एन्क्रिप्शन कानून: कौन सी सरकारें एन्क्रिप्शन पर सबसे भारी प्रतिबंध लगाती हैं?
व्हाट्सएप जैसी निजी बातचीत से लेकर वीपीएन के माध्यम से गोपनीय ब्राउज़िंग इतिहास तक, एन्क्रिप्शन हमारी अभिव्यक्ति की स्वतंत्रता और गोपनीयता में एक अभिन्न भूमिका निभाता है।
फिर भी, एन्क्रिप्शन सेवाओं/उत्पादों में 'बैकडोर' बनाने के चल रहे सरकारी प्रयासों के साथ, जब क्रिप्टोग्राफ़ी का उपयोग करने वाले ऐप्स और टूल का उपयोग करने की बात आती है तो कई देशों को गंभीर प्रतिबंधों का सामना करना पड़ता है।
यह पता लगाने के लिए कि सबसे भारी प्रतिबंध कहां हैं, शोधकर्ताओं की हमारी टीम ने 200 से अधिक देशों के कानूनों का विश्लेषण किया है:
- किन देशों को क्रिप्टोग्राफी उत्पादों/सेवाओं के उत्पादन या बिक्री से पहले निर्माताओं/विक्रेताओं को लाइसेंस प्राप्त करने की आवश्यकता होती है
- किन देशों में क्रिप्टोग्राफी उत्पादों/सेवाओं पर आयात और/या निर्यात प्रतिबंध हैं
- किन देशों में एन्क्रिप्टेड लैपटॉप के साथ यात्रा पर व्यक्तिगत उपयोग की छूट नहीं है?
- कौन से देश कानून प्रवर्तन उद्देश्यों के लिए एन्क्रिप्शन कुंजी सौंपने के लिए प्रदाताओं पर दायित्व डालते हैं (इस बात पर विचार करते हुए कि क्या इसके लिए वारंट की आवश्यकता है)
- कौन से देश कानून प्रवर्तन उद्देश्यों के लिए एन्क्रिप्शन कुंजी सौंपने के लिए अंतिम उपयोगकर्ताओं पर दायित्व डालते हैं (इस बात पर विचार करते हुए कि क्या इसके लिए वारंट की आवश्यकता है)
हमने क्या पाया?
अधिकांश देशों में एन्क्रिप्शन प्रौद्योगिकियों पर किसी न किसी प्रकार का प्रतिबंध है, चाहे वह आयात/निर्यात कानून हो या एन्क्रिप्टेड डेटा तक कानून प्रवर्तन पहुंच हो। जिन स्थानों पर इसकी अपेक्षा की जा सकती है, वहां गंभीर प्रतिबंध देखे गए हैं, जैसे कि रूस और चीन, लेकिन कई अन्य देशों में भी भारी प्रतिबंध लागू हैं। और अधिक से अधिक कानून और जांच शक्तियां पेश किए जाने के साथ, आने वाले महीनों और वर्षों में प्रतिबंध बढ़ना तय है।
उदाहरण के लिए, जबकि ब्राज़ील अपने मौजूदा कानून के कारण 'स्वतंत्र' देशों में से एक है, यह आगे प्रतिबंध लगाने के प्रयासों के बावजूद है। हाल के अदालती आदेशों ने व्हाट्सएप और फेसबुक को भी ब्लॉक करने की कोशिश की है कानूनी लड़ाई का सामना करना पड़ा आपराधिक जांच में सहयोग की कमी के कारण देश के साथ (जिसके परिणामस्वरूप फेसबुक के उपाध्यक्ष को भी गिरफ्तार किया गया)।
संक्षेप में, कई देश नागरिकों को अभिव्यक्ति की स्वतंत्रता और गोपनीयता का अधिकार दे सकते हैं, लेकिन जब एन्क्रिप्शन की बात आती है, तो राष्ट्रीय सुरक्षा और गंभीर अपराधों का कारण बताकर इसे विफल कर देते हैं।
किन देशों को कानून प्रवर्तन उद्देश्यों के लिए डेटा को डिक्रिप्ट करने के लिए एन्क्रिप्शन प्रदाताओं की आवश्यकता होती है?
जब एन्क्रिप्शन की बात आती है तो सबसे बड़ी चिंताओं में से एक कानून प्रवर्तन एजेंसियों को दी गई पहुंच है, चाहे वह डिक्रिप्शन कुंजी द्वारा हो या प्रदाताओं के लिए उनके लिए डेटा को डिक्रिप्ट करने की आवश्यकता हो।
जैसा कि नीचे दिए गए मानचित्र से पता चलता है, बड़ी संख्या में देशों के पास प्रदाताओं की एन्क्रिप्शन कुंजी तक कम से कम कुछ संभावित पहुंच है।
चीन और रूस सहित मुट्ठी भर देशों के पास डिक्रिप्टेड डेटा तक अभूतपूर्व पहुंच है। उदाहरण के लिए, रूस में, सिस्टेमा ऑपरेटिव्नो-रोज़ीस्कनिख मेरोप्रियति (एसओआरएम - ऑपरेशनल-इन्वेस्टिगेटिव एक्टिविटीज़ के लिए सिस्टम) रूसी संघीय सुरक्षा सेवा, एफएसबी, इलेक्ट्रॉनिक संदेशों तक पहुंच और न्यायिक प्राधिकरण के बिना इन्हें डिक्रिप्ट करने की कुंजी देता है।
कई यूरोपीय, एशियाई और अफ्रीकी देशों के साथ-साथ संयुक्त राज्य अमेरिका में भी ऐसे कानून हैं जो कानून प्रवर्तन को प्रदाताओं से एन्क्रिप्शन कुंजी सौंपने और/या डेटा को डिक्रिप्ट करने का अनुरोध करने में सक्षम बनाते हैं।
यूनाइटेड किंगडम में, कई कानून कानून प्रवर्तन को विभिन्न संचारों पर एन्क्रिप्शन तकनीकों को हटाने का अनुरोध करने का अधिकार देते हैं। जांच शक्तियों के विनियमन अधिनियम 2000 की धारा 49 में कहा गया है कि जब संरक्षित जानकारी कानून प्रवर्तन के कब्जे में होती है, तो वे न्यायाधीश की लिखित अनुमति के साथ, डेटा को सुगम रूप में प्रस्तुत करने के लिए प्रकटीकरण की आवश्यकता लगा सकते हैं। कानून प्रवर्तन के पास उचित आधार होना चाहिए कि किसी के पास संरक्षित जानकारी की कुंजी है, कि खुलासा राष्ट्रीय सुरक्षा, किसी अपराध का पता लगाने/रोकने के लिए आवश्यक है, या यह यूके के आर्थिक कल्याण के हित में है, कि खुलासा आनुपातिक है क्या हासिल करने की कोशिश की गई है, और वह खुलासा आदेश लागू किए बिना संभव नहीं है।
संयुक्त राज्य अमेरिका में, धारा 103 (ए) कानून प्रवर्तन अधिनियम 1994 के लिए संचार सहायता से पता चलता है कि संचार प्रदाताओं को अदालत के आदेश या ऐसे अन्य वैध प्राधिकरण जारी किए जाने पर अवरोधन क्षमताओं को सुनिश्चित करना चाहिए। हालाँकि, “एक दूरसंचार वाहक किसी ग्राहक या ग्राहक द्वारा एन्क्रिप्ट किए गए किसी भी संचार को डिक्रिप्ट करने, या डिक्रिप्ट करने की सरकार की क्षमता सुनिश्चित करने के लिए जिम्मेदार नहीं होगा, जब तक कि एन्क्रिप्शन वाहक द्वारा प्रदान नहीं किया गया था और वाहक के पास संचार को डिक्रिप्ट करने के लिए आवश्यक जानकारी नहीं है। ”
अधिकांश कानूनों में संयुक्त राज्य अमेरिका के समान शक्ति होती है, जो प्रदाताओं पर किसी भी डेटा को डिक्रिप्ट करने की आवश्यकता रखती है जिसे उन्होंने स्वयं एन्क्रिप्ट किया है, लेकिन उस डेटा को नहीं जो अन्य प्रदाताओं या उपयोगकर्ताओं द्वारा स्वयं एन्क्रिप्ट किया गया है।
कई अन्य देश अस्पष्ट कानून लागू करते हैं जो कानून प्रवर्तन को एन्क्रिप्टेड जानकारी के प्रकटीकरण का अनुरोध करने की क्षमता प्रदान करते हैं - या कानूनों की व्याख्या इस तरह से की गई है। उदाहरण के लिए, यूरोपीय संघ में, दूरसंचार के वैध अवरोधन पर 17 जनवरी 1995 का परिषद संकल्प उन कानूनों पर कुछ मार्गदर्शन प्रदान करता है जिन्हें यूरोपीय संघ के देशों में लागू किया जाना चाहिए था।
प्रस्ताव में कहा गया है कि 'यदि नेटवर्क ऑपरेटर/सेवा प्रदाता दूरसंचार ट्रैफ़िक की एन्कोडिंग, संपीड़न या एन्क्रिप्शन शुरू करते हैं, तो कानून प्रवर्तन एजेंसियों को नेटवर्क ऑपरेटर/सेवा प्रदाताओं से स्पष्ट रूप से इंटरसेप्टेड संचार प्रदान करने की आवश्यकता होती है।' एन क्लेयर का अर्थ है 'सादी भाषा में' और इसलिए इसका अर्थ डिक्रिप्ट किया हुआ समझा जा सकता है।
किन देशों को कानून प्रवर्तन उद्देश्यों के लिए डेटा को डिक्रिप्ट करने के लिए एन्क्रिप्शन उपयोगकर्ताओं की आवश्यकता होती है?
जब हम एन्क्रिप्टेड सेवाओं/उत्पादों के उपयोगकर्ताओं से डिक्रिप्शन कुंजी या डिक्रिप्टेड डेटा का अनुरोध करने के लिए कानून प्रवर्तन शक्तियों को देखते हैं तो यह एक समान तस्वीर होती है।
कानून संचार या कंप्यूटर तक पहुंच को कवर करते हैं, जिनके पास कुंजी है, उन्हें अनुरोध पर इसे कानून प्रवर्तन को सौंपने या डिक्रिप्शन प्रक्रिया में सहायता करने की आवश्यकता होती है।
फिर, कुछ देशों में विशिष्ट कानून नहीं हैं लेकिन अस्पष्ट कानून हैं। अन्य मामलों में, देश डेटा सौंपने के लिए सेवा प्रदाताओं पर अधिक निर्भर हो सकते हैं, यानी संयुक्त राज्य अमेरिका में जहां कोई भी कानून स्पष्ट रूप से कानून प्रवर्तन को उपयोगकर्ताओं को डिक्रिप्टेड डेटा/कुंजी सौंपने का अनुरोध करने की शक्ति प्रदान नहीं करता है।
अंततः, एन्क्रिप्शन प्रदाताओं के डेटा तक 'पिछले दरवाजे' से पहुंच प्राप्त करना एन्क्रिप्टेड डेटा तक पहुंचने का सबसे आसान तरीका है, यही कारण है कि चिंताजनक संख्या में देश ऐसे उपायों को लागू करने की कोशिश कर रहे हैं। यह भी शामिल है:
- व्हाट्सएप के साथ भारत की चल रही लड़ाई
- ब्राज़ील की हालिया अदालत ने व्हाट्सएप और करंट को ब्लॉक करने का प्रयास करने का आदेश दिया है फेक न्यूज बिल जो एंड-टू-एंड एन्क्रिप्शन को तोड़ने का प्रयास कर रहा है
- संयुक्त राज्य अमेरिका का बिल एन्क्रिप्टेड डेटा तक पिछले दरवाजे से पहुंच (जून 2020 में कांग्रेस को प्रस्तुत)।
एन्क्रिप्शन सेवाओं/उत्पादों के उत्पादन या निर्माण के लिए किन देशों को लाइसेंस की आवश्यकता होती है?
बड़ी संख्या में अफ़्रीकी, मध्य पूर्वी और एशियाई देशों में व्यापक लाइसेंसिंग आवश्यकताएँ हैं। इसका मतलब है कि क्रिप्टोग्राफी उत्पादों के अधिकांश विक्रेताओं या निर्माताओं को वितरण से पहले लाइसेंस प्राप्त करना होगा। फ्रांस में भी ऐसी आवश्यकता है कि जो भी व्यक्ति क्रिप्टोग्राफी सेवाएं प्रदान करना चाहता है उसे प्रधान मंत्री को इसकी घोषणा करनी होगी।
कुछ देश, उदा. तुर्की, इथियोपिया, ट्यूनीशिया और माली में कुछ लाइसेंसिंग आवश्यकताएं हैं, लेकिन लाइसेंस प्राप्त करने के लिए क्रिप्टोग्राफी सेवाओं के सभी प्रदाताओं की आवश्यकता नहीं है। उदाहरण के लिए, ट्यूनीशिया में, अपने निजी उपयोग (या अस्थायी उपयोग) के लिए क्रिप्टोग्राफी उत्पादों का आयात करने वाले किसी भी व्यवसाय को लाइसेंस की आवश्यकता नहीं होती है।
कई देशों ने ऐसे कानून भी बनाए हैं जो संबंधित मंत्रालयों को क्रिप्टोग्राफ़ी सेवाओं के लिए लाइसेंसिंग आवश्यकताएँ बनाने में सक्षम बनाते हैं, लेकिन अभी तक कुछ भी लागू नहीं हुआ है। इसमें बहामास और बारबाडोस शामिल हैं।
क्रिप्टोग्राफी सेवाओं/उत्पादों के लिए किन देशों में आयात/निर्यात सीमाएं हैं?
जब क्रिप्टोग्राफी उत्पादों (या ऐसे उत्पाद जिनमें क्रिप्टोग्राफी होती है लेकिन केवल एन्क्रिप्शन उद्देश्यों के लिए नहीं होते हैं) को आयात और/या निर्यात करने की बात आती है, तो बहुत से देशों में कुछ प्रकार की सीमाएं होती हैं। ज्यादातर मामलों में, इसके लिए व्यवसाय को अपनी कंपनी और उत्पाद को उस देश के भीतर निर्दिष्ट एजेंसी के साथ पंजीकृत करने की आवश्यकता होती है, जहां से वे आयात या निर्यात कर रहे हैं। इसमें कुछ तकनीकी विशिष्टताएँ भी शामिल हो सकती हैं।
क्रिप्टोग्राफी लाइसेंस के लिए बड़े पैमाने पर आवश्यकताओं वाले कुछ देश इन उत्पादों के आयात और निर्यात पर गंभीर प्रतिबंध भी लगाते हैं।
उदाहरण के लिए, यूरेशियन इकोनॉमिक यूनियन (ईएईयू) के भीतर के देशों - आर्मेनिया, बेलारूस, कजाकिस्तान, किर्गिस्तान और रूस के लिए - एक आयात/निर्यात लाइसेंस, परमिट और अधिसूचना के पंजीकरण की आवश्यकता होती है और विभिन्न चीजों का विश्लेषण भी किया जाता है, जिसमें एक सूची भी शामिल है। क्रिप्टोग्राफ़िक एल्गोरिदम, अधिकतम कुंजी लंबाई, कार्यान्वयन प्रोटोकॉल की एक सूची, एन्क्रिप्शन कैसे नियोजित किया जाता है, किस प्रकार का डेटा एन्क्रिप्ट किया जाता है, और डेटा कैसे एन्क्रिप्ट किया जाता है।
सीमा शुल्क कानूनों वाले अधिकांश देश क्रिप्टोग्राफी उत्पादों के निर्यात को प्रतिबंधित करते हैं और/या निर्दिष्ट देशों से आयात को सीमित करते हैं। बड़ी संख्या में वासेनार समझौते का हिस्सा हैं (पूरी सूची के लिए, कार्यप्रणाली अनुभाग देखें) और/या यूरोपीय संघ के कानून द्वारा शासित हैं। जिन लोगों ने साइन अप किया है वासेनार समझौता :
- कुछ वस्तुओं, यानी क्रिप्टोग्राफी सेवाओं पर राष्ट्रीय निर्यात नियंत्रण बनाए रखने पर सहमति व्यक्त की है
- व्यवस्था के बाहर के गंतव्यों पर निर्दिष्ट नियंत्रित वस्तुओं के स्थानांतरण और अस्वीकृति पर रिपोर्ट करने के लिए सहमत हुए हैं
- संवेदनशील दोहरे उपयोग वाली वस्तुओं और प्रौद्योगिकियों पर जानकारी का आदान-प्रदान करें
फिर, कई देशों में ऐसे कानून हैं जो उन्हें क्रिप्टोग्राफी उत्पादों के लिए आयात/निर्यात आवश्यकताएं बनाने में सक्षम बनाएंगे, लेकिन ऐसा प्रतीत नहीं होता है कि उन्होंने अभी तक कुछ भी लागू किया है।
किन देशों में एन्क्रिप्टेड लैपटॉप के साथ यात्रा करने वालों के लिए 'व्यक्तिगत उपयोग की छूट' नहीं है?
एन्क्रिप्शन सेवाओं की पेशकश करने वाले व्यवसायों पर आयात/निर्यात प्रतिबंध लगाने के साथ-साथ, कुछ देशों में एन्क्रिप्टेड लैपटॉप के साथ यात्रा करने वालों के लिए भी स्पष्ट प्रतिबंध हैं। इसके विपरीत, कुछ देश जो वासेनार समझौते का हिस्सा हैं, यात्रियों को 'व्यक्तिगत उपयोग की छूट' प्रदान करते हैं।
कृपया ध्यान दें: हालांकि उपरोक्त देशों में स्पष्ट प्रतिबंध/छूट की पेशकश की गई है, अन्य देशों की यात्रा प्रतिबंधित हो भी सकती है और नहीं भी। जिस देश में आप यात्रा कर रहे हैं, उसके बारे में पहले से जांच करना हमेशा सबसे अच्छा होता है, भले ही वे किसी समझौते का हिस्सा हों या नहीं।
क्रियाविधि
प्रत्येक श्रेणी में लागू कानूनों को निर्धारित करने के लिए, हमने प्रत्येक देश में कानून के विभिन्न टुकड़ों का विश्लेषण किया है। इसमें आपराधिक प्रक्रिया संहिता, साइबर अपराध पर कानून, संचार/दूरसंचार अधिनियम, अवरोधन/निगरानी अधिनियम, और कोई अन्य प्रासंगिक आदेश, अधिनियम, कानून या संकल्प शामिल हैं।
हमने पूरी तरह से विधायी शक्तियों/आदेशों और उन पर ध्यान केंद्रित किया है जो मुख्य रूप से संचार प्रदाताओं, इंटरनेट सेवा प्रदाताओं, या कंप्यूटर पर संग्रहीत/एक्सेस किए गए डेटा को प्रभावित करते हैं।
हो सकता है कि किसी देश में ऐसा कानून न हो या ऐसा प्रतीत हो कि सुरक्षा मौजूद है, लेकिन व्यवहार में तस्वीर अलग हो सकती है। हालाँकि, अपने परिणामों में व्यक्तिपरक होने से बचने के लिए, हमने केवल उसी चीज़ का उपयोग किया है जिसकी प्रत्येक देश में 'कानूनी रूप से' अनुमति है। जैसा कि उल्लेख किया गया है, हमने ऐसे कानून पर भी गौर किया है जिसकी व्याख्या एन्क्रिप्शन को कवर करने के लिए की जा सकती है, भले ही इसमें इसका विशेष रूप से उल्लेख न किया गया हो। इन मामलों में, हमने अस्पष्ट शब्दों की तलाश की है, जैसे कि डेटा को 'समझदार' बनाने की आवश्यकताएं या हमें दूरसंचार प्रदाताओं, यानी वोडाफोन के उदाहरण मिले हैं, जो कानून की व्याख्या करते हुए सुझाव देते हैं कि उनका मानना है कि कानून प्रवर्तन देश के भीतर डेटा को डिक्रिप्ट करने का अनुरोध कर सकता है।
जहां कुछ नहीं मिला, वहां हमने देश को नतीजों से हटा दिया है. कानून की कमी यह संकेत दे सकती है कि कोई प्रतिबंध/कानून प्रवर्तन शक्तियां नहीं हैं, लेकिन सटीकता के लिए, हमने इन देशों को शामिल नहीं किया है।
सूत्रों का कहना है
स्रोतों की पूरी सूची के लिए, कृपया हमारी स्प्रेडशीट पर जाएँ: https://docs.google.com/spreadshields/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing