প্রথমেই তিনটি কথা বলি। এক. আমি আইনজ্ঞ নই, তথ্যপ্রযুক্তি অঙ্গনের কর্মী। দুই. এই লেখার মতামতের সম্পূর্ণ দায় আমার। তিন. পাঠক ও নীতিনির্ধারকদের বোঝার স্বার্থে কিছু টেকনিক্যাল ধারণা সহজভাবে ও উদাহরণ দিয়ে ব্যাখ্যা করার চেষ্টা করব।
বাংলাদেশ ডিজিটাল নিরাপত্তা আইন, ২০১৮-এর কিছু ধারা নিয়ে তর্ক-বিতর্ক চলছে। আমার ভাবনা, যতটা না এই আইনে কী আছে তা নিয়ে, তার চেয়ে বেশি এই আইনে কী নেই, তা নিয়ে। বলা হয়েছে, এই আইনের অন্যতম উদ্দেশ্য ‘ডিজিটাল নিরাপত্তা’ নিশ্চিত করা। কিন্তু ‘ডিজিটাল নিরাপত্তা’ বলতে কী বোঝায়, তার ব্যাখ্যা বা সংজ্ঞা এ আইনে নেই। ফলে ডিজিটাল নিরাপত্তা নিশ্চিত করার জন্য যে বিধিবিধান দরকার, তা–ও এই আইনে নেই।
ধরুন, মিটসেফে দুধ রাখা নিরাপদ করার জন্য আপনি আইন করতে গেলেন। স্বাভাবিক প্রত্যাশা হবে, মিটসেফের গঠন, তাপমাত্রা নিয়ন্ত্রণ, দুধ মিটসেফে ঢোকানো ও বের করার সময়, মিটসেফের ভেতরে দুধ সংরক্ষণের সময়—ইত্যাদি কোনো পর্যায়ে বা কোনো অবস্থায় যেন দুধে কেউ কিছু মেশাতে না পারে, এসবের কারিগরি (টেকনিক্যাল) ও প্রশাসনিক (অ্যাডমিনিস্ট্রেটিভ) নিয়ন্ত্রণব্যবস্থা কেমন হবে, কার কী দায়িত্ব থাকবে, মিটসেফ কে খুলতে পারবে, কে পারবে না, এত নিরাপত্তার পরেও যদি দুধ কোনো কারণে নষ্ট হয় কিংবা দুধের ওপর বাইরে থেকে হাত পড়ে, তাহলে তার পুনরুদ্ধার কীভাবে সম্ভব, পুনরুদ্ধারের প্রক্রিয়ায় কার কী দায়দায়িত্ব থাকবে ইত্যাদি বিষয়ে সুস্পষ্ট বিধান তৈরি করা হবে। এটাই হবে দুধের নিরাপত্তা নিশ্চিত করার বিধান।
কিন্তু এর বদলে আপনি যদি আইনে পাহারাদার নিয়োগের বিধান করে অনবরত বলতে থাকেন: খবরদার দুধে হাত দেবেন না, দিলে এই এই শাস্তি হবে, ওই শাস্তি হবে—তাহলে দুধের নিরাপত্তা নিশ্চিত হবে না; বরং আইনটির আসল উদ্দেশ্য থেকে সরে যাওয়া হবে এবং আইনটি ইতিমধ্যে বিদ্যমান শাস্তির বিধানগুলোর বাহুল্যে পরিণত হবে। মূল উদ্দেশ্য যে নিরাপত্তা নিশ্চিত করা, তার বাস্তবায়ন কষ্টসাধ্য হবে। উপরন্তু, আপনি যে শাস্তির বিধান তৈরি করতে চাইছেন, তার জন্য এ রকম নিরাপত্তা আইনের প্রয়োজন নেই, বিদ্যমান দণ্ডবিধি ও অন্যান্য ফৌজদারি আইনের সংশ্লিষ্ট ধারাগুলোতে কিছু শব্দ যোগ করেই সামঞ্জস্য আনা যায়।
সুতরাং ডিজিটাল নিরাপত্তা আইনের সবচেয়ে বড় ঘাটতি হলো, ডিজিটাল নিরাপত্তা বলতে কী বোঝায়, তার ব্যাখ্যা বা সংজ্ঞা না থাকা। উন্নত দেশগুলো সাইবার নিরাপত্তা আইনের ক্ষেত্রে কী করেছে? জাপান ও ইংল্যান্ডে তথ্যপ্রযুক্তির ব্যবস্থাপনা পদে কাজের অভিজ্ঞতা থেকে বলতে পারি, তারা প্রথমেই ‘সাইবার সিকিউরিটি’র আইনগত সংজ্ঞা নির্ধারণ করেছে। ‘তথ্যের অবাধ আদান-প্রদান নিশ্চিত করার লক্ষ্যে তথ্যের যথাযথ গোপনীয়তা (Confidentiality), সঠিকতা (Integrity), প্রাপ্যতা (Availability) ইত্যাদি বৈশিষ্ট্য সুসংহত করতে গিয়ে যে তথ্য ও তথ্যপ্রযুক্তির কারিগরি নিয়ন্ত্রণব্যবস্থা (Technical control) এবং ব্যবস্থাপনা (management, measure) প্রয়োজন, সেটি হলো ডিজিটাল সিকিউরিটি।’
উদাহরণ হিসেবে বলা যায়, আপনার বিদ্যুৎ বিলের তথ্য গোপনীয়তা রক্ষা করার দায়িত্ব ডেসা বা সরকারের। মিটার-রিডিং, ডেটাবেইসের টারিফের হিসাব আর আপনাকে দেওয়া চূড়ান্ত বিলের মধ্যে তথ্যের কোনো হেরফের যেন না হয়, সেই সঠিকতাও নিশ্চিত করার দায়িত্ব ডেসার বা সরকারি প্রতিষ্ঠানের এবং যদি বিল প্রিন্ট করার সময় দেখা যায়, ডেটাবেইস ডাউন হয়ে আছে, আপনি সময়মতো বিল পাচ্ছেন না কিংবা আপনি বিল পেয়ে চ্যালেঞ্জ করতে গিয়ে দেখেন কোনো কারণে আপনার মিটার-রিডিংয়ের তথ্যই তারা খুঁজে পাচ্ছে না, তাহলে এর মানে হলো এই সরকারি এজেন্সি তথ্যের প্রাপ্যতা নিশ্চিত করতে পারেনি। এতে একজন নয়, অনেক নাগরিক ভোগান্তির সম্মুখীন হবে, সবার অর্থনৈতিক কর্মকাণ্ডে ব্যাঘাত ঘটবে। কাজেই, জনগণের শিক্ষা-অর্থনীতি-স্বাস্থ্য-সংস্কৃতির উন্নয়নের জন্য তথ্যযোগাযোগব্যবস্থা ব্যবহার করতে গিয়ে এটিকে সুরক্ষিত করা সরকারের গুরুত্বপূর্ণ দায়িত্ব।
প্রশ্ন হলো, সরকার কীভাবে তথ্য সংরক্ষণ, তথ্যযোগাযোগ, তথ্যভান্ডার ও তথ্য-প্রসেসিংয়ে সংশ্লিষ্ট তথ্যপ্রযুক্তির নিরাপত্তা নিশ্চিত করবে। এর জন্য আইনের প্রয়োজনীয়তা উপলব্ধি করা হয়েছে: দেশে দেশে আইন প্রণীত হয়েছে ও হচ্ছে। কোথাও সাইবার সিকিউরিটি আইন নামে, কোথাও ডিজিটাল সিকিউরিটি আইন নামে। এসব আইনে গুরুত্বপূর্ণ সেবা-প্রতিষ্ঠানগুলোকে সুস্পষ্টভাবে চিহ্নিত করে তথ্যপ্রযুক্তির সিস্টেম সুরক্ষা দেওয়ার জন্য প্রয়োজনীয় টেকনিক্যাল ব্যবস্থা রাখার নির্দেশনা থাকছে। পাশাপাশি সরকারি প্রতিষ্ঠানগুলোর বিষয়ে জাতীয় সরকার ও স্থানীয় সরকারের মধ্যে কীভাবে সমন্বয় হবে, ডিজিটাল সুরক্ষার ক্ষেত্রে কার দায় কতটুকু, বাজেট কে দেবে, আন্তর্জাতিক নেটওয়ার্কে সাইবার সিকিউরিটির ক্ষেত্রে দেশের প্রতিনিধিত্ব কে করবে, সরকারি প্রতিষ্ঠানে এসব নিয়মের ব্যত্যয় ধরা পড়লে প্রতিকার কী হবে ইত্যাদি বিষয়ে বিধান দেওয়া হচ্ছে। একই সঙ্গে উন্নত বিশ্বে ডিজিটাল নিরাপত্তার সঙ্গে ব্যক্তিগত ও অন্যান্য গুরুত্বপূর্ণ তথ্য আলাদাভাবে দেখে আইনকানুন ও বিধিবিধান তৈরি করা হচ্ছে। কারণ, এসব দেশে ব্যক্তিগত গোপনীয়তা বা প্রাইভেসি নাগরিকদের মৌলিক অধিকার হিসেবে স্বীকৃত। তথ্যের অবাধ আদান-প্রদানের এই যুগে প্রাইভেসির সুরক্ষা নিশ্চিত করতে প্রাইভেসি প্রটেকশন আইন করা হচ্ছে।
বাংলাদেশের ডিজিটাল সিকিউরিটি আইনে এসব ব্যবস্থার বিধান বা নির্দেশনা নেই। বাংলাদেশ ব্যাংকে হ্যাকিংয়ের ঘটনা স্মরণ করা যেতে পারে। কেন্দ্রীয় ব্যাংকের এই ডিজিটাল সিকিউরিটির দুর্বলতা আসলেই দূর করা হয়েছে কি না, এ বিষয়ে আমাদের কোনো স্বচ্ছ ধারণা নেই। আবার যদি হ্যাকিং হয়ে থাকে, আমরা কি জানতে পারব? সরকার কি জানাবে? আর আমাদের অন্য ব্যাংকগুলোর কী অবস্থা? সুইফট ও আরটিজিএস সিস্টেম তো তাদেরও ব্যবহার করার কথা। কীভাবে বুঝব, তাদের মধ্যেও সেই একই দুর্বলতা নেই, যা বাংলাদেশ ব্যাংকের ডিজিটাল সিস্টেমে ছিল? এসব গুরুত্বপূর্ণ তথ্য এবং তথ্যব্যবস্থার ডিজিটাল নিরাপত্তা নিশ্চিত করার আইনি বিধান ডিজিটাল নিরাপত্তা সিকিউরিটি আইনে।
তথ্যপ্রযুক্তির অবকাঠামোর প্রতি সাইবার অপরাধীরা অবশ্যই একটি বড় হুমকি। তাদের বিচারের আওতায় আনার জন্য আইন প্রয়োজন। কিন্তু ডিজিটাল আইন হয়েছে অনেকটাই ফৌজদারি কার্যবিধি ও দণ্ডবিধির ডিজিটাল ভাষ্য। কারণ, ডিজিটাল আইনের অধিকাংশ ধারায় যেসব অপরাধের কথা বলা হয়েছে, সেগুলো বিচারের বিধান ফৌজদারি কার্যবিধি ও দণ্ডবিধিতে ইতিমধ্যেই আছে। যেমন মানহানি, উসকানি, ‘রাষ্ট্রবিরোধী’ অপপ্রচার, উদ্দেশ্যমূলকভাবে মিথ্যা সংবাদ প্রচার ইত্যাদি। এসব অপরাধ অ্যানালগ মাধ্যমেও হতে পারে। ডিজিটাল মাধ্যমে কেউ এসব অপরাধ করলে তার বিচারের জন্য পৃথক আইনের প্রয়োজন নেই; বিদ্যমান ফৌজদারি কার্যবিধি ও দণ্ডবিধির সংশ্লিষ্ট ধারাগুলোতে ‘ডিজিটাল মাধ্যম’ শব্দবন্ধটি যুক্ত করলেই চলে। একজন সুইচ টিপে বোম মেরে ডিজিটাল পদ্ধতিতে আরেকজনকে হত্যা করলে যে অপরাধ ও যেই শাস্তি, চাকু দিয়ে অ্যানালগ পদ্ধতিতে হত্যা করলেও সেই একই অপরাধ, একই শাস্তি। এর জন্য ডিজিটাল নিরাপত্তা আইন তৈরি করতে হয় না।
হ্যাঁ, কিছু ক্ষেত্রে নতুন নতুন সাইবার ক্রাইম হচ্ছে, যেগুলো বিদ্যমান আইনে শব্দ-সংযোগ দিয়ে সমাধান করা সম্ভব নয়। যেমন কম্পিউটার ম্যালওয়্যার তৈরি। জাপান কম্পিউটার অ্যাক্সেস কন্ট্রোল–বিষয়ক আইন করে এসব সাইবার মাধ্যমে করা সম্ভব এমন কিছু নতুন অপরাধ চিহ্নিত করেছে, যেগুলো তথ্য-সুরক্ষার সঙ্গে সম্পর্কিত। ইংল্যান্ড করেছে কম্পিউটার মিসইউজ আইন। বাংলাদেশের ডিজিটাল আইনেও এমন কিছু অপরাধের কথা বলা হয়েছে, যেমন কম্পিউটার সিস্টেমে অনধিকার প্রবেশ, ম্যালওয়্যার ইত্যাদি। কিন্তু কিছু কিছু অপরাধের কথা এই আইনে নেই, যেমন ফিশিং মেইল, কম্পিউটার সিস্টেমে অনুমোদিত প্রবেশের পরে অননুমোদিত কাজ করা ইত্যাদি।
ডিজিটাল নিরাপত্তা আইনের ৩২ ধারা নিয়ে প্রবল আপত্তি উঠেছে। এটা আসলে অফিশিয়াল সিক্রেটস আইনের ডিজিটাল ভাষ্য। এটা না করে বিদ্যমান অফিশিয়াল সিক্রেটস আইনেই ‘ডিজিটাল মাধ্যমে’ কথাটা যুক্ত করলেই সমস্যার সমাধান হয়ে যেত।
সুতরাং, ডিজিটাল নিরাপত্তা আইন নিয়ে যে তর্ক-বিতর্ক চলছে, তার অবসানের জন্য প্রথমেই ডিজিটাল নিরাপত্তার ধারণাটি সুস্পষ্ট ভাষায় সংজ্ঞায়িত করা এবং সেই নিরাপত্তা নিশ্চিত করার ওপরে উল্লিখিত বিধানগুলো যুক্ত করা। দ্বিতীয়ত, যেসব ফৌজদারি অপরাধ আগেই অন্য কোনো আইনে বা দণ্ডবিধিতে সংজ্ঞায়িত হয়েছে, সেগুলো এই ডিজিটাল নিরাপত্তা আইন থেকে সরিয়ে সংশ্লিষ্ট অন্যান্য আইনে ‘ডিজিটাল মাধ্যমে’ শব্দবন্ধ যুক্ত করে সাধারণ নাগরিক ও সংবাদমাধ্যমের কর্মীদের ভয় দূর করে তথ্যের বিদ্যমান অবাধ আদান-প্রদান অব্যাহত রাখা। তৃতীয়ত, যেসব সাইবার অপরাধের কথা বিদ্যমান কোনো আইনে নেই, সেগুলো চিহ্নিত বা সংজ্ঞায়িত করে এই আইনে যুক্ত করা।
এই একুশ শতকে ডিজিটাল নিরাপত্তা ব্যক্তিগত থেকে শুরু করে রাষ্ট্রীয় পর্যায় পর্যন্ত অত্যন্ত গুরুত্বপূর্ণ। এই নিরাপত্তা নিশ্চিত করার জন্য প্রণীত আইনকে অবশ্যই সবার স্বার্থের অনুকূল হতে হবে, শুধু শাসকদের স্বার্থানুকূল নয়।
সায়নুল হোসেন, যুক্তরাজ্যে কর্মরত তথ্যপ্রযুক্তি নিরাপত্তা বিশেষজ্ঞ
[email protected]