Privacy, Security नहीं है: तकनीकी अंग्रेज़ी का वह जाल जो मायने रखता है

एक app गर्व से घोषणा करता है, "Your data is secure," और आप राहत महसूस करते हैं, सोचते हुए, "बढ़िया, तो यह private भी है।" पर ये दो अलग-अलग वादे हैं। एक कंपनी आपके डेटा को मज़बूत दीवारों के पीछे ताला लगा सकती है (security) और फिर भी उसे दर्जनों दूसरी कंपनियों के साथ साझा कर सकती है (कोई privacy नहीं)। दोनों शब्द एक ही गर्मजोश आश्वासन जैसे लगते हैं, और ठीक यही वजह है कि ये आपस में मिल-जुल जाते हैं।

इन शब्दों को सही करना सिर्फ़ छिद्रान्वेषण नहीं है। यह अंतर तय करता है कि "we protect your data" का असल में मतलब "we won't sell it" है या सिर्फ़ "outsiders can't break in" है। ये बहुत अलग वादे हैं।

इन्हें ज़िंदगी भर अलग रखने का एक सरल तरीक़ा यह है: security दरवाज़े के बारे में है, privacy मेहमान सूची के बारे में है। Security पूछती है, "क्या ग़लत लोग अंदर आ सकते हैं?" Privacy पूछती है, "जिन लोगों को अंदर आने की इजाज़त है, उनमें से कौन जो देखता है उसके साथ क्या कर सकता है?" दो अलग सवाल, दो अलग जवाब, और एक कंपनी एक में पास हो सकती है जबकि दूसरे में फ़ेल।

त्वरित उत्तर

Security हमलों और बिना अनुमति पहुँच से सुरक्षा के बारे में है: घुसपैठियों को बाहर रखना। Privacy इस बारे में है कि आपके डेटा को कौन देख या इस्तेमाल कर सकता है और किस मक़सद के लिए, ख़ुद कंपनी समेत। आप एक ही समय में मज़बूत security और कमज़ोर privacy रख सकते हैं। Security दरवाज़े की रखवाली करती है; privacy तय करती है कि अंदर किसे बुलाया जाए और जो वे पाते हैं उसके साथ क्या कर सकते हैं।

मुख्य शब्द

• Security. हमलों, चोरी, और बिना अनुमति पहुँच से सुरक्षा। ताले, पासवर्ड, बचाव। यह जो सवाल जवाब देती है: क्या ग़लत लोग अंदर आ सकते हैं?
• Privacy. इस पर नियंत्रण कि आपकी जानकारी को कौन देखता या इस्तेमाल करता है और क्यों, उन लोगों समेत जो वैध रूप से उसे रखते हैं। सवाल: किसे देखने की इजाज़त है, और वे उसके साथ क्या कर सकते हैं?
• Confidential. सिर्फ़ ख़ास, अधिकृत लोगों के साथ साझा करने के लिए। एक confidential दस्तावेज़ सबकी नज़रों के लिए नहीं है।
• Anonymous. बिना नाम जुड़े; कोई पहचान उजागर नहीं। आपको डेटा से वापस जोड़ा नहीं जा सकता।
• Encrypted. इस तरह उलझाया गया कि सिर्फ़ सही चाबी वाला ही उसे पढ़ सके। ट्रांज़िट या भंडारण में सुरक्षा।
• Personal data. ऐसी जानकारी जो किसी पहचाने जा सकने वाले व्यक्ति से जुड़ी हो। Privacy नियम आमतौर पर इसी श्रेणी की सबसे ज़्यादा परवाह करते हैं, क्योंकि इसे किसी से वापस बाँधा जा सकता है।
• Consent. डेटा को एक ख़ास तरीक़े से इस्तेमाल करने के लिए आपकी सहमति। एक privacy विचार: यह अनुमति के बारे में है, सुरक्षा के बारे में नहीं। बिना consent मज़बूत security फिर भी एक privacy समस्या है।

आम जाल

एक आम जाल है privacy और security को पर्यायवाची मान लेना। ये ओवरलैप करते हैं, पर ये अलग सवालों के जवाब देते हैं। Security अनधिकृत लोगों को बाहर रखती है। Privacy नियंत्रित करती है कि अधिकृत लोग, ख़ुद कंपनी समेत, आपके डेटा के साथ क्या कर सकते हैं। एक सेवा बेहद सुरक्षित हो सकती है और फिर भी आपकी जानकारी विज्ञापनदाताओं को सौंप सकती है। यह अच्छी security और ख़राब privacy है। उल्टा भी हो सकता है: एक सेवा आपका डेटा साझा न करने का वादा कर सकती है (अच्छे privacy इरादे) पर उसे कमज़ोर ढंग से सुरक्षित रखे (ख़राब security)।

तो जब कोई प्रोडक्ट कहता है "we keep your data secure," तो ग़ौर कीजिए कि यह क्या नहीं कहता। यह इस बारे में चुप है कि कंपनी ख़ुद आपके डेटा को इस्तेमाल या साझा करती है या नहीं। "Secure" एक privacy वादा नहीं है।

Confidential दोनों के साथ उलझ जाता है। Confidential का मतलब है "सिर्फ़ अधिकृत लोगों के साथ साझा करो।" यह privacy के ज़्यादा क़रीब है (कौन देख सकता है) पर प्रतिबंध के इर्द-गिर्द बना है। किसी चीज़ को "confidential" कहना इस बारे में कुछ नहीं कहता कि वह तकनीकी रूप से कितनी अच्छी तरह सुरक्षित है।

Anonymous का व्यापक रूप से बढ़ा-चढ़ाकर दावा किया जाता है। कई लोग मान लेते हैं कि "anonymous" का मतलब है "हमेशा के लिए पूरी तरह अनट्रेसेबल।" व्यवहार में, जो डेटा कथित रूप से anonymous है उसे कभी-कभी दूसरी जानकारी के साथ मिलाने पर किसी व्यक्ति से फिर से जोड़ा जा सकता है। "Anonymous" और "private" एक जैसे नहीं हैं: anonymous का मतलब कोई नाम जुड़ा नहीं; private का मतलब पहुँच नियंत्रित है। आपके पास आपके नाम वाला डेटा हो सकता है जो private रखा जाए, और बिना नाम वाला डेटा जो व्यापक रूप से साझा हो।

सबसे ख़तरनाक जाल है यह मान लेना कि encrypted अपने-आप private होता है। Encryption डेटा को इस तरह उलझाता है कि बाहरी लोग बिना चाबी के उसे पढ़ न सकें, यह एक security उपाय है। पर चाबी रखने वाली कंपनी अक्सर फिर भी उसे पढ़, इस्तेमाल, और साझा कर सकती है। "Encrypted" आपको बाहरी लोगों से सुरक्षा के बारे में बताता है, इस बारे में नहीं कि कंपनी ख़ुद सामग्री के साथ क्या करती है। Encryption शानदार है, पर यह अपने-आप में privacy की गारंटी नहीं।

शब्द consent वहाँ है जहाँ कई लोग बहुत जल्दी सोचना बंद कर देते हैं। वे मान लेते हैं कि अगर डेटा अच्छी तरह सुरक्षित है, तो उनकी इच्छाओं का सम्मान हुआ है। पर सुरक्षा और अनुमति अलग हैं। एक सेवा आपके डेटा की त्रुटिहीन रखवाली कर सकती है और फिर भी उसे ऐसे तरीक़ों से इस्तेमाल कर सकती है जिनके लिए आपने कभी हामी नहीं भरी। "We keep it safe" वही नहीं है जो "we only use it the way you allowed" है। जब आप सुरक्षा के बारे में मज़बूत वादे देखें, तो consent के बारे में वादे अलग से ढूँढिए: आपने असल में किसके लिए हामी भरी, और किस मक़सद के लिए?

किसी भी आश्वस्त करने वाले दावे पर एक त्वरित मानसिक परीक्षण चलाना मददगार है। पूछिए: क्या यह वाक्य घुसपैठियों को बाहर रखने के बारे में है, या इस बारे में कि अंदर वाले क्या करते हैं? "Encrypted," "secure," और "protected" लगभग हमेशा पहले का जवाब देते हैं। "We don't sell your data," "only with your consent," और "we delete it after thirty days" दूसरे का जवाब देते हैं। एक भरोसेमंद वादे को आमतौर पर दोनों हिस्से चाहिए। अगर कोई कथन सिर्फ़ तालों की बात करता है और कभी इस्तेमाल की नहीं, तो वह चुप्पी ही संदेश है।

स्वाभाविक बनाम अटपटे उदाहरण

अटपटा: Your data is secure, so of course it's completely private.

स्वाभाविक: Your data is secure from outsiders; how we use it is a separate question.

कम स्वाभाविक: It's encrypted, which means no one, including the company, can ever use it.

बेहतर: It's encrypted, so outsiders can't read it, though the company may still access it.

अटपटा: This is anonymous, so it can never be traced to anyone.

स्वाभाविक: This is anonymous, meaning no name is attached, though it might still be re-linked in some cases.

अटपटा: We keep your messages confidential, so they're technically unbreakable.

स्वाभाविक: We keep your messages confidential, meaning only authorized people may see them.

कम स्वाभाविक: We protect your data, so we'd never use it without asking.

बेहतर: We protect your data, and we only use it with your consent.

"बेहतर" संस्करण छूटा हुआ आधा हिस्सा जोड़ देता है: सुरक्षा (security) और अनुमति (consent और privacy) दोनों बताए गए हैं, इसलिए वादा आधा-अधूरा होने के बजाय पूरा है।

मिनी तालिका

त्वरित अभ्यास

हर कथन के लिए, उसकी कमी बताइए (यह क्या वादा नहीं करता)। उत्तर नीचे हैं।

1. "Your data is secure." What is left unsaid?
2. "It's encrypted." What might still happen?
3. "This survey is anonymous." What is the caution?
4. "These files are confidential." What does this not tell you?
5. "We protect your privacy." What does this not by itself promise?

संभावित उत्तर:

1. यह इस बारे में कुछ नहीं कहता कि कंपनी आपके डेटा को इस्तेमाल या साझा करती है या नहीं (privacy)।
2. चाबी रखने वाली कंपनी फिर भी उसे पढ़, इस्तेमाल, या साझा कर सकती है।
3. दूसरे डेटा के साथ मिलाने पर इसे लोगों से फिर से जोड़ा जा सकता है।
4. यह नहीं बताता कि फ़ाइलें तकनीकी रूप से कितनी मज़बूती से सुरक्षित हैं।
5. यह बाहरी हमलावरों से मज़बूत सुरक्षा की गारंटी नहीं देता (security)।

निचोड़

Privacy और security एक ही दिलासा देने वाले वादे जैसे लगते हैं, पर ये अलग चीज़ों की रखवाली करते हैं। Security घुसपैठियों को बाहर रखती है; privacy नियंत्रित करती है कि अंदर वाले, कंपनी समेत, आपके डेटा के साथ क्या कर सकते हैं। Encryption बाहरी लोगों के विरुद्ध एक ताला है, privacy की शपथ नहीं। Anonymous का मतलब कोई नाम नहीं, अनट्रेसेबल नहीं। जब आप "secure and protected" जैसी कोई आश्वस्त करने वाली पंक्ति पढ़ें, तो पूछिए कि असल में कौन-सा वादा किया जा रहा है, और कौन-सा चुपके से ग़ायब है। वह एक आदत आपको तकनीकी लेखन का ज़्यादा साफ़ पाठक और गुमराह करने के लिए ज़्यादा कठिन व्यक्ति, दोनों बना देगी।