मिलान का फेसबोर्डिंग सिस्टम यह साबित करता है कि दक्षता मौलिक अधिकारों को दरकिनार नहीं कर सकती

भौतिक दुनिया में, हम एक मानव एजेंट को पासपोर्ट दिखाने के आदी हैं, एक संक्षिप्त आदान-प्रदान जहाँ हम अपने पहचान दस्तावेजों पर नियंत्रण रखते हैं। हालाँकि, ऑनलाइन और स्वचालित पारगमन क्षेत्रों (automated transit zones) में, वह गतिशीलता कुछ बहुत अधिक अपारदर्शी हो जाती है। हमसे अक्सर एक छोटी कतार के वादे के बदले में अपना सबसे निजी डेटा—हमारे चेहरों की ज्यामिति—साझा करने के लिए कहा जाता है। लेकिन जैसा कि इतालवी डेटा संरक्षण प्राधिकरण (गैरांटे) के हालिया फैसले से पता चलता है, उस सुविधा की कीमत अक्सर यात्रियों की समझ से कहीं अधिक होती है।

मिलान लिनेट हवाई अड्डे पर, फेसबोर्डिंग सिस्टम को यात्रा के भविष्य में एक निर्बाध छलांग के रूप में विपणन किया गया था। अपने चेहरों को स्कैन करके, यात्री कागज या डिजिटल कोड के लिए बिना जद्दोजहद किए सुरक्षा और बोर्डिंग गेटों से आसानी से गुजर सकते थे। फिर भी, SEA (Società Esercizi Aeroportuali) में गैरांटे की जांच ने एक ऐसे सिस्टम पर से पर्दा हटा दिया है जो हमारी रक्षा के लिए बनाए गए कानूनों का सम्मान करने में विफल रहा। अनुपालन के दृष्टिकोण से, यह फैसला एक सख्त अनुस्मारक के रूप में कार्य करता है: गोपनीयता की नींव के बिना नवाचार केवल जोखिम का एक परिष्कृत रूप है।

सहमति का भ्रम

गैरांटे के फैसले में सबसे महत्वपूर्ण निष्कर्षों में से एक वैध सहमति की कमी थी। डेटा संरक्षण की दुनिया में, सहमति वह कुंजी है जो संवेदनशील जानकारी के प्रसंस्करण का दरवाजा खोलती है। बायोमेट्रिक डेटा के लिए—जिसे GDPR एक विशेष श्रेणी के रूप में वर्गीकृत करता है क्योंकि यह विशिष्ट और स्थायी रूप से एक व्यक्ति से जुड़ा होता है—इस कुंजी को उपयोगकर्ता द्वारा स्वतंत्र रूप से और स्पष्ट रूप से घुमाया जाना चाहिए।

व्यवहार में, SEA को कानून द्वारा आवश्यक विस्तृत (granular) सहमति प्राप्त किए बिना यात्रियों की चेहरे की छवियां प्राप्त करते हुए पाया गया। दूसरे शब्दों में कहें तो, यात्रियों को एक स्पष्ट, सूचित विकल्प नहीं दिया गया था; उन्हें बस एक ऐसे सिस्टम में धकेल दिया गया जो उनके जैविक लक्षणों को सामान के एक और टुकड़े की तरह मानता था। GDPR ढांचे के तहत, आप यह मान नहीं सकते कि कोई व्यक्ति अपने चेहरे को डिजिटल बनाने और संग्रहीत करने के लिए सहमत है सिर्फ इसलिए कि वे एक विशिष्ट गेट की ओर चलते हैं।

रेत पर बनी नींव

'प्राइवेसी बाय डिजाइन' (Privacy by design) एक घर की नींव की तरह है। यदि आप एक कमजोर नींव पर एक चिकनी, आधुनिक संरचना बनाते हैं, तो पूरी इमारत अनिश्चित बनी रहती है। गैरांटे ने पाया कि SEA इस सिद्धांत को लागू करने में विफल रहा, जिससे GDPR के अनुच्छेद 25 का उल्लंघन हुआ। कोड की पहली पंक्ति से सॉफ्टवेयर में गोपनीयता बनाने के बजाय, सिस्टम ने डेटा सुरक्षा को बाद के विचार (afterthought) के रूप में माना।

संरचनात्मक अखंडता की यह कमी सिस्टम की सुरक्षा विफलताओं में सबसे स्पष्ट थी। जांच से पता चला कि SEA बायोमेट्रिक टेम्प्लेट—यात्रियों के चेहरों के गणितीय प्रतिनिधित्व—को एन्क्रिप्ट करने में विफल रहा। एक दुर्भावनापूर्ण अभिनेता के हाथों में, एक अनएन्क्रिप्टेड बायोमेट्रिक डेटाबेस एक जहरीली संपत्ति है। पासवर्ड के विपरीत, आप डेटा उल्लंघन के बाद अपना चेहरा नहीं बदल सकते। नतीजतन, इस डेटा को असुरक्षित स्थिति में संग्रहीत करने से पहचान की चोरी और अनधिकृत ट्रैकिंग का अस्वीकार्य जोखिम पैदा हुआ।

डिजिटल होर्डिंग की समस्या

डेटा न्यूनीकरण (Data minimization) डिजिटल स्वच्छता का एक मुख्य सिद्धांत है। यह सुझाव देता है कि संगठनों को केवल वही एकत्र करना चाहिए जिसकी उन्हें आवश्यकता है और इसे केवल तब तक रखना चाहिए जब तक आवश्यक हो। हालाँकि, SEA ने अत्यधिक प्रतिधारण (retention) की नीति चुनी। तत्काल बोर्डिंग प्रक्रिया की आवश्यकता से अधिक समय तक बायोमेट्रिक डेटा रखकर, उन्होंने एक अस्थायी सुविधा को स्थायी डिजिटल पदचिह्न में बदल दिया।

यह अभ्यास सीधे यूरोपीय डेटा संरक्षण बोर्ड (EDPB) की राय 11/2024 का खंडन करता है। यह हालिया मार्गदर्शन स्पष्ट करता है कि हवाई अड्डों में बायोमेट्रिक सिस्टम को आनुपातिक माने जाने के लिए, डेटा आदर्श रूप से यात्री के नियंत्रण में रहना चाहिए या विशिष्ट उद्देश्य (जैसे उड़ान में सवार होना) पूरा होते ही हटा दिया जाना चाहिए। इसे लंबे समय तक रखना एक सुरक्षा उपकरण को निगरानी डेटाबेस में बदल देता है।

यात्रा के भविष्य के लिए यह क्यों मायने रखता है

यह फैसला केवल इटली के एक हवाई अड्डे के बारे में नहीं है; यह चेहरे की पहचान तकनीक को तैनात करने की चाह रखने वाले किसी भी संगठन के लिए एक दिशा-निर्देश है। गैरांटे ने स्पष्ट कर दिया है कि नई तकनीक का "कूल फैक्टर" अनुच्छेद 32 (प्रसंस्करण की सुरक्षा) या अनुच्छेद 5 (प्रसंस्करण के सिद्धांत) को अनदेखा करने का लाइसेंस नहीं देता है।

अंततः, यह निर्णय इस विचार को पुष्ट करता है कि हमारा बायोमेट्रिक डेटा एक मौलिक मानव अधिकार है, न कि परिचालन दक्षता के लिए काटी जाने वाली वस्तु। जैसे-जैसे हम अधिक स्वचालित वातावरण की ओर बढ़ते हैं, डेटा नियंत्रक पर यह साबित करने का बोझ बना रहता है कि उनके सिस्टम मजबूत, पारदर्शी और सबसे बढ़कर, व्यक्ति का सम्मान करने वाले हैं।

संगठनों और यात्रियों के लिए व्यावहारिक कदम

कानून के सही पक्ष में रहने की चाह रखने वाले व्यवसायों और अपनी डिजिटल पहचान की रक्षा करने वाले यात्रियों के लिए, लिनेट फैसले से कुछ कार्रवाई योग्य निष्कर्ष यहाँ दिए गए हैं:

• बायोमेट्रिक वर्कफ़्लो का ऑडिट करें: यदि आपका संगठन चेहरे की पहचान का उपयोग करता है, तो सत्यापित करें कि सहमति स्पष्ट और विस्तृत है। उपयोगकर्ताओं को बिना किसी दंड के ऑप्ट-आउट करने में सक्षम होना चाहिए।
• एन्क्रिप्शन लागू करें: बायोमेट्रिक टेम्प्लेट को कभी भी प्लेन टेक्स्ट में संग्रहीत नहीं किया जाना चाहिए। यह सुनिश्चित करने के लिए अत्याधुनिक एन्क्रिप्शन का उपयोग करें कि यदि उल्लंघन होता भी है, तो डेटा घुसपैठियों के लिए बेकार रहे।
• डेटा न्यूनीकरण का अभ्यास करें: सख्त ऑटो-डिलीट प्रोटोकॉल सेट करें। यदि यात्री विमान में सवार हो गया है, तो उनके फेशियल टेम्प्लेट को बनाए रखने का शायद ही कोई कानूनी कारण हो।
• EDPB दिशानिर्देशों की समीक्षा करें: सुनिश्चित करें कि आपके सिस्टम राय 11/2024 के अनुरूप हैं, जो उच्च-यातायात वाले सार्वजनिक स्थानों में बायोमेट्रिक प्रसंस्करण के लिए वर्तमान मानक निर्धारित करता है।
• यात्री टिप: हमेशा "एनालॉग" विकल्प की तलाश करें। आपके पास अधिकांश न्यायालयों में बायोमेट्रिक स्कैनिंग के बजाय पारंपरिक दस्तावेज़ जांच चुनने का अधिकार है।

स्रोत:

• General Data Protection Regulation (GDPR), Articles 5, 25, and 32.
• Italian Data Protection Authority (Garante per la protezione dei dati personali) - Decision on SEA Milan Linate.
• European Data Protection Board (EDPB) Opinion 11/2024 on the use of facial recognition in airports.

अस्वीकरण: यह लेख केवल सूचनात्मक और पत्रकारिता उद्देश्यों के लिए है और औपचारिक कानूनी सलाह का गठन नहीं करता है। विशिष्ट अनुपालन आवश्यकताओं के लिए, एक योग्य कानूनी पेशेवर या अपने डेटा संरक्षण अधिकारी से परामर्श लें।