পাঠাও’র তথ্য চুরি! আইনের ধোপে টিকবে কি ব্যাখ্যা?
৯ নভেম্বর ২০১৮ ১৬:৩৬ | আপডেট: ১০ নভেম্বর ২০১৮ ২৩:২৫
।। মাকসুদা আজীজ, অ্যাসিস্ট্যান্ট এডিটর।।
বিশ্বব্যাপী ডিজিটাল তথ্য চুরির ঘটনায় শোরগোল চলছে। তারই মধ্যে সম্প্রতি অ্যাপভিত্তিক রাইড শেয়ারিং প্রতিষ্ঠান পাঠাও’র বিরুদ্ধে বাংলাদেশে উঠেছে তথ্য চুরির বড় ধরনের অভিযোগ। গত ৫ নভেম্বর আশিক ইশতিয়াক ইমন নামে একজন তার ওয়েবসাইটে এবং সামাজিক যোগাযোগ মাধ্যমে দাবি করেন পাঠাও তথ্য চুরি করছে।
তথ্য নিরাপত্তা গবেষণার কাজ করেন এই আশিক ইশতিয়াক। তার অভিযোগের পর প্রথম দিকে বিষয়টি এড়িয়ে যাওয়ার চেষ্টা করলেও পরে আত্মপক্ষ সমর্থন করে কিছু বক্তব্য দেয় পাঠাও। তবে তথ্য প্রযুক্তি বিশেষজ্ঞ ও তথ্য প্রযুক্তি বিষয়ক আইন বিশেষজ্ঞরা বলছেন, পাঠাও স্পষ্টভাবে ডিজিটাল নিরাপত্তা আইন ভঙ্গ করেছে এবং এই আইন অনুযায়ী তাদের বিরুদ্ধে শাস্তির বিধানও রয়েছে।
আশিক ইশতিয়াক ইমনের ব্যাখ্যা অনুযায়ী লিনাক্স অপারেটিং সিস্টেম, এমআইটিএম প্রক্সি প্রযুক্তি এবং বারপ সুইট কমিউনিটি এডিশন ভি১.৭.৩৬ নামে একটি সফটওয়্যার ব্যবহার করে তিনি দেখেছেন, এপিআই.পাঠাও.কম এই লিঙ্কের মাধ্যমে ব্যবহারকারীর সব এসএমএস, কন্ট্যাক্ট নম্বর নিয়ে নিচ্ছে পাঠাও। এসব তথ্য যোগ হয় পাঠাওয়ের রিমোট সার্ভারে।
সে বাখ্যা সামনে এলে সরগরম হয়ে ওঠে সামাজিক যোগাযোগ মাধ্যম। মূলধারার সংবাদমাধ্যম বিষয়টি গুরুত্বের সাথে নিয়ে খোঁজ খবর করলে ৮ নভেম্বর রাতে পাঠাওর পক্ষ থেকে একটি লিখিত বক্তব্য পাঠানো হয়।
কোনো প্রাতিষ্ঠানিক সিল-ছাপ্পর ও নির্দিষ্ট কোনো কর্মকর্তার সই ছাড়া দায়সারাভাবে পাঠানো সেই বক্তব্যে পাঠাও গ্রাহকদের সকল তথ্য আমাদের কাছে রয়েছে বলে স্বীকার করে নেয়। তবে তাদের দাবি এসব তথ্য তাদের কাছে নিরাপদ এবং সুরক্ষিত।
ওই বক্তব্যে বলা হয়, “পাঠাওয়ের বিপুল জনপ্রিয়তায় ঈর্ষান্বিত হয়ে সামাজিক যোগাযোগ মাধ্যমে সম্প্রতি কেউ কেউ পাঠাওয়ের নামে ভুল, বিভ্রান্তিকর ও মিথ্যা তথ্য ছড়িয়ে দিচ্ছে। আমরা দৃঢ়তার সঙ্গে ও নিশ্চয়তা সহকারে বলতে চাই যে, পাঠাও তার চালক এবং ব্যবহারকারীদের তথ্যের সর্বোচ্চ সুরক্ষা ও নিরাপত্তা নিশ্চিত করে। গ্রাহকদের সকল তথ্য আমাদের কাছে নিরাপদ এবং সুরক্ষিত। পাঠাও কারো ব্যক্তিগত তথ্য অনুমতি ব্যতিরেকে অন্যায়ভাবে সংগ্রহ করে না, ব্যবহার করারতো প্রশ্নই উঠে না।”
পাঠাও’র বক্তব্যে আরও বলা হযেছে, “আন্তর্জাতিক ও দেশীয় অন্যান্য প্রযুক্তিভিত্তিক প্রতিষ্ঠানসমূহ কাঙ্খিত সেবা প্রদানের জন্য গ্রাহকদের যেসব তথ্য সংগ্রহ করে এবং তারা যে পদ্ধতিতে তা সংগ্রহ করে পাঠাও ঠিক একই নিয়ম-নীতি ও মানদণ্ড অনুসরণ করে। প্রযুক্তিভিত্তিক সেবাদানকারী প্রতিষ্ঠান হিসেবে পাঠাও আন্তর্জাতিকভাবে প্রচলিত সর্বোত্তম ব্যবহারবিধি (বেস্ট প্র্যাকটিস) অনুসরণ করে। গ্রাহকগণ যেন সুমসৃণভাবে পাঠাওয়ের সেবা গ্রহণ করতে পারেন এবং আমরা যেন প্রতিনিয়ত প্রদত্ত সেবার মান উন্নত করতে পারি সেজন্য যতটুকু তথ্য প্রয়োজন পাঠাও ঠিক ততটুকু তথ্য সংগ্রহ করে । পাঠাওয়ের কাছে এসব তথ্য সম্পূর্ণ নিরাপদ ও সুরক্ষিত। আজ পর্যন্ত পাঠাওয়ের কোন তথ্য অপব্যবহার করার অভিযোগ উঠেনি।”
একটি সংবাদমাধ্যমের পক্ষ থেকে পাঠাওয়ের ভাইস প্রেসিডেন্ট আহমেদ ফাহাদকে ওয়ান টাইম পাসওয়ার্ড সংরক্ষণের জন্য মেসেজে ঢুকলেও তা সংরক্ষণের অধিকার রাখে কি-না? প্রশ্ন করলে তিনি স্বীকার করে নেন যে, পাঠাও মেসেজ সংরক্ষণ করে। তবে তারও দাবি পাঠাও এ কাজটি করে যাত্রীর নিরাপত্তার স্বার্থে।
নারীদের নিরাপত্তার নামে কাল্পনিক উদাহরণ দিয়ে আহমেদ ফাহাদ বলেন, বেলা (কাল্পনিক নাম) যদি আমার ফোনটি না ধরেন তাহলে আমি কাউকে অ্যালার্ট করতে পারবো কি? আমি কাকে ইনফর্ম করবো- যদি আমি নাই জানি তার নাম বা নম্বরগুলো? তিনি যদি এসএমএস না পাঠাতে পারেন তাহলে ও কীভাবে বলবে সে ডেঞ্জারে (বিপদে)?
পাঠাওর বিরুদ্ধে অভিযোগ ও আত্মপক্ষ সমর্থন করে তাদের দেওয়া এসব বক্তব্য নিয়ে সারাবাংলা.নেট কথা বলে ঢাকা বিশ্ববিদ্যালয়ের তথ্য ও প্রযুক্তি ইন্সটিটিউটের সহযোগী অধ্যাপক, ড. বি এম মাইনুল হোসেনের সঙ্গে। তিনি বলেন, পাঠাও-এর অ্যাপে ঢুকতে হলে প্রথমেই আমাদের কাছে জানতে চাওয়া হয় আমরা মেসেজ ও অন্যান্য তথ্যে প্রবেশাধিকার দিবো কি-না, এর প্রত্যেকটিতেই সমর্থন না দেয়া পর্যন্ত অ্যাপটা ব্যবহারের অনুমতি পাওয়া যায় না। অথচ এই ডেটাগুলো না নিয়েই একটা অ্যাপ সাবলীলভাবে চালানো যায়।
এই প্রযুক্তিবিদ মনে করেন, খুব কম সংখ্যক মানুষই তথ্য চুরির বিষয়টি বুঝেন বা জানেন। ফলে খুব সাধারণভাবে এই তথ্য দেয়ার বিষয়ে তারা সচেতন নন।
এর ফলফল কত ভয়ানক হতে পারে তা ব্যাখ্যা করেন, বাংলাদেশ ওপেন সোর্স নেটওয়ার্কের সাধারণ সম্পাদক মুনির হাসান। তিনি বলেন, একটা মোবাইলের মেসেজে সব ধরণের তথ্য থাকতে পারে, এখানে মোবাইলে অ্যাকাউন্টে ঢোকার পাসকোড থেকে শুরু করে সাধারণ তথ্যও থাকে। আপাত দৃষ্টিতে বিচ্ছিন্ন তথ্যগুলো সমগ্রিকভাবে অনেক বিশাল। টেলিমেডিসিন জনপ্রিয় হয়ে উঠছে জানিয়ে তিনি বলেন, এর মাধ্যমে চাইলে একটি অঞ্চলের রোগ-ভোগের ম্যাপিং করা সম্ভব। কিন্তু কেউ যদি এর নেতিবাচক ব্যবহার করতে চায়, তাহলেও তা করা সম্ভব।
ড. মাইনুল হোসেন সারাবাংলাকে আরও বলেন, ব্যক্তিগত তথ্য বিষয়টি এতই সংবেদনশীল যে তা শুধু একটি অ্যাপে ঢুকার ‘ইয়েস’ অনুমতির মধ্য দিয়েই পাওয়া উচিত নয়। এটা অনেকটা অশিক্ষিত মানুষের সাদা কাগজে আঙ্গুলে ছাপ নেয়ার মতো হটকারিতা।
তিনি বলেন, চুরি সেটা ডিজিটাল মাধ্যমে হলেও সেটা চুরিই হয়। শুধু এখানে তথ্য প্রযুক্তির ব্যবহার করা হচ্ছে আর কিছুই নয়। তিনি মনে করেন, ব্যাক্তিগত তথ্য মানুষের অর্থকড়ির মতোই মূল্যবান সম্পদ, এগুলো পেতে হলে আইনি দলিলের মাধ্যমে অনুমতি চাইতে হবে, এবং এটা আইনে অন্তর্ভুক্ত হওয়া উচিত।
কী বলে ডিজিটাল নিরাপত্তা আইন ২০১৮?
চলতি বছরের ৮ অক্টোবর ডিজিটাল নিরাপত্তা আইন ২০১৮ গেজেট আকারে প্রকাশ হয়েছে। এ আইনের ২৬ (১) ধারায় অনুযায়ী, “যদি কোনো ব্যক্তি আইনগত কর্তৃত্ব ব্যতিরেকে অপর কোনো ব্যক্তির পরিচিতি তথ্য সংগ্রহ, বিক্রয়, দখল, সরবরাহ বা ব্যবহার করেন, তাহা হইলে উক্ত ব্যক্তির অনুরূপ কার্য হইবে একটি অপরাধ।”
তথ্য প্রযুক্তি আইন বিশেষজ্ঞ ব্যারিস্টার অনীক আর হক সারাবাংলাকে বলেন, এই আইনে স্পষ্টভাবে উল্লেখ করা হয়েছে, কোনো বাহ্যিক, জৈবিক বা শারীরিক তথ্য বা অন্য কোনো তথ্য যাহা এককভাবে বা যৌথভাবে একজন ব্যক্তি বা সিস্টেমকে শনাক্ত করে, যাহার নাম, ছবি, ঠিকানা, জন্ম তারিখ, মাতার নাম, পিতার নাম, স্বাক্ষর, জাতীয় পরিচয়পত্র, জন্ম ও মৃত্যু নিবন্ধন নম্বর, ফিঙ্গার প্রিন্ট, পাসপোর্ট নম্বর, ব্যাংক হিসাব নম্বর, ড্রাইভিং লাইসেন্স, ই-টিআইএন নম্বর, ইলেকট্রনিক বা ডিজিটাল স্বাক্ষর, ব্যবহারকারীর নাম, ক্রেডিট বা ডেবিট কার্ড নম্বর, ভয়েজ প্রিন্ট, রেটিনা ইমেজ, আইরেস ইমেজ, ডিএনএ প্রোফাইল, নিরাপত্তামূলক প্রশ্ন বা অন্য কোনো পরিচিতি যাহা প্রযুক্তির উৎকর্ষতার জন্য সহজলভ্য হয় এবং যদি তা কোনো ব্যক্তি বা প্রতিষ্ঠান, কোম্পানি, অংশীদারি কারবার, ফার্ম বা অন্য কোনো সংস্থা, ডিজিটাল ডিভাইসের ক্ষেত্রে উহার নিয়ন্ত্রণকারী এবং আইনের মাধ্যমে সৃষ্ট কোনো সত্তা বা কৃত্রিম আইনগত সত্তাও তা ব্যবহার করে তবে তা দণ্ডনীয় অপরাধ।
তিনি আরও জানান, ২৬ এর ২ ধারা অনুযায়ী প্রথমবারের মতো এই অপরাধ করে থাকে, তবে তার শাস্তি হচ্ছে অনাধিক ৫ বছরের কারাদণ্ড অথবা অনাধিক ৫ লক্ষ টাকা জরিমানা, অথবা উভয় দণ্ড। এর পরেও যদি এই অপরাধ অপরাধি দ্বিতীয়বার বা বার বার করতে থাকে তবে তাকে অনধিক ৭ লক্ষ টাকা জরমানা বা অনাধিক ১০ বছরের জেল অথবা উভয় দণ্ডের বিধান রয়েছে।
এ অপরাধ যদি কোনো ‘কোম্পানি’ কর্তৃক সংগঠিত হয় তবে ডিজিটাল নিরাপত্তা আইনের ৩৬ ধারা অনুযায়ী কোম্পানির মালিক, প্রধান নির্বাহী, পরিচালক, ম্যানেজার, সচিব, অংশিদারী কোনো প্রতিষ্ঠানও এই অপরাধ করেছেন বলেন গণ্য করা হবে এবং তারও শাস্তির বিধান আছে যদি না তিনি প্রমাণ করতে পারেন এই তথ্য চুরির ঘটনা তার অজ্ঞাতসরে হয়েছে বা তিনি তা রোধে সর্বোত্মক চেষ্টা করেছেন।
এই তথ্যের নিরাপত্তা সামনে আমাদের কতটা ক্ষতির কারণ হতে পারে তা ব্যাখ্যা করতে ব্যারিস্টার অনীক বলেন, একটা মোবাইলের ডেটার এখন বায়োমেট্রিক তথ্যও থাকে কারণ অধিকাংশ স্মার্ট ফোনের (যারা মূলত পাঠাও অ্যাপের ব্যবহারকারী) লক খুলতে ফিঙ্গার প্রিন্ট লাগে। সামনেই জাতীয় নির্বাচন এবং নির্বাচনে কিছু জায়গায় ইলেক্ট্রনিক ভোটিং মেশিন (ইভিএম) ব্যবহারের আলোচনা চলছে। ইতিমধ্যেই ফিলিপাইন ও ব্রাজিলে যথাক্রমে ৩৫ মিলিয়ন ও ৪০ মিলিয়ন ভোটারের বায়োমেট্রিক ডেটা চুরির ঘটনায় নির্বাচন বাতিল করতে হয়েছে। ফলে পাঠাও-এর এসব দাবি আসলে ধোপে টিকছে না।
পাঠাও’র ব্যাখ্যার প্রেক্ষিতে ব্যারিস্টার অনীক বলেন, পাঠাও শুধু যে অপরাধ করছে তাই নয়, তারা অপরাধ স্বীকার করে নারীদের রক্ষা এবং অন্যান্য যুক্তি দিয়ে ঢাকার চেষ্টা করছে। পাঠাওয়ের ভাইস প্রেসিডেন্ট আহমেদ ফাহাদদের নারীদের রক্ষার যুক্তির বিপরীতে ব্যারিস্টার অনীক প্রশ্ন করেন গত ২৯ জুলাই চট্টগ্রামে যখন পাঠাওর একটি মোটরগাড়ির চালক একজন ইন্টার্ন ডাক্তারকে ধর্ষণের চেষ্টা করছে তখন কোথায় তাদের নিরাপত্তা ব্যবস্থা ছিল।
পাঠাও’র চালকদের অসদাচরণের আরেকজন ভিকটিম মিডিয়া কর্মী কাজী রোখসানা রুমা সারাবাংলাকে বলেন, গত ২৩ জুলাই রাতে পাঠাওয়ের একজন রাইডার মগবাজার মোড়ে তার সঙ্গে অসদাচরণ করেন। পাঠাও কর্তৃপক্ষ আজও তাকে সেই ঘটনার নিষ্পত্তির কোনো প্রমাণ দেখাতে পারেনি।
নিরাপত্তার নামে তথ্য হাতিয়ে নেওয়ার বিষয়টি রাইড শেয়ারিং নীতিমালার খসড়ার সংগেও অসঙ্গতিপূর্ণ বলে মনে করছেন বিশেষজ্ঞরা। বিআরটিএ’র সাবেক সচিব শওকত আলি সারাবাংলাকে বলেন, রাইড শেয়ারিং নীতিমালায় স্পষ্ট বলা আছে, সেখানে এমন একটা জায়গা থাকতে হবে যেন, একটা মাত্র বোতাম চাপ দিয়ে ভিকটিম পুলিশ কন্ট্রোল রুমের সঙ্গে যোগাযোগ করতে পারে। এখানে পাঠাওর তথ্য চাওয়ার বা নেয়ার কিছু নেই। পাঠাও তথ্য চুরি করছে যা সম্পূর্ণভাবে রাইড শেয়ারিং নীতিমালার পরিপন্থি এবং ডিজিটাল নিরাপত্তা আইন অনুযায়ী তা শাস্তিযোগ্য অপরাধ।
সারাবাংলা/এমএ/এমএম