वाहन रजिस्ट्रेशन संबंधी डेटा को लेकर भारत सरकार के साथ अनुबंध करने वाली फास्ट लेन ऑटोमोटिव ने सड़क परिवहन और राजमार्ग मंत्रालय को सूचित किए बिना जर्मनी की एक कंपनी मैनसर्व के साथ एक सब-कॉन्ट्रैक्ट किया, जिसमें ‘संवेदनशील जानकारी’ साझा करने की बात कही गई थी.
(सड़क परिवहन और राजमार्ग मंत्रालय द्वारा साझा किए गए वाहनों संबंधी बल्क डेटा पर की जा रही दो लेखों की श्रृंखला का दूसरी कड़ी है. पहले भाग को यहां पढ़ सकते हैं.)
नई दिल्ली: सड़क परिवहन और राजमार्ग मंत्रालय द्वारा नई दिल्ली की ऑटो-टेक सॉल्यूशंस कंपनी फास्ट लेन ऑटोमोटिव (एफएलए) के साथ भारतीय नागरिकों का वाहन और लाइसेंस संबंधी डेटा साझा करने के कुछ महीनों बाद इस कंपनी द्वारा एक जर्मन कंपनी के साथ डेटा साझा करने को लेकर एक और अनुबंध किया गया था.
आरटीआई द्वारा प्राप्त सरकारी दस्तावेजों के अनुसार, मंत्रालय को भेजे गए एक पत्र में इस भारतीय कंपनी ने सरकारी अधिकारियों को इस अनुबंध के बारे में तब बताया जब जर्मन कंपनी ने एफएलए के साथ हुए अनुबंध के विफल होने के बाद इस डेटा को डिलीट करने से इनकार कर दिया.
आधिकारिक रिकॉर्ड दिखाते हैं कि यह बात बताए जाने के कुछ महीनों बाद मंत्रालय ने सुरक्षा कारणों का हवाला देते हुए डेटा सप्लाई को बंद किया.
इस रिपोर्ट के पहले भाग में हमने बताया था कि किस तरह एफएलए को कौड़ियों के दाम में एक विशिष्ट डेटाबेस तक पहुंच मिली थी. द वायर को मिले दस्तावेजों के अनुसार मंत्रालय ने विभिन्न अधिकारियों की कई चेतावनियों के बावजूद इस अनुबंध को लंबा खींचा.
जर्मन कंपनी के साथ फास्ट लेन के सौदे के खटाई में पड़ने को एफएलए के सीईओ निर्मल सिंह सरन्ना ‘नजरिये का फर्क’ बताते हैं. इस बीच जर्मन कंपनी ने परिवहन मंत्रालय से सीधे डेटा प्राप्त करने के लिए बार-बार प्रयास किए.
जब तक भारत सरकार यह जान सकी कि फास्ट लेन ऑटोमोटिव ने विदेशी इकाई के साथ वाहनों के थोक डेटा को लेकर चुपचाप कोई सौदा किया है, भारतीय फर्म पहले ही जर्मन कंपनी को डेटा के सैंपल उपलब्ध करा चुकी थी. एफएलए के अपने शब्दों में कहें, तो इस भागीदारी में ‘बेहद संवेदनशील डेटा’ साझा करना भी शामिल था.
दो निजी फर्मों के बीच डेटा साझा करने का सौदा ऐसी स्थिति में हुआ, जहां इस तरह के किसी लेनदेन से बचाव के लिए सरकार द्वारा साइन किए गए अनुबंध में कोई सामान्य निजता कानून या कोई विशेष खंड मौजूद नहीं था.
जहां एक ओर मंत्रालय द्वारा बल्क डेटा शेयरिंग पॉलिसी और 2014 में एफएलए के साथ हुआ अनुबंध, दोनों ही सुरक्षा से जुड़े मसलों के चलते रद्द कर दिए गए थे, वहीं एक और पॉलिसी, जो इसी डेटा, जिसमें निजी जानकारियां भी शामिल हैं, तक एक्सेस (पहुंच) की अनुमति देती है अब भी सक्रिय है. और इसमें इस डेटा को आगे ट्रांसफर करने और कोई और उप-अनुबंध (सब-कॉन्ट्रैक्ट) साइन करने को लेकर बचाव का कोई उपाय नहीं है.
नेशनल रजिस्टर (एनआर) एक्सेस पॉलिसी के नाम से जानी जाने वाली इस योजना के अंतर्गत सड़क परिवहन और राजमार्ग मंत्रालय के रिकॉर्ड पर आधारित वाहनों के डेटा को निजी खरीददारों को बेचा जा सकता है. ऑटोमोबाइल निर्माता और इंश्योरेंस कंपनियां 50-100 रुपये देकर पूरा वाहन पंजीकरण और ड्राइविंग लाइसेंस रिकॉर्ड (नाम और अन्य जानकारियों के साथ) खरीद सकते हैं.
जो डेटा विदेशी कंपनी से साझा किया गया, वह मंत्रालय द्वारा एफएलए के साथ हुए अनुबंध के तहत दी गई सूचनाओं पर आधारित सैंपल था. इस डेटा बेस में एनआर में संकलित करोड़ों भारतीय नागरिकों की वाहन पंजीकरण और ड्राइविंग लाइसेंस की डिजिटलीकृत जानकारी शामिल है.
द वायर से फोन पर बात करते हुए फास्ट लेन के सीईओ निर्मल सिंह सरन्ना ने कहा कि साझा किया हुआ सैंपल ‘वास्तविक’ नहीं था, इसमें ‘फेरबदल’ की गई थी. हालांकि इस जर्मन कंपनी के साथ हुई उनकी बातचीत में वे साझा की गई इस जानकारी को ‘बेहद संवेदनशील’ बताते हैं.
साल 2020 में सरकार ने नागरिकों की निजता संबंधी और निजी कंपनियों को बेचे गए डेटा के दुरूपयोग से जुड़ी चिंताओं के चलते बल्क डेटा शेयरिंग पॉलिसी को रद्द कर दिया था और ‘निजी डेटा संरक्षण विधेयक 2019 को संसद में लाए जाने की प्रतीक्षा करने का निर्णय लिया था.’
स्वतंत्र डेटा शोधार्थी श्रीनिवास कोडली और रिपोर्टर्स कलेक्टिव द्वारा आरटीआई के जरिये हासिल किए दस्तावेजों से मिली जानकारी दिखाती है कि मंत्रालय के एफएलए के साथ क़रार करने के तक़रीबन दो साल बाद अधिकारियों को यह एहसास हुआ कि ‘इसमें सुरक्षा संबंधी मसले और डेटा लीक होने की संभावनाएं हैं.’
और मंत्रालय को यह एहसास खुद नहीं हुआ था. असल में एफएलए द्वारा मंत्रालय को सूचित किया गया था कि वे एक जर्मन फर्म- मैनेजमेंट सर्विस हेल्विग श्मिट जीएमबीएच (मैनसर्व) के साथ बातचीत कर रहे हैं और अनुबंध के कुछ महत्वपूर्ण दस्तावेजों के साथ कुछ सैंपल डेटा उन्हने भेजा गया है.
द वायर द्वारा एफएलए के सीईओ से पहले फोन और फिर लिखित सवालों के जरिये संपर्क किया गया. इन सवालों के विस्तृत जवाब में सरन्ना ने कंपनी द्वारा कोई भी गलत काम किए जाने से इनकार किया और कहा, ‘किसी भी समय या स्तर पर कोई अनुचित काम नहीं किया गया.’
सरन्ना ने इस बात से भी इनकार किया कि एफएलए के जर्मन कंपनी के साथ अनुबंध करने और सरकार द्वारा डेटा सप्लाई बंद करने के बीच कोई संबंध है. उन्होंने कहा, ‘सरकार ने डेटा सप्लाई नीतिगत बदलावों के चलते बंद की थी न कि एफएलए द्वारा हुई किसी चूक या उल्लंघन के चलते.’
सरन्ना द्वारा इस रिपोर्टर से ‘एफएलए और इसके अधिकारियों का अनुचित उत्पीड़न करने से बाज़ आने’ को भी कहा गया. उन्होंने लिखा, ‘अगर इस जवाब के बावजूद आप एफएलए के खिलाफ दुर्भावना से काम करना चुनते हैं, तो एफएलए मानहानि और अपमानित करने के संदर्भ में, जब आवश्यकता होगी, उचित कानूनी उपायों का सहारा लेगा.’ (उनका पूरा जवाब रिपोर्ट के आखिरी हिस्से में संलग्न है.)
द वायर द्वारा केंद्रीय परिवहन मंत्री नितिन गडकरी के कार्यालय, सचिव व अन्य अधिकारियों को भी विस्तृत प्रश्नवाली भेजी गई हैं, हालांकि कई बार याद दिलाए जाने के बावजूद वहां से कोई जवाब प्राप्त नहीं हुआ है.
मंत्रालय के साथ हुए फास्टलेन के अनुबंध में इसे किसी विदेशी फर्म के साथ क़रार करने और भारत सरकार के डेटाबेस से प्राप्त किए सैंपल डेटा को ट्रांसफर करने से रोकने के बारे में किसी बात या नियम का जिक्र नहीं था. हालांकि इस अनुबंध में डेटा के संरक्षक की भूमिका में नेशनल इंफॉर्मेटिक्स सेंटर (एनआईसी) था, लेकिन जैसा कि रिपोर्ट के पिछले भाग में बताया गया, इसे कॉन्ट्रैक्ट को फाइनल करते समय दरकिनार कर दिया गया.
इन दोनों कंपनियों के बीच अनुबंध फास्ट लेन को सूचना संबंधी सेवाएं देने के लिए मिले भारतीय वाहन पंजीकरण और वाहनों के स्वामित्व में बदलाव के डेटा के इस्तेमाल के अधिकार के आधार पर हुआ था.
हालांकि 16 अक्टूबर 2014 दोनों के बीच हुआ यह सब-कॉन्ट्रैक्ट जल्द ही विफल हो गया. 31 मार्च 2015 मैनसर्व को भेजे ईमेल में फास्ट लेन ने इससे अनुबंध का सम्मान करते हुए उससे प्राप्त सभी डेटा सेट को डिलीट करने का आग्रह किया. लेकिन उसने यह बात नहीं मानी.
इसके बाद एफएलए ने इसी साल के जुलाई महीने में मंत्रालय को बताया कि वह ‘संबंधित अदालतों’ में मैनसर्व के खिलाफ क़ानूनी कार्रवाई कर रहा है. इस बारे में सरन्ना से जब फोन पर हुई बातचीत में सवाल किया गया तब उन्होंने मैनसर्व के साथ कोई भी सूचना साझा करने की बात से ही इनकार कर दिया.
जब इस संवाददाता ने फास्टलेन द्वारा मंत्रालय को भेजे गए पत्र का हवाला देते हुए डेटा साझा किए जाने की बात की, तब उन्होंने कहा, ‘यह अनाम सैंपल था. इसका हमारे साथ साझा किए गए डेटा से कोई लेना-देना नहीं था.’ इसके बाद उन्होंने जोड़ा, ‘यह डेटा का अंश मात्र था.’
इससे अलग ईमेल में भेजे गए जवाब में उन्होंने कहा, ‘कॉन्ट्रैक्ट के तहत मिली अनुमति के अनुसार केवल डेटा का स्ट्रक्टर और एक डमी (नकली) डेटा साझा किया गया था. हमने हमेशा इसका पालन सुनिश्चित किया.’
द वायर द्वारा मंत्रालय को डेटा को आगे ट्रांसफर किए जाने के बारे सौदे में मौजूद बचाव उपायों के संबंधी सवाल भेजे गए थे, लेकिन इनका कोई जवाब नहीं मिला.
जहां एक ओर सरन्ना का कहना है कि उन्होंने जर्मन कंपनी के साथ ‘अनाम सैंपल’ साझा किया था, कंपनी के साथ ईमेल पर हुई उनकी बातचीत उनके द्वारा ट्रांसफर की गई जानकारी के महत्व की ओर इशारा करती है.
31 मार्च 2015 को सरन्ना ने मैनसर्व के अधिकारियों को फास्ट लेन से प्राप्त डेटा को डिलीट करने की बात कहते हुए लिखा, ‘हम फिर इस बात पर जोर देना चाहेंगे कि जो डेटा और सूचनाएं दी गई हैं वे बेहद संवेदनशील हैं और इनके किसी भी तरह के दुरुपयोग से एफएलए के काम को नुकसान पहुंच सकता है.’
13 अगस्त 2015 को मंत्रालय ने फास्ट लेन से प्राथमिकता के आधार पर मैनसर्व के खिलाफ लिए गए कानूनी कदम के बारे में विवरण देने को कहा. हालांकि सुरक्षा कारणों का हवाला देकर 17 फरवरी 2016 को डेटा सप्लाई अंततः बंद करने से पहले कई महीनों तक इसे जारी रखा गया.
मैनसर्व के फास्ट लेन द्वारा खिलाफ लिए गए कानूनी कदम के बारे में पूछने पर सरन्ना ने द वायर को बताया, ‘आपसी बातचीत में यह तय किया गया था कि कोई वास्तविक डेटा नहीं बल्कि डमी डेटा साझा किया जाएगा. हमने एक जिम्मेदार संस्था के बतौर मंत्रालय को इस स्थिति के से अवगत कराया था और बताया था कि अब यह सब-कॉन्ट्रैक्ट अस्तित्व में नहीं है.’
सरन्ना ने मंत्रालय को जर्मन कंपनी के खिलाफ कानूनी कार्रवाई करने की सूचना उनकी कंपनी द्वारा मैनसर्व को डेटा डिलीट करने और उसके ऐसा न करने के चार महीने बाद दी गई थी.
इस बीच घटनाक्रम में दिलचस्प मोड़ तब आया, जब अनुबंध संबंधी दस्तावेज और डेटा से लैस मैनसर्व द्वारा मंत्रालय से संपर्क किया गया.
साल 2015 की शुरुआत में इसने आधिकारिक तौर पर बल्क डेटा तक एक्सेस देने का आग्रह किया. कंपनी की दिलचस्पी विभिन्न तरह के डेटा सेट में थी लेकिन उन्होंने कार मालिकों के जिलों और पोस्टल कोड लोकेशन की जानकारी के विशेष रूचि दिखाई.
उनके प्रस्ताव पर मंत्रालय ने जवाब दिया कि ‘वे केवल उन कंपनियों के साथ बल्क डेटा साझा करने का अनुबंध कर सकते हैं जो भारतीय कंपनीज़ एक्ट/पार्टनरशिप कानून के तहत आने वाली किसी पार्टनरशिप फर्म या संबंधित कानून के दायरे में आती हैं.’
इसके बाद 15 अप्रैल 2015 को भेजे गए एक ईमेल में जर्मन कंपनी ने इस बात पर जोर दिया कि उनके लिए इस डेटा तक पहुंचना जरूरी क्यों है. उन्होंने लिखा, ‘अब तक आपसे यह डेटा प्राप्त करने वाली एकमात्र कंपनी फास्ट लेन है और वो अभी बाजार में बेहद नए हैं.’
यह ईमेल सरन्ना द्वारा मैनसर्व को डेटा डिलीट करने वाले ईमेल भेजे जाने के एक महीने बाद और फास्ट लेन के मंत्रालय को मैनसर्व के खिलाफ कानूनी कार्रवाई करने की बात बताने के तीन महीने पहले भेजा गया था.
एक ईमेल में सरन्ना ने द वायर को बताया कि यह सब-कॉन्ट्रैक्ट ‘व्यावसायिक वजहों और नजरियों में फर्क के चलते विफल हुआ, जहां दोनों पक्षों ने मिलकर इस पार्टनरशिप को आगे न बढ़ाने का निर्णय किया.’ अगर यह भागीदारी आगे जाती तो जर्मन कंपनी भारत सरकार के डेटा बेस में संकलित डेटा की प्रोसेसिंग और एनालिसिस में एक पक्ष बन जाती और यह भारत सरकार के साथ फास्ट लेन द्वारा किए गए अनुबंध का उल्लंघन नहीं होता.
मंत्रालय के अधिकारियों ने इस सौदे की कमियों के बारे में कई बैठकें की थीं, जिसके बाद एनआईसी द्वारा ‘सुरक्षा संबंधी चिंताएं और डेटा लीक की संभावना’ जताने के बाद फरवरी 2016 में आखिरकार फास्ट लेन को हो रही डेटा सप्लाई बंद कर दी गई. इसके बाद मंत्रालय ने एनआईसी से डेटा छांटने और आगे कोई संवेदनशील जानकारी साझा न करने को भी कहा.
इस अनुबंध को लेकर मंत्रालय के अंदर बड़ी बहस शुरू हो गई थी: क्या डेटा को राजस्व कमाने के लिए इस्तेमाल किया जाना चाहिए? इसके बजाय अधिकारियों का सुझाव था कि सरकार के डेटा प्लेटफॉर्म्स पर वाहन और सारथी डेटा को सार्वजनिक कर देना चाहिए.
हालांकि 21 अक्टूबर 2019 के रिकॉर्ड दिखाते हैं कि मंत्रालय का कहना था कि प्राइवेसी तब भी एक बड़ा मसला होगा.
2019 में बल्क डेटा पॉलिसी लाई गई थी और इसके साथ ही प्राइवेसी से जुड़ी कई चिंताएं भी उठ खड़ी हुईं. पॉलिसी में यह स्वीकारा गया था कि ‘ट्राईएंगुलेशन’ की संभावना है लेकिन इसकी जिम्मेदारी डेटा खरीददार पर डाल दी गई थी. ट्राईएंगुलेशन की मदद से कोई भी डेटा धारक आसानी से उपलब्ध केवाईसी की मदद से हर वाहन के मालिक की पूरी जानकारी हासिल कर सकता है.
हालांकि भारतीय कंपनी मंत्रालय से प्राप्त डेटा के साथ कई अन्य डेटा सेट्स की जानकारी मिलाकर वैश्विक बाजार में खुद को इसके एक विशेष क्रेता के तौर पर पेश कर चुकी थी. मंत्रालय के साथ हुए अनुबंध के तहत इसकी स्वीकृति मिली हुई थी.
2020 की शुरुआत में दिल्ली दंगों के समय भारतीय डिजिटल लिबर्टीज़ की निगरानी करने वाली इंटरनेट फ्रीडम फाउंडेशन ने भारत सरकार को विस्तार से लिखा था कि क्यों बल्क डेटा पॉलिसी रद्द की जानी चाहिए. इसी साल जून में मंत्रालय के अधिकारियों ने इसे रद्द करने का फैसला किया था. उन्होंने नेशनल रजिस्ट्री ऑफ ट्रांसपोर्ट के डेटा पर आधारित रिपोर्ट्स को भी निजी इकाइयों के साथ साझा करने की संभावनाओं से इनकार कर दिया था.
कोडली कहते हैं, ‘मंत्रालय कहता है कि उसने पॉलिसी ख़त्म कर दी है लेकिन निजी कंपनियों के पास अब भी डेटा है. उनसे अब तक साझा किए गए डेटा सेट्स को डिलीट करने के लिए नहीं कहा गया है और न ही सरकार ने इससे कमाई गई राशि ही वापस की है.’
द वायर द्वारा भेजे गए सवालों पर दिए गए निर्मल सिंह सरन्ना के जवाब नीचे पढ़े जा सकते हैं.
Nirmal Singh Saranna respon… by The Wire
(लेखक रिपोर्टर्स कलेक्टिव के सदस्य हैं.)