आधार कार्ड: ये चार वजहें जो बायोमेट्रिक के इस्तेमाल को लेकर डर पैदा करती हैं

आधार कार्ड में बायोमेट्रिक डेटा के अचूक और सुरक्षित होने का दावा सच नहीं है.

//

आधार कार्ड में बायोमेट्रिक डेटा के अचूक और सुरक्षित होने का दावा सच नहीं है.

31685128766_742cb702cf_o

आधार का विरोध मुख्यतः निगरानी और निजता के मुद्दे पर केंद्रित है. बेशक, ये महत्वपूर्ण मुद्दे हैं, लेकिन आधार टिका है, बायोमेट्रिक आधारित पहचान के अचूक, मज़बूत और सुरक्षित होने के मिथक पर. इनमें से कोई भी दावा सही नहीं है, जो कि आधार की उपयोगिता पर ही सवाल खड़े करता है. साथ ही उन अप्रत्याशित जटिलताओं के प्रति भी हमें चेताता है, जिसे यह जन्म दे सकता है.

बायोमेट्रिक सूचनाओं को जीवन पर्यंत अपडेट करना होगा

आधार अधिनियम के अनुच्छेद 6 और 31(2) में लिखा गया है:

कुछ सूचनाओं का नवीनीकरण: आधार प्राधिकरण नियमों के तहत समय-समय पर आधार नंबर धारकों से सेंट्रल आइडेंटिटीज डेटा रिपोजिटरी में दर्ज उनकी सूचनाओं को सटीक बनाये रखने के लिए उनकी जनांकिकीय (जनसंख्या संबंधी) और बायोमेट्रिक सूचनाओं का नवीनीकरण करने के लिए कह सकता है.

जनांकिकीय या बायोमेट्रिक सूचनाओं में परिवर्तन: 31 (1) यदि आधार नंबर धारकों की कोई जनांकिकीय सूचना ग़लत पाई जाती है या बाद में उसमें परिवर्तन आता है, तो आधार नंबर धारक प्राधिकरण से सेंट्रल आइडेंटिटीज डेटा रिपोजिटरी (सीआईडीआर) में दर्ज उनके रिकॉर्ड की जनांकिकीय सूचना में नियमों के तहत परिवर्तन करने का अनुरोध करेगा.

(2) यदि आधार नंबर धारकों की बायोमेट्रिक सूचना गुम हो जाती है या बाद में किसी कारण से बदल जाती है, तो आधार नंबर धारक, प्राधिकरण से सेंट्रल आइडेंटिटीज डेटा रिपोजिटरी (सीआईडीआर) में दर्ज अपने रिकॉर्ड में नियमों के तहत ज़रूरी परिवर्तन करने का अनुरोध करेगा.

पांच बिंदुओं पर तत्काल नज़र जाती है:

1. यह यूआईडीएआई (भारतीय विशिष्ट पहचान प्राधिकरण) के बार-बार किए जा रहे इस दावे की कलई खोल देता है कि आधार के लिए नामांकन ‘बस एक बार’ कराना होगा. लेकिन ऐसा नहीं है, न ऐसा कभी होगा.

2. यह इस तथ्य को स्वीकार करता है कि बायोमेट्रिक सूचनाएं परिवर्तनीय हैं. इसके लिए साधारण तौर पर जिन कारणों की कल्पना की जा सकती है, वे हैं- उम्र का बढ़ना, शारीरिक श्रम, चोट, बीमारी आदि. लेकिन क्या कोई ऐसा तरीका है कि व्यक्ति आईने में ख़ुद को देखे और उसे पता चल जाए कि उसे आधार सूचनाओं में कब परिवर्तन करवाना होगा? ऊपर लिखित अनुच्छेदों के अनुपालन का कोई वस्तुपरक (ऑब्जेक्टिव) तरीक़ा नहीं है.

3. चूंकि विशिष्ट पहचान का आधार का वादा बायोमेट्रिक की विशिष्टता पर टिका हुआ है, इसलिए यह मानना तर्कसंगत होगा कि बायोमेट्रिक डेटा में नवीनीकरण भी उतना ही कठिन होगा, जितना नये नामांकन के दौरान होता है. आधार (नामांकन एवं नवीनीकरण) विनियम, 2016 के अध्याय चार का नियम 19(ए), इस मामले में बिल्कुल अनजान नज़र आता है:

धारकों की सूचनाओं के नवीनीकरण की विधियां: सीआईडीआर में धारकों (रेजिडेंट्स) की सूचनाओं का नवीनीकरण निम्नलिखित विधियों से किया जा सकता हैः-

(ए). किसी भी नामांकन केंद्र पर ऑपरेटर और/या सुपरवाइजर की मदद से. रेजिडेंट का बायोमेट्रिक तरीक़े से सत्यापन किया जाएगा और उसे आधार नंबर के साथ वह सूचना मुहैया करानी होगा, जिसका नवीनीकरण वह करवाना चाह रहा है.

यहां किस बायोमेट्रिक सत्यापन की बात की जा रही है, जब उद्देश्य बायोमेट्रिक सूचनाओं का नवीनीकरण ही है! क्या यहां आधार धारकों से यह उम्मीद तो नहीं की जा रही है कि उन्हें अपनी पांचों उंगलियों और आइरिस के पहचान के लिए उपयोगी न रहने से पहले ही नामांकन केंद्रों पर हाज़िरी लगानी होगी?

4. यहां लगाई गई शर्त अभूतपूर्व भी है और क़ानून के ख़िलाफ़ भी. निकृष्टतम दोषियों के लिए भी ऐसी शर्त नहीं लगाई जाती. इससे जुड़े नैतिक पक्षों को छोड़ दें, तो भी यह उत्पीड़न का एक कभी न ख़त्म होने वाला स्रोत बन सकता है. जिसका कोई समाधान यहां नहीं सुझाया गया है.

5. हमारे समाज के ग़रीब वर्गों के लिए बायोमेट्रिक के नियमित नवीनीकरण को पीडीएस राशन के लिए आधार सत्यापन की अनिवार्यता के प्रावधानों के द्वारा पहले ही संस्थागत कर दिया गया है. दूसरे भारत को समय-समय पर मोबाइल सिम के लिए अनिवार्य ई-केवायसी जैसे प्रावधानों के सहारे इसके तहत लाया जा सकता है.

डेटाबेस में बायोमेट्रिक रिकॉर्ड तक नहीं है पहुंच

आधार अधिनियम का अनुच्छेद 28(5) इस विशिष्ट पहचान को गढ़ने वाली बायोमेट्रिक सूचनाओं तक व्यक्ति की पहुंच का निषेध करता है.

बशर्ते कि आधार नंबर धारक नियमों के तहत प्राधिकरण से उसकी बायोमेट्रिक सूचनाओं के अलावा पहचान की अन्य सूचनाओं को देखने का अनुरोध कर सकता है

यह चार समस्याओं को जन्म देता है:

1. यह धारक को इस बात की जांच करने का कोई विकल्प नहीं देता कि उसकी बायोमेट्रिक सूचनाएं सही तरीक़े से दर्ज की गई हैं कि नहीं, जबकि उसकी इसी सूचना पर उसकी पहचान टिकी है.

2. यह इस संभावना को जन्म देता है कि धोखाधड़ी करके किसी व्यक्ति की बायोमेट्रिक पहचान को बदल दिया जाए. यहां तक कि नामांकन ऑपरेटर भी सॉफ्टवेर हैकिंग के द्वारा किसी व्यक्ति की बायोमेट्रिक सूचना की अदला-बदली कर सकता है.

3. यह पासपोर्ट जैसे दूसरे पहचान दस्तावेज़ों के बिल्कुल उलट है, जिसमें किसी व्यक्ति की पहचान के प्रमाण के तौर पर इस्तेमाल में आने वाली सूचनाएं दस्तावेज़ पर ही मुद्रित होती हैं. यह मुहैया कराई गई सूचनाओं की रशीद के तौर पर काम करता है और साथ ही यह उस व्यक्ति के ही नियंत्रण में होता है, जिसके लिए इसका महत्व है.

4. चूंकि धारक की पहुंच डेटाबेस में दर्ज बायोमेट्रिक सूचनाओं तक नहीं है, इसलिए तकनीकी रूप से उसके पास ऐसा कोई साधन नहीं है, जिसके आधार पर वह फ़ैसला कर सके कि उसकी बायोमेट्रिक सूचनाओं में किसी एक या ज़्यादा के नवीकरण का वक़्त आ गया है. इसका एकमात्र तरीक़ा यही है कि वह कहीं सत्यापन में असफल हो जाए.

बायोमेट्रिक सत्यापन में अनिश्चितता

आधार अधिनियम के विभिन्न अनुच्छेदों के तहत (अनुच्छेद 4(3), 7,8 एवं 57), किसी व्यक्ति को पहचान के प्रमाण के तौर पर बायोमेट्रिक सत्यापन से गुज़रना पड़ सकता है. यह कई कारणों से समस्याओं से भरा हुआ है.

1. बायोमेट्रिक सत्यापन अनिवार्यतः चित्र के आधार पर शिनाख़्तगी-इमेज रिकगनिशन (या पैटर्न मैचिंग) का तरीक़ा है. इसका परिणाम निश्चयात्मक हां या ना (मैच या मिसमैच) में ना होकर (हां या ना की) संभाव्यता के स्कोर के तौर पर होता है. यह एक्सिस बैंक, सुविधा इंफोसर्व और ई-मुद्रा की संलिप्तता वाले सुरक्षा उल्लंघन के मामले में साफ़ तौर पर प्रकट हो चुका है. यूआईडीएआई को शक तब हुआ जब सत्यापन के कई अनुरोधों ने एक ही स्कोर दिया, जो कि लाइव फिंगर प्रिंट्स के इस्तेमाल से संभव नहीं होता.

2. मशीन स्कोर में अंतर कई कारणों पर निर्भर करता है. जैसे, किस तरह फिंगर प्रिंट या आइरिस की छवि उतारी गयी है, बायोमेट्रिक उपकरणों की अलग-अलग निर्मितियों के कारण, और सबसे बढ़कर उम्र में वृद्धि के कारण मानव शरीर में होने वाले परिवर्तनों के कारण. इस तरह, बायोमेट्रिक सत्यापन कभी भी किसी की पहचान का अचूक तरीक़ा नहीं बन सकता. इसके साथ अनिवार्य तौर पर वैकल्पिक प्रमाणों का भी इस्तेमाल किया जाना चाहिए. जो कि बायोमेट्रिक पहचान के मुख्य उद्देश्य के ही ख़िलाफ़ है.

3. इस अनिश्चितता का ख़ामियाज़ा सिर्फ़ व्यक्ति को उठाना है. अगर किसी का सत्यापन सभी तरीक़ों से असफल रहता है, तो उसके पास एकमात्र सहारा यही बचता है कि वह डेटाबेस में बायोमेट्रिक सूचनाओं का नवीनीकरण करवाए, जो कि ख़ुद भ्रमित अस्पष्ट विनियमों से नियंत्रित है. (भाग 1 देखें.)

4. बड़े पैमाने पर सत्यापन की असफलता एक हक़ीक़त है. इसके उदाहरण कई राज्यों से सामने आये हैं जहां पीडीएस और पेंशन जैसी कल्याणकारी योजनाओं के लिए आधार सत्यापन को अनिवार्य बना दिया गया है.

5. मोबाइल ओटीपी (वन टाइम पासवर्ड) के सहारे सत्यापन को प्रायः बायोमेट्रिक सत्यापन की तुलना में एक असफल विकल्प के तौर पर प्रचारित किया जाता है. यह बायोमेट्रिक पहचान की मूल अवधारणा के ही ख़िलाफ़ है, जिसमें व्यक्ति को मोबाइल नंबर को ही उसका विशिष्ट पहचान स्वीकार किया गया है.

6. बैंकिंग लेने-देन में मोबाइल ओटीपी बिल्कुल अलग चीज़ है, क्योंकि यह पिन/पासवर्ड के ऊपर सुरक्षा के अतिरिक्त कवच के तौर पर इस्तेमाल में लाया जाता है. यहां इसे बायोमेट्रिक सत्यापन के विकल्प के तौर पर इस्तेमाल में लाया जा रहा है, जिसका मतलब यह है कि मोबाइल ओटीपी यहां सुरक्षा का एकमात्र कवच रह जाता है.

पहचान की चोरी का ख़तरा

किसी के पहचान के तरीक़े के तौर बायोमेट्रिक सत्यापन का प्रयोग पहचान की चोरी के स्थायी और कम न किये जा सकने वाले ख़तरे को जन्म देता है. यूआईडीएआई की वकालत तीन आधारों पर की जाती है: एक, कहा जाता है कि इसका डेटाबेस समुचित तरीक़े से इंक्रिप्टटेड यानी दूसरों द्वारा न पढ़ा जा सकने वाला और सेंधमारी से सुरक्षित है; दो, सत्यापन के बिंदु पर बायोमेट्रिक संकलन भी इंक्रिप्टेड है (या तो सॉफ्टवेर में या हार्डवेयर में); तीन, आधार अधिनियम में किसी अनधिकृत पहुंच को रोकने के लिए दंडात्मक प्रावधान है. लेकिन, आधार के पीछे तकनीक ऐसी है कि यह इनमें से कोई भी उपाय किसी काम का नहीं है. कुछ बिंदुओं की ओर ध्यान दिया जाना चाहिए:

1. एक आधार-आधारित धोखाधड़ी को अंजाम देने के लिए किसी का जाली बायोमेट्रिक सत्यापन ही पर्याप्त है. इसलिए डेटाबेस की सुरक्षा पर विचार करने की बारी ही नहीं आती.

2. सत्यापन के बिंदु पर, भले ही बायोमेट्रिक छवि को पढ़ना संभव नहीं है, लेकिन कच्चे संकेत को सॉफ्टवेयर या हार्डवेयर जालसाज़ी के द्वारा सत्यापन के ठीक पहले दर्ज कर लेना कोई असंभव बात नहीं है. इसलिए एक अनजान और भोले उपयोगकर्ता के बायोमेट्रिक को निकालना और पहले से कॉपी की गई छवि से बदलना काफ़ी आसान है.

3. अगर कॉपी की गई बायोमेट्रिक सूचनाओं के ख़िलाफ़ यूआईडीएआई का रक्षा उपाय लगातार किए गए सत्यापन प्रयासों में आने वाले हू-ब-हू स्कोर को लाल झंडी दिखलाना है, तो यह नहीं भूलना चाहिए कि रक्षा कवच को हर बार सैंपल को थोड़ा अस्त-व्यस्त करके आसानी से चकमा दिया जा सकता है.

4. बिना किसी सॉफ्टवेयर या हार्डवेयर धोखाधड़ी के बाहरी तौर पर भी जाली बायोमेट्रिक सत्यापन आसानी से किया जा सकता है. फिंगर प्रिंट को कई सतहों से कॉपी किया जा सकता है (यहां तक कि स्कैनिंग डिवाइस से भी यह काम किया जा सकता है.) और इसके इस्तेमाल से समरूप डमी उंगली बनाई जा सकती है. इसी तरह से आइरिस इमेज को फोटो से भी निकाला जा सकता है और इसे कृत्रिम आंख जैसे वस्तु पर चिपकाया जा सकता है. यह हमेशा ध्यान रखना चाहिए कि दूसरे छोर पर एक मशीन है, इसलिए थोड़ी से तिकड़म लगा कर किसी भी फर्ज़ीवाड़े को अंजाम देना ज़्यादा मुश्किल नहीं है.

5. इन सबसे बढ़कर, बायोमेट्रिक सूचनाएं जीवित व्यक्ति से ली गई हैं इस आश्वासन का एकमात्र आधार ऑपरेटर की ईमानदारी है, जो कि बगैर आधार विहीन स्थिति से कोई बेहतर परिदृश्य नहीं कहा जा सकता.

6. बायोमेट्रिक सत्यापन को एक तथ्य ख़ासतौर पर ख़तरनाक बनाता है कि अगर एक बार बायोमेट्रिक पहचान में सेंधमारी कर दी जाए, तो पूरे जीवन इसका इस्तेमाल नहीं किया जा सकता. ऐसा करने वाले पर दंडात्मक कार्रवाई करने का कोई महत्व नहीं है. इस स्थिति की तुलना पासवर्ड या पिन आधारित परंपरागत सत्यापन तरीक़ों से कीजिए. उन्हें नियमित अंतराल पर या कम से कम किसी किस्म की सेंधमारी की भनक मिलने पर बदला तो जा सकता है.

7. आधार से संबंधित जालसाज़ी से होने वाले लाभ काफ़ी बड़े हैं, इसलिए हम यह उम्मीद कर सकते हैं कि लोग सिस्टम से आगे चलने के लिए अपना वक़्त, मेहनत और पैसा इसमें लगाएंगे.

(एल विश्वनाथ बेंगलुरु में कार्यरत इंजीनियरिंग प्रोफेशनल हैं. उनका ब्लॉग है- bulletman.wordpress.com.)

इस लेख को अंग्रेज़ी में पढ़ने के लिए यहां क्लिक करें.

इसे भी पढ़ें: आधार को मिड डे मील से जोड़ने पर नुकसान के सिवा कुछ हासिल नहीं होगा

अन्य ख़बरें