इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (एमईआईटीवाई) ने एक एडवाइजरी जारी कर वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवा प्रदाताओं और अन्य मध्यस्थों को भारतीय नागरिकों की व्यक्तिगत जानकारी लीक करने वाली वेबसाइटों तक पहुंच को तुरंत ब्लॉक करने का निर्देश दिया है।
11 दिसंबर की तारीख वाली और पहली बार लिंक्डइन पर एक MeitY अधिकारी द्वारा पोस्ट की गई एडवाइजरी, कथित तौर पर सहमति के बिना नाम, मोबाइल नंबर, पते और अन्य विवरण उजागर करने के लिए proxyearth.org और Leakdata.org जैसी साइटों को चिह्नित करती है। इसमें कहा गया है कि वेबसाइटें उपयोगकर्ताओं को “पूर्ण नाम, पता, वैकल्पिक नंबर और ईमेल आईडी सहित जानकारी तक पहुंचने के लिए कोई भी भारतीय मोबाइल नंबर दर्ज करने की अनुमति दे रही हैं।” MeitY के एक वरिष्ठ अधिकारी ने HT को सलाह की प्रामाणिकता की पुष्टि की।
अपनी सलाह में, सरकार ने चेतावनी दी है कि ऐसी वेबसाइटें, “भारतीय उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम पैदा करती हैं… क्योंकि वेबसाइट उपयोगकर्ताओं की अनुमति के बिना उनकी व्यक्तिगत जानकारी तक सार्वजनिक पहुंच की अनुमति देती है।” मंत्रालय का कहना है कि ये साइटें अभी भी वीपीएन सेवाओं के माध्यम से पहुंच योग्य हो सकती हैं, जिससे वीपीएन प्रदाताओं द्वारा कार्रवाई आवश्यक हो जाती है।
एडवाइजरी बिचौलियों को सूचना प्रौद्योगिकी (आईटी) अधिनियम, 2000 और आईटी नियम, 2021 के तहत उनके दायित्वों की याद दिलाती है, जिसमें यह सुनिश्चित करने के लिए “तत्काल और प्रभावी कार्रवाई” करने की आवश्यकता भी शामिल है कि गैरकानूनी या गोपनीयता का उल्लंघन करने वाली सामग्री उनके प्लेटफार्मों पर होस्ट या साझा नहीं की जाती है। अनुपालन में विफलता के कारण कंपनियों को आईटी अधिनियम की धारा 79 के तहत अपनी सुरक्षित-आश्रय सुरक्षा खोनी पड़ सकती है, और उल्लंघन पर आईटी अधिनियम और भारतीय न्याय संहिता, 2023 के तहत कार्रवाई हो सकती है।
“स्थिति की गंभीर प्रकृति” का हवाला देते हुए, MeitY ने “जोर देकर दोहराया है,” कि वीपीएन सेवाओं और मध्यस्थों को ऐसी वेबसाइटों की “पहुंच की अनुमति न देने के लिए उचित प्रयास करना चाहिए”। एडवाइजरी यह भी दोहराती है कि बिचौलियों को कानून-प्रवर्तन और साइबर-सुरक्षा एजेंसियों को “निर्धारित समय सीमा के भीतर” जानकारी या सहायता प्रदान करनी होगी।
MeitY का मानना है कि आईटी नियम, सीईआरटी-इन प्रक्रियाएं और डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम सहित मौजूदा ढांचे बड़े पैमाने पर लीक को रोकने के लिए पर्याप्त हैं। यह सलाह क्यों जारी की गई, इस पर एमईआईटीवाई सचिव एस कृष्णन ने कहा कि उन्हें पता चला है कि भारतीयों का व्यक्तिगत डेटा भारत के बाहर कुछ वेबसाइटों पर उपलब्ध कराया जा रहा है।
हाल के वर्षों में भारत में लोगों को प्रभावित करने वाले कई बड़े डेटा उल्लंघन देखे गए हैं। 2025 में, ज़ूमकार ने लगभग 8.4 मिलियन उपयोगकर्ताओं को प्रभावित करने वाले उल्लंघन की सूचना दी, जिससे व्यक्तिगत विवरण उजागर हो गए। उसी वर्ष, Adda हाउसिंग-सोसाइटी ऐप के उल्लंघन से 18 लाख से अधिक उपयोगकर्ताओं का डेटा उजागर हो गया। इसके अलावा 2025 में, भारतीय कृषि अनुसंधान परिषद (ICAR) को एक साइबर हमले का सामना करना पड़ा जिसने भर्ती और अनुसंधान प्रणालियों को बाधित कर दिया।
एक साइबर सुरक्षा विशेषज्ञ ने कहा कि सरकार का कदम न केवल तकनीकी रूप से ऐसी लीक-होस्टिंग वेबसाइटों तक पहुंच को अवरुद्ध करने के बारे में है, बल्कि बिचौलियों पर कानूनी जिम्मेदारी डालने के बारे में भी है। आईआईआईटी हैदराबाद के निदेशक संदीप के शुक्ला ने कहा, “यही कारण है कि मंत्रालय न केवल इन साइटों पर प्रतिबंध लगा रहा है बल्कि आईएसपी और वीपीएन सेवा प्रदाताओं जैसे मध्यस्थों को याद दिला रहा है कि यदि ऐसी सेवाएं उनके द्वारा होस्ट की जाती हैं तो वे उत्तरदायी होंगे।”
उनके अनुसार, यह पूरी तरह से प्रौद्योगिकी-आधारित के बजाय नियम-आधारित प्रतिबंध के समान है। केवल तकनीक वाले दृष्टिकोण के लिए विशिष्ट यूआरएल को ब्लॉक करने के लिए आईएसपी और वीपीएन की आवश्यकता होगी। लेकिन, उन्होंने कहा, “नियम आधारित प्रतिबंध का मतलब है कि इन सेवा प्रदाताओं को जिम्मेदार ठहराया जाएगा यदि वे समान प्रकृति की किसी भी साइट को ब्लॉक नहीं करते हैं, जिसमें इन्हें प्रतिबिंबित करने वाली साइटें भी शामिल हैं।” इसका उद्देश्य उस तरह से निपटना है जिस तरह से ऐसी वेबसाइटें मिरर और बैकअप के माध्यम से बार-बार सामने आती हैं।
उन्होंने कहा कि यह प्रभावी रूप से आईएसपी और वीपीएन प्रदाताओं पर एक लंबा आदेश देता है, जो आम तौर पर उनके द्वारा होस्ट की जाने वाली वेबसाइटों की सामग्री की जांच नहीं करते हैं। उन्होंने कहा, “आम तौर पर ऐसे मध्यस्थ अपने द्वारा होस्ट की जाने वाली साइटों की सामग्री की जांच नहीं करते हैं, लेकिन अब इस तरह की सामग्री के लिए उन्हें जांच करनी होगी… उसी तरह वे यह जांचने के लिए बाध्य हैं कि जिन साइटों को वे होस्ट करते हैं, वे सीएसएएम या इसी तरह की सामग्री परोस रहे हैं या नहीं।”
