তথ্য সুরক্ষা আইন পাসের পরেও যেসব কারণে ঝুঁকিতে আপনার তথ্য
২০২৫ সালের ১৯ আগস্ট চেইন স্টোর ‘স্বপ্নের’ গ্রাহক ডেটাবেজে সাইবার হামলা হয়। হ্যাকাররা ৪১০ গিগাবাইট তথ্য চুরি করে। এর মধ্যে ছিল ৪০ লাখ নিবন্ধিত গ্রাহকের নাম, ফোন নম্বর ও কেনাকাটার তথ্য। চুরি হওয়া তথ্যের বিনিময়ে ১৫ লাখ ডলার দাবি করে হ্যাকাররা। সেই দাবি প্রত্যাখ্যান করে স্বপ্ন নিজেদের সিস্টেম সুরক্ষিত করে। তবে ঘটনার পর টানা সাত মাস গ্রাহকদের এ বিষয়ে কিছুই জানায়নি প্রতিষ্ঠানটি।
গত মার্চে হ্যাকাররা চুরি হওয়া তথ্য ডার্ক ওয়েবে প্রকাশ করলে পুলিশের কাছে অভিযোগ করে স্বপ্ন। অথচ এর আগেই সামাজিক যোগাযোগমাধ্যমে তথ্য ফাঁসের খবর ছড়িয়ে পড়ে।
এদিকে, গত ২৪ জুন ডিসমিসল্যাবের এক অনুসন্ধানে উঠে আসে, ত্রয়োদশ জাতীয় সংসদ নির্বাচনের চূড়ান্ত ভোটার তালিকা ফেসবুকে প্রকাশ্যে ৩০ থেকে ২৫০ টাকায় বিক্রি হচ্ছিল। ওই তালিকায় ছিল কোটি কোটি নাগরিকের নাম, ভোটার নম্বর, বাবা-মায়ের নাম, জন্মতারিখ, পেশা ও স্থায়ী ঠিকানা।
অন্তত ১৫টি অ্যাকাউন্ট থেকে ৫০০টিরও বেশি ফেসবুক পোস্ট দেওয়া হয়েছিল। এমনকি ফেসবুকের অ্যাড লাইব্রেরিতে টাকার বিনিময়ে বিজ্ঞাপনও দিয়েছে তারা। বিকাশ নম্বরে ২৫০ টাকা পাঠালেই বিভাগ, আসন ও এলাকা অনুযায়ী সাজানো একটি গুগল ড্রাইভ ফোল্ডারের প্রবেশাধিকার পাওয়া যাচ্ছিল।
নির্বাচন কমিশন জানায়, তারা এ ধরনের বিক্রির কোনো অনুমোদন দেয়নি। তবে আইনিভাবে এর জন্য কে দায়ী, তাও কেউ জানত না।
অনেকেই জানেন, সম্প্রতি বাংলাদেশে একটি তথ্য সুরক্ষা আইন পাস হয়েছে। নতুন আইনে শাস্তির কাঠামো মূলত প্রাতিষ্ঠানিক তথ্য নিয়ন্ত্রকদের জন্য নির্ধারণ করা হয়েছে। তবে আশ্চর্যের বিষয় হলো, সামাজিক যোগাযোগমাধ্যমে নাগরিকদের ব্যক্তিগত তথ্য বিক্রি করা ব্যক্তিদের জবাবদিহি করার জন্য এতে কোনো স্পষ্ট ব্যবস্থার কথা উল্লেখ নেই।
এমনকি নতুন আইনে তথ্য ফাঁসের ঘটনা ঘটলেও তা বাধ্যতামূলকভাবে জানানোর কোনো বিধান নেই। ফলে স্বপ্নেরও ডেটাবেজ থেকে তথ্য ফাঁসের বিষয়ে গ্রাহকদের জানানোর কোনো আইনি বাধ্যবাধকতা এখনো নেই। আবার মাত্র ৪০ টাকায় কেউ আপনার ঠিকানা ও জন্মতারিখ বিক্রি করে দিলে, তা ঠেকানোর মতো কোনো কার্যকর ব্যবস্থাও এখনো নেই।
এখানে গুরুতর কিছু সমস্যা অবশ্যই রয়েছে। তবে ঠিক কোথায় ও কীভাবে সেই সমস্যার গোড়া, তা বোঝাটাও জরুরি। কারণ এর উত্তর বাংলাদেশের বর্তমানে গড়ে ওঠা প্রতিটি ডিজিটাল ব্যবস্থার জন্য গুরুত্বপূর্ণ।
ডাটা ব্রিচ বা তথ্য ফাঁস কী?
তথ্য ফাঁস হলো—কারও ব্যক্তিগত তথ্য তার অনুমতি ছাড়াই দেখা, সংগ্রহ, প্রকাশ বা ব্যবহার করা। এটি সাধারণত তিনভাবে হতে পারে। প্রথমত, হ্যাকাররা কোনো সিস্টেমের দুর্বলতা কাজে লাগিয়ে তথ্য চুরি করতে পারে। দ্বিতীয়ত, প্রতিষ্ঠানের ভেতরের কোনো কর্মী অসৎ উদ্দেশ্যে তথ্যে প্রবেশের সুযোগ বা তথ্যই বিক্রি করে দিতে পারেন। তৃতীয়ত, তথ্য সংরক্ষণে অবহেলা বা পর্যাপ্ত সতর্কতা না থাকলে তা সহজে অন্যের হাতে চলে যেতে পারে।
স্বপ্নের ঘটনায় তিনটি ঝুঁকিই ছিল। তবে বাংলাদেশের সবচেয়ে গুরুতর তথ্য ফাঁসের ঘটনাগুলো ছিল জাতীয় পরিচয়পত্র (এনআইডি) ঘিরে। এসব তথ্য সুপারশপের কেনাকাটার তথ্যের চেয়েও অনেক বেশি সংবেদনশীল।
ডিসমিসল্যাবের সাম্প্রতিক অনুসন্ধান আবারও সেই বিষয়টিকেই সামনে এনেছে।
প্রতিষ্ঠানটির অনুসন্ধানে দেখা যায়, নির্বাচন কমিশনের তত্ত্বাবধানে থাকা এনআইডি ডেটাবেজে প্রায় ১২ কোটি নাগরিকের ব্যক্তিগত তথ্য সংরক্ষিত আছে। গত তিন বছরে একাধিকবার বিভিন্ন ঘটনার মাধ্যমে এসব তথ্য ফাঁস হয়েছে।
২০২৩ সালে একটি সরকারি অংশীদার প্রতিষ্ঠানের ওয়েবসাইটের দুর্বলতার কারণে পাঁচ কোটির বেশি মানুষের নাম, জন্মতারিখ ও এনআইডি নম্বরসহ ব্যক্তিগত তথ্য ইন্টারনেট পাওয়া যাচ্ছিল। একটি টেলিগ্রাম বটেও স্মার্ট এনআইডির তথ্য ছড়িয়ে পড়ে। সেখানে কোনো ব্যক্তির এনআইডি নম্বর ও জন্ম তারিখ দিয়ে তার সম্পূর্ণ প্রোফাইল বের করা যেত।
এছাড়া কার সঙ্গে, কখন ও কতক্ষণ কথা হয়েছে—এমন সব ব্যক্তিগত কল ডিটেইল রেকর্ড (সিডিআর) সরকারি মনিটরিং সার্ভার থেকে চুরি হয়েছে। সার্ভারের লগইন তথ্য চুরি করে এসব রেকর্ড সংগ্রহ করা হয়েছিল। পরে তা শত শত ফেসবুক গ্রুপ ও হোয়াটসঅ্যাপ চ্যানেলে বিক্রি হয়।
চলতি বছরের শুরুতে নির্বাচন কমিশন জানায়, এনআইডি সিস্টেমে বৈধ এপিআই প্রবেশাধিকার থাকা পাঁচটি প্রতিষ্ঠানের মাধ্যমে তৃতীয় পক্ষের কাছে তথ্য ফাঁস হয়েছে। এসব প্রতিষ্ঠানের মধ্যে ছিল—স্বাস্থ্য অধিদপ্তর, একটি বৃহদাকার ব্যাংক এবং চট্টগ্রাম বন্দর কর্তৃপক্ষ।
প্রতিটি ঘটনাই আলাদাভাবে তথ্য ফাঁসের ঘটনা। তবে সবগুলো একসঙ্গে বিবেচনা করলে একটি কাঠামোগত সমস্যার দিকে ইঙ্গিত দেয়।
কেন বারবার তথ্য ফাঁস হচ্ছে
এনআইডি ডেটাবেজ মূলত পরিচয় যাচাইয়ের একটি সেবা হিসেবে তৈরি করা হয়েছিল। কিন্তু সময়ের সঙ্গে এটি এমন একটি কেন্দ্রীয় ব্যবস্থায় পরিণত হয়েছে, যার মাধ্যমে বাংলাদেশে প্রায় সব ধরনের ডিজিটাল লেনদেনের পরিচয় যাচাই করা হয়।
ব্যাংক অ্যাকাউন্ট খোলা, সিম নিবন্ধন, সরকারি সেবার জন্য আবেদন কিংবা স্বাস্থ্যসেবা গ্রহণ—সব ক্ষেত্রেই এনআইডি যাচাই প্রয়োজন। পরিচয় যাচাইয়ের চাহিদা বাড়ার সঙ্গে সঙ্গে ডেটাবেজে প্রবেশাধিকারের পরিধিও বেড়েছে।
বর্তমানে ১৭৪টি প্রতিষ্ঠান সরাসরি এই ডেটাবেজের সঙ্গে যুক্ত এবং প্রতিটি সংযোগই তথ্য ফাঁসের একটি বড় ঝুঁকি।
কিন্তু আরও গুরুত্বপূর্ণ সমস্যা তৈরি হয় পরিচয় যাচাইয়ের পর। কোনো প্রতিষ্ঠান আপনার পরিচয় যাচাই করলে তারা শুধু ‘হ্যাঁ’ বা ‘না’ ধরনের উত্তর পায় না। তারা আপনার নাম, জন্মতারিখ, ঠিকানা ও এনআইডি নম্বরও পায় এবং নিজেদের সার্ভার ও সিস্টেমে তা সংরক্ষণ করে। এসব তথ্যের নিরাপত্তা তখন ওই প্রতিষ্ঠানের নিজস্ব নিরাপত্তা ব্যবস্থার ওপর নির্ভর করে, যা খুব শক্তিশালীও হতে পারে, আবার একেবারে দুর্বলও হতে পারে।
এই ধরনের আর্কিটেকচার বা সিস্টেম নিয়ে গবেষণা করা বিশেষজ্ঞরা এসব সংরক্ষিত তথ্যকে ‘শ্যাডো কপি’ বলেন। সহজ কথায়, এটি হলো বৈধ উদ্দেশ্যে সংগ্রহ করা তথ্য, যা কোনো নির্দিষ্ট লগ, অডিট বা মুছে ফেলার সময়সীমা ছাড়াই অনির্দিষ্টকালের জন্য সংরক্ষিত থাকে।
এ কারণেই নির্বাচন কমিশনের মূল ডেটাবেজ থেকে তথ্য ফাঁসের ঘটনা খুব কম। বেশিরভাগ ক্ষেত্রেই তথ্য ফাঁস হয় এসব ‘শ্যাডো কপি’ থেকে।
যেমন—হাসপাতালের পোর্টাল, ব্যাংকের অনবোর্ডিং সিস্টেম বা বন্দর কর্তৃপক্ষের নথি। এগুলোকে নিরাপত্তা ঝুঁকি হিসেবে দেখা হয়নি। কিন্তু সেখান থেকেই তথ্য ফাঁসের ঘটনা ঘটেছে।
বেসরকারি খাতেও একই চিত্র দেখা যায়। সুপারশপের তথ্য অন্য তথ্যের তুলনায় বেশি মূল্যবান ছিল বলে স্বপ্নকে টার্গেট করা হয়নি; বরং বছরের পর বছর ধরে লাখো গ্রাহকের আচরণগত তথ্য পর্যাপ্ত নিরাপত্তা ছাড়া সংরক্ষণ করায় প্রতিষ্ঠানটি সাইবার হামলার শিকার হয়েছে।
হ্যাকাররা অর্থ দাবি করার পরও ক্ষতিগ্রস্ত গ্রাহকদের বিষয়টি জানানো স্বপ্নের জন্য আইনগতভাবে বাধ্যতামূলক ছিল না। বাংলাদেশে এখনো তথ্য ফাঁসের ঘটনা বাধ্যতামূলকভাবে জানানোর কোনো বিধান নেই। এমনকি তথ্য ফাঁসের পর তা সংশ্লিষ্টদের জানাতে প্রতিষ্ঠানগুলোকে বাধ্য করতে পারে, এমন কোনো নিয়ন্ত্রক সংস্থাও নেই।
অন্যভাবে বললে, তথ্য ফাঁস শুধু প্রযুক্তিগত সমস্যার ফল নয়। এটি এমন একটি ব্যবস্থার পরিণতি, যেখানে মানুষের ব্যক্তিগত তথ্যকে তার প্রতি দায়বদ্ধতার বিষয় হিসেবে না দেখে, কেবল সংগ্রহ ও সংরক্ষণের সম্পদ হিসেবে বিবেচনা করা হয়।
তথ্য সুরক্ষা আইন কী করতে পারবে, কী পারবে না
২০২৫ সালের নভেম্বরে গেজেট আকারে প্রকাশিত ‘ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশটি’ গত ১৫ এপ্রিল আইনে পরিণত হয়। এটি বাংলাদেশের প্রথম পূর্ণাঙ্গ তথ্য সুরক্ষা আইন।
এই আইনে নাগরিকদের ব্যক্তিগত তথ্যের ওপর অধিকার নিশ্চিত করা হয়েছে, তথ্য সংগ্রহের আগে সম্মতি নেওয়া বাধ্যতামূলক করা হয়েছে ও আইন লঙ্ঘনে শাস্তির বিধান রাখা হয়েছে। নিঃসন্দেহে এটি একটি গুরুত্বপূর্ণ ও প্রশংসনীয় উদ্যোগ।
কিন্তু ভোটার তালিকা ফাঁসের ঘটনাটি জবাবদিহির একটি বড় ঘাটতি সামনে এসেছে।
নির্বাচন কমিশন নির্ধারিত প্রক্রিয়ায় তালিকাটি বিতরণ করেছিল। ধারণা করা হচ্ছে, কোনো প্রার্থী বা তার প্রতিনিধি সেটি ফাঁস করেছেন। পরে কেউ কেউ সামাজিক যোগাযোগমাধ্যমে সেই তথ্য নতুন করে বিক্রি করেছেন।
নতুন আইনের শাস্তির কাঠামো মূলত নির্ধারিত বার্ষিক লেনদেন থাকা প্রাতিষ্ঠানিক তথ্য নিয়ন্ত্রকদের লক্ষ্য করে তৈরি করা হয়েছে। তবে ফেসবুকে ৪০ টাকার বিনিময়ে কারও স্থায়ী ঠিকানা বিক্রি করা ব্যক্তির বিরুদ্ধে কী ব্যবস্থা নেওয়া হবে, সে বিষয়ে আইনে স্পষ্ট কোনো বিধান নেই।
একটি তথ্য সুরক্ষা আইন কতটা কার্যকর হবে, তা নির্ভর করে এটি বাস্তবায়নকারী প্রতিষ্ঠানের সক্ষমতার ওপর। এই আইন বাস্তবায়নে দায়িত্বপ্রাপ্ত সংস্থাটি প্রধানমন্ত্রীর কার্যালয়ের অধীনে পরিচালিত হয়। একই সপ্তাহে পাস হওয়া একটি পৃথক অধ্যাদেশের মাধ্যমে সংস্থাটি প্রতিষ্ঠিত হয়।
আইনের ৪৯ ধারায় স্পষ্টভাবে বলা আছে, সরকার জাতীয় নিরাপত্তা বা জনশৃঙ্খলার স্বার্থে কর্তৃপক্ষকে যেকোনো নির্দেশনা দিতে পারবে এবং কর্তৃপক্ষ আইনগতভাবে তা মানতে বাধ্য থাকবে।
বিষয়টি গুরুত্বপূর্ণ, কারণ বাংলাদেশে সবচেয়ে গুরুতর তথ্য অপব্যবহারের ঘটনাগুলোর সঙ্গে রাষ্ট্রীয় প্রতিষ্ঠান জড়িত। এর মধ্যে রয়েছে—এনআইডি ব্যবস্থার মূল কাঠামো, এনটিএমসির নজরদারি অবকাঠামো ও সরকারি সংস্থাগুলোর কাছে থাকা ‘শ্যাডো কপি’। যে নিয়ন্ত্রক সংস্থা সরকারি প্রতিষ্ঠানগুলোর তথ্য ব্যবহারের অনিয়ম তদন্ত করতে পারে না, সেটি প্রকৃত অর্থে তথ্য সুরক্ষা কর্তৃপক্ষ নয়; বরং শুধু নালিশ দায়ের কেন্দ্রে পরিণত হয়।
কেন বিষয়টি গুরুত্বপূর্ণ, তা বুঝতে ইউরোপীয় ইউনিয়নের তথ্য সুরক্ষা আইন ‘জেনারেল ডেটা প্রোটেকশন রেগুলেশন’ (জিডিপিআর) বাস্তবে কীভাবে কাজ করে, তা দেখা যেতে পারে।
ইউরোপিয়ান ডেটা প্রোটেকশন বোর্ড এই আইনটিকে স্পষ্ট করতে নির্দেশিকা ও সুপারিশ প্রকাশ করে। একটি নির্দিষ্ট ধারার ব্যাখ্যা নিয়েও এসব নথি কয়েক ডজন পৃষ্ঠার হতে পারে। জনসাধারণের মতামত নিয়ে এসব নির্দেশিকা তৈরি করা হয় ও বছরের পর বছর আইন প্রয়োগের অভিজ্ঞতার ভিত্তিতে সেগুলো সংশোধন ও উন্নত করা হয়।
ইউরোপের মান নির্ধারণকারী সংস্থা সিইএন-সিইএনইএলইসি আইনি শর্তগুলোকে প্রযুক্তিগত মানদণ্ডে রূপ দেয়। এসব মানদণ্ডে নির্ধারণ করা থাকে, ‘পর্যাপ্ত নিরাপত্তা’ নিশ্চিত করতে প্রতিষ্ঠানের আইটি টিমকে কী ধরনের ব্যবস্থা নিতে হবে।
অন্যদিকে, যুক্তরাষ্ট্রে ফেডারেল ট্রেড কমিশন (এফটিসি) নজরদারি সংস্থা হিসেবে কাজ করে। সংস্থাটি আইন লঙ্ঘনের বিরুদ্ধে ব্যবস্থা নিতে পারে, প্রতিকারমূলক ব্যবস্থা নিতে পারে ও অবৈধভাবে সংগৃহীত তথ্য মুছে ফেলার নির্দেশও দিতে পারে।
এসব স্বাধীন প্রতিষ্ঠানই একটি আইনকে কার্যকর রূপ দেয়, যেন প্রতিষ্ঠানগুলো তা অনুসরণ করতে পারে ও নিয়ন্ত্রক সংস্থাগুলো কার্যকরভাবে বাস্তবায়ন করতে পারে।
ইউরোপীয় ইউনিয়নে জিডিপিআরের ৫২ অনুচ্ছেদ অনুযায়ী, তথ্য সুরক্ষা কর্তৃপক্ষগুলো আইনগতভাবে স্বাধীন। তারা নিজ নিজ সরকারের বিরুদ্ধেও তদন্ত ও জরিমানা করেছে। ইউরোপীয় ইউনিয়নের বিচার আদালত (সিজেইইউ) রায় দিয়েছেন, এই স্বাধীনতা কোনো আনুষ্ঠানিক সৌজন্য নয়; বরং পুরো ব্যবস্থার একটি মৌলিক কাঠামোগত শর্ত।
বাংলাদেশ পরিবর্তনশীল পরিস্থিতির মধ্যে একটি অসম্পূর্ণ আইন প্রণয়ন করেছে। এরপর আইনটির প্রয়োগের দায়িত্ব এমন একটি সংস্থার ওপর দেওয়া হয়েছে, যা নিজস্ব আইন অনুযায়ীই আইন প্রণয়নকারী সরকারের বিরুদ্ধে পূর্ণাঙ্গ তদন্ত করতে পারে না।
এ ছাড়া আইনটি যখন কার্যকর হয়েছে, দেশের বিদ্যমান তথ্য অবকাঠামো তার বহু আগেই গড়ে উঠেছে। এনআইডি ব্যবস্থা, টেলিযোগাযোগ নজরদারি অবকাঠামো ও ১৭৪টি প্রবেশাধিকার কেন্দ্র আগে থেকেই চালু ছিল। নতুন আইন ভবিষ্যতে তথ্য ফাঁসের জন্য শাস্তির ব্যবস্থা করতে পারে, কিন্তু যে বিদ্যমান কাঠামোর দুর্বলতার কারণে এসব ঝুঁকি তৈরি হয়েছে, তা শুধু আইন করে বদলানো যায় না। এই সমস্যা সমাধানে প্রয়োজন ভিন্ন ধরনের উদ্যোগ।
ডেটা কমন্স কী
ডেটা কমন্স হলো—এমন সম্পদ, যা সবার স্বার্থে যৌথভাবে পরিচালিত হয়। পানি, সড়ক ও জনসাধারণের পার্ক—এসবই কমন্সের উদাহরণ। এই ধারণাটি পুরোনো। তবে ডেটার ক্ষেত্রে এর প্রয়োগ নতুন। এর মূল কথা হলো—কিছু সম্পদ এত গুরুত্বপূর্ণ যে, শুধু যার হাতে নিয়ন্ত্রণ রয়েছে, তার ইচ্ছামতো সেগুলোর ব্যবহার ও পরিচালনা নির্ধারণ করা যায় না।
ডেটা কমন্স ব্যক্তিগত তথ্যকে সংগ্রহ করে বিক্রি করার পণ্য হিসেবে নয়, বরং জনস্বার্থে ব্যবস্থাপনার উপযোগী অবকাঠামো হিসেবে বিবেচনা করে। ধারণাটি বিমূর্ত মনে হলেও, এর রয়েছে নির্দিষ্ট প্রযুক্তিগত কাঠামো।
এর সবচেয়ে সহজ উদাহরণ হলো—ন্যূনতম তথ্য প্রকাশ। কোনো সেবার জন্য পরিচয় যাচাইয়ের ক্ষেত্রে মূল বিষয় দুটি—আপনি যিনি দাবি করছেন, সত্যিই তিনি কি না ও নির্ধারিত শর্ত পূরণ করছেন কি না। এজন্য আপনার এনআইডি নম্বর, জন্মতারিখ বা ঠিকানা জমা দেওয়ার প্রয়োজন নেই। একটি ভালো পরিচয় যাচাই ব্যবস্থা ক্রিপ্টোগ্রাফিক পদ্ধতিতে শুধু নিশ্চিত করতে পারে—এই ব্যক্তি ১৮ বছরের বেশি বয়সী বা তিনি একজন নিবন্ধিত নাগরিক। এর জন্য সংশ্লিষ্ট প্রতিষ্ঠানের কাছে মূল তথ্যও হস্তান্তর করতে হয় না। ফলে কোনো তথ্য স্থানান্তর না হওয়াতে ‘শ্যাডো কপি’ তৈরির সুযোগও থাকে না।
এই ধারণার আরও উন্নত রূপ হলো ‘ডেটা সমবায়’। এখানে যারা তথ্য তৈরি করেন, যেমন—কৃষক, রোগী বা আর্থিক সেবা ব্যবহারকারীরা, তারা সম্মিলিতভাবে সিদ্ধান্ত নেন তাদের তথ্য কীভাবে ব্যবহার করা যাবে।
উদাহরণ হিসেবে, একটি স্বাস্থ্য ডেটা সমবায়ে রোগীদের পরিচয় গোপন রেখে গবেষণার জন্য তথ্য ব্যবহারের সুযোগ দেওয়া যেতে পারে। তবে সেই তথ্য বাণিজ্যিকভাবে বিক্রি করা যাবে না। একইভাবে, কৃষি ডেটা সমবায়ে আবহাওয়া ও ফসল উৎপাদনের তথ্য সরকারি পরিকল্পনার কাজে ব্যবহার করা যেতে পারে, কিন্তু কোনো কৃষকের ব্যক্তিগত তথ্য ব্যবহারের নিয়ন্ত্রণ থাকবে কমিউনিটির হাতে।
ইউরোপীয় ইউনিয়ন বর্তমানে ডেটা গভর্নেন্স অ্যাক্ট ও খাতভিত্তিক ডেটা স্পেসের মাধ্যমে এমন একটি ব্যবস্থা তৈরি করছে। এখানে তথ্য ব্যবহারের নিয়ম শুরু থেকেই ব্যবস্থার অংশ হিসেবে নির্ধারিত থাকে, পরে শুধু আইন করে তা নিয়ন্ত্রণ করতে হয় না।
এই পদ্ধতির পেছনের অন্যতম ধারণা এসেছে প্রোগ্রামার ও অধিকারকর্মী অ্যারন সোয়ার্টজের চিন্তা থেকে। তিনি মনে করতেন, তথ্য অবকাঠামোকে জনস্বার্থের সম্পদ হিসেবে পরিচালনা করা উচিত।
একাডেমিক জার্নালের নিবন্ধ ডাউনলোড করার অভিযোগে সোয়ার্টজের বিরুদ্ধে মামলা হয়েছিল। দোষী সাব্যস্ত হলে তার সর্বোচ্চ ৩৫ বছর পর্যন্ত কারাদণ্ড হতে পারত। তবে বিচার শেষ হওয়ার আগেই ২০১৩ সালে ২৬ বছর বয়সে তিনি মারা যান।
টিম বার্নার্স-লির ‘সলিড’ প্রকল্প বর্তমানে এমন একটি বিকেন্দ্রীভূত ব্যবস্থা তৈরি করছে, যেখানে ব্যক্তিরা নিজেদের তথ্যের নিয়ন্ত্রণ নিজেদের কাছেই রাখবেন। তারা স্থায়ীভাবে তথ্য দিয়ে দেওয়ার পরিবর্তে নির্দিষ্ট সেবাকে সীমিত ও প্রয়োজনে বাতিল করা যায় এমন প্রবেশাধিকার দেবেন।
এই পদ্ধতিগুলোর মূল ধারণা হলো, কোনো ব্যবস্থার মধ্যেই যদি নিয়ন্ত্রণের নিয়ম তৈরি করা থাকে, তা বাইরে থেকে চাপিয়ে দেওয়া নিয়মের চেয়ে বেশি কার্যকর ও টেকসই হয়। কারণ বাইরের নিয়ম সহজে উপেক্ষা, এড়িয়ে যাওয়া বা অমান্য করা যায়।
বাংলাদেশের জন্য বিষয়টি বিশেষভাবে গুরুত্বপূর্ণ। তথ্য ব্যবস্থাপনার বৈশ্বিক সমস্যার শিকার শুধু বাংলাদেশ নয়। দেশটি নিজের ডিজিটাল জনসেবা ব্যবস্থার কাঠামো কীভাবে তৈরি হবে, সে বিষয়ে এখনই গুরুত্বপূর্ণ সিদ্ধান্ত নিচ্ছে। তবে একবার এসব ব্যবস্থা তৈরি হয়ে গেলে, পরে তা পরিবর্তন করা কঠিন হয়ে যায়।
এনআইডির মূল কাঠামো ইতোমধ্যেই তৈরি হয়েছে। তবে পরবর্তী স্তরের অবকাঠামো কীভাবে গড়ে উঠবে, সেটি নিয়ে প্রশ্ন রয়েছে। স্বাস্থ্য তথ্য ব্যবস্থা ডিজিটাল করা হচ্ছে। সরকারি কর্মসূচির আওতায় কৃষি তথ্য সংগ্রহ করা হচ্ছে। আর্থিক লেনদেনের তথ্যও ক্রমবর্ধমান ফিনটেক খাতের মাধ্যমে প্রবাহিত হচ্ছে।
এসব ব্যবস্থার প্রতিটিই এমন একটি মডেলে তৈরি হতে পারে, যেখানে তথ্য কেন্দ্রীভূত থাকবে, প্রতিষ্ঠানগুলোকে ব্যাপক প্রবেশাধিকার দেওয়া হবে এবং তথ্য ফাঁসের ঘটনা ঘটার পর নিরাপত্তা ব্যবস্থা নেওয়া হবে। আবার এগুলো কমন্স মডেলেও তৈরি করা যেতে পারে, যেখানে তথ্যকে সবার স্বার্থসংশ্লিষ্ট একটি যৌথ সম্পদ হিসেবে পরিচালনা করা হবে, প্রতিষ্ঠানগুলো শুধু প্রয়োজনীয় তথ্যেই প্রবেশাধিকার পাবে, সেই প্রবেশাধিকার নিরীক্ষণ করা যাবে ও তথ্য সুরক্ষার নিয়ম শুরু থেকেই ব্যবস্থার অংশ হিসেবে যুক্ত থাকবে।
আরও শক্তিশালী তথ্য সুরক্ষার পক্ষে অর্থনৈতিক কারণও রয়েছে। বাংলাদেশের তৈরি পোশাক খাত, বিজনেস প্রসেস আউটসোর্সিং (বিপিও) শিল্প এবং ফিনটেক খাত নিয়মিত ইউরোপীয় ইউনিয়নের সঙ্গে তথ্য আদান-প্রদান করে। ইউরোপীয় ইউনিয়ন শুধু সেই দেশগুলোকে ‘ডেটা অ্যাডিকোয়েসি’ স্বীকৃতি দেয়, যাদের তথ্য সুরক্ষা ব্যবস্থা তাদের নিজস্ব মানের সমতুল্য।
এই স্বীকৃতি পেতে স্বাধীন নিয়ন্ত্রক সংস্থার মাধ্যমে আইন প্রয়োগ, নাগরিকের তথ্য-অধিকারের কার্যকর সুরক্ষা এবং তথ্য ব্যবহারে রাষ্ট্রের ক্ষমতার ওপর নির্দিষ্ট সীমাবদ্ধতা থাকতে হয়।
ডেটা অ্যাডিকোয়েসি না থাকলে প্রতিটি তথ্য স্থানান্তরের জন্য আলাদা আইনি চুক্তি করতে হয়। এতে ব্যবসাপ্রতিষ্ঠানগুলোর আইনি দায় কমে না; বরং সবচেয়ে বেশি চাপ পড়ে সেসব প্রতিষ্ঠানের ওপর, যাদের সেই চাপ সামলানোর সক্ষমতা কম।
ডিজিটাল উন্নয়নের প্রায় একই পর্যায়ে থাকা কেনিয়া ২০১৯ সালে একটি স্বাধীন তথ্য নিয়ন্ত্রক সংস্থা গড়ে তুলেছে। দেশটি বর্তমানে ইউরোপীয় ইউনিয়নের সঙ্গে ডেটা অ্যাডিকোয়েসি স্বীকৃতি পাওয়ার বিষয়ে সক্রিয় আলোচনা চালিয়ে যাচ্ছে।
কেনিয়া ও বাংলাদেশের মধ্যে পার্থক্য মূলত প্রযুক্তিতে নয়; বরং প্রাতিষ্ঠানিক কাঠামোতে।
প্রতিটি তথ্য ফাঁসের ঘটনায় যে প্রশ্ন সামনে আসে
২০২৬ সালের মার্চে ৪০ লাখ মানুষের কেনাকাটার তথ্য ডার্ক ওয়েবে ছড়িয়ে পড়লেও, ক্ষতিগ্রস্তদের অধিকাংশই তা জানতেন না। ঘটনার সাত মাস পর তারা সামাজিক যোগাযোগমাধ্যমের মাধ্যমে বিষয়টি জানতে পারেন। কারণ, এর আগে তাদের জানানো প্রতিষ্ঠানটির জন্য আইনগতভাবে বাধ্যতামূলক ছিল না।
কেনাকাটার অভ্যাস, ফোন নম্বর ও দৈনন্দিন জীবনের নানা তথ্য ফাঁস হওয়ায় এমন ঘটনা খুবই ব্যক্তিগত বলে মনে হয়। কিন্তু এর পেছনে রয়েছে আরও বড় একটি কাঠামোগত সমস্যা। আপনার তথ্য এমন একটি প্রতিষ্ঠানের কাছে ছিল, যার ওপর তা সুরক্ষিত রাখার কার্যকর বাধ্যবাধকতা ছিল না। আবার যে আইনি কাঠামোর আওতায় সেই তথ্য সংরক্ষিত ছিল, সেখানে তথ্য ফাঁসের ঘটনা প্রকাশে বাধ্য করার কার্যকর ব্যবস্থা ছিল না। এমনকি তথ্য সুরক্ষার বদলে তথ্য সংগ্রহ ও সংরক্ষণকে গুরুত্ব দিয়েই পুরো ব্যবস্থাটি গড়ে তোলা হয়েছিল।
প্রতিটি তথ্য ফাঁসের ঘটনার পর একটি প্রশ্ন সামনে আসে—এই তথ্যের নিয়ন্ত্রণ কার হাতে, আর তা কার স্বার্থে ব্যবহৃত হচ্ছে? এই প্রশ্নের উত্তর খুঁজতেই বাংলাদেশ একটি আইন করেছে। কিন্তু কার্যকর বাস্তবায়নের ব্যবস্থা ছাড়া কোনো আইন অনেকটা ওষুধবিহীন প্রাথমিক চিকিৎসার নির্দেশিকার মতো।
কার্যকর প্রতিকারের ব্যবস্থা না থাকলে, ত্রুটিপূর্ণ একটি আইনের ভাষা নিয়েই শুধু আলোচনা করে কোনো বাস্তব সমাধান পাওয়া যায় না। তাই শুধু সীমা নির্ধারণকারী একটি শক্তিশালী আইনই যথেষ্ট নয়। তথ্য অবকাঠামো কীভাবে গড়ে তোলা হবে, সে বিষয়ে ভিন্ন ধরনের সিদ্ধান্তও গ্রহণ করা প্রয়োজন। আর সেই সিদ্ধান্ত নেওয়ার সুযোগ এখনো রয়েছে আমাদের হাতে।
অনুবাদ করেছেন রাফি আহমদ দেওয়ান