सूचना प्रौद्योगिकी अधिनियम, 2000 की धाराएं 70, 70A और 70B: महत्वपूर्ण सूचना अवसंरचना की सुरक्षा और भारत की साइबर सुरक्षा

आज के डिजिटल युग में जब सरकारी कामकाज, बैंकिंग, स्वास्थ्य सेवाएं, परिवहन, संचार और रक्षा जैसे तमाम महत्वपूर्ण क्षेत्र कंप्यूटर नेटवर्क और इंटरनेट आधारित प्रणालियों पर निर्भर हो चुके हैं, तो यह आवश्यक हो गया है कि इन प्रणालियों की सुरक्षा सर्वोच्च प्राथमिकता पर रखी जाए।

इन प्रणालियों को यदि नुकसान पहुँचता है या वे काम करना बंद कर देती हैं, तो इसका प्रभाव सिर्फ तकनीकी नहीं, बल्कि राष्ट्रीय सुरक्षा, अर्थव्यवस्था, सार्वजनिक स्वास्थ्य और सामान्य जनजीवन पर पड़ सकता है। इसी दृष्टिकोण से सूचना प्रौद्योगिकी अधिनियम, 2000 (Information Technology Act, 2000) में कुछ महत्वपूर्ण प्रावधान शामिल किए गए हैं, जिनमें धारा 70, 70A और 70B प्रमुख हैं।

इन धाराओं के माध्यम से सरकार को यह अधिकार दिया गया है कि वह देश के लिए अति महत्वपूर्ण कंप्यूटर संसाधनों की पहचान करे, उन्हें "संरक्षित प्रणाली" (Protected System) घोषित करे, और उनकी सुरक्षा सुनिश्चित करने के लिए विशेष एजेंसियों की स्थापना करे।

इस लेख में हम इन धाराओं का सरल और व्यावहारिक विश्लेषण करेंगे, ताकि आम नागरिक, छात्र, शोधकर्ता और प्रौद्योगिकी से जुड़े लोग इन प्रावधानों को समझ सकें।

सबसे पहले बात करते हैं धारा 70 की। यह धारा सरकार को यह अधिकार देती है कि वह किसी भी ऐसे कंप्यूटर संसाधन को जो प्रत्यक्ष या अप्रत्यक्ष रूप से देश की “Critical Information Infrastructure” यानी 'गंभीर सूचना अवसंरचना' को प्रभावित करता हो, उसे अधिसूचना (Notification) के माध्यम से 'संरक्षित प्रणाली' घोषित कर दे। गंभीर सूचना अवसंरचना से अभिप्राय उस तकनीकी ढांचे से है, जिसकी क्षति या निष्क्रियता से राष्ट्रीय सुरक्षा, अर्थव्यवस्था, सार्वजनिक स्वास्थ्य या सुरक्षा पर गंभीर प्रभाव पड़ सकता है।

सरकार जब किसी कंप्यूटर प्रणाली को 'Protected System' घोषित करती है, तो इसके साथ ही यह भी तय करती है कि किन अधिकृत व्यक्तियों (Authorised Persons) को उस प्रणाली तक पहुंच की अनुमति दी जाएगी। इसके अतिरिक्त, यदि कोई व्यक्ति बिना अधिकार के ऐसी संरक्षित प्रणाली तक पहुँचने की कोशिश करता है, या उसमें सेंध लगाने का प्रयास करता है, तो उसे दस वर्ष तक की सजा और जुर्माना भुगतना पड़ सकता है।

इस प्रावधान का उद्देश्य स्पष्ट है — देश की मूलभूत तकनीकी संरचना को किसी भी साइबर हमले, तकनीकी गड़बड़ी या असुरक्षा से बचाना। जैसे – किसी बिजली संयंत्र का नियंत्रण तंत्र, रेलवे या हवाई यातायात की डिजिटल प्रणाली, परमाणु संयंत्रों का सुरक्षा ढांचा या बैंकिंग नेटवर्क का सर्वर। यदि कोई असामाजिक तत्व या दुश्मन देश इन प्रणालियों को निशाना बनाता है, तो देश की समूची व्यवस्था ठप हो सकती है। इसीलिए ऐसे संसाधनों को विशेष दर्जा देकर उनकी सुरक्षा सुनिश्चित की जाती है।

इस धारा के अंतर्गत केंद्र सरकार को यह अधिकार भी प्राप्त है कि वह ऐसी संरक्षित प्रणालियों के लिए विशेष सुरक्षा प्रथाएँ और प्रक्रियाएं (Security Practices and Procedures) निर्धारित करे। यह जरूरी है क्योंकि हर प्रणाली के लिए सुरक्षा की ज़रूरतें अलग हो सकती हैं, और उनका तकनीकी डिज़ाइन भी अलग हो सकता है। ऐसे में एक समान नियम लागू करना संभव नहीं होता, इसलिए सरकार समय-समय पर अलग-अलग प्रणालियों के लिए विशेष दिशा-निर्देश जारी करती है।

अब हम बात करते हैं धारा 70A की, जो राष्ट्रीय स्तर पर एक नोडल एजेंसी (Nodal Agency) की स्थापना से जुड़ी है। केंद्र सरकार को यह अधिकार दिया गया है कि वह किसी सरकारी संस्था को 'Critical Information Infrastructure Protection' यानी गंभीर सूचना अवसंरचना की सुरक्षा के लिए राष्ट्रीय नोडल एजेंसी घोषित कर सकती है। यह एजेंसी न केवल तकनीकी निगरानी और सुरक्षा उपायों के लिए जिम्मेदार होगी, बल्कि अनुसंधान और विकास (Research and Development) के ज़रिए नई-नई तकनीकों और उपायों की खोज भी करेगी, ताकि भविष्य में उत्पन्न होने वाली साइबर चुनौतियों से देश को बचाया जा सके।

यह एजेंसी यह भी सुनिश्चित करेगी कि देश के सभी सार्वजनिक और निजी संस्थान जो Critical Information Infrastructure से जुड़े हुए हैं, वे निर्धारित सुरक्षा उपायों का पालन करें और किसी भी संभावित खतरे से पहले से तैयार रहें। इस एजेंसी की कार्यप्रणाली क्या होगी, इसके कर्तव्य और अधिकार क्या होंगे, यह सब सरकार द्वारा निर्धारित किया जाएगा।

अब आते हैं धारा 70B पर, जो भारत की साइबर सुरक्षा के सबसे महत्वपूर्ण स्तंभ — Indian Computer Emergency Response Team (CERT-In) से जुड़ी है। यह एक ऐसी एजेंसी है जिसे केंद्र सरकार द्वारा अधिसूचना के माध्यम से नियुक्त किया जाता है, और यह देश की साइबर सुरक्षा घटनाओं (Cyber Security Incidents) के प्रति त्वरित और प्रभावी प्रतिक्रिया देने के लिए जिम्मेदार होती है।

CERT-In का प्रमुख उद्देश्य यह है कि जब भी देश में कोई साइबर हमला, वायरस फैलना, डेटा चोरी, सेवा बाधा (Denial of Service) या अन्य तकनीकी आपात स्थिति उत्पन्न हो, तो वह तत्काल सूचना एकत्र करे, उसका विश्लेषण करे, संबंधित एजेंसियों और संस्थाओं को सतर्क करे, और आवश्यकतानुसार कदम उठाए। यह एजेंसी सरकार को अलर्ट जारी करती है, दिशानिर्देश और सलाहें जारी करती है, और यदि कोई सुरक्षा खामी या तकनीकी कमजोरी पाई जाती है, तो उसकी जानकारी संबंधित संस्थानों को देती है ताकि वे समय रहते उस कमजोरी को ठीक कर सकें।

CERT-In को कार्य करने के लिए एक महानिदेशक (Director General) और अन्य अधिकारी नियुक्त किए जाते हैं, जिनकी नियुक्ति, वेतन और सेवा शर्तें सरकार द्वारा निर्धारित की जाती हैं। यह एजेंसी सूचना सुरक्षा से संबंधित श्वेत पत्र (White Papers), एडवाइजरी, दिशा-निर्देश और नोट्स जारी करती है।

इसके साथ ही यदि किसी संस्था या व्यक्ति द्वारा कोई साइबर घटना होती है, तो CERT-In उसे रिपोर्ट करने, उसका समाधान निकालने और भविष्य में ऐसी घटनाएं न हों, इसके लिए समुचित योजना बनाती है।

धारा 70B के अंतर्गत CERT-In को यह अधिकार प्राप्त है कि वह किसी भी सेवा प्रदाता (Service Provider), डेटा सेंटर, कंपनी (Body Corporate), मध्यस्थ (Intermediary) या व्यक्ति से जानकारी माँग सकती है और उन्हें आवश्यक निर्देश दे सकती है। यदि कोई संस्था या व्यक्ति ऐसे निर्देशों का पालन नहीं करता या आवश्यक जानकारी नहीं देता, तो उसे एक वर्ष तक की सजा या एक लाख रुपये तक का जुर्माना या दोनों भुगतने पड़ सकते हैं।

यहाँ यह स्पष्ट करना आवश्यक है कि कोई भी अदालत इस धारा के अंतर्गत अपराध के मामले में तब तक संज्ञान नहीं ले सकती, जब तक CERT-In द्वारा अधिकृत अधिकारी की ओर से औपचारिक शिकायत न की जाए। इसका मतलब यह हुआ कि यह एक विशेष प्रकृति का दंडनीय अपराध है, जिसकी प्रक्रिया सामान्य आपराधिक मामलों से अलग रखी गई है।

इस पूरी व्यवस्था का मूल उद्देश्य यह है कि भारत की साइबर संरचना — जो आज की अर्थव्यवस्था, रक्षा और जन-जीवन का आधार बन चुकी है — को किसी भी प्रकार के आंतरिक या बाहरी खतरे से सुरक्षित रखा जाए। चाहे वह विदेशी साइबर हमले हों, हैकिंग के प्रयास हों, डेटा चोरी हो या फिर डिजिटल फ्रॉड — CERT-In जैसे संस्थानों की भूमिका अब निर्णायक हो चुकी है।

साथ ही, यह भी ज़रूरी है कि आम नागरिक, कंपनियां और सरकारी संस्थाएं साइबर सुरक्षा को लेकर सजग रहें, CERT-In और सरकार द्वारा जारी दिशानिर्देशों का पालन करें और किसी भी प्रकार की संदिग्ध गतिविधि की तुरंत रिपोर्ट करें। भारत जैसे देश में, जहाँ तेजी से डिजिटलीकरण हो रहा है, वहाँ साइबर सुरक्षा की विफलता केवल तकनीकी मुद्दा नहीं, बल्कि राष्ट्रीय संकट बन सकती है।

अंत में यह कहा जा सकता है कि सूचना प्रौद्योगिकी अधिनियम, 2000 की धाराएं 70, 70A और 70B भारत की साइबर सुरक्षा व्यवस्था की रीढ़ हैं। ये प्रावधान सरकार को यह शक्ति देते हैं कि वह देश की डिजिटल प्रणाली की सुरक्षा सुनिश्चत कर सके, आपातकालीन परिस्थितियों में त्वरित कार्रवाई कर सके, और तकनीकी आधारभूत संरचना को ऐसी स्थिति में बनाए रखे कि वह देश के विकास और सुरक्षा में सहायक बने। नागरिकों को भी चाहिए कि वे इन कानूनी प्रावधानों से परिचित हों, और अपने डिजिटल जीवन में सुरक्षा के मानकों को अपनाएं, ताकि हम एक सुरक्षित और सशक्त डिजिटल भारत की ओर अग्रसर हो सकें।