सूचना प्रौद्योगिकी अधिनियम की धारा 35 और 36 : इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र जारी करना

सूचना प्रौद्योगिकी अधिनियम, 2000 के अध्याय VII में इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र (Electronic Signature Certificates) से संबंधित महत्वपूर्ण प्रावधान शामिल हैं। विशेष रूप से धारा 35 और 36 में यह स्पष्ट किया गया है कि कोई व्यक्ति किस प्रकार प्रमाणीकृत प्राधिकरण से इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र प्राप्त कर सकता है, और प्रमाणीकृत प्राधिकरण की क्या-क्या जिम्मेदारियां होती हैं जब वह ऐसा प्रमाणपत्र जारी करता है।

धारा 35 – इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र जारी करना

यह धारा इस बात से शुरू होती है कि कोई भी व्यक्ति प्रमाणीकृत प्राधिकरण (Certifying Authority) को आवेदन देकर इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र प्राप्त कर सकता है। यह प्रक्रिया पूरी तरह कानूनी रूप से विनियमित है और इसमें कई चरण और शर्तें होती हैं, जिनका पालन करना अनिवार्य है।

आवेदन की प्रक्रिया

इस धारा के अनुसार, कोई भी व्यक्ति जो इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र प्राप्त करना चाहता है, वह प्रमाणीकृत प्राधिकरण के पास निर्धारित प्रपत्र (Form) में आवेदन कर सकता है। यह प्रपत्र केंद्र सरकार द्वारा निर्धारित किया गया होता है और समय-समय पर इसमें संशोधन किए जा सकते हैं।

यहां पर यह समझना आवश्यक है कि यह धारा अधिनियम की धारा 30 से सीधे जुड़ी हुई है, क्योंकि धारा 30 में यह स्पष्ट किया गया है कि प्रमाणीकृत प्राधिकरण को केवल वही प्रमाणपत्र जारी करना चाहिए जो सुरक्षित प्रक्रिया और प्रणाली के अनुसार हो। इस प्रकार, धारा 35 में दिए गए आवेदन की प्रक्रिया धारा 30 की सुरक्षा संबंधी शर्तों से जुड़ी हुई है।

शुल्क का भुगतान

हर आवेदन के साथ एक शुल्क भी देना होता है, जो केंद्र सरकार द्वारा निर्धारित किया गया है। यह शुल्क अधिकतम पच्चीस हजार रुपये हो सकता है। साथ ही, सरकार को यह अधिकार भी है कि वह अलग-अलग वर्गों के आवेदकों के लिए अलग-अलग शुल्क निर्धारित करे। यह बात यह सुनिश्चित करती है कि व्यक्तिगत उपयोगकर्ताओं और व्यावसायिक संस्थानों को अलग-अलग आर्थिक भार उठाना पड़े।

उदाहरण:

यदि कोई छात्र किसी ऑनलाइन परीक्षा प्रणाली में इलेक्ट्रॉनिक हस्ताक्षर का उपयोग करना चाहता है, तो उसके लिए शुल्क कम हो सकता है। वहीं, कोई बड़ी कंपनी डिजिटल कॉन्ट्रैक्ट के लिए यह प्रमाणपत्र चाहती है, तो उस पर अधिक शुल्क लग सकता है।

प्रमाणन अभ्यास विवरण

हर आवेदन के साथ एक 'प्रमाणन अभ्यास विवरण' (Certification Practice Statement) भी देना होता है। अगर ऐसा कोई दस्तावेज उपलब्ध नहीं है, तो आवेदक को नियमन द्वारा निर्धारित अन्य विवरण देने होते हैं, जिनमें यह बताया जाता है कि वह प्रमाणपत्र का उपयोग कैसे करेगा और उसकी सुरक्षा सुनिश्चित करने की क्या योजनाएं हैं।

आवेदन की जांच और निर्णय

जब प्रमाणीकृत प्राधिकरण को कोई आवेदन प्राप्त होता है, तो वह उस आवेदन की जांच करता है। यह जांच न केवल आवेदन पत्र की औपचारिकताओं की होती है, बल्कि यह भी देखा जाता है कि प्रमाणन अभ्यास विवरण में दिए गए वादे व्यवहारिक और सुरक्षित हैं या नहीं।

यदि सब कुछ सही पाया जाता है, तो प्रमाणीकृत प्राधिकरण इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र जारी कर देता है। लेकिन अगर उसे किसी कारणवश प्रमाणपत्र जारी करना उचित नहीं लगता, तो वह आवेदन को अस्वीकार भी कर सकता है। हालांकि, अगर प्रमाणपत्र देने से इनकार किया जाता है, तो उस निर्णय को लिखित रूप में रिकॉर्ड करना होता है और आवेदक को अपनी बात रखने का अवसर भी देना होता है।

उदाहरण:

मान लीजिए कोई व्यक्ति ऐसा प्रमाणपत्र चाहता है लेकिन उसने गलत जानकारी दी है या उसकी पहचान संदिग्ध है। ऐसे में प्राधिकरण को यह अधिकार है कि वह उसका आवेदन अस्वीकार कर दे। लेकिन वह बिना सुनवाई का अवसर दिए ऐसा नहीं कर सकता।

इस तरह धारा 35 यह सुनिश्चित करती है कि कोई भी इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र उचित प्रक्रिया और पारदर्शिता के साथ जारी हो।

धारा 36 – डिजिटल हस्ताक्षर प्रमाणपत्र जारी करते समय प्रमाणीकरण

यह धारा बताती है कि जब कोई प्रमाणीकृत प्राधिकरण डिजिटल हस्ताक्षर प्रमाणपत्र जारी करता है, तो उसे किन बातों की पुष्टि करनी होती है। यह धारा प्रमाणीकृत प्राधिकरण की जवाबदेही और सावधानी से संबंधित है और यह सुनिश्चित करती है कि कोई भी गलत या भ्रामक प्रमाणपत्र जारी न हो।

अधिनियम और नियमों का पालन

जब कोई प्राधिकरण प्रमाणपत्र जारी करता है, तो उसे यह सुनिश्चित करना होता है कि उसने सूचना प्रौद्योगिकी अधिनियम और उससे संबंधित नियमों व विनियमों का पूरी तरह पालन किया है। यह बात धारा 30 और 31 से मेल खाती है, जहां सुरक्षा मानकों और कर्मचारियों के अनुपालन की जिम्मेदारी तय की गई है।

प्रमाणपत्र का प्रकाशन और स्वीकारोक्ति

प्राधिकरण को यह भी सुनिश्चित करना होता है कि प्रमाणपत्र को प्रकाशित किया गया है या इसे ऐसे व्यक्ति को उपलब्ध कराया गया है जो इस पर भरोसा कर रहा है, और वह व्यक्ति (जिसे हम 'सब्सक्राइबर' कहते हैं) इस प्रमाणपत्र को स्वीकार भी कर चुका है।

उदाहरण:

अगर कोई कंपनी किसी कर्मचारी के लिए डिजिटल सिग्नेचर सर्टिफिकेट बनवाती है, तो वह कर्मचारी इसका उपयोग तभी कर सकता है जब वह प्रमाणपत्र को स्वीकार करता है। जब तक वह स्वीकारोक्ति नहीं होती, तब तक प्रमाणपत्र की वैधता अधूरी मानी जाती है।

निजी और सार्वजनिक कुंजी की पुष्टि

प्राधिकरण को यह भी पुष्टि करनी होती है कि प्रमाणपत्र का उपयोग करने वाला व्यक्ति (सब्सक्राइबर) उस निजी कुंजी (Private Key) का धारक है जो सार्वजनिक कुंजी (Public Key) के साथ जुड़ी हुई है। साथ ही, यह भी जांचना होता है कि वह निजी कुंजी डिजिटल हस्ताक्षर बनाने में सक्षम है और सार्वजनिक कुंजी से उस हस्ताक्षर को सत्यापित किया जा सकता है।

यह तकनीकी प्रक्रिया इलेक्ट्रॉनिक हस्ताक्षर की सुरक्षा और प्रामाणिकता का मूल आधार है। बिना इस जांच के कोई भी प्रमाणपत्र सुरक्षित नहीं माना जा सकता।

कार्यशील कुंजी युग्म

यह पुष्टि भी करनी होती है कि निजी और सार्वजनिक कुंजी एक सक्रिय (Functioning) जोड़ी हैं, यानी दोनों कुंजियों के बीच जो तकनीकी संगति होनी चाहिए, वह मौजूद है। अगर कुंजी का मिलान ठीक से न हो या तकनीकी रूप से दोषपूर्ण हो, तो उस प्रमाणपत्र से की गई कोई भी कार्रवाई अमान्य मानी जा सकती है।

प्रमाणपत्र में दी गई जानकारी की सटीकता

प्रमाणीकृत प्राधिकरण को यह भी सुनिश्चित करना होता है कि प्रमाणपत्र में दी गई जानकारी पूरी तरह सटीक और सत्य हो। यदि कोई भी तथ्य गलत निकलता है, तो वह उस प्रमाणपत्र की विश्वसनीयता पर प्रश्नचिह्न लगा सकता है।

कोई अस्वीकार्य तथ्य न छिपाना

अंत में, धारा 36 में यह अपेक्षा की गई है कि प्रमाणीकृत प्राधिकरण को अगर कोई ऐसा तथ्य ज्ञात है जो प्रमाणपत्र की विश्वसनीयता को प्रभावित कर सकता है, तो वह उसे छिपाए नहीं। यानी उसे प्रमाणपत्र जारी करते समय पूरी ईमानदारी और पारदर्शिता बनाए रखनी होती है।

उदाहरण:

अगर किसी व्यक्ति के खिलाफ साइबर अपराध की कोई जांच चल रही है और वह इलेक्ट्रॉनिक हस्ताक्षर प्रमाणपत्र चाहता है, तो यह तथ्य प्रमाणीकृत प्राधिकरण को मालूम होने पर प्रमाणपत्र जारी करने से पहले पूरी जांच करनी चाहिए और अगर आवश्यक हो तो इस आधार पर प्रमाणपत्र देने से मना भी किया जा सकता है।

धारा 35 और 36 सूचना प्रौद्योगिकी अधिनियम के बहुत ही महत्वपूर्ण प्रावधान हैं। धारा 35 यह सुनिश्चित करती है कि प्रमाणपत्र जारी करने की पूरी प्रक्रिया पारदर्शी, सुरक्षित और नियमों के अनुसार हो। वहीं धारा 36 यह सुनिश्चित करती है कि जब कोई प्रमाणपत्र जारी किया जाता है, तो उसमें दी गई हर जानकारी सही हो, तकनीकी आधार पर प्रमाणित हो, और प्राधिकरण की ओर से पूरी जिम्मेदारी से काम लिया गया हो।

ये दोनों धाराएं अधिनियम की धारा 30 से 34 तक की धाराओं के साथ गहराई से जुड़ी हुई हैं। जहां धारा 30 से 34 प्रमाणीकृत प्राधिकरण की प्रणाली, जवाबदेही और पारदर्शिता को नियंत्रित करती हैं, वहीं धारा 35 और 36 उस प्रणाली के अंतर्गत अंतिम उपयोगकर्ता तक प्रमाणपत्र के वितरण को विनियमित करती हैं।

डिजिटल इंडिया के दौर में जब अधिकतर सरकारी और निजी लेन-देन ऑनलाइन हो रहे हैं, तो यह अत्यंत आवश्यक है कि इलेक्ट्रॉनिक हस्ताक्षर जैसी तकनीक को सुरक्षित, पारदर्शी और कानूनी रूप से मान्य बनाया जाए। यही उद्देश्य इन धाराओं के माध्यम से पूरा किया गया है।