समसामयिकी 2020/साइबर सुरक्षा
इंफोसिस के सह-संस्थापक क्रिस गोपालकृष्णन की अध्यक्षता में गठित समिति ने सुझाव दिया है कि देश की विभिन्न घरेलू कंपनियों और संस्थाओं को भारत में उत्पन्न होने वाले गैर-व्यक्तिगत डेटा (Non-Personal Data) के दोहन की अनुमति दी जानी चाहिये। इस समिति ने अपनी मसौदा रिपोर्ट में एक नए प्राधिकरण की स्थापना का भी सुझाव दिया है, जिसके पास मुख्य तौर पर भारत में उत्पन्न हुआ गैर-व्यक्तिगत डेटा के उपयोग और दोहन की निगरानी करने से संबंधित अधिकार होंगे।
- ट्रोजन एक प्रकार का मालवेयर है यह अक्सर वैध सॉफ्टवेयर के रूप में दिखाई देता है।
इंटरनेट व कंप्यूटर के माध्यम से उपयोगकर्त्ताओं के सिस्टम तक पहुँच बनाने की कोशिश में लगे साइबर- हैकर्स द्वारा ट्रोजन का प्रयोग किया जाता है। ट्रोजन केवल एक कंप्यूटर उपयोगकर्त्ता की सहायता से किसी भी सॉफ्टवेयर को संक्रमित कर सकता हैं। अज्ञात व्यक्ति के ईमेल के साथ जुड़ी हुई फाइल पर क्लिक करने, बिना स्कैनिंग के USB का प्रयोग करने और असुरक्षित URL खोलने जैसे तरीकों से ट्रोजन कंप्यूटर को क्षति पहुँचाते हैं।
- साइबरडोम केरल पुलिस विभाग का एक तकनीकी अनुसंधान और विकास केंद्र है,जो साइबर सुरक्षा हेतु प्रौद्योगिकी संवर्द्धन के माध्यम से प्रभावी पुलिसिंग(Policing) में सक्षमता प्रदान करता है।
यह सक्रिय रूप से साइबर अपराधों से निपटने के लिये साइबर सुरक्षा के क्षेत्र में उच्च तकनीक युक्त सार्वजनिक-निजी साझेदारी केंद्र है। साइबरडोम देश के विभिन्न सरकारी विभागों और एजेंसियों, अनुसंधान समूहों,गैर-लाभकारी संगठनों,समुदाय विशेष के विशेषज्ञों,नैतिक (Ethical) हैकर्स के मध्य सामूहिक समन्वय स्थापित करने का प्रयास करता है।
- 28 अगस्त, 2019 को नई दिल्ली में 'नई राष्ट्रीय साइबर सुरक्षा रणनीति की ओर' विषय पर 12वें भारतीय सुरक्षा सम्मेलन का आयोजन किया गया। इस सम्मेलन के दौरान महत्त्वपूर्ण राष्ट्रीय आधारभूत ढाँचों की सुरक्षा, उभरते साइबर खतरों, घटनाओं, चुनौतियों एवं प्रतिक्रिया जैसे कई विषयों पर चर्चा की गई।
साथ ही इस विषय पर भी ध्यान केंद्रित किया गया कि 'डिजिटल संस्कृति' एक पीढ़ी से दूसरी पीढ़ी में परिवर्तित हो रही है। हर प्रौद्योगिकी की अपनी उपयोगिता है, इसी तरह साइबर प्रौद्योगिकी में इन दिनों बड़ी तेज़ी आई है। लेकिन एक वरदान होने के साथ ही यह प्रौद्योगिकी एक बड़ा खतरा भी बन गई है।
साइबर सुरक्षा हेतू भारत की रणनीति
[सम्पादन]- गृह मंत्रालय ने वीडियो कॉलिंग/कॉन्फ्रेंसिंग एप ज़ूम (Zoom App) के संबंध में एडवाइज़री जारी की है, जिसके अनुसार यह वीडियो कॉलिंग/कॉन्फ्रेंसिंग एप सुरक्षित नहीं है और इसका सावधानीपूर्वक प्रयोग आवश्यक है। ज़ूम एप एक फ्री वीडियो कॉन्फ्रेंसिंग एप है, जिसके ज़रिये यूज़र एक बार में अधिकतम 100 लोगों के साथ बात कर सकता है। एप में वन-टू-वन मीटिंग और 40 मिनट की ग्रुप कॉलिंग की सुविधा है।
- बग बाउंटी कार्यक्रम (Bug Bounty Programme) का उद्देश्य भारतीय डेवलपर्स समुदाय को एप की सुरक्षा खामियों को खोजने के लिये प्रोत्साहित करना है। विजेताओं को 1 लाख रुपये से पुरस्कृत किया जाएगा।
कार्यक्रम का आयोजन MyGov टीम द्वारा किया गया है, जो सरकार के डिजिटल कार्यक्रमों को नागरिकों तक एप के माध्यम से पहुँचाने का काम देखती है। आरोग्य सेतु एप में सुधार का सुझाव देने के लिये अतिरिक्त 1 लाख रुपए का इनाम दिया जाएगा।
- इंटरनेट और मोबाइल एसोसिएशन ऑफ इंडिया (Internet & Mobile Association of India- IAMAI) सोसाइटी एक्ट के तहत पंजीकृत एसोसिएशन है। यह भारत में ऑनलाइन और मोबाइल वीएएस (Value-added service- VAS) उद्योग का प्रतिनिधित्व करने वाला एकमात्र पेशेवर उद्योग निकाय है। इसे वर्ष 2004 में अग्रणी ऑनलाइन प्रकाशकों द्वारा स्थापित किया गया था। पिछले 10 वर्षों में इसने डिजिटल और ऑनलाइन उद्योग के सामने आने वाली चुनौतियों का प्रभावी ढंग से निपटान किया है, जिसमें मोबाइल सामग्री और सेवाएँ, ऑनलाइन प्रकाशन, मोबाइल विज्ञापन, ऑनलाइन विज्ञापन और ई-कॉमर्स आदि शामिल हैं।
- सूचना प्रौद्योगिकी अधिनियम (Information Technology Act) की धारा 66F को अपराधों का सूचीकरण करते हुए अनुसूची में शामिल करता है। धारा 66F साइबर आतंकवाद से संबंधित है।
लेकिन भारत में कोई डेटा सुरक्षा अधिनियम प्रवर्तित नहीं है और साइबर आतंकवाद की कोई परिभाषा तय नहीं की गई है।
- राष्ट्रीय सुरक्षा के अभिन्न अंग के रूप में एक सक्षम साइबर सुरक्षा बुनियादी ढाँचे की आवश्यकता पर पहली बार कारगिल समीक्षा समिति (Kargil Review Committee), 1999 द्वारा ज़ोर दिया गया था।
- वर्तमान में भारत के पास व्यक्तिगत जानकारी के उपयोग और दुरुपयोग को रोकने के लिये कोई विशेष कानून नहीं हैं। हालाँकि भारत के पास इस संदर्भ में कुछ प्रासंगिक कानून ज़रूर मौजूद हैं, जिसमें सूचना प्रौद्योगिकी अधिनियम, 2000 और भारतीय अनुबंध अधिनियम, 1872 शामिल हैं।
भारत ने संयुक्त राष्ट्र की महासभा में रूस के साइबर अपराध संबंधी प्रस्ताव का समर्थन किया।
[सम्पादन]इस प्रस्ताव के तहत अगस्त 2020 में न्यूयॉर्क में एक नई संधि स्थापित किये जाने योजना है जिसके तहत सभी सदस्य राष्ट्र साइबर अपराध से जुड़े आंकड़ो को साझा कर सकेंगे। राष्ट्रीय संप्रभुता के मुद्दे पर रूस और चीन बुडापेस्ट अभिसमय का विरोध करते रहे हैं, बुडापेस्ट अभिसमय के समकक्ष रूस ने अंतर्राष्ट्रीय साइबर अपराध से निपटने के लिए अपना प्रस्ताव पेश किया। भारत ने बुडापेस्ट अभिसमय हस्ताक्षर नहीं किये हैं, हाल ही में हुए इसके एक सम्मेलन में भारत ने गैर- सदस्य के रूप में अपनी यथास्थिति बनाए रखी। भारत लम्बे समय से डेटा सुरक्षा की समस्या से लड़ रहा है। सूचना तकनीक अधिनियम, 2000 के 13 अध्यायों में कुल 94 अनुच्छेद हैं। इस अधिनियम में डेटा सुरक्षा और संरक्षण संबंधी प्रावधान हैं। इस अधिनियम द्वारा ई-वाणिज्य, दस्तावेज़ों के इलेक्ट्रॉनिक रिकॉर्ड और डिजिटल हस्ताक्षर को मान्यता प्रदान की गई। इस अधिनियम के तहत सूचना और संचार से संबंधित अपराधों को शामिल किया गया। किसी भी व्यक्ति, चाहे वह किसी भी राष्ट्र का हो, द्वारा भारत के बाहर किये गए किसी भी साइबर अपराध पर यह अधिनियम लागू होता है। इस अधिनियम के तहत कंप्यूटर हैकिंग, कंप्यूटर में उपलब्ध रिकार्ड्स से छेड़छाड़, आक्रामक संदेश भेजना, संचार यंत्रों की चोरी और दुरुपयोग, अश्लील सामग्री का प्रकाशन या प्रसार, जानकारी को अवरुद्ध करना, कानूनी अनुबंध की जानकारी का खुलासा करना आदि दंडात्मक अपराधों की श्रेणी में आते हैं। वर्ष 2013 में भारत सरकार द्वारा राष्ट्रीय साइबर सुरक्षा नीति 2013 अपनाई गई। वर्ष 2018 में भारत सरकार ने बी.एन. श्रीकृष्णा समिति की अनुशंसा के आधार पर पर्सनल डेटा प्रोटेक्शन (ड्राफ्ट) बिल पेश किया।
विभिन्न प्रकार के साइबर हमले
[सम्पादन]- केंद्रीय गृह मंत्रालय ने सभी राज्यों को एंड्रॉइड ऑपरेटिंग सिस्टम की भेद्यता से संबंधित स्ट्रैंडहॉग बग (StrandHogg Bug) के बारे में चेतावनी देते हुए अलर्ट जारी किया है। स्ट्रैंडहॉग नामक यह बग स्मार्टफोन के मल्टी टास्किंग सिस्टम में पाया गया है। यह वायरस एप्लीकेशंस को असली एप्लीकेशंस की तरह दिखाने वाला बग है।
इस बग के माध्यम से साइबर अपराधी, उपयोगकर्त्ता के बैंक अकाउंट के लॉग-इन पासवर्ड के अलावा लोकेशन, समेत कई प्रकार के निजी डेटा में सेंध लगा सकते हैं। साथ ही माइक्रोफोन से लोगों की बात सुनने, कैमरे से फोटो लेने और एसएमएस पढ़ने जैसे काम कर सकते हैं।
- स्मिशिंग(Smishing) का मुख्य कारण मोबाइल फोन एवं स्मार्ट फोन की तेजी से बढती संख्या हैं। SMS एवं इंस्टेंट संदेश संचार की सुलभ, प्रभावी एवं लोकप्रिय विधि है। कुछ देशों में इनके अन्य संचार रूपों की तुलना में अधिक खुले होने एवं पढ़ने की संभावना अधिक होने के कारण अवांछनीय ईमेल भेजने और फिशिंग हमले में इनके प्रयोग की संभावनाएँ अधिक हैं।
- व्हाट्सएप के ज़रिये इज़रायली स्पाइवेयर पेगासस की मदद से कुछ अज्ञात इकाइयाँ वैश्विक स्तर पर लोगों की जासूसी कर रही हैं। भारतीय पत्रकार एवं मानवाधिकार कार्यकर्ता भी इस जासूसी के शिकार हुए हैं। व्हाट्सएप ने इस बात को माना है और पेगासस स्पाइवेयर विकसित करने वाली कंपनी एन.एस.ओ. ग्रुप (NSO Group) पर संयुक्त राज्य अमेरिका के संघीय न्यायालय में मुकदमा दायर किया है। हालाँकि NSO ने कहा कि वह पेगासस की सेवाएँ केवल सरकारों और उनकी एजेंसियों को बेचता है। माना जाता है कि पेगासस दुनिया में सबसे परिष्कृत स्पाइवेयर में से एक है। ऑपरेटिंग सिस्टम में कमज़ोरियों को लक्षित करके स्पाइवेयर iOS और Android दोनों उपकरणों को हैक कर सकता है।
इस स्पाइवेयर के नए संस्करण में लिंक की भी आवश्यकता नहीं होती, यह सिर्फ एक मिस्ड वीडियो काॅल के द्वारा ही इंस्टाॅल हो जाता है। पेगासस स्पाइवेयर इंस्टाॅल होने के बाद पेगासस ऑपरेटर को फोन से जुड़ी सारी जानकारियाँ प्राप्त हो जाती हैं। यह पासवर्ड द्वारा रक्षित उपकरणों को भी निशाना बना सकता है और यह मोबाइल के रोमिंग में होने पर डेटा नहीं भेजता।
- स्पाइवेयर एक प्रकार का मैलवेयर है जो डिज़िटल डिवाइस जैसे- कंप्यूटर, मोबाइल, टेबलेट से गुप्त एवं निजी जानकारियाँ चुराता है। यह जीमेल अकाउंट, बैंक डिटेल्स, सोशल मीडिया से लेकर टेक्स्ट मैसेज जैसी गतिविधियों पर नज़र रखता है एवं वहाँ से डेटा चोरी करके अपने ऑपरेटर तक पहुँचाता है।
स्पाइवेयर कई प्रकार के होते हैं:-
- ऐडवेयर- यह सामान्य प्रकार का स्पाइवेयर है जो मुख्य रूप से विज्ञापनदाताओं द्वारा उपयोग में लाया जाता है।
- कुकी ट्रेकर- इसके ज़रिये किसी व्यक्ति की इंटरनेट गतिविधियों के बारे में जानकारी एकत्रित की जाती है।
- सिस्टम मॉनीटर- इसका उपयोग डिवाइस की गतिविधियों पर नज़र रखने और डेटा रिकॉर्ड करने हेतु किया जाता है।
- ट्रोज़न- इसे वास्तविक एप्लीकेशन, दस्तावेज़ या सॉफ्टवेयर के रूप में चित्रित किया जाता है।
विश्व के अन्य देेशों की पहल
[सम्पादन]केस स्टडी KT दक्षिण कोरिया में वायरलाइन एवं वायरलेस दोनों प्रकार के नेटवर्क की सेवाओं में कार्यरत प्रमुख कंपनी है। अभी हाल ही में कंपनी ने गीगा सिक्योर प्लेटफॉर्म (GiGA Secure Platform-GSP) नामक एक प्लेटफॉर्म विकसित किया है जहाँ सार्वजनिक संगठन एवं कंपनियाँ दुर्भावनापूर्ण कोड एवं वेबसाइट से संबंधित जानकारी एवं इनसे निपटने हेतु आवश्यक रणनीतियाँ साझा करती हैं।
- यूरोपीय संघ ने उपभोक्ताओं की निजता को संरक्षण प्रदान करने के लिये नया सामान्य डेटा संरक्षण विनियमन (General Data Protection Regulation) लागू किया है। नए नियमों के मामले को प्रोत्साहन 2016 में अमेरिका के राष्ट्रपति चुनावों के लिये कैंब्रिज एनालिटिका द्वारा फेसबुक यूजर्स के डाटा चोरी होने के बाद मिला था। इस उल्लंघन के कारण 87 मिलियन यूजर्स प्रभावित हुए थे।
- यूनाइटेड किंगडम (UK) में BT समूह ने राष्ट्रीय साइबर सिक्योरिटी केंद्र (National Cybersecurity Centre-NCSC) एवं इंटरनेट सेवा प्रदाताओं (ISP) के साथ मिलकर दुर्भावनापूर्ण मेलवेयर कनेक्शन को ब्लॉक करने के लिये कार्य किया है।
- यूनाइटेड किंगडम सरकार ने सरकारी डोमेन में DMARC के उपयोग की प्रभाविता को प्रमाणित किया है। नीदरलैंड एवं संयुक्त राज्य अमेरिका भी अपने डोमेन में DMARC क्रियान्वयन को अनिवार्य कर रहे है।
स्वयं के नेटवर्क डोमेन में डोमेन आधारित संदेश प्रमाणीकरण, रिपोर्टिंग एवं अनुरूपता (Domain-Based Message Authentication, Reporting and Conformance-DMARC) को लागू करना एवं ग्राहकों को भी अपने डोमेन में इसे लागू करने में सहयोग करना। DMARC एक तकनीकी मानक है जो इंटरनेट सेवा प्रदाताओं (ISP) के लिये दुर्भावनापूर्ण ई-मेल के प्रयासों जैसे- उपयोगकर्त्ता की व्यक्तिगत जानकारी की फिशिंग करने के लिये डोमेन स्पूफिंग, की रोकथाम करना आसान बनाता है। DMARC का क्रियान्वयन स्पूफिंग की पूरी तरह से रोकथाम नहीं करता है लेकिन यह हमलावरों के साइबर हमलों की लागत में महत्त्वपूर्ण वृद्धि कर देता है। इसके अतिरिक्त इसका प्रभावी क्रियान्वयन सार्वजनिक विश्वास के निर्माण एवं इसे सुदृढ़ करने में महत्त्वपूर्ण भूमिका निभाएगा, विशेष रुप से प्रसिद्ध ब्रांडों के संबंध में जिनके ईमेल डोमेन का उपयोग किसी दूसरे प्रकार से धोखाधड़ी के प्रयोजन से किया जा सकता है।
सऊदी अरब की सऊदी टेलीकॉम कंपनी (STC) समूह ने स्पैम एवं धोखाधड़ी समाधान के रूप में एक बहु-स्तरीय व्यवस्था लागू की है-
- प्रथम स्तर में किसी स्पैम शील्ड (Spam Shield) या स्मार्ट फिल्टर (Smart Filter) का उपयोग किया जाता है जो रियल टाइम मशीन लर्निंग एल्गोरिथ्म के आधार पर SMS फिल्टरिंग नियमों का मूल्यांकन एवं नवीकरण करता है।
- द्वितीय लेयर में SMS गेटवे एवं अत्याधुनिक जोखिम आसूचना प्लेटफॉर्म (Threat Intelligence Platform-TIP) का एकीकृत रूप से प्रयोग किया जाता है। यह प्लेटफॉर्म विभिन्न आंतरिक एवं बाहरी स्रोतों से सूचनाओं को प्राप्त करता है एवं ऐसे लिंक्स को जिनके दुर्भावनापूर्ण होने की संभावना है उन्हें SMS गेटवे को भेज दिया जाता है ताकि ऐसे SMS को ग्राहकों के पास पहुँचने से पहले ही बंद कर दिया जाता है।
- तृतीय स्तर में STC डोमेन नेम सर्वर (Domain Name Server-DNS) सिस्टम होता है,जो आगे TIP से जुड़ा हुआ है। यह TIP, DNS सिस्टम को किसी भी दुर्भावनापूर्ण डोमेन की पहचान करने एवं उसे ब्लॉक करने में सक्षम बनाता है।
- चतुर्थ स्तर में हैंडसेट की सुरक्षा को शामिल किया जाता है। STC ने प्रमुख हैंडसेट सुरक्षा भागीदारों के साथ सहयोग स्थापित किया है ताकि अपने ग्राहकों को हानिकारक लिंक एवं वायरस, मेलवेयर, स्पाइवेयर के विरुद्ध अतिरिक्त स्वचालित सुरक्षा प्रदान कराई जा सके।
- अंतिम सुरक्षा स्तर के अंतर्गत ग्राहक जागरूकता अभियानों का संचालन किया जाता है। किसी भी संदिग्ध SMS की सूचना देने के लिये ग्राहकों हेतु एक समर्पित फोन नंबर की व्यवस्था की गई है ताकि इसका परीक्षण हो सके और यदि आवश्यक हो तो ऐसे SMS को उनके स्रोत पर ही ब्लॉक किया जा सके।
इस पाँच स्तरीय सुरक्षा परतों के कारण STC की SMS सेवाओं के माध्यम से भेजे गए अवांछित एवं धोखाधड़ी संदेशों की संख्या को कम करने में काफी सहायता मिली है। STC के नेटवर्क पर प्रतिदिन 338 मिलियन SMS का पंजीकरण होता है, जिसमें से औसत 20 मिलियन SMS संदिग्ध या दुर्भावनापूर्ण विशेषताओं के कारण ब्लॉक कर दिये जाते है।
अमेरिका और टिकटॉक
[सम्पादन]भारत द्वारा टिकटॉक (TikTok) समेत अन्य एप्स पर लगाए गए पूर्ण प्रतिबंध के बाद अब टिकटॉक, अमेरिका और चीन के बीच तेज़ी से बढ़ते डिजिटल युद्ध के केंद्र में भी आ गया है। बीते दिनों अमेरिका ने चीन की दिग्गज टेक्नोलॉजी कंपनी हुआवे (Huawei) पर कई प्रतिबंध अधिरोपित किये थे। भारत सरकार ने सूचना प्रौद्योगिकी अधिनियम, 2000 (Information Technology Act) की धारा 69 (A) का प्रयोग करते हुए चीन द्वारा निर्मित और संचालित 59 एप्स को प्रतिबंधित कर दिया है, जिनमें टिकटॉक, शेयर इट, कैम स्कैनर इत्यादि शामिल थे।
- भारत द्वारा टिकटॉक और अन्य एप्स पर प्रतिबंध लगाने की घोषणा के बाद अमेरिका भी इसी प्रकार की कार्रवाई पर विचार कर रहा है। इस संबंध में अमेरिका ने भी सुरक्षा कारणों का हवाला दिया है।
केवल टिकटॉक पर प्रतिबंध लगाने के बजाय अमेरिका, चीन की इंटरनेट कंपनी बाइटडांस (ByteDance), जिसके पास टिकटॉक का मालिकाना हक है, पर अपने व्यवसाय को अमेरिका की दिग्गज प्रौद्योगिकी कंपनी माइक्रोसॉफ्ट (Microsoft) को सौंपने का दबाव बना रहा है। अमेरिकी राष्ट्रपति ने माइक्रोसॉफ्ट के मुख्य कार्यकारी अधिकारी (CEO), सत्य नडेला के साथ बातचीत करके बाइटडांस और माइक्रोसॉफ्ट वार्ता में हस्तक्षेप भी किया है।
- माइक्रोसॉफ्ट के लिये टिकटॉक का महत्त्व
उपलब्ध आँकड़ों के अनुसार, जनवरी 2020 तक विश्व में टिकटॉक के पास कुल 800 मिलियन से भी अधिक उपयोगकर्त्ता थे। केवल अमेरिका में ही बीते वर्ष टिकटॉक को कुल 49 मिलियन बार डाउनलोड किया गया था। अनुमान के अनुसार, अमेरिका में टिकटॉक उपयोगकर्त्ता औसतन एक दिन में 8 बार और लगभग 40 मिनट तक इस एप का प्रयोग करते हैं। इस प्रकार यदि माइक्रोसॉफ्ट, टिकटॉक को प्राप्त करने में सफल रहता है तो उसे अमेरिका में टिकटॉक उपयोगकर्त्ताओं का एक व्यापक आधार मिलेगा। गौरतलब है कि माइक्रोसॉफ्ट अमेरिका की अन्य दिग्गज कंपनियों जैसे फेसबुक और गूगल आदि से सोशल मीडिया के क्षेत्र में काफी पीछे रही है, शायद इसका मुख्य कारण यह है कि माइक्रोसॉफ्ट के पास कोई विशिष्ट सोशल मीडिया प्लेटफॉर्म नहीं है, यदि माइक्रोसॉफ्ट टिकटॉक का अधिग्रहण कर लेता है तो उसकी यह कमी भी पूरी हो जाएगी और उसे एक पहले से बना हुआ तथा प्रसिद्ध सोशल मीडिया प्लेटफॉर्म प्राप्त होगा।
नीदरलैंड की एक अदालत ने डेटा गोपनीयता और मानवाधिकारों की चिंता के कारण सिस्टम रिस्क इंडिकेटर(SyRI)नामक एक डिजिटल पहचान तंत्र के खिलाफ फैसला सुनाया।
[सम्पादन]डच सामाजिक मामलों के मंत्रालय ने वर्ष 2014 में SyRI को उन लोगों के लिये विकसित किया था जो धोखाधड़ी के माध्यम से सरकारी लाभ प्राप्त करने का प्रयास करते हैं। इसने सरकारी एजेंसियों को एक निजी कंपनी के साथ कल्याणकारी डेटा जैसे-कर,भूमि रजिस्ट्री,रोज़गार रिकॉर्ड और वाहन पंजीकरण से संबंधित 17 श्रेणियों के डेटा को साझा करने की अनुमति दी थी।
- SYRI की कार्यप्रणाली एल्गोरिदम पर आधारित है जो सरकार द्वारा प्रदान किये गए डेटा(जैसे कर, भूमि रजिस्ट्रियाँ, रोज़गार रिकॉर्ड आदि) का विश्लेषण करता है और जोखिम स्कोर की गणना करता है।
गणना किये गए जोखिम स्कोर प्रासंगिक संस्थाओं को भेजे जाते हैं, जो इन्हें अधिकतम दो वर्षों के लिये सरकारी डेटाबेस पर संग्रहीत करता है। सरकार इस समयावधि में लक्षित व्यक्ति की जाँच शुरू कर सकती है। डच ज़िला न्यायालय के तर्क
- SyRI यूरोपीय मानवाधिकार कानून के साथ-साथ यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन द्वारा प्रदत्त गोपनीयता की गारंटी का उल्लंघन करता है।
- SyRI पारदर्शिता और डेटा न्यूनता (Data Minimisation) के सिद्धांतों का उल्लंघन करता है।
- इस प्रकार के अपारदर्शी एल्गोरिथमिक निर्णय से नागरिकों को नुकसान हो सकता है जिससे देश की लोकतांत्रिक विशेषताओं को नुकसान होगा।
- आलोचकों द्वारा इसकी इस आधार पर आलोचना की गई कि एल्गोरिथमिक व्यवस्था गरीबी और अप्रवासी जैसी स्थितियों को धोखाधड़ी के जोखिम के साथ जोड़ती है।
डच सरकार के तर्क इस नई तकनीक ने धोखाधड़ी को रोकने में सफलता पाई है और यह अंतिम निर्धारण के बजाय आगे की जाँच के लिये केवल एक प्रारंभिक बिंदु के रूप में कार्य करता है। डच सामाजिक मामलों के मंत्रालय ने एक बयान जारी किया है कि वह संपूर्ण निर्णय का अध्ययन करेगा तथा उनके सिस्टम को पूरी तरह से हटाया नहीं जाएगा। न्यायालय के निर्णय का महत्त्व यह निर्णय सरकारी निगरानी के खिलाफ डेटा संरक्षण विनियमन का उपयोग करने का एक महत्त्वपूर्ण उदाहरण है। स्वीडन और फ्राँस में छात्रों पर फेसिअल रिकॉग्निशन प्रणाली के उपयोग सहित अन्य यूरोपीय तकनीकी पहलों को यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन द्वारा रोक दिया गया है। यह निर्णय वैश्विक स्तर पर एक मिसाल कायम करता है,वैश्विक स्तर पर यह पहला मामला है जब डिजिटल प्रौद्योगिकियों के उपयोग एवं मानवाधिकारों के आधार पर सरकारी अधिकारियों द्वारा डिजिटल जानकारी के उपयोग पर प्रतिबंध लगा दिया गया है। उक्त निर्णय यह भी प्रदर्शित करता है कि विधायी नियमों को सामाजिक सुरक्षा प्रणाली में प्रौद्योगिकी के उपयोग और नागरिकों के अधिकारों के संरक्षण हेतु संतुलन बनाने की आवश्यकता है।
नीदरलैंड के न्यायालय का निर्णय एवं भारत
इसी प्रकार गोपनीयता संबंधी मुद्दे पर भारत के सर्वोच्च न्यायालय ने आधार (Aadhar) आईडी के उपयोग को सीमित किया था,जिस प्रकार हेग के न्यायालय ने व्यक्तिगत गोपनीयता के साथ सामाजिक हित को संतुलित करने का प्रयास किया।हालाँकि आधार निर्णय एल्गोरिथमिक निर्णय लेने से संबंधित नहीं था बल्कि यह डेटा संग्रह से संबंधित था। भारत के प्रस्तावित डेटा संरक्षण विधेयक, 2019 में कई खामियाँ हैं जिनका अमेरिका के कानून की तरह फायदा उठाया जा सकता है। इस प्रकार इस निर्णय से सीख ली जा सकती है और विधेयक में व्याप्त खामियों को दूर किया जा सकता है।