काठमाडौँ , १७ असार : नेपालको समग्र डिजिटल डेटा प्रणालीलाई कानुनी तथा नीतिगत व्यवस्थापनको दायरामा ल्याउने प्रावधानसहित पहिलो पटक ‘व्यक्तिगत डेटा संरक्षण नीति–२०८२’ को मस्यौदा मंगलबार सार्वजनिक गरिँदै छ ।
प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालय अन्तर्गत ई–गभर्नेन्स बोर्डले तयार पारेको नीतिको मस्यौदा राय–सुझावका लागि प्रकाशन गर्न लागिएको हो । मस्यौदामा समावेश कतिपय प्रावधान नेपाली सन्दर्भमा नयाँ र संस्थागत दृष्टिले जरुरी रहेको बोर्डको दाबी छ । डेटा संकलनमा ‘न्यूनतम आवश्यक मात्र’ को सिद्धान्त अवलम्बन गरिनुपर्ने र जथाभावी डेटा संकलन गर्न नपाइनेलगायत प्रावधानमा यसमा छन् ।
प्रस्तावित नीतिमा व्यक्तिगत डेटा परिमार्जन, स्थानान्तरण वा आदानप्रदान गर्दा सम्बन्धित व्यक्तिको पूर्वसहमति अनिवार्य हुने उल्लेख छ । सहमतिबिना यस्ता कार्यहरू गरे ‘कसुर’ मानेर कानुनी दायरमा ल्याइने पनि नीतिको व्यवस्था छ । पहिलो पटक व्यक्तिगत डेटा संरक्षणका सम्पूर्ण पक्षहरूको नियमनका लागि डेटा संरक्षण बोर्ड गठन हुने नीतिमा प्रस्ताव गरिएको छ ।
‘डेटाको सुरक्षा जोखिम र न्यूनीकरणका लागि डेटा संरक्षण बोर्डले आवश्यकताका आधारमा अनुगमन गर्नेछ,’ कार्यनीति ११.३४ मा भनिएको छ । यसअघि व्यक्तिगत डेटा संरक्षणका लागि ‘वैयक्तिक गोपनीयतासम्बन्धी ऐन २०७५’ बनाइएको भए पनि त्यसमा नियमनकारी निकाय वा अधिकारी तोकिएको थिएन । यसले गर्दा डेटा दुरुपयोग वा ह्याकिङ हुँदासमेत कसलाई उजुर गर्ने भन्ने अन्योल हुने गरेको थियो ।
प्रस्तावित डेटा संरक्षण बोर्डले भने नीति कार्यान्वयन अनुगमनसँगै डेटा उल्लंघनको उजुरीमाथि अनुसन्धान गर्ने, कानुनी कारबाहीका लागि सिफारिस गर्ने र डेटा सुरक्षासम्बन्धी मापदण्ड पालना गराउने जिम्मेवारी पाउनेछ । व्यक्तिगत डेटा संकलनदेखि विसर्जनसम्मका सम्पूर्ण कार्यमा उल्लेख गरिएबमोजिमका प्राविधिक प्रक्रिया अपनाइएको छ वा छैन भन्ने सुनिश्चित पनि बोर्डले गर्नेछ । नीति उल्लंघन गरेको पाइए व्यक्ति वा संस्थालाई कारबाही सिफारिस गर्ने अधिकार बोर्डसँग हुनेछ । डेटा उल्लंघनका घटनाको गुनासो उजुरी वा जानकारी प्राप्त भए बोर्डले त्यसको विस्तृत अनुसन्धान गर्नेछ ।
विभिन्न निकायमा ‘डेटा संरक्षक अधिकारी’ तोकिने व्यवस्था पनि नीतिको मस्यौदामा समावेश छ । ‘डेटा संकलक, संरक्षक, प्रशोधक तथा प्रयोगकर्ताका रूपमा कार्य गर्ने संस्थामा डेटा संरक्षक अधिकारी तोक्ने व्यवस्था मिलाइनेछ,’ कार्यनीति खण्डमा भनिएको छ, ‘व्यक्तिगत डेटा संरक्षण ऐन तर्जुमा गरी लागू गरिनेछ । विद्यमान कानुनमा भएका व्यक्तिगत डेटासँग सम्बन्धित व्यवस्थालाई यस नीतिमा भएका व्यवस्थाहरूसँग तादात्म्यता हुने गरी अद्यावधिक गरिनेछ ।’
प्रस्तावित नीतिको मस्यौदामा व्यक्तिगत डेटा वर्गीकरणसम्बन्धी अर्को नयाँ व्यवस्था समावेश छ । ‘अति गोप्य, गोप्य, बायोमेट्रिकजस्ता डेटाका लागि छुट्टाछुट्टै ढाँचा निर्माण गरी लागू गरिनेछ,’ कार्यनीति ११.१ देखि ११.१५ मा भनिएको छ, ‘राष्ट्रिय सुरक्षालगायत संवेदनशील एवं सार्वजनिक चासोका अवस्थाबाहेक व्यक्तिले चाहेको समयमा बिनाकुनै रोकावट आफ्नो डेटामा पहुँच, डेटा संकलन, प्रशोधन, परिमार्जन, प्रयोग र विसर्जन गर्न पाउने अधिकार कानुनमा व्यवस्था गरिनेछ ।’
संवेदनशील डेटाको पहुँचमा बहुपक्षीय प्रमाणीकरण (मल्टिफ्याक्टर अथेन्टिकेसन), नोटिफिकेसन, इनक्रिप्सन, ब्यापक र रेप्लिकेसनजस्ता दोहोरो प्रतिलिपि प्रणाली, भौतिक सुरक्षालगायत अन्य विधि/प्रविधिको व्यवस्था अपनाउने अवधारणा प्रस्तुत गरिएको छ । ‘व्यक्तिगत डेटालाई सुरक्षित राख्न राष्ट्रिय तथा अन्तर्राष्ट्रियस्तरमा प्रयोगमा आएका सुरक्षाका मापदण्ड पालना गर्दै व्यक्तिगत डेटा दुरुस्त, पहुँचयोग्य, सुरक्षित बनाइनेछ,’ रणनीति १० मा भनिएको छ, ‘व्यक्तिको डेटा संकलनदेखि विसर्जन गर्दा व्यक्ति र संस्थालाई जवाफदेही र जिम्मेवार बनाइनेछ । परीक्षक समूह गठन गरी सम्पादित कार्यहरूको कानुनबमोजिमको आवश्यक परीक्षण गरिनेछ ।’
नीतिको प्रस्तावित व्यवस्थाअनुसार सरकारी वा निजी निकायले डेटा संकलन गर्दा प्रयोगको उद्देश्य स्पष्ट रूपमा उल्लेख गर्नुपर्नेछ । सोही उद्देश्यका लागि मात्रै ती डेटा प्रयोग गर्न पाउनेछन् । सरकारी तथा निजी निकायहरूले कामको आवश्यकताभन्दा बढी डेटा संकलनसमेत गर्न नपाउने स्पष्ट उल्लेख छ । ‘प्रयोजनका आधारमा व्यक्तिगत डेटा संकलन गर्दा न्यूनतम रूपमा आवश्यक पर्ने मात्र डेटा संकलन गर्ने व्यवस्था गरिनेछ,’ कार्यनीति ११.१६ मा भनिएको छ । अधिक डेटा संकलन गरिएमा त्यो ह्याक, लिक वा दुरुपयोग हुने जोखिममा पर्छ । त्यसकारण आवश्यकभन्दा बढी डेटा नै नलिनु जोखिम न्यूनीकरणको सुरुवाती कदम पनि हो ।
प्रस्तावित नीतिमा डेटा संकलनदेखि विसर्जनसम्मको प्रक्रिया, डेटाको सुरक्षाका लागि मापदण्ड, कानुनी र संस्थागत व्यवस्था, डेटा उल्लंघनलाई कानुनी दायरामा ल्याउनेजस्ता ५ वटा नीतिहरू समावेश छन् । यी नीति कार्यान्वयन गर्न १५ वटा रणनीति निर्धारण गरिएका छन् । रणनीतिहरूका आधारमा ३५ वटा कार्यनीति तय गरिएका छन् । नीति कार्यान्वयनका लागि प्रस्तावित संस्थागत व्यवस्थामा निर्देशक समिति र डेटा संरक्षण बोर्डको परिकल्पना गरिएको छ । मुख्य सचिवको अध्यक्षतामा बन्ने निर्देशक समितिमा सञ्चार, गृह मन्त्रालय, कानुन, अर्थ मन्त्रालयका सचिवसँगै राष्ट्रिय तथ्यांक कार्यालयका प्रमुख तथ्यांक अधिकारीलगायत सदस्य हुने उल्लेख छ ।
स्रोत–साधनसम्बन्धी व्यवस्थाअन्तर्गत हरेक निकायले आफ्नो वार्षिक बजेटमा डेटा संरक्षणसम्बन्धी कार्यक्रम समावेश गर्ने भनिएको छ । प्रस्तावित नीतिले यससँग सम्बन्धित निकायहरूबीच समन्वय, वार्षिक रूपमा समीक्षा एवं पुनरावलोकनको सुनिश्चितता हुनुपर्ने विषयलाई जोड दिएको छ । नेपालमा यसअघि डेटा संरक्षणसम्बन्धी एकीकृत नीति थिएन । यो नीति लागू भए देशको डेटा प्रणाली र नागरिकका निजी विवरणको उपयोगमा कानुनी अनुशासन बलियो हुने विश्वास गरिएको छ । यो नीतिले डेटाको दुरुपयोग नियन्त्रण गर्दै डेटामा नागरिकको स्वामित्व, अधिकार र पहुँच सुनिश्चित गर्न महत्त्वपूर्ण भूमिका निर्वाह गर्ने प्रधानमन्त्री कार्यालयका अधिकारीहरूको दाबी छ ।
‘व्यक्तिको सम्पूर्ण जानकारी सरकारी निकाय तथा अन्य संस्थाले समेत राख्दै आएका छन् । यसबारे स्वयं व्यक्तिसमेत जानकार रहन आवश्यक छ,’ नीतिको पृष्ठभूमि खण्डमा भनिएको छ, ‘नागरिकले आफ्नो निजत्व, व्यक्तित्व, स्वास्थ्य, सम्पत्ति, तथ्यांक, लिखत र सम्बन्धको अनावश्यक खुलासाबाट उत्पन्न हुने स्थितिको व्यवस्थापन गर्न र आवश्यकताका आधारमा उपभोग गर्नसमेत व्यक्तिगत डेटा संरक्षण नीति आवश्यक छ ।
