পার্সোনাল ডেটা প্রটেকশন আইন: ঘরের শত্রু বিভীষণ
সংশোধিত পার্সোনাল ডেটা প্রটেকশন আইন থেকে এমন ৫টা সুরক্ষা কৌশল তুলে দেয়া হয়েছে। এরগুলে হলো সিংক্রোনাইজ লোকাল ব্যাকআপ, ক্রিটিকাল ইনফরমেশন স্ট্র্যাকচার অ্যান্ড গভর্নেন্স রেস্টিক্টেড ডেটা, ডেটা ডিকশনারি, ব্রিচ হলে তা কত দিনের মধ্যে ফেরাতে হবে তার বিধান এবং সাইবার সিকিউরিটি প্রোটোকল। এই গুরুত্বপূর্ণ বিষয়গুলো বাদ দেয়ায় ভবিষ্যতে সরকার ও বিএনপিকে বিপদে ফেলবে। এসব বুঝে করা হয়েছে; নাকি না বুঝে, আল্লাহ্ই ভালো জানেন!
রিফর্ম করতে হলে আপনাকে কোর পয়েন্টে এডামেন্ট থাকতে হবে এবং কোর পয়েন্ট জেনে সেখানে স্থির থাকতে হবে। দুনিয়া উল্টে গেলেও আপনাকে রিফর্মের কোর ইস্যুর পক্ষে অটল থাকতে হবে। আমরা শত আক্রমণ, অপপ্রচার, অপমান, অপদস্ত হয়েও কিছু কাজে ছাড় দেইনি। যা করার লক্ষ্য স্থির করেছি করে এসেছি। প্ল্যাটফর্ম গুলার সাথে কন্টিনিউয়াস ডিবেট করেছি। আমাদের চারটা আইন জাতীয় সংসদ গ্রহণ করেছে, সেটার জন্য ধন্যবাদ দিয়েছি সরকারসহ সবাইকে। তবে সরকারের একজন উপদেষ্টা পুর্বাপর আলোচনা, নেগোসিয়েশন, ডিবেটিং পয়েন্ট, কোন কোন পয়েন্টে সমঝতা হয়েছে - এগুলা না জেনে এবং দেশের ও দলের ভবিষ্যৎ না ভেবে আইনে এমন আপোষ করেছেন, যার দ্বারা তিনি বিএনপি এবং সরকারকে বিপদে ফেলার পথ তৈরি করেছেন।
ডাটা গভর্নেন্স (এনডিজি এক্ট) আর পার্সোনাল ডেটা প্রটেকশন আইন (পিডিপি এক্ট)'তে স্পষ্টভাবে যেকোনো জাতীয় পরিচয় পত্রের জালিয়াতির ঘটনাকে ক্রিমিনাল অফেন্স বিধান আর শাস্তির বিধান ছিলো। একটা প্ল্যাটফর্মের হাবিজাবি কথা শুনে সব জায়গা থেকে ক্রিমিনাল প্রভিশন তুলে দেওয়ায় এখন ফার্মার কার্ড ও ফ্যামিলি কার্ড বিষয়ক জালিয়াতিকে সহজ করা হয়েছে। বিএনপি সরকার এটা নিয়ে ভবিষ্যতে সাফার করবে। কিন্তু সেভাবে আইনি সুরক্ষা পাবে না। বাংলাদেশের এনআইডি, জন্ম নিবন্ধন, ড্রাইভিং লাইসেন্স, পাসপোর্ট সহ সকল জালিয়াতির প্রেক্ষাপট থাকার স্বত্বেও উনার এই কাজ দেশের (এবং পার্টিরও) কী ক্ষতি করেছে ওটা নিজেও বোঝেন নাই সম্ভবত।
ব্যবসা সহজীকরণকে প্রমোট করতে শুধুমাত্র কোম্পানি কর্তৃক সংগঠিত অপরাধের বেলায় ক্রিমিনাল অফেন্স তুলে দিয়েছি। চাইল্ড ডেটা, সাইবার হ্যাকিং, ক্রিটিক্যাল ইনফ্রা হ্যাকিং ও ডেটা ব্রেচ, র্যানসম সংক্রান্ত অপরাধের ক্ষেত্রে কোনো ব্যক্তিগত গোপিনীয় ও সংবেদনশীল ডেটার বেচা-বিক্রি, মিসইউজ, ব্ল্যাক্মেইলিং (ইন্ডিভিজুয়াল কিংবা বাল্ক) সহ সব কিছু থেকে ক্রিমিনাল ইন্টেনশন উঠিয়ে দিসে। অথচ প্রতিটি অপরাধ ক্রিমিনাল ইন্টেনশন থেকে হচ্ছে বাংলাদেশে। এখানে ডেটা ব্রেচ, প্রাইভেসি ব্রেচ, ফাইনান্সিয়াল স্ক্যামিং সহ সাইবার হামলা ও র্যান্সম এটাক জনিত পার্সোনাল ডেটা ব্রেচ, প্রাইভেসি ব্রেচ গুলার দেশীয় প্রেক্ষাপট বেমালুম বেআমল করা হয়েছে। অদ্ভুত।
আরেকটা উদাহরণ দেই, পার্সোনাল ডেটা প্রটেকশন আইনে (পিডিপি এক্ট)'র আরও কিছু গার্ড'রেল তুলে দিয়েছেন, না বুঝে। যেমন government restricted data, Critical Information Infastruture CII ডেটার ক্ষেত্রে সিনক্রোনাস লোকাল ব্যাকআপের বিষয় প্ল্যাটফর্মও মেনে নিসিলো। শুরুতে আমরা সব পার্সোনাল ডেটার সিঙ্ক্রোনাস লোকাল ব্যাকাপের কথা বলেছি। এটাকে ডি-ফ্যাক্টো লোকালাইজেশন বলে অপপ্রচার করা হয়েছে, অথচ পার্সোনাল ডেটার ফিল্ড গুলো মোট ডেটার ০,০০০০৫% বা তারও কম। যাইহোক, আমরা আইন সংশোধন করে বলেছি, government restricted data, Critical Information Infrastructure CII ডেটার ক্ষেত্রে সিনক্রোনাস লোকাল ব্যাপাক লাগবে, অন্যত্র লাগবে না।
কারণ- কোনও কারণে ভেন্ডর স্যাংশনে পড়লে বা প্রাকৃতিক বা দৈব দুর্বিপাকে পড়ে ওই ডেটার রিমোট স্টোরেজে এক্সেস হারালে- এই ক্রিটিক্যাল সেক্টর গুলো প্যারালাইজ হবে। সেবা দেয়া বন্ধ হয়ে যাবে। কারণ- ফিনটেক, হেলথ টেক সহ বিভিন্ন ক্রিটিক্যাল সেক্টরের পার্সোনাল ডেটায় এক্সেস না পেলে আপনি সিটিজেন আইডেন্টিফাই করতে পারবেন না। দেশের বিশেষ কিছু খাত যেমন ফাইনান্স্যাল সেক্টরের আইডি ভেরিফিকেশন বা হেলথ সেক্টরের ভেরিফিকেশন ইত্যাদি বন্ধে পুরো সেক্টর নন ফাংশনাল হবে। সেবা বন্ধ হয়ে যেতে পারে। এর সাথে প্ল্যাটফর্মের তেমন কোনো সম্পর্ক সেভাবে নাই। সম্পর্ক ভেন্ডোরের। সফটওয়ার ও হার্ডওয়ার ভেন্ডরের কথা মনে না রেখে, শুধু সোশ্যাল মিডিয়া প্ল্যাটফর্মের কথা শুনে সেটাও তুলে দেয়া হয়েছে। অথচ এটা প্ল্যাটফর্ম সরকারের রেস্ট্রিক্টেড ও সিআইআই ডেটার সিঙ্ক্রোনাস লোকাল ব্যাকআপ মেনে নিয়েছিলো আমাদের নেগসিয়েশনে।
অত্যন্ত গুরুত্বপূর্ণ পয়েন্ট ছিল যে, আপনি পার্সনের সম্মতি এবং অথরিটির অবহিতকরণের পরে ডেটা বিদেশে নিতে পারবেন। কিন্তু আপনাকে ডেটা ডিকশিনারি জানাতে হবে। এটাও তুলে দেয়া হয়েছে। অথচ কয়েকদিন আগেই মধ্যপ্রাচ্যের ডেটা সেন্টারে হামলা হয়েছে। বাল্ক এমাউন্ট পার্সোনাল ডেটা স্টোরেজ ডেটা ডিকশনারি না জানলে, এসব ডেটা ভালনারেবল হলে তার টাইমলি রিকভারি সম্ভব না। এর বাইরে, প্রাকৃতিক দুর্যোগ আছে। বন্যা সুনামি, ভূমিকম্প, অগ্নিকান্ড ইত্যাদি তো আছেই। এটা কার স্বার্থে?
আরেকটা গার্ড রেল ছিল এরকম যে, লার্জ স্কেলের পার্সোনাল ডেটা দেশের বাইরে কোন কোম্পানি (ভেন্ডর বা সার্ভিস প্রভাইডার বা প্ল্যাটফর্ম) তার স্টোরেজের সিকিউরিটি স্টান্ডার্ড জানাতে হবে কর্তৃপক্ষকে। কারণ সব ভেন্ডরের সিকিউরিটি কমপ্লায়েন্স নাই। সবাই গুগল বা মেটা না। এখানে বিনিময়, পরিচয়, পাঠাও বা স্বপ্নের মতো কোম্পানি আছে যারা ডেটা সিকিউরিটিতে বিনিয়োগ করে না। এটাও তুলে দেয়া হয়েছে!
অথচ বিষয়টি নিয়ে আইন যারা বানিয়েছে তাদেরকে জিজ্ঞেস করা যেত। আসলে নলেজ ড্রিভেন সোসাইটি আকাশ থেকে বাংলাদেশে পয়দা হবে না! সারা বিশ্বে বাল্ক ডেটা ব্রিচের ঘটনা ঘটলে, সাইবার হ্যাকিং এর পরে ডেটা গভর্নেন্স অথোরিটিকে বা সরকারের সংশ্লিষ্ট বিভাগকে রিকভারি প্রসেস জানাতে হয়। আমরা এই বিধান রেখেছি, তাও তুলে দেয়া হয়েছে! আমরা ৯০ দিনের মধ্যে এসব হ্যাকিং এর ক্ষেত্রে পার্সোনাল ডেটা হস্তান্তর করার বিধান রেখেছি, সেটাও বাদ দেয়া হয়েছে। এসবের মানে কী?
কয়েকদিন আগে ইউরোপের একটা মোবাইল সার্ভিস প্রভাইডারের কয়েক মিলিয়ন কাস্টমারের পার্সোনাল ডেটা হ্যাক/লিক হয়ে গেছে। আদালতে মমলা হয়েছে। কিন্তু বাংলাদেশ এসব ক্ষেত্রে সুরক্ষা চেয়ে প্রতিকার না পেলে আদালতে যেতে পারবে না, ভবিষ্যতে। কয়েকদিন আগেই স্বপ্নের ডেটা লিক হয়েছে।
আসলে সংশোধন করতে গিয়ে আইন প্রণয়নে যুক্ত স্টেকহোল্ডারদের কালেক্টিভ ইফোর্টকে শুধুমাত্র অসম্মান করাই হয়নি, বরং দেশের ক্ষতি ডেকে আনা হয়েছে। দেশের ডিজিটাল সভ্রেন্টিকে কম্প্রমাইজ করা হয়েছে। ডেটা গভর্নেন্স এর গুরুত্বপূর্ণ এলিমেন্ট সরিয়ে বিদেশীদের স্বার্থ এস্টাব্লিশ কার হয়েছে। এটা ছোটখাট কোনো ব্যাপার না কিন্তু!
সবচেয়ে গুরুত্বপুর্ণ ব্যাপার, এসব মৌলিক চেঞ্জ করা হয়েছে কোনো কন্সাল্টেশন ছাড়া। ফলে সংসদে আইন পাশ হলেও, এটা আদালতে চ্যালেঞ্জ জানানোর সূযোগ আছে। কেননা আইন পাশের আগের কন্সাল্টেশন প্রক্রিয়া মানা হয়নি। এসব নিয়ে ভবিষ্যতে ঝামেলা হবে।
স্টান্ডার্ড প্র্যাকটিস বলে ক্রিমিনাল অফেন্স তুলে দেয়া হয়েছে। অথচ স্ট্যান্ডার্ড প্র্যাকটিস হচ্ছে, আপনার দেশের টেলিকম ও আইসিটি আইনে ক্রমিনাল অফেন্স থাকলেই পরে আপনি ডেটা গভর্নেন্স এর অপরাধকে ক্রিমিনাল বাদ দিয়ে শুধুমাত্র সিভিল স্যুটে নিতে পারেন। এখন আপনার টেলিকম আইন, আইসিটি আইন, ডেটা প্রটেকশন আইনের কোথাও ক্রিমিনাল অফেন্স নাই।
দক্ষিণ করিয়ার পার্সোনাল ডেটা প্রটেকশন আইনে ক্রিমিনাল অফেন্সের বিধান আছে। ইইউ, চায়না, কিংবা অস্ট্রেলিয়া দেখেন। দিনকে দিন পার্সোনাল ডেটা নিয়ে টাফ আইন করছে। অস্ট্রেলিয়া ১৬ বছরের নিচে সব সোশ্যাল মিডিয়া একাউন্ড ডিলিট করতে বাধ্য করেছে। অথচ উল্টো এআই মডেলে, চাইল্ড পর্নে, র্যানসম অ্যাটাকে, বাল্ক ডেটার ভায়লেশনে ক্রমিনাল অফেন্স তুলে দেয়া হলো। বাদ দেয়া হলো ক্রিটিক্যাল ইনফ্রার 'সিঙ্ক্রোনাস লোকাল ব্যাকআপ', ডেটা ডিকশনারি জানানোর বিষয়, সাইবার ব্রিচে পার্সোনাল ডেটা রিকভারির বিষয়।
কোনো কন্সাল্টেশন ছাড়া এগুলো কার স্বার্থে?
আজকে যদি ফ্যামিলি কার্ড এর ব্যক্তিগত উপাত্ত জালিয়াতি করে লুটপাট হয়, ফার্মার কার্ড জালিয়াতি করে লুটপাট হয়, নতুন করে এনআইডি, জন্ম নিবন্ধন সহ সরকারের হাতে থাকা ডেটা চুরি হয়, এর দায় কে নিবে? আমরা সবাই জানি, দেশের ১৪০টার মত সোশ্যাল সেফটি নেটের অধিকাংশই ভুল হাতে যায়। অথচ নতুন আইডি ম্যানেজমেন্টেও সম্ভাব্য জালিয়াতির বিপরীতে সরকারের প্রটেকশন মেকানিজম তুলে দিলেন!
আইএমএফ বলতে চাচ্ছে, ফ্যামিলি কার্ড, ফার্মার কার্ড চালুর আগে ফিজিবিলিটি স্ট্যাডি হয়নি। এটা পাবলিক প্রকিউরমেন্টের শুরু ধাপ। ফিজিবিলিটি স্ট্যাডি, ডিপিপি, প্ল্যানিং কমিশন রিভিউ, প্রি একনেক, একনেক, টেন্ডারের স্পেসিফিকেশন, সেটা প্রিটেন্ডার করা, টেকনিক্যাল ইভ্যালুয়েশন, ফাইনান্সিয়াল ইভাল্যুয়েশন এসব স্টেজ ধারাবাহিক পার করে জাতীয় ক্রয় কমিটিতে উঠিয়ে সরকারি ক্রয় করতে হয়। লম্বা প্রক্রিয়া, যেখানে ফাইল উপরে উঠা ও নিচে নামানো মিলিয়ে ১৬ থেকে ১৮টা স্টেজ আছে। আইএমএফ এর আপত্তি ক্ল্যাসিক্যাল প্রসেস, যে সরকার পাবলিক প্রকিউরমেন্ট নীতি মানেনি।
আমার আপত্তি আরও গোড়ায়, দলীয় ইশতেহারের ফাউন্ডেশনাল প্রজেক্টকে শুরুতেই কারিগরিভাবে ভালনারেবল করে আইনই চেঞ্জ করে দেয়া হয়েছে। দল ক্ষমতায় আসছে মাত্র ২ মাস। এভাবে অজ্ঞানতার অন্ধকার ছাড়ালে দলের সাফল্য কীভাবে আসবে? নাকি বুঝেই প্ল্যাটফর্মের সাথে নিজের ব্যক্তিগত সম্পর্ক ভালো রাখতে আতত করে ফেলেন, মনে করেছেন কেউ বুঝবে না। দেশের চেয়ে, দলের চেয়ে আপনার ব্যক্তিগত সম্পর্ক এবং স্বার্থ বড় হয়ে গেল!
শুনছি, সরকার গুজব, মিসইনফো, ডিসইনফো সহ বিভিন্ন সাইবার অপরাধের ক্ষেত্রে আইনি সুরক্ষার পথ খুঁজছে। সরকারের পক্ষ থেকে আইনি সুরক্ষা খোঁজা সঠিক ও লেজিট পথ। কিন্তু সরকারে নিজের লোকই যেন তা খুঁজে খুঁজে সব আইনি সুরক্ষা তুলে দিচ্ছে! ঘরের শত্রু বিভীষণ!
