عوامی اور ذاتی ڈیٹا۔ ایویٹو سے "ڈیٹا لیک" کیس کا تجزیہ

دو ہفتے قبل، ایویٹو اور یولا سروسز کے 600 ہزار کلائنٹس کے ڈیٹا بیسز کو فورمز پر دریافت کیا گیا، جن میں حقیقی پتے اور فون نمبر تھے۔ ڈیٹا بیس اب بھی آزادانہ طور پر دستیاب ہیں اور کوئی بھی انہیں ڈاؤن لوڈ کرسکتا ہے۔ ذرا تصور کریں کہ کتنے لوگوں نے پہلے ہی ڈیٹا بیس کو سپیم بھیجنے کے ارادے سے ڈاؤن لوڈ کیا ہے یا اس سے بھی بدتر، صارف کے ادائیگی کارڈ کے ڈیٹا کو لالچ دینے کے لیے۔ فورم کی انتظامیہ ڈیٹا بیس کو حذف نہیں کرتی ہے۔ وہ اس صورت حال میں کوئی مسئلہ نہیں دیکھتے، بہت کم خلاف ورزی کرتے ہیں، اور کہتے ہیں کہ یہ ذاتی ڈیٹا کی چوری نہیں ہے، بلکہ کھلے ڈیٹا کو جمع کرنا ہے۔

ڈیٹا لیک ہونے کی خبریں اب کسی کو حیران نہیں کریں گی۔

جولائی اور اگست 2020 غیر مجاز ڈیٹا اکٹھا کرنے کے لیے TikTok کو بلاک کیے جانے کی خبروں سے بھرے ہوئے تھے۔ اور میرا کام حیرت زدہ کرنا نہیں بلکہ مسئلے کو سمجھنا اور اس وعدے کو نبھانا ہے جو میں نے حبر کے ایک قارئین سے کیا تھا۔ ویسے میرا نام Vyacheslav Ustimenko ہے، میں نے یہ مضمون بین الاقوامی لاء فرم Icon Partners کی ایک IT وکیل Bella Farzalieva کے ساتھ مل کر لکھا ہے۔

یہ کیوں ضروری ہے؟

ذاتی ڈیٹا کے تحفظ اور پروسیسنگ کا مسئلہ صرف ہر سال زور پکڑ رہا ہے۔ ذاتی ڈیٹا کا تحفظ کسی شخص کے انتخاب کی آزادی، معاشرے کی ثقافت اور جمہوریت کے بارے میں ہے۔ ایک آزاد شخص کا انتظام کرنا مشکل، دھوکہ دینا مشکل اور نقل کرنا ناممکن ہے۔ یہ خیال EU (GDPR) اور USA (CCPA) میں ڈیٹا پروٹیکشن کے معروف ضوابط کے ذریعے دیا گیا ہے۔ ذاتی طور پر انسٹاگرام اکاؤنٹ ایک سروے کیا، یہاں تک کہ وکلاء (میرے 90% سبسکرائبرز) بھی ڈیٹا کے تحفظ کے مسائل میں کم مہارت رکھتے ہیں۔

سوال کچھ یوں تھا: "مندرجہ ذیل میں سے کون سا ذاتی ڈیٹا ہے۔"
میں سروے کے نتائج کا اسکرین شاٹ منسلک کر رہا ہوں۔

تقریباً 20% ووٹرز نے صحیح جواب کا انتخاب کیا۔

PS حقیقت یہ ہے کہ میں یوکرین سے ہوں، اور روسی فیڈریشن کے قوانین کے بارے میں مضمون آپ کو الجھن میں نہیں ڈالنا چاہئے، پیارے قارئین، کیونکہ IT وکیل کی مہارت کسی ایک ملک تک محدود نہیں ہو سکتی۔

روسی فیڈریشن میں ذاتی ڈیٹا کیا ہے؟

وفاقی قانون کے مطابق ذاتی ڈیٹا کی تعریف یورپی یا یوکرین سے بہت مختلف نہیں ہے، جس کے بارے میں پچھلے مضمون میں لکھا تھا۔.

ذاتی ڈیٹا - کسی بھی شناخت یا قابل شناخت قدرتی شخص سے براہ راست یا بالواسطہ تعلق رکھنے والی کوئی بھی معلومات، ہم کسی ایسے ڈیٹا کے بارے میں بات کر رہے ہیں جس کے ذریعے کسی شخص کی شناخت کی جا سکے۔

روس میں، ذاتی ڈیٹا کے استعمال اور تحفظ کو بہت سی دستاویزات کے ذریعے منظم کیا جاتا ہے، خاص طور پر، 152-FZ "ذاتی ڈیٹا پر"، 149-FZ "معلومات، انفارمیشن ٹیکنالوجیز اور معلومات کے تحفظ پر"، انتظامی جرائم کا ضابطہ، فوجداری روسی فیڈریشن کا کوڈ، روسی فیڈریشن کا لیبر کوڈ اور روسی فیڈریشن کا سول کوڈ۔

ذاتی ڈیٹا کھولیں۔ یہ کس قسم کا جانور ہے؟

# آئیے صارف کی آنکھوں سے صورتحال کو دیکھتے ہیں۔

شاید قارئین نے ابھی تک اس بارے میں نہیں سوچا ہو گا کہ ذاتی ڈیٹا کیسے کھلا ہو سکتا ہے، کیونکہ پرسنل آواز پرسنل جیسی، اور کھلی آوازیں پبلک جیسی لگتی ہیں۔

اس کے ساتھ ساتھ اعتماد کا احساس بھی میرا پیچھا نہیں چھوڑتا کہ ٹیلی فون سیلز پرسن کے ساتھ ایک اور بات چیت کے بعد، ہم میں سے ہر ایک سوچتا ہے کہ "اس نے میرا نمبر کہاں سے حاصل کیا" یا "کسی اجنبی کی یہ عجیب کال کیا ہے جو میرے بارے میں زیادہ جانتا ہے۔ ضرورت سے زیادہ۔"

لہذا، وہ صارفین جو Avito کے ذریعے کچھ فروخت کے لیے پیش کرتے ہیں، حیران نہ ہوں کہ وہ ہیکر ڈیٹا بیس میں پہنچ گئے، اسپام ای میلز موصول ہوئے یا سکیمرز یا "کولڈ سیلرز" کی جانب سے ناقابل فہم کال موصول ہوئی۔

ایسی صورت حال میں آپ صرف اپنے آپ کو موردِ الزام ٹھہرا سکتے ہیں، کیونکہ قوانین سے لاعلمی آپ کو ذمہ داری سے مستثنیٰ نہیں کرتی۔

ہر وہ چیز جو صارف نے خود عوامی غور و فکر کے لیے اپنے بارے میں پوسٹ کی ہو، دوسرے لفظوں میں، انٹرنیٹ پر، عوامی طور پر دستیاب ہو جاتی ہے، یعنی اوپن ڈیٹا اور صارف کی رضامندی کے بغیر اسے ذخیرہ، تقسیم اور استعمال کیا جا سکتا ہے۔

قانون سازی سے تصدیق
آرٹیکل 1 کا حصہ 152.2۔ روسی فیڈریشن کا سول کوڈ۔

جب تک کہ قانون کے ذریعہ واضح طور پر فراہم نہ کیا گیا ہو، شہری کی رضامندی کے بغیر اس کی نجی زندگی کے بارے میں کسی بھی معلومات کو جمع کرنے، ذخیرہ کرنے، تقسیم کرنے اور استعمال کرنے کی اجازت نہیں ہے، خاص طور پر اس کی اصل، قیام یا رہائش، ذاتی اور خاندانی زندگی کے بارے میں معلومات۔ .

ریاستی، عوامی یا دیگر عوامی مفادات میں کسی شہری کی نجی زندگی کے بارے میں معلومات کو جمع کرنا، ذخیرہ کرنا، تقسیم کرنا اور استعمال کرنا، نیز ایسے معاملات میں جہاں کسی شہری کی نجی زندگی کے بارے میں معلومات پہلے عوامی طور پر دستیاب ہو گئی ہوں یا خود اس کا انکشاف ہو، اس پیراگراف کے پہلے پیراگراف کے ذریعہ قائم کردہ قواعد کی خلاف ورزی نہیں ہے۔ شہری یا اس کی مرضی سے۔

ایک اور تصدیق
روسی فیڈریشن کے وفاقی قانون نمبر 4-FZ کے آرٹیکل 7 کی شق 149 "معلومات، معلوماتی ٹیکنالوجیز اور معلومات کے تحفظ سے متعلق۔"

انٹرنیٹ پر اس کے مالکان کی جانب سے اس فارمیٹ میں پوسٹ کی گئی معلومات جو دوبارہ استعمال کے مقصد کے لیے پیشگی انسانی تبدیلیوں کے بغیر خودکار پروسیسنگ کی اجازت دیتی ہے کھلے ڈیٹا کی شکل میں پوسٹ کی گئی عوامی طور پر دستیاب معلومات ہے۔

#نتیجہ

ایویٹو انتظامیہ کا بجا طور پر دعویٰ ہے کہ ہیکر فورمز پر موجود ڈیٹا بیس مکمل طور پر عوامی معلومات پر مشتمل ہے جو ان کی ویب سائٹ پر دستیاب ہے اور اسے پارس کر کے (خصوصی پروگراموں کا استعمال کرتے ہوئے معلومات کا خودکار مجموعہ) جمع کیا جا سکتا ہے، یعنی کسی بھی ڈیٹا کے لیک ہونے کی کوئی بات نہیں ہے۔ آیا ڈیٹا کو قانونی مقاصد کے لیے استعمال کیا جاتا ہے یہ ایک اور سوال ہے جو یقینی طور پر Avito سے نہیں پوچھا جانا چاہیے۔

اگر آپ نہیں چاہتے ہیں کہ کوئی آپ کے صارف پروفائل کو مرتب کرے، اس کا جائزہ لے یا استعمال کرے، تو عوامی وسائل پر اپنے بارے میں کم معلومات چھوڑ دیں۔

ذیل میں فورم کی طرف سے ایک مضحکہ خیز (لیکن درست نہیں) تبصرہ ہے۔

# آئیے کاروبار کی نظروں سے صورتحال کو دیکھتے ہیں۔
آئیے اسی Avito کو بطور مثال لیتے ہیں اور سوالات پر غور کریں:

• سائٹ ذاتی ڈیٹا کی آپریٹر ہے،
• کیا اسے ڈیٹا پروسیسنگ کے لیے رضامندی حاصل کرنے کی ضرورت ہے اور آپریٹرز کے رجسٹر میں شامل ہونے کے لیے خود کو Roskomnadzor کے سامنے اعلان کرنا ہوگا،
• کیا واقعی Avito کو سزا نہیں ملے گی؟

ڈیٹا لیک کی صورت حال میں، Avito کا واقعی اس سے کوئی تعلق نہیں ہے۔ آپ تصور کر سکتے ہیں کہ Avito ایک باڑ ہے جس پر صارف نے "Selling GARAGE" لکھا ہے اور اپنا نام، فون نمبر یا دیگر مواصلاتی ڈیٹا کا اشارہ کیا ہے، اور پھر اس بات پر برہم ہونے لگا کہ باڑ کے پاس سے گزرنے والے ہر شخص نے ڈیٹا کو کیوں جانا، کاپی کیا یا استعمال کیا۔ .

قانون سازی سے تصدیق
قانون نمبر 10-FZ کا آرٹیکل 152۔

کمپنی یا فرد ایک شخص جس نے ڈیٹا پر کارروائی کرنے کے لیے کلائنٹ کی تحریری رضامندی حاصل کی ہے وہ عوامی طور پر دستیاب ذاتی ڈیٹا کا آپریٹر بن جاتا ہے، لیکن قانون سازی دیگر زمروں کے مقابلے میں عوامی طور پر دستیاب ذاتی ڈیٹا، یا، زیادہ آسان، کھلے ڈیٹا کے تحفظ کے لیے کم سے کم تقاضے عائد کرتی ہے۔

ایک اور تصدیق
شق 4، حصہ 2، آرٹیکل 22 "ذاتی ڈیٹا پر"۔

آپریٹر کو ذاتی ڈیٹا کے مضامین کے حقوق کے تحفظ کے لیے مجاز ادارے کو مطلع کیے بغیر ذاتی ڈیٹا کے موضوع کے ذریعے عوامی طور پر دستیاب ذاتی ڈیٹا پر کارروائی کرنے کا حق ہے۔

#نتیجہ

Avito ذاتی ڈیٹا کا آپریٹر ہے۔ جہاں تک Roskomnadzor نوٹیفکیشن کا تعلق ہے، قانون میں مستثنیات ہیں، لیکن وہ Avito پر لاگو نہیں ہوتے، کیونکہ یہ سائٹ نہ صرف عوامی طور پر دستیاب ڈیٹا کو اکٹھا کرتی ہے اور اس پر کارروائی کرتی ہے۔ لیکن اگر سائٹ صرف کھلے ڈیٹا کے ساتھ کام کرتی ہے، تو Roskomnadzor کے ساتھ مطلع کرنے اور رجسٹر کرنے کی ضرورت نہیں ہوگی۔ Avito بے گناہ ہے، اور اس وجہ سے کوئی سزا نہیں ہوگی.

ڈیٹا لیک یا قانونی طور پر نہ صرف تجارتی پلیٹ فارمز سے حاصل کیا جا سکتا ہے، بلکہ کسی بھی ویب سائٹ یا موبائل آپریٹرز سے، سوشل نیٹ ورکس، بینکوں، رجسٹریوں سے بھی، اسے کسی بینک کارڈ پر موبائل ٹرانزیکشنز کی ترتیب سے یا پوشیدہ فنکشنز کا استعمال کرتے ہوئے نکالا جا سکتا ہے۔ اسمارٹ فون ایپلی کیشنز، ایک ملین اختیارات ہیں.

ویسے تو سب جانتے ہیں کہ حبر کوئی فورم نہیں ہے، لیکن تبصرے کا امکان موجود ہے، اور مضمون کا مقصد سرپرائز دینا نہیں، بلکہ مسئلے کو سمجھنا ہے۔

سوال

2020 کی حقیقتوں میں، آپ کو انٹرنیٹ پر ذاتی ڈیٹا پوسٹ کرنے میں محتاط رہنے کی ضرورت ہے اور اوپر دیے گئے مضحکہ خیز تبصرے کی طرح کام کرنے کی ضرورت ہے، یا نئی قانون سازی متعارف کروانے کی ضرورت ہے، یا ہو سکتا ہے کہ ابھی ایک نیا دور آیا ہو اور یہ عام دستیابی کے لحاظ سے مناسب ہو۔ کھلے ڈیٹا کی؟

ماخذ: www.habr.com