्यूटर डेटाबेस सहित कंप्यूटर प्रोग्राम, टेबल और कंपाइलेशन शामिल हैं।
दंड: मौद्रिक (मॉनेटरी) जुर्माना क्राइम की भयावहता (मैग्नीट्यूड) के अनुरूप है। इसके अलावा, कॉपीराइट का उल्लंघन एक अपराधिक क्राइम है।
डेटा चोरी के संबंध में सबसे बड़ा मुद्दा तब उठता है जब सीमा पार क्षेत्र कई देशों को शामिल करते हैं, उदाहरण के लिए, सिंगापुर में एक प्रणाली का उपयोग किया जा सकता है, अमेरिका में डेटा में हेरफेर किया जा सकता है और परिणाम भारत में महसूस किए जा सकते हैं। इस तरह के मुद्दे का परिणाम यह है कि क्षेत्राधिकार (ज्यूरिसडिक्शन), नियम और कानून एक अभिन्न कारक बन जाएंगे जो फिर से अपने आप में एक वैकल्पिक (ऑल्टरनेटिव) मुद्दा है।
ऐसी स्थितियों में आम तौर पर उत्पन्न होने वाली कुछ चुनौतियाँ:
- ऐसी परिस्थितियों में सबूतों का संग्रह फिर से एक अलग मुद्दा है क्योंकि 3 अलग-अलग देशों में जांच की जाती है, जो शायद एक दूसरे से बात न करते हों, तो यह करना असम्भव हो जाता हैं, साथ ही हमारे पुलिस के विशेष एक्सपर्टाइज के अभाव में अवगुणों (डीमेरिट्स) को जोड़ते हैं;
- विभिन्न जांच कार्यालयों के बीच समन्वय (कोऑर्डिनेशन) का अभाव।
- ऐसे अपराधों से निपटने के लिए राष्ट्र में स्पष्ट कानूनों का अभाव। इस वजह से, चाहे दोषी पार्टी पकडी जाए या नहीं, वह हमारे कानून में अलग-अलग खामियों (लूपहोल्स) को ढूंढकर बिना किसी खिंचाव के बच सकता है।
क्या भारत में डेटा चोरी के लिए पर्याप्त कानून हैं?
भारतीय कानून, डेटा सुरक्षा कानूनो में, यूनिवर्सल बेंड से पीछे हैं। इस तथ्य के बावजूद कि डेटा चोरी का मुद्दा जो वर्तमान में दुनिया भर में प्रमुख साइबर क्राइम में से एक है, ने भारत में लेजिस्लेटर्स का ध्यान खींचा है, हालांकि यू.एस.ए (यू.एस प्राइवेसी एक्ट, 1974), यू.के (डेटा प्रोटेक्शन एक्ट, 1984) और सिंगापुर (पर्सनल डेटा प्रोटेक्शन एक्ट, 2012) की तरह, भारत में कोई विशेष एक्ट नहीं है जो इस मुद्दे को संभाल सके। जैसा भी हो, भारत में डेटा चोरी सहित साइबर अपराधों के खतरे की ओर बढ़ने के लिए आईटी एक्ट, 2000 है। हालांकि, वास्तव में हमारा आईटी एक्ट, 2000 इस तरह के अपराध से जुड़ी छोटी-छोटी टेक्नोलॉजिकल जटिलताओं (कॉम्प्लेक्सिटी) को संभालने के लिए पर्याप्त नहीं है।
हालांकि साइबर क्राइम्स से निपटने के लिए आईपीसी के तहत कई अमेंडमेंट किए गए हैं लेकिन अभी भी ऐसा कोई प्रावधान नहीं किया गया है जो विशेष रूप से साइबर डेटा चोरी को कवर करता हो। इस तरह से यह माना जा सकता है कि सबसे बड़ा साइबर अपराध “डेटा चोरी” भारत में अपराधिक कानून की सीमा से बाहर है और आईपीसी को यथोचित (रीजनेबली) रूप से, (डेटा चोरी सहित साइबर अपराधों की संपूर्णता (एंटायरिटी) को कवर करने के लिए) कानून बनाने वाली बॉडी की यथासंभव (पॉसिबल) सुविधा पर बदला जाना चाहिए।
अच्छी खबर यह है कि एक नया कानून पर्सनल डेटा प्रोटेक्शन बिल प्रस्तावित (प्रपोज्ड) किया गया है, यह सुनिश्चित करने के इरादे से कि किसी व्यक्ति का व्यक्तिगत डेटा एकत्र (कलेक्ट) करने वाली कोई भी डेटा एजेंसी/कंपनी इस तरह के डेटा को अत्यंत सावधानी से रखेगी और केवल उसी उद्देश्य के लिए ऐसे डेटा का उपयोग करेगी जिसके लिए इसे एकत्र किया गया है। इस आधार पर किसी भी प्रकार के विश्वास के उल्लंघन होने की स्थिति में ऐसी एजेंसी/कंपनी की फिडूशियरी लायबिलिटी होती है।
बिल स्पष्ट रूप से दंड को परिभाषित करता है कि ऐसी एजेंसी उस मुआवजे के साथ-साथ उत्तरदायी है जिसका ग्राहक इस तरह के विश्वास के उल्लंघन के मामले में हकदार है। बिल से रिलेवेंट एक्सट्रैक नीचे दिए गए हैं:
पर्सनल डेटा प्रोटेक्शन बिल, 2019 की धारा 57: दंड और मुआवजा
- जहां डेटा फिडूशियरी निम्नलिखित प्रावधानों में से किसी का उल्लंघन करता है;
- धारा 25 के तहत डेटा सुरक्षा उल्लंघन के जवाब में त्वरित (प्रॉम्प्ट) और उचित कार्रवाई करने का दायित्व (ऑब्लिगेशन);
- धारा 26 की उप-धारा (सब सेक्शन) (2) के तहत अथॉरिटी के साथ रजिस्टर करने में विफलता,
- धारा 27 के तहत एक महत्वपूर्ण डेटा फिडियूशियरी द्वारा डेटा सुरक्षा प्रभाव मूल्यांकन (एसेसमेंट) करने का दायित्व;
- धारा 29 के तहत एक महत्वपूर्ण डेटा फिडूशियरी द्वारा डेटा ऑडिट करने का दायित्व;
- धारा 30 के तहत एक महत्वपूर्ण डेटा फिडूशियरी द्वारा डेटा संरक्षण अधिकारी की नियुक्ति (अपॉइंटमेंट),
यह एक दंड के लिए उत्तरदायी होगा जो 5 करोड़ रुपये या पिछले वित्तीय (फाइनेंशियल) वर्ष के कुल विश्वव्यापी कारोबार (वर्ल्डवाइड टर्नओवर) का 2 प्रतिशत तक हो सकता है।
- जहां एक डेटा फिडियूशियरी निम्नलिखित प्रावधानों में से किसी का उल्लंघन करता है;
- चैप्टर II या चैप्टर III के प्रावधानों के उल्लंघन में व्यक्तिगत डेटा का प्रसंस्करण (प्रॉसेस);
- चैप्टर IV के प्रावधानों के उल्लंघन में बच्चों के व्यक्तिगत डेटा का प्रसंस्करण;
- धारा 24 के अनुसार सुरक्षा उपायों का पालन करने में विफलता; या
- चैप्टर VII के प्रावधानों के उल्लंघन में भारत के बाहर व्यक्तिगत डेटा का स्थानांतरण (ट्रान्सफर),
यह एक दंड के लिए उत्तरदायी होगा जो 15 करोड़ रुपये या पिछले वित्तीय वर्ष के अपने कुल विश्वव्यापी कारोबार का 4 प्रतिशत तक हो सकता है।
धारा 2(13) “डेटा फिडूशियरी” को किसी भी व्यक्ति के रूप में परिभाषित करती है, जिसमें राज्य, एक कंपनी, कोई ज्यूरिस्टिक एंटिटी या कोई भी व्यक्ति शामिल है जो अकेले या दूसरों के साथ मिलकर व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्य और साधन को निर्धारित करता है;
जैसा कि हम देख सकते हैं कि यह बिल निश्चित रूप से भारत के लिए समय की आवश्यकता है क्योंकि यह व्यक्तिगत डेटा सुरक्षा के सभी पहलुओं पर केंद्रित है, हालांकि, डेटा चोरी के संबंध में अभी भी कोई विशेष प्रावधान नहीं हैं।
निष्कर्ष (कंक्लूज़न)
इंटरनेट की पहुंच और डिजिटल टेक्नोलॉजी तक पहुंच में वृद्धि के साथ, हमारी अर्थव्यवस्था साइबर क्राइम सहित कॉलर अपराधों के लिए काफी कमजोर है और हम एक टाइम बम पर बैठे हैं, जो वास्तव में किसी भी व्यक्ति या किसी कॉर्पोरेट या अर्थव्यवस्था के लिए हानिकारक हो सकता है।
हालांकि साइबर क्राइम के क्षेत्र में ज्यूडिशियरी की कार्रवाई को मजबूत करने के लिए बहुत सारी पहल की गई है, फिर भी यहां अभी भी साइबर क्राइम्स की सूची और जांच में काफी कमी है और इसलिए बहुत सारे कार्यक्रमों को चलाने की जरूरत है। ज्यूडिशियरी के भीतर यह गारंटी देने के लिए कि फ्रेमवर्क से जुड़े लोग साइबर क्राइम के प्रभावों को समझते हैं और शीघ्रता से कार्य करते हैं।
साइबर क्राइम को एक क्रिमिनल अपराध के रूप में मान्यता देना शुरू करने के लिए प्रस्तावित बिल को युद्ध स्तर पर पास करने की आवश्यकता है और इसलिए “चोरी” की वर्तमान परिभाषा से काफी अलग कोण (एंगल) से न्याय किया जाना चाहिए, जिसके उपयोग से अपराधी आसानी से भाग जाते हैं। कानूनों को और सख्त बनाने की जरूरत है और इसके परिणाम पर्याप्त होने चाहिए ताकि लोग ऐसे अपराध करने से बच सकें।
संदर्भ (रेफरेंसेस)
- Gagan Harsh Sharma v. The State of Maharashtra, 2018 BHC 1653
- Greg Siele, Data is the world’s most valuable resource, RingLead https://www.ringlead.com/blog/data-is-the-worlds-most-valuable-resource/
- Personal Data Protection Bill, 2019 : http://164.100.47.4/BillsTexts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf
- The Copyright Act, 1957 // sec: 2(o), 63
- The IPC 1860 // sec: 405, 408, 409
- The IT Act, 2000 // sec: 43, 43A, 66, 72, 72A
