আইসিএক্স বাদ দিলে ঝুঁকিতে পড়বে দেশের নিরাপত্তা ও সার্বভৌমত্ব, বিশেষজ্ঞদের উদ্বেগ

‘ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ-২০২৫’ এবং ‘জাতীয় উপাত্ত ব্যবস্থাপনা অধ্যাদেশ-২০২৫’ এর গেজেট প্রকাশ করেছে সরকার। প্রধান উপদেষ্টার ডাক, টেলিযোগাযোগ ও তথ্য প্রযুক্তি বিষয়ক বিশেষ সহকারী ফয়েজ আহমদ তৈয়্যব ফেসবুক পোস্টে এটিকে ‘ডেটা গভর্নেন্সে নতুন অধ্যায়ের সূচনা’ বলে অভিহিত করেছেন।

নতুন দুই অধ্যাদেশের ফলে ব্যক্তির তথ্য উপাত্ত নিয়ে জবাবদিহিহীন আদান-প্রদান এবং অবৈধ ব্যবসা আজ থেকে আইনিভাবে রহিত হলো বলে উল্লেখ করেন ফয়েজ আহমদ। এর মাধ্যমে প্ল্যাটফর্মগুলোর যৌক্তিক আচরণের অধ্যায়ও শুরু হলো বলে জানান তিনি। ফয়েজ আহমদ মনে করেন, নতুন দুই অধ্যাদেশের ফলে বাংলাদেশের ডেটা সার্বভৌমত্বকে লঙ্ঘন করে কেউ ডিজিটাল ব্যবসা করতে পারবে না।

বিশেষ সহকারী জানান, অধ্যাদেশ দুটোর কাজ বন্ধ করতে দেশ বিদেশ থেকে নানা প্রচেষ্টা চালানো হয়েছিল। তিনি বলেন, ‘ডেটা গভর্নেন্স আইন থামাতে, ব্যক্তিগত উপাত্ত সুরক্ষা আইন বন্ধ করতে-আমাদের এসব কাজকে ডিলিজিটিমেট করতে দেশ-বিদেশ থেকে সংঘবদ্ধভাবে প্রোপাগান্ডা চালানো হয়েছে। এ জন্য আমাকে এবং আমার টিমকে প্রচণ্ড রকম যুদ্ধ করতে হয়েছে, অনেক যন্ত্রণা দেওয়া হয়েছে, এবং অপবাদ দেওয়া হয়েছে, আমরা সেগুলোতে থেমে যাইনি। বরং যারা এসব করেছে, তাদের মুখোশ উন্মোচন করা হবে আগামীতে। অত্যন্ত শক্তিশালী এক মোরাল নিয়ে আমরা যে কাজ করছি, এটা তাদের আবারও প্রমাণ করে ছেড়েছি।’

আইনটি কী পরিবর্তন আনবে?

আইসিটি উপদেষ্টা তাঁর পোস্টে উল্লেখ করেন, এই আইনের ফলে বাংলাদেশের নাগরিকদের উপাত্ত ব্যবস্থাপনার বিষয়টি আইনিভাবে সম্পূর্ণ ভিন্নমাত্রা পাবে। তিনি বলেন, ‘প্ল্যাটফর্ম লায়াবিলিটির দিক থেকে, গোপনীয় এবং সংবেদনশীল ডেটা ব্যবস্থাপনার দিক থেকে, সর্বোপরি উপাত্ত সংগ্রহ, সংরক্ষণ, বিনিময় এবং প্রক্রিয়াজাতকরণের দিক থেকে’ এই পরিবর্তন আসবে।

কেন এই আইন জরুরি?

বর্তমান বিশ্ব সম্পূর্ণরূপে ডেটানির্ভর। অনলাইন ব্যাংকিং, স্বাস্থ্যসেবা, ই-কমার্স এবং বায়োমেট্রিক নিবন্ধনের মতো সব ডিজিটাল কার্যক্রমে বাংলাদেশের নাগরিকদের অংশগ্রহণ দ্রুত বেড়েছে। কিন্তু দীর্ঘদিন ধরে একটি সমন্বিত ডেটা সুরক্ষা আইন না থাকায় ব্যক্তিগত উপাত্ত ফাঁস বা অপব্যবহারের বিরুদ্ধে কার্যকর প্রতিকার পাওয়ার সুযোগ সীমিত ছিল। এই অধ্যাদেশ সেই দীর্ঘদিনের শূন্যতা পূরণের লক্ষ্যে তৈরি। এটি উপাত্তের গোপনীয়তাকে ব্যক্তির মর্যাদা, নিরাপত্তা ও জাতীয় সার্বভৌমত্বের সঙ্গে সম্পর্কিত একটি মৌলিক অধিকার হিসেবে স্বীকৃতি দিচ্ছে।

ভারত (২০২৩ সালে ডিজিটাল পারসোনাল ডেটা প্রোটেকশন আইন), সিঙ্গাপুর (২০১২ সালের আইন), জাপান, দক্ষিণ কোরিয়া, ও থাইল্যান্ডসহ এশিয়ার বহু দেশ যখন দ্রুত গতিতে এই ধরনের আইন তৈরি করছে, তখন বাংলাদেশের এই পদক্ষেপ অত্যন্ত সময়োপযোগী। আন্তর্জাতিক অঙ্গনে ইউরোপীয় ইউনিয়নের জিডিপিআর (GDPR) এখনো ডেটা সুরক্ষার আদর্শ হিসেবে বিবেচিত, যা বৈশ্বিক বিনিয়োগ এবং বাণিজ্যের জন্য অপরিহার্য। এই শক্তিশালী আইনি কাঠামো ছাড়া বাংলাদেশ শুধু নাগরিকদের সুরক্ষা নয়, আন্তর্জাতিক বিনিয়োগকারীদের আস্থা হারানোর ঝুঁকিতেও থাকত।

অধ্যাদেশের পরিধি ও প্রধান সংজ্ঞা

এই অধ্যাদেশটি বাংলাদেশের অভ্যন্তরে ব্যক্তিগত উপাত্ত প্রক্রিয়াকরণকারী সরকারি, বেসরকারি ও স্বায়ত্তশাসিত সংস্থাগুলোর ক্ষেত্রে প্রযোজ্য হবে। বিদেশে অবস্থানকারী বাংলাদেশি নাগরিকদের উপাত্ত পরিচালনাকারী সংস্থাগুলোর জন্যও এটি বাধ্যতামূলক।

ব্যক্তিগত উপাত্ত: এমন উপাত্ত, যা একজন ব্যক্তিকে শনাক্ত করতে পারে—যার মধ্যে রয়েছে নাম, ঠিকানা, আর্থিক উপাত্ত, অবস্থান, স্বাস্থ্য বিবরণ, জেনেটিক, বায়োমেট্রিক উপাত্ত এবং অন্যান্য তথ্য।

সংবেদনশীল উপাত্ত: বায়োমেট্রিকস, ধর্ম, বর্ণ, রাজনৈতিক সম্পৃক্ততা, ট্রেড ইউনিয়ন সদস্যপদ, যৌন অভিমুখিতা, স্বাস্থ্য বা আইনি বিষয় সম্পর্কিত তথ্য। এই ধরনের উপাত্ত প্রক্রিয়াকরণের জন্য কঠোর নিরাপত্তাব্যবস্থা ও স্পষ্ট সম্মতি প্রয়োজন।

উপাত্ত জিম্মাদার (Data Fiduciary): যিনি ব্যক্তিগত উপাত্ত প্রক্রিয়াকরণের উদ্দেশ্য নির্ধারণ করেন বা এই প্রক্রিয়াকরণের তত্ত্বাবধান করেন।

উপাত্ত প্রক্রিয়াকারী (Data Processor): যিনি উপাত্ত জিম্মাদারের পক্ষে ব্যক্তিগত উপাত্ত প্রক্রিয়াকরণ করেন।

নাগরিকের অধিকার: সম্মতিই মূল ভিত্তি

অধ্যাদেশের মূল ভিত্তি হলো ’সম্মতি’ এবং ’স্বচ্ছতা’। কোনো ব্যক্তির ব্যক্তিগত উপাত্ত সংগ্রহ বা প্রক্রিয়াকরণের আগে তাকে অবশ্যই জানাতে হবে এবং তার স্পষ্ট সম্মতি নিতে হবে। এই সম্মতি হতে হবে নির্দিষ্ট, স্বতঃসিদ্ধ ও স্বচ্ছ।

১. জানার অধিকার: উপাত্তধারীদের জানানো বাধ্যতামূলক যে তাদের উপাত্ত কেন সংগ্রহ করা হচ্ছে, কীভাবে ব্যবহৃত হবে এবং কতদিন সংরক্ষণ করা হবে।

২. প্রত্যাহারের অধিকার: কোনো ব্যক্তি যেকোনো সময় তাদের সম্মতি প্রত্যাহার করতে পারেন, এবং সম্মতি প্রত্যাহার করলে ডেটা নিয়ন্ত্রকদের সঙ্গে সঙ্গে সংশ্লিষ্ট উপাত্ত প্রক্রিয়াকরণ বন্ধ করতে হবে।

৩. শিশুদের সুরক্ষা: এই অধ্যাদেশ শিশুদের উপাত্ত প্রক্রিয়াকরণের ওপর কঠোর বিধিনিষেধ আরোপ করেছে। শিশুদের লক্ষ্যভিত্তিক বিজ্ঞাপন, প্রোফাইলিং বা আচরণগত নজরদারি সুস্পষ্টভাবে নিষিদ্ধ করা হয়েছে। এ ক্ষেত্রে পিতামাতা বা আইনি অভিভাবকের কাছ থেকে সম্মতি নিতে হবে।

জাতীয় ডেটা গভর্নেন্স অথরিটি (NDGA): নতুন তদারকি সংস্থা

আইনের কার্যকর প্রয়োগ নিশ্চিত করার জন্য জাতীয় ডেটা গভর্নেন্স অথরিটি (এনডিজিএ) প্রতিষ্ঠার আহ্বান জানানো হয়েছে। এই স্বাধীন সংস্থা সম্মতি পর্যবেক্ষণ, নির্দেশিকা জারি, তদন্ত পরিচালনা এবং নাগরিকদের অভিযোগ দেখভালের দায়িত্ব পাবে।

এনডিজিএ উপাত্ত জিম্মাদারদের নিবন্ধন ও শ্রেণিবিন্যাস করবে, নিরীক্ষা পরিচালনা করবে এবং নিয়ম লঙ্ঘনের ক্ষেত্রে জরিমানা আরোপ করার ক্ষমতা রাখবে।

কঠোর শাস্তি ও করপোরেট জবাবদিহি

অধ্যাদেশের নবম অধ্যায়ে ব্যক্তিগত উপাত্ত অধিকার লঙ্ঘনের ক্ষেত্রে কঠোর দণ্ডের বিধান রাখা হয়েছে।

অপরাধ: ব্যক্তিগত উপাত্তের অননুমোদিত সংগ্রহ, ব্যবহার, হস্তক্ষেপ, আহরণ বা প্রকাশ।

দণ্ড: দোষী ব্যক্তি বা প্রতিষ্ঠানের সর্বোচ্চ সাত বছর কারাদণ্ড, সর্বোচ্চ ২০ লাখ টাকা জরিমানা, অথবা উভয় দণ্ড হতে পারে। অপরাধের মাত্রা অনুযায়ী দণ্ডের পরিমাণ পরিবর্তিত হতে পারে।

করপোরেট দায়: যদি কোনো কোম্পানি অপরাধ করে, তবে পরিচালক, ব্যবস্থাপক বা দায়িত্বশীল কর্মকর্তারা ব্যক্তিগতভাবে দায়ী থাকবেন, যদি না তারা প্রমাণ করতে পারেন যে যথাযথ সতর্কতা অবলম্বন করেছেন।

এতে উপাত্ত লঙ্ঘনের (Data Breach) ঘটনা ঘটলে তা দ্রুত কর্তৃপক্ষকে জানানো বাধ্যতামূলক করা হয়েছে।

আন্তসীমান্ত উপাত্ত স্থানান্তর ও বাস্তবায়ন

বিশ্বব্যাপী ডেটার অবাধ প্রবাহের পরিপ্রেক্ষিতে অধ্যাদেশে আন্তসীমান্ত ডেটা স্থানান্তরের শর্তাবলি নির্ধারণ করা হয়েছে। ব্যক্তিগত উপাত্ত শুধু তখনই বাংলাদেশ থেকে বাইরে স্থানান্তর করা যাবে, যদি গ্রহীতা দেশ বা প্রতিষ্ঠান একই সুরক্ষার মান নিশ্চিত করতে পারে। এই ধারা বাংলাদেশের উপাত্ত সার্বভৌমত্ব রক্ষার পাশাপাশি দেশকে আন্তর্জাতিক ডিজিটাল বাণিজ্য নেটওয়ার্কের সঙ্গে সংযুক্ত করবে।

বাস্তবায়নের সময়সীমা:

ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ, ২০২৫-এর কিছু ধারা সরকারি গেজেট প্রকাশের ১৮ মাস পর কার্যকর হবে। এই গ্রেস পিরিয়ড বা সময়টুকু সংস্থাগুলোকে তাদের অভ্যন্তরীণ প্রক্রিয়া, সাইবার নিরাপত্তা অবকাঠামো এবং কর্মীদের প্রশিক্ষণ দিয়ে নতুন আইনের সঙ্গে নিজেদের মানিয়ে নিতে সাহায্য করবে। এই সময়ের পরও নিয়ম মেনে চলতে ব্যর্থ হলে কঠোর প্রশাসনিক জরিমানা বা অন্যান্য আইনি ব্যবস্থা নেওয়া হবে।

বিশ্বজুড়ে শিশুদের ওপর সামাজিক যোগাযোগমাধ্যমের ক্ষতিকর কনটেন্ট ও বাণিজ্যিক প্রলোভনের প্রভাব বাড়ছে। এ উদ্বেগের প্রেক্ষিতে এবার ১৫ বছরের কম বয়সী শিশুদের সামাজিক যোগাযোগমাধ্যম ব্যবহারে নিষেধাজ্ঞা জারি করেছে ডেনমার্ক। দ্য ইন্ডিপেন্ডেন্টের এক প্রতিবেদনে এ তথ্য জানানো হয়েছে।

ইউরোপীয় ইউনিয়নের কোনো সরকারের তরফ থেকে সামাজিক যোগাযোগমাধ্যম ব্যবহারে কনিষ্ঠ বয়সীদের নিয়ন্ত্রণে নেওয়া পদক্ষেপগুলোর মধ্যে এটিকে সবচেয়ে ব্যাপক উদ্যোগ হিসেবে দেখা হচ্ছে।

এ সংক্রান্ত দেশটির নতুন এক আইনে বলা হয়েছে, বিশেষ মূল্যায়নের পর অভিভাবকরা চাইলে ১৩ ও ১৪ বছর বয়সী সন্তানদের সামাজিক যোগাযোগমাধ্যম ব্যবহারের অনুমতি দিতে পারবেন। তবে এত বড় পরিসরের নিষেধাজ্ঞা বাস্তবায়ন কতটা সম্ভব, তা নিয়ে বড় প্রশ্ন থেকেই যাচ্ছে।

ডেনমার্কের ডিজিটালবিষয়ক মন্ত্রণালয় এক বিবৃতিতে জানিয়েছে, ‘শিশু ও তরুণদের ঘুম নষ্ট হচ্ছে, মানসিক শান্তি ও মনোযোগ কমে যাচ্ছে। তারা এমন এক ডিজিটাল সম্পর্কের চাপে পড়ছে, যেখানে সবসময় প্রাপ্তবয়স্কদের উপস্থিতি থাকে না। এই পরিস্থিতি একা কোনো অভিভাবক, শিক্ষক বা শিক্ষাবিদ ঠেকাতে পারবেন না।’

অনেক প্রযুক্তি প্রতিষ্ঠান তাদের প্ল্যাটফর্মে বয়সসীমা নির্ধারণ করে রেখেছে। তবুও প্রায়ই অপ্রাপ্তবয়স্করা সেই সীমাবদ্ধতা সহজেই এড়িয়ে যায় বলে স্বীকার করেন কর্মকর্তারা ও বিশেষজ্ঞরা।

ডেনমার্কের ডিজিটালবিষয়ক মন্ত্রী ক্যারোলিন স্টেজ জানান, ডেনমার্কে ১৩ বছরের নিচে থাকা ৯৪ শতাংশ শিশু ও ১০ বছরের নিচে থাকা অর্ধেকের বেশি শিশু ইতিমধ্যেই সামাজিক যোগাযোগমাধ্যমে প্রোফাইল খুলে ফেলেছে।

মন্ত্রী আরও বলেন, ‘শিশুরা অনলাইনে যে পরিমাণ সময় কাটায়, যে পরিমাণ সহিংসতা ও আত্মনাশের বিষয়বস্তু তারা দেখে, তা আমাদের সন্তানের জন্য ভয়াবহ ঝুঁকি তৈরি করছে।’

তিনি বড় প্রযুক্তি প্রতিষ্ঠানগুলোকেও তীব্র সমালোচনা করেন। তাঁর ভাষায়, ‘ওদের কাছে অগাধ অর্থ রয়েছে, কিন্তু তারা আমাদের সন্তানের সুরক্ষায় বিনিয়োগ করতে চায় না। এমনকি সমাজের সবার নিরাপত্তায়ও নয়।’

ক্যারোলিন স্টেজ আরও জানান, এই নিষেধাজ্ঞা তাৎক্ষণিকভাবে কার্যকর হচ্ছে না। এ বিষয়ে পার্লামেন্টে রাজনৈতিক দলগুলোর মধ্যে যাঁরা একমত, তাঁদের সংখ্যাগরিষ্ঠতা থাকলেও আইনটি পাস হতে কয়েক মাস সময় লাগবে।

তিনি বলেন, ‘আমি আশ্বস্ত করতে পারি, ডেনমার্ক দ্রুত কাজ করবে। তবে আমরা তাড়াহুড়া করব না। নিশ্চিত করব নিয়ম যেন সঠিকভাবে প্রণয়ন হয় এবং বড় প্রযুক্তি প্রতিষ্ঠানগুলোর পালিয়ে যাওয়ার মতো কোনো ফাঁকফোকর না থাকে।’

মন্ত্রী আরও বলেন, বড় প্রযুক্তি কোম্পানির ব্যবসায়িক মডেল থেকে যে চাপ তৈরি হচ্ছে, তা অত্যন্ত ভয়াবহ।

তবে এ ধরনের নিষেধাজ্ঞা বাস্তবে কীভাবে কার্যকর করা হবে তা নিয়ে ডেনমার্ক এখনো স্পষ্ট করে কিছু জানায়নি।

মন্ত্রী ক্যারোলিন স্টেজ জানান, ডেনমার্কের একটি জাতীয় ইলেকট্রনিক আইডি ব্যবস্থা আছে। ১৩ বছরের বেশি প্রায় সব নাগরিকেরই এই আইডি রয়েছে। সরকার এখন বয়স যাচাইয়ের জন্য আলাদা একটি অ্যাপ চালুর পরিকল্পনা করছে। ইউরোপীয় ইউনিয়নের আরও কয়েকটি দেশও একই ধরনের অ্যাপ পরীক্ষা করছে।

তিনি বলেন, ‘আমরা প্রযুক্তি কোম্পানিগুলোকে আমাদের অ্যাপ ব্যবহার করতে বাধ্য করতে পারব না। কিন্তু আমরা বাধ্য করতে পারব যেন তারা কার্যকর বয়স যাচাই ব্যবস্থা রাখে। যদি তারা তা না করে, তাহলে আমরা ইউরোপীয় কমিশনের মাধ্যমে ব্যবস্থা নেব এবং প্রয়োজনে তাদের বৈশ্বিক আয়ের ৬ শতাংশ পর্যন্ত জরিমানা করা হবে।’

বিশ্বজুড়ে অনেক সরকারই এখন অনলাইনে ক্ষতিকর প্রভাব নিয়ন্ত্রণের উপায় খুঁজছে, যাতে প্রযুক্তির ইতিবাচক দিক ক্ষুণ্ন না হয়। ডিজিটাল মন্ত্রী জানান, ডেনমার্কের এই উদ্যোগের লক্ষ্য শিশুদের ডিজিটাল দুনিয়া থেকে বাদ দেওয়া নয়, বরং ক্ষতিকর কনটেন্ট থেকে তাদের সুরক্ষা দেওয়া।

মন্ত্রী ক্যারোলিন স্টেজ বলেন, ‘আমরা বড় প্রযুক্তি প্রতিষ্ঠানগুলোকে বারবার সুযোগ দিয়েছি, যেন তারা তাদের প্ল্যাটফর্মে ঘটতে থাকা সমস্যাগুলোর সমাধান করে। কিন্তু তারা কিছুই করেনি। তাই এবার আমরা নিজেরাই নিয়ন্ত্রণের দায়িত্ব নেব যাতে আমাদের সন্তানের ভবিষ্যৎ নিরাপদ থাকে।’

এর আগে গত ডিসেম্বরে অস্ট্রেলিয়া বিশ্বের প্রথম দেশ হিসেবে শিশুদের জন্য সামাজিক যোগাযোগমাধ্যম নিষিদ্ধ করে। দেশটির নতুন আইনের আওতায় টিকটক, ফেসবুক, স্ন্যাপচ্যাট, রেডিট, এক্স (পূর্বের টুইটার) ও ইনস্টাগ্রামের মতো প্ল্যাটফর্মগুলো এখন বড় অঙ্কের জরিমানার মুখে পড়তে পারে। দেশটিতে এই প্ল্যাটফর্মগুলো ব্যবহারে সর্বনিম্ন বয়সসীমা ধরা হয়েছে ১৬ বছর। ১৬ বছরের নিচে শিশুদের অ্যাকাউন্ট দেখা গেলে প্রতিটি প্রতিষ্ঠানের সর্বোচ্চ জরিমানা ধরা হয়েছে ৫ কোটি অস্ট্রেলীয় ডলার, যা প্রায় ২৫ মিলিয়ন পাউন্ড।

আজকের বিশ্ব সম্পূর্ণরূপে ডেটা নিয়ন্ত্রিত ইকোসিস্টেম। বাংলাদেশে অনলাইন ব্যাংকিং, স্বাস্থ্যসেবা, ই-কমার্স, এবং জাতীয় বায়োমেট্রিক নিবন্ধনের মতো অত্যাবশ্যকীয় ডিজিটাল কার্যক্রমে নাগরিকদের অংশগ্রহণ যখন তুঙ্গে, তখন তাদের ব্যক্তিগত তথ্যের সুরক্ষার প্রশ্নটি ছিল প্রকট। দীর্ঘদিন ধরে একটি সমন্বিত ডেটা সুরক্ষা আইনের অনুপস্থিতি ব্যক্তিগত উপাত্ত ফাঁস বা অপব্যবহারের বিরুদ্ধে কার্যকর আইনি প্রতিকার পাওয়ার সুযোগকে সীমায়িত রেখেছিল। এই শূন্যতা পূরণের লক্ষ্যে ‘ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ ২০২৫’ প্রণয়ন করেছে সরকার। গত ৬ নভেম্বর ‘ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ-২০২৫’ এবং ‘জাতীয় উপাত্ত ব্যবস্থাপনা অধ্যাদেশ-২০২৫’ এর গেজেট প্রকাশ করেছে সরকার।

এই অধ্যাদেশটি ব্যক্তিগত তথ্য-উপাত্তের নিরাপত্তা নিশ্চিতে গুরুত্বপূর্ণ ভূমিকা রাখবে বলে জানিয়েছে সরকার। এটি উপাত্তের গোপনীয়তাকে নিছক প্রযুক্তিগত সুরক্ষা হিসেবে নয়, বরং ব্যক্তির মর্যাদা, নিরাপত্তা এবং জাতীয় সার্বভৌমত্বের সঙ্গে অবিচ্ছেদ্যভাবে সম্পর্কিত একটি মৌলিক অধিকার হিসেবে সাংবিধানিক স্বীকৃতি দেওয়া হয়েছে।

আন্তর্জাতিক প্রেক্ষাপটে, দ্রুত পরিবর্তনশীল এশিয়া এখন গোপনীয়তা সুরক্ষার ক্ষেত্রে বেশ সক্রিয়। ভারত (২০২৩ সালে ডিজিটাল পারসোনাল ডেটা প্রোটেকশন আইন পাস), সিঙ্গাপুর (২০১২ সালের আইন), জাপান, দক্ষিণ কোরিয়া এবং থাইল্যান্ডসহ অন্যান্য দেশ ইতোমধ্যে শক্তিশালী সুরক্ষা কাঠামো তৈরি করেছে। ডেটা সুরক্ষার বৈশ্বিক মানদণ্ড হিসেবে ইউরোপীয় ইউনিয়নের জিডিপিআর (GDPR) বিবেচিত হওয়ায়, এই শক্তিশালী আইনি কাঠামোর অভাব বাংলাদেশকে বৈশ্বিক বিনিয়োগকারী এবং আন্তর্জাতিক বাণিজ্যিক অংশীদারদের আস্থা হারানোর ঝুঁকিতে ফেলেছিল। এই পদক্ষেপের মাধ্যমে বাংলাদেশ বৈশ্বিক ডিজিটাল বাণিজ্যের মূল মঞ্চে নিজেদের অবস্থান করে নেবে বলে আশা করা হচ্ছে।

ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ-২০২৫:

জাতীয় উপাত্ত ব্যবস্থাপনা অধ্যাদেশ-২০২৫:

‘ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ-২০২৫’ এবং ‘জাতীয় উপাত্ত ব্যবস্থাপনা অধ্যাদেশ-২০২৫’ এর গেজেট প্রকাশ করেছে সরকার। গতকাল শনিবার দিবাগত রাতে প্রধান উপদেষ্টার ডাক, টেলিযোগাযোগ ও তথ্য প্রযুক্তি বিষয়ক বিশেষ সহকারী ফয়েজ আহমদ তৈয়্যব তাঁর ভেরিফায়েড ফেসবুক অ্যাকাউন্ট থেকে দেওয়া পোস্টে এ কথা জানান। তিনি এই গেজেট প্রকাশকে ‘ডেটা গভর্নেন্স-এর নতুন অধ্যায়ের সূচনা’ বলে অভিহিত করেছেন।

ফেসবুক পোস্টে ফয়েজ আহমদ বলেন, ‘বাংলাদেশের ইতিহাসে প্রথমবারের মতো ব্যক্তিগত উপাত্ত সুরক্ষা এবং ব্যক্তিগত উপাত্ত ব্যবস্থাপনা আইন গেজেট আকারে প্রকাশ হয়েছে। আমরা প্রমাণ করেছি আমরা পারি, নতুন বাংলাদেশ পারে।’

দুই অধ্যাদেশের গেজেট প্রকাশকে ডেটা গভর্নেন্সের নতুন অধ্যায়ের সূচনা বিন্দু হিসেবে উল্লেখ করেছেন ফয়েজ আহমদ। তিনি প্রধান উপদেষ্টাকে অভিনন্দন ও কৃতজ্ঞতা জানিয়েছেন। ফেসবুক পোস্টে তিনি বলেন, ‘স্যারের (প্রধান উপদেষ্টা) নেতৃত্বে ইউরোপীয় ইউনিয়নের জিডিপিআর (জেনারেল ডেটা প্রোটেকশন রেগুলেশন) এর এক দশক পরে হলেও আমরা পেরেছি।’

ফয়েজ আহমদ বলেন, ‘আজকের দিনের আগে এবং পরে, বাংলাদেশের নাগরিকদের উপাত্ত ব্যবস্থাপনা প্রশ্নকে সম্পূর্ণ ভিন্নভাবে ডিল করতে হবে আইনিভাবে। প্ল্যাটফর্ম লায়াবিলিটির দিক থেকে, গোপনীয় এবং সংবেদনশীল ডেটা ব্যবস্থাপনার দিক থেকে, সর্বোপরি উপাত্ত সংগ্রহ, সংরক্ষণ, বিনিময় এবং প্রক্রিয়াজাতকরণের দিক থেকে। মানুষের ডাটা যাচ্ছেতাইভাবে ডিল করা, ডেটা বিক্রি করার বদমাইশি আজ থেকে আইনিভাবে শেষ হলো।’

বিশেষ সহকারী অভিযোগ করে বলেন, ‘এটা নিয়ে আওয়ামী লীগের মদদ পুষ্ট ও সহযোগী কোম্পানিগুলো, এবং কিছু ক্ষেত্রে আন্তর্জাতিক প্ল্যাটফর্মগুলো যে দুর্বৃত্তপনা, ব্যক্তিগত গোপনীয়তার ঘোরতর লঙ্ঘন, যে নিরাপত্তাহীনতা এবং ডার্ক ওয়েবে ব্যক্তিগত ডাটা বিক্রির যে অনাচার বাংলাদেশে তৈরি করেছে, আজ থেকে তার কবর রচিত হলো।’

নতুন দুই অধ্যাদেশের ফলে ব্যক্তির তথ্য উপাত্ত নিয়ে জবাবদিহিহীন আদান-প্রদান এবং অবৈধ ব্যবসা আজ থেকে আইনিভাবে রহিত হলো বলে উল্লেখ করেন ফয়েজ আহমদ। এর মাধ্যমে প্ল্যাটফর্মগুলোর যৌক্তিক আচরণের অধ্যায়ও শুরু হলো বলে জানান তিনি। ফয়েজ আহমদ মনে করেন, নতুন দুই অধ্যাদেশের ফলে বাংলাদেশের ডেটা সার্বভৌমত্বকে লঙ্ঘন করে কেউ ডিজিটাল ব্যবসা করতে পারবে না।

বিশেষ সহকারী জানান, অধ্যাদেশ দুটোর কাজ বন্ধ করতে দেশ বিদেশ থেকে নানা প্রচেষ্টা চালানো হয়েছিল। তিনি বলেন, ‘ডেটা গভর্নেন্স আইন থামাতে, ব্যক্তিগত উপাত্ত সুরক্ষা আইন বন্ধ করতে-আমাদের এসব কাজকে ডিলিজিটিমেট করতে দেশ-বিদেশ থেকে সংঘবদ্ধভাবে প্রোপাগান্ডা চালানো হয়েছে। এ জন্য আমাকে এবং আমার টিমকে প্রচণ্ড রকম যুদ্ধ করতে হয়েছে, অনেক যন্ত্রণা দেওয়া হয়েছে, এবং অপবাদ দেওয়া হয়েছে, আমরা সেগুলোতে থেমে যাইনি। বরং যারা এসব করেছে, তাদের মুখোশ উন্মোচন করা হবে আগামীতে। অত্যন্ত শক্তিশালী এক মোরাল নিয়ে আমরা যে কাজ করছি, এটা তাদের আবারও প্রমাণ করে ছেড়েছি।’

আইনটি কী পরিবর্তন আনবে?

আইসিটি উপদেষ্টা তাঁর পোস্টে উল্লেখ করেন, এই আইনের ফলে বাংলাদেশের নাগরিকদের উপাত্ত ব্যবস্থাপনার বিষয়টি আইনিভাবে সম্পূর্ণ ভিন্নমাত্রা পাবে। তিনি বলেন, ‘প্ল্যাটফর্ম লায়াবিলিটির দিক থেকে, গোপনীয় এবং সংবেদনশীল ডেটা ব্যবস্থাপনার দিক থেকে, সর্বোপরি উপাত্ত সংগ্রহ, সংরক্ষণ, বিনিময় এবং প্রক্রিয়াজাতকরণের দিক থেকে’ এই পরিবর্তন আসবে।

কেন এই আইন জরুরি?

বর্তমান বিশ্ব সম্পূর্ণরূপে ডেটানির্ভর। অনলাইন ব্যাংকিং, স্বাস্থ্যসেবা, ই-কমার্স এবং বায়োমেট্রিক নিবন্ধনের মতো সব ডিজিটাল কার্যক্রমে বাংলাদেশের নাগরিকদের অংশগ্রহণ দ্রুত বেড়েছে। কিন্তু দীর্ঘদিন ধরে একটি সমন্বিত ডেটা সুরক্ষা আইন না থাকায় ব্যক্তিগত উপাত্ত ফাঁস বা অপব্যবহারের বিরুদ্ধে কার্যকর প্রতিকার পাওয়ার সুযোগ সীমিত ছিল। এই অধ্যাদেশ সেই দীর্ঘদিনের শূন্যতা পূরণের লক্ষ্যে তৈরি। এটি উপাত্তের গোপনীয়তাকে ব্যক্তির মর্যাদা, নিরাপত্তা ও জাতীয় সার্বভৌমত্বের সঙ্গে সম্পর্কিত একটি মৌলিক অধিকার হিসেবে স্বীকৃতি দিচ্ছে।

ভারত (২০২৩ সালে ডিজিটাল পারসোনাল ডেটা প্রোটেকশন আইন), সিঙ্গাপুর (২০১২ সালের আইন), জাপান, দক্ষিণ কোরিয়া, ও থাইল্যান্ডসহ এশিয়ার বহু দেশ যখন দ্রুত গতিতে এই ধরনের আইন তৈরি করছে, তখন বাংলাদেশের এই পদক্ষেপ অত্যন্ত সময়োপযোগী। আন্তর্জাতিক অঙ্গনে ইউরোপীয় ইউনিয়নের জিডিপিআর (GDPR) এখনো ডেটা সুরক্ষার আদর্শ হিসেবে বিবেচিত, যা বৈশ্বিক বিনিয়োগ এবং বাণিজ্যের জন্য অপরিহার্য। এই শক্তিশালী আইনি কাঠামো ছাড়া বাংলাদেশ শুধু নাগরিকদের সুরক্ষা নয়, আন্তর্জাতিক বিনিয়োগকারীদের আস্থা হারানোর ঝুঁকিতেও থাকত।

অধ্যাদেশের পরিধি ও প্রধান সংজ্ঞা

এই অধ্যাদেশটি বাংলাদেশের অভ্যন্তরে ব্যক্তিগত উপাত্ত প্রক্রিয়াকরণকারী সরকারি, বেসরকারি ও স্বায়ত্তশাসিত সংস্থাগুলোর ক্ষেত্রে প্রযোজ্য হবে। বিদেশে অবস্থানকারী বাংলাদেশি নাগরিকদের উপাত্ত পরিচালনাকারী সংস্থাগুলোর জন্যও এটি বাধ্যতামূলক।

ব্যক্তিগত উপাত্ত: এমন উপাত্ত, যা একজন ব্যক্তিকে শনাক্ত করতে পারে—যার মধ্যে রয়েছে নাম, ঠিকানা, আর্থিক উপাত্ত, অবস্থান, স্বাস্থ্য বিবরণ, জেনেটিক, বায়োমেট্রিক উপাত্ত এবং অন্যান্য তথ্য।

সংবেদনশীল উপাত্ত: বায়োমেট্রিকস, ধর্ম, বর্ণ, রাজনৈতিক সম্পৃক্ততা, ট্রেড ইউনিয়ন সদস্যপদ, যৌন অভিমুখিতা, স্বাস্থ্য বা আইনি বিষয় সম্পর্কিত তথ্য। এই ধরনের উপাত্ত প্রক্রিয়াকরণের জন্য কঠোর নিরাপত্তাব্যবস্থা ও স্পষ্ট সম্মতি প্রয়োজন।

উপাত্ত জিম্মাদার (Data Fiduciary): যিনি ব্যক্তিগত উপাত্ত প্রক্রিয়াকরণের উদ্দেশ্য নির্ধারণ করেন বা এই প্রক্রিয়াকরণের তত্ত্বাবধান করেন।

উপাত্ত প্রক্রিয়াকারী (Data Processor): যিনি উপাত্ত জিম্মাদারের পক্ষে ব্যক্তিগত উপাত্ত প্রক্রিয়াকরণ করেন।

নাগরিকের অধিকার: সম্মতিই মূল ভিত্তি

অধ্যাদেশের মূল ভিত্তি হলো 'সম্মতি' এবং 'স্বচ্ছতা'। কোনো ব্যক্তির ব্যক্তিগত উপাত্ত সংগ্রহ বা প্রক্রিয়াকরণের আগে তাকে অবশ্যই জানাতে হবে এবং তার স্পষ্ট সম্মতি নিতে হবে। এই সম্মতি হতে হবে নির্দিষ্ট, স্বতঃসিদ্ধ ও স্বচ্ছ।

১. জানার অধিকার: উপাত্তধারীদের জানানো বাধ্যতামূলক যে তাদের উপাত্ত কেন সংগ্রহ করা হচ্ছে, কীভাবে ব্যবহৃত হবে এবং কতদিন সংরক্ষণ করা হবে।

২. প্রত্যাহারের অধিকার: কোনো ব্যক্তি যেকোনো সময় তাদের সম্মতি প্রত্যাহার করতে পারেন, এবং সম্মতি প্রত্যাহার করলে ডেটা নিয়ন্ত্রকদের সঙ্গে সঙ্গে সংশ্লিষ্ট উপাত্ত প্রক্রিয়াকরণ বন্ধ করতে হবে।

৩. শিশুদের সুরক্ষা: এই অধ্যাদেশ শিশুদের উপাত্ত প্রক্রিয়াকরণের ওপর কঠোর বিধিনিষেধ আরোপ করেছে। শিশুদের লক্ষ্যভিত্তিক বিজ্ঞাপন, প্রোফাইলিং বা আচরণগত নজরদারি সুস্পষ্টভাবে নিষিদ্ধ করা হয়েছে। এ ক্ষেত্রে পিতামাতা বা আইনি অভিভাবকের কাছ থেকে সম্মতি নিতে হবে।

জাতীয় ডেটা গভর্নেন্স অথরিটি (NDGA): নতুন তদারকি সংস্থা

আইনের কার্যকর প্রয়োগ নিশ্চিত করার জন্য জাতীয় ডেটা গভর্নেন্স অথরিটি (এনডিজিএ) প্রতিষ্ঠার আহ্বান জানানো হয়েছে। এই স্বাধীন সংস্থা সম্মতি পর্যবেক্ষণ, নির্দেশিকা জারি, তদন্ত পরিচালনা এবং নাগরিকদের অভিযোগ দেখভালের দায়িত্ব পাবে।

এনডিজিএ উপাত্ত জিম্মাদারদের নিবন্ধন ও শ্রেণিবিন্যাস করবে, নিরীক্ষা পরিচালনা করবে এবং নিয়ম লঙ্ঘনের ক্ষেত্রে জরিমানা আরোপ করার ক্ষমতা রাখবে।

কঠোর শাস্তি ও করপোরেট জবাবদিহি

অধ্যাদেশের নবম অধ্যায়ে ব্যক্তিগত উপাত্ত অধিকার লঙ্ঘনের ক্ষেত্রে কঠোর দণ্ডের বিধান রাখা হয়েছে।

• অপরাধ: ব্যক্তিগত উপাত্তের অননুমোদিত সংগ্রহ, ব্যবহার, হস্তক্ষেপ, আহরণ বা প্রকাশ।
• দণ্ড: দোষী ব্যক্তি বা প্রতিষ্ঠানের সর্বোচ্চ সাত বছর কারাদণ্ড, সর্বোচ্চ ২০ লাখ টাকা জরিমানা, অথবা উভয় দণ্ড হতে পারে। অপরাধের মাত্রা অনুযায়ী দণ্ডের পরিমাণ পরিবর্তিত হতে পারে।
• করপোরেট দায়: যদি কোনো কোম্পানি অপরাধ করে, তবে পরিচালক, ব্যবস্থাপক বা দায়িত্বশীল কর্মকর্তারা ব্যক্তিগতভাবে দায়ী থাকবেন, যদি না তারা প্রমাণ করতে পারেন যে যথাযথ সতর্কতা অবলম্বন করেছেন।

এতে উপাত্ত লঙ্ঘনের (Data Breach) ঘটনা ঘটলে তা দ্রুত কর্তৃপক্ষকে জানানো বাধ্যতামূলক করা হয়েছে।

আন্তসীমান্ত উপাত্ত স্থানান্তর ও বাস্তবায়ন

বিশ্বব্যাপী ডেটার অবাধ প্রবাহের পরিপ্রেক্ষিতে অধ্যাদেশে আন্তসীমান্ত ডেটা স্থানান্তরের শর্তাবলি নির্ধারণ করা হয়েছে। ব্যক্তিগত উপাত্ত শুধু তখনই বাংলাদেশ থেকে বাইরে স্থানান্তর করা যাবে, যদি গ্রহীতা দেশ বা প্রতিষ্ঠান একই সুরক্ষার মান নিশ্চিত করতে পারে। এই ধারা বাংলাদেশের উপাত্ত সার্বভৌমত্ব রক্ষার পাশাপাশি দেশকে আন্তর্জাতিক ডিজিটাল বাণিজ্য নেটওয়ার্কের সঙ্গে সংযুক্ত করবে।

বাস্তবায়নের সময়সীমা:

ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ, ২০২৫-এর কিছু ধারা সরকারি গেজেট প্রকাশের ১৮ মাস পর কার্যকর হবে। এই গ্রেস পিরিয়ড বা সময়টুকু সংস্থাগুলোকে তাদের অভ্যন্তরীণ প্রক্রিয়া, সাইবার নিরাপত্তা অবকাঠামো এবং কর্মীদের প্রশিক্ষণ দিয়ে নতুন আইনের সঙ্গে নিজেদের মানিয়ে নিতে সাহায্য করবে। এই সময়ের পরও নিয়ম মেনে চলতে ব্যর্থ হলে কঠোর প্রশাসনিক জরিমানা বা অন্যান্য আইনি ব্যবস্থা নেওয়া হবে।