अमृतांशु नेरुरकर amrutaunshu@gmail.com
आपली ‘एअर इंडिया’ असो की अमेरिकेत पुस्तकं विकणारी ‘बार्न्‍स अ‍ॅण्ड नोबल’.. विदा-दरोडय़ांचे प्रसंग अनेक कंपन्यांवर आले आहेत; पण पतमानांकन ठरवणाऱ्या बलाढय़ कंपनीतली विदाचोरी अधिकच गंभीर, ती का?

आपले दैनंदिन क्रियाकलाप नियमित सुरू राहावेत यासाठी आपली काही वैयक्तिक स्वरूपाची व गोपनीय माहिती विविध यंत्रणांना द्यावीच लागते. उदाहरणार्थ, सरकारी नियमांनुसार काही शासकीय सेवांचे लाभ पदरात पडून घ्यायचे असतील तर खासगी विदा सरकारी यंत्रणांना देण्यावाचून पर्याय नसतो. जर मला माझं ‘आधार ओळखपत्र’ बनवायचं असेल तर माझी बायोमेट्रिक स्वरूपाची माहिती (बोटांचे ठसे, बुबुळांचा आलेख आदी) सरकारला देणं भाग आहे. जर एखाद्या संस्थळावर कोणताही ई-व्यवहार करायचा असेल तर त्या संस्थळाला वित्तीय स्वरूपाची माहिती (क्रेडिट कार्ड किंवा इंटरनेट बँकिंगचे तपशील) पुरवणं अनिवार्य असतं. त्याचबरोबर काही डिजिटल सेवांचा उपभोग घेण्यासाठी संबंधित डिजिटल सेवापुरवठादार संस्थळाला (समाजमाध्यमं, डिजिटल वृत्तपटलं किंवा ओटीटी माध्यमं वगैरे) आपण स्वत:हून आपली व्यक्तिगत स्वरूपाची माहिती पुरवतो.

farmer protest marathi news, farmer protest for msp, minimum support price marathi news
टीकाकारांना हमीदर मागणाऱ्या शेतकऱ्यांइतकी समज कधी येणार?
Declaration of self-reliance and policy of import dependence
घोषणा आत्मनिर्भतेच्या आणि धोरण आयातनिर्भरतेचे
Experts also demand that the regulatory framework of Finetech needs to be reconsidered to reduce the pressure of regulations eco news
‘फिनेटक’च्या नियामक चौकटीचा पुनर्विचार आवश्यक; नियमावलीची जाचकता कमी करण्याचीही तज्ज्ञांची मागणी
UPSC Preparation Facing the Prelims Exam
यूपीएससीची तयारी: पूर्व परीक्षेला सामोरे जाताना..

शासकीय नियम किंवा न्यायालयीन आदेशांच्या अधीन राहून असो किंवा स्वेच्छेनं दिली गेलेली असो, ज्या सरकारी किंवा खासगी संस्थेला आपण वैयक्तिक माहिती पुरवतो, त्या माहितीस सुरक्षित आणि गोपनीय ठेवण्याची जबाबदारी ही साहजिकच संबंधित संस्थेची असते. वेगवेगळ्या देशांत या संदर्भात अस्तित्वात असलेल्या कायद्यांबरहुकूम प्रत्येक संस्थेने आपली विदासुरक्षा व गोपनीयतेची धोरणं आखणं तर अपेक्षित असतंच पण त्याचबरोबर या धोरणांची प्रभावी अंमलबजावणी होण्यासाठी स्वत:ला तांत्रिकदृष्टय़ा सक्षम बनवणं व सतत अद्ययावत ठेवणंही अपेक्षित असतं. अशा सर्व कायदेशीर व तांत्रिक उपायानंतरही जर विदागळती (डेटा लीकेज) किंवा माहितीचौर्याचं प्रकरण उघडकीस आलं, तर त्यातून त्या संस्थेकडून निष्काळजीपणाने होत असलेलं विदेचं गैरव्यवस्थापन तर दिसतंच; पण विश्वासाला तडा गेल्यामुळे संस्थेचा नावलौकिक धुळीस मिळू शकतो.

गेल्या दशकभरात अशी कित्येक प्रकरणं उघडकीस आली आहेत. अमेरिकेतील विख्यात पुस्तकविक्रेता कंपनी ‘बार्न्‍स अ‍ॅण्ड नोबल’च्या तब्बल ६३ पुस्तकालयांमधून ग्राहकांच्या क्रेडिट कार्डसंबंधांतील गोपनीय माहितीच्या चोरीचं प्रकरण २०१२ मध्ये प्रकाशझोतात आलं होतं. त्यानंतर दोनच वर्षांनी अशाच स्वरूपाचं प्रकरण घराच्या नूतनीकरणाशी संबंधित वस्तू विकणाऱ्या ‘द होम डेपो’ कंपनीसोबत घडलं होतं, ज्यात जवळपास साडेपाच कोटी ग्राहकांच्या क्रेडिट आणि डेबिट कार्डच्या माहितीची चोरी झाली होती. २०१५ मध्ये इंग्लंडची अग्रगण्य प्रवासी विमानकंपनी ‘ब्रिटिश एअरवेज’नं नियमित प्रवास करणाऱ्या (फ्रीक्वेन्ट फ्लायर्स) प्रवाशांची माहिती चोरीला गेली होती. आपल्या ‘एअर इंडिया’बाबतीतही असाच प्रकार यंदाच्या मेमध्ये उघडकीस आला होता.

ग्राहकांच्या गोपनीय माहितीची अफरातफर झाल्याने वरील सर्व प्रकरणं गंभीर आहेत यात शंकाच नाही. या कंपन्या माहिती तंत्रज्ञान किंवा डिजिटल क्षेत्रात नाहीत म्हणून काही या प्रकरणाचं गांभीर्य कमी होत नाही. उलट यातून संबंधित कंपन्यांच्या विदासुरक्षा धोरणातील त्रुटी आणि तांत्रिक शैथिल्यही दिसून येतं. त्या त्या देशाच्या कायद्यानुसार कंपनीला तिच्या अधिकारी वर्गावर कारवाई करणं, तिच्या ग्राहकांना नुकसानभरपाई देणंही बंधनकारक असतं.

असं असलं तरीही एक गोष्ट मात्र निश्चितपणे सांगता येईल की वापरकर्त्यांची किंवा ग्राहकांची माहिती गोळा करणं हे या कंपन्यांचं मुख्य काम नाही. ग्राहकाशी कोणताही व्यवहार करताना अशा माहितीचा आपोआपच संचय कंपनीकडे होत जातो. किंबहुना ग्राहकाला या कंपन्यांबरोबर व्यवहार करायचा असेल तर स्वत:ची वैयक्तिक माहिती पुरवण्याशिवाय पर्यायच नसतो. दुसरी महत्त्वाची बाब ही की अशा माहितीचौर्याच्या प्रकरणानंतर या कंपन्यांची सेवा घ्यायची की नाही हे ठरवण्याचं पूर्ण स्वातंत्र्य ग्राहकाला आहे. मला बार्न्‍स अँड नोबलच्या गोपनीयता धोरणांवर व विदासुरक्षेच्या तांत्रिक क्षमतेवर भरवसा नसेल तर मी त्यांच्या दुकानात रोख व्यवहार करू शकतो किंवा अ‍ॅमेझॉनसारख्या त्यांच्या प्रतिस्पर्ध्याच्या संस्थळावरूनही पुस्तक खरेदी करू शकतो.

पण एखाद्या कंपनीच्या अस्तित्वाचा मूळ उद्देशच जर नागरिकांची गोपनीय वित्तीय माहिती गोळा करण्याचा असेल व नागरिकांची परवानगी असो अथवा नसो, त्यांच्याबद्दलच्या या माहितीचा संचय करण्याचा अधिकार शासकीय अधिसूचनेनुसार त्या कंपनीला मिळाला असेल, आणि अशा पार्श्वभूमीवर माहितीचौर्याचं एखादं प्रकरण या कंपनीबाबतीत घडलं तर मात्र त्या प्रकरणाचं गांभीर्य कैक पटींनी वाढतं. विदासुरक्षा आणि गोपनीयतेचे विविध पैलू समजून घेण्यासाठी अशा प्रकरणांना अभ्यासणं महत्त्वाचं आहे. म्हणूनच २०१७ साली अमेरिकेतल्या ‘इक्विफॅक्स’ नामक कंपनीत घडलेल्या आणि विदा व्यवस्थापनातल्या गबाळेपणाचा मेरुमणी म्हणून गाजलेल्या प्रकरणाचा ऊहापोह करणं इथे अप्रस्तुत ठरणार नाही.

इक्विफॅक्स ही व्यक्ती आणि कंपन्यांचं पतनामांकन करणारी अमेरिकेतील एक बलाढय़ बहुराष्ट्रीय कंपनी. अमेरिकेत कंपन्यांबरोबरच व्यक्तींच्या पतनामांकनालाही फार महत्त्व दिलं जातं. पतनामांकन हे व्यक्तीच्या वित्तीय व्यवहारांचं सखोल विश्लेषण करून तिला देण्यात आलेलं एक प्रकारचं ‘रेटिंग’ आहे. तुम्ही वेगवेगळ्या कारणांसाठी (घर किंवा गाडी खरेदी, मुलांचं शिक्षण आदी) पतपुरवठा करणाऱ्या विविध संस्थांकडून घेतलेल्या कर्जाची किंवा क्रेडिट कार्डाचा वापर करून खर्च केलेल्या रकमेची परतफेड कशी करता त्यानुसार तुमचा एक ‘क्रेडिट स्कोअर’ तयार होत असतो, त्यावरच तुमचं पतनामांकन ठरत असतं. तुम्ही जर वेळच्या वेळी कर्जाचे हप्ते भरत असाल, देणी चुकवत असाल तर तुमचा क्रेडिट स्कोअर सकारात्मक (‘धन’ किंवा पॉझिटिव्ह) येईल. त्याउलट जर कर्जाचे हप्ते भरण्यात तुमच्याकडून हलगर्जी होत असेल तुमचा क्रेडिट स्कोअर नकारात्मक (‘ऋण’ किंवा निगेटिव्ह) येण्याची शक्यता वाढेल. पतपुरवठा करणाऱ्या संस्थांना त्यांची संभाव्य गिऱ्हाईकं कर्ज देण्यास लायक आहेत का, असल्यास किती प्रमाणात आणि किती टक्के व्याजावर कर्ज देणं सुरक्षित असेल हे निर्णय घेताना हा क्रेडिट स्कोअर पुष्कळ कामी येतो.

आजघडीला जगभरातील जवळपास ८० कोटी व्यक्तींचं आणि साडेआठ कोटी उद्योगधंद्यांचं पतनामांकन इक्विफॅक्सकडून केलं जातं. इक्विफॅक्सबरोबर ‘एक्सपीरियन’ आणि ‘ट्रान्सयुनियन’ या तीनच कंपन्यांची (ज्यांना ‘बिग थ्री’ असंही म्हटलं जातं) या क्षेत्रात मक्तेदारी आहे (यातली ‘ट्रान्सयुनियन’ ही भारतातल्या ‘सिबिल’च्या अनेक संस्थापकांपैकी एक). इथे एक गोष्ट लक्षात घ्यायला हवी की पतनामांकन किंवा क्रेडिट स्कोअर ही काही स्थिर संख्या नाही. कोणाही व्यक्तीनं केलेल्या प्रत्येक वित्तीय व्यवहाराबरोबर ती बदलत राहाते. म्हणूनच पतनामांकनाला अद्ययावत ठेवण्यासाठी इक्विफॅक्सला व्यक्तीच्या वित्तीय व्यवहारांचे बारीकसारीक तपशील एकत्रित करावे लागतात आणि त्यांचं अविरत विश्लेषण करावं लागतं.

नागरिकांचे वित्तीय व्यवहार गोपनीय असतात आणि काही ठरावीक संस्था सोडल्या (उदा. विक्रेता, ज्या खात्यातून पैसे जातात किंवा जिचं क्रेडिट कार्ड वापरलं जातंय ती बँक तसंच मध्यवर्ती बँक, आयकर खातंसारख्या वैधानिक संस्था) तर अशा व्यवहारांचे तपशील इतरत्र कुठेही उघड केले जात नाहीत. नागरिकांचीही त्यासाठी परवानगी नसते. पण पतनामांकन ठरवण्यासाठी मात्र वित्तीय व्यवहाराचा प्रत्येक तपशील इक्विफॅक्ससारख्या क्रेडिट रेटिंग देणाऱ्या कंपनीलाही उपलब्ध होतो आणि बऱ्याचदा नागरिकांना या गोष्टीचा पत्ताही नसतो. क्रेडिट स्कोअरनुसार नागरिकांची पत ठरत असल्यानं आणि त्यानुसार त्यांना कितपत/ किती व्याजदरानं कर्जपुरवठा होऊ शकतो हे ठरत असल्यामुळे, या स्कोअरचं वर्गीकरणही अत्यंत गोपनीय माहिती म्हणूनच केलं जातं.

नागरिकांची इतकी गोपनीय व संवेदनशील माहिती हाताळणाऱ्या इक्विफॅक्सला मात्र या माहितीस सुरक्षित राखता आलं नाही. अमेरिकेतील तब्बल साडेचौदा कोटी नागरिकांच्या (म्हणजे जवळपास ५० टक्के नागरिक) गोपनीय वित्तीय माहितीची कंपनीच्या डेटाबेस सव्‍‌र्हर्समधून चोरी झाल्याचं इक्विफॅक्सनं सप्टेंबर २०१७ मध्ये जाहीर केलं आणि जगभरात एकच गदारोळ माजला. विशेष म्हणजे अशा गोपनीय विदेचा संचय आणि विश्लेषण हेच इक्विफॅक्सचं ‘बिझनेस मॉडेल’ असूनही तिच्याकडून हलगर्जी घडली.

हा सायबर हल्ला कसा झाला, इक्विफॅक्सचं नेमकं काय चुकलं, हा संवेदनशील विषय कंपनीने परिपक्वतेनं हाताळला का, या गुन्ह्यची योग्य सजा इक्विफॅक्सला मिळाली का आणि गोपनीयतेच्या दृष्टिकोनातून या प्रकरणापासून आपण काय बोध घेऊ शकतो याचा ऊहापोह पुढल्या लेखात.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील ओपन सोर्स, विदासुरक्षा व गोपनीयता तसेच डिजिटल परिवर्तन या विषयांचे अभ्यासक आहेत.