मुख्य तथ्य
- आईआरएस ने करदाताओं को प्रमाणित करने के लिए चेहरे की पहचान का उपयोग करने की योजना को छोड़ दिया है।
- विभाग अब अपनी अब वापस ले ली गई योजना की सुरक्षा/गोपनीयता के प्रभावों से अवगत है।
-
सुरक्षा और गोपनीयता विशेषज्ञों ने कई व्यवहार्य गोपनीयता-सम्मान विकल्पों का सुझाव दिया है।
किसी व्यक्ति की पहचान सत्यापित करने के लिए चेहरे की पहचान का उपयोग करना, आईआरएस की अब याद की गई योजना के अनुसार, कभी भी सही दृष्टिकोण नहीं था, सुरक्षा और गोपनीयता विशेषज्ञों का कहना है।
आईआरएस के इस कदम की घोषणा के समय से ही निजता के पैरोकारों की आलोचना हो रही थी। 7 फरवरी, 2022 को, कई सांसदों ने आईआरएस से अपने फैसले को उलटने का आग्रह करते हुए कोरस में शामिल हो गए, जो कि विभाग ने जल्द ही किया, इसके बजाय अन्य विकल्पों का पता लगाने का वादा किया।
"आईआरएस करदाताओं की गोपनीयता और सुरक्षा को गंभीरता से लेता है, और हम उन चिंताओं को समझते हैं जो उठाई गई हैं," आईआरएस आयुक्त चक रेटिग ने निर्णय को दोहराते हुए कहा। "हर किसी को इस बात से सहज महसूस करना चाहिए कि उनकी व्यक्तिगत जानकारी कैसे सुरक्षित है, और हम जल्दी से अल्पकालिक विकल्पों का अनुसरण कर रहे हैं जिनमें चेहरे की पहचान शामिल नहीं है।"
चेहरा बचाना
एजेंसी ने ID.me से प्रमाणीकरण तकनीक का उपयोग करने की योजना बनाई थी और उपयोगकर्ताओं को अपने ऑनलाइन खातों तक पहुंचने के लिए कंपनी को वीडियो सेल्फी जमा करने के लिए कहा था।
कोबाल्ट में डिलीवरी के वरिष्ठ निदेशक जे पाज़ ने ईमेल पर लाइफवायर को बताया कि जहां बायोमेट्रिक्स हमारे दैनिक जीवन का हिस्सा बन गया है, स्मार्टफोन और स्मार्ट उपकरणों के लिए धन्यवाद, प्रमाणीकरण के लिए इसका उपयोग स्वैच्छिक रहा है।
“अधिक संवेदनशील प्रणालियों और डेटा के लिए, जैसे कि आईआरएस के पास क्या पहुंच है, प्रौद्योगिकी और प्रक्रियाओं में पारदर्शिता होना महत्वपूर्ण है जो उपयोगकर्ताओं के डेटा को सुरक्षित रखेगी,” पाज़ ने बताया।
ट्रिपवायर में स्ट्रैटेजी के वीपी टिम एर्लिन ने सहमति व्यक्त की और ईमेल के माध्यम से लाइफवायर को बताया कि चेहरे की पहचान तकनीक सामान्य रूप से ध्रुवीकरण कर रही है, कई लोगों के लिए, ऐसे व्यक्तिगत डेटा को प्रबंधित करने के लिए किसी तीसरे पक्ष पर भरोसा करने का विचार अस्वीकार्य है।
"यदि संयुक्त राज्य अमेरिका के पास एक मजबूत गोपनीयता कानून था जो व्यक्तियों की बायोमेट्रिक जानकारी की रक्षा करता था, तो यह एक अलग स्थिति होगी। हालांकि, अमेरिकी नागरिकों के डेटा के लिए किसी भी सुरक्षा के बिना, इस पैमाने पर इस तकनीक को अपनाना होगा गोपनीयता कदाचार, "Lecio DePaula Jr., KnowBe4 में डेटा सुरक्षा के उपाध्यक्ष, ने Lifewire को ईमेल पर बताया।
तब यह तथ्य है कि सभी लोगों के पास बायोमेट्रिक प्रमाणीकरण क्षमताओं तक पहुंच नहीं है, टेसियन में थ्रेट इंटेलिजेंस के प्रमुख पॉल लॉडांस्की ने ईमेल पर लाइफवायर को बताया।उन्होंने तर्क दिया कि यह कई कारकों के कारण हो सकता है, जैसे विश्वसनीय इंटरनेट सेवाओं या संगत कैमरों और सेंसर वाले उपकरणों तक पहुंच की कमी।
व्यवहार्य विकल्प
डीपौला जूनियर का मानना है कि आईआरएस की योजना उन स्थितियों में से एक थी जहां साध्य साधनों को सही नहीं ठहराता।
"पोर्टल मजबूत पासवर्ड आवश्यकताओं के साथ-साथ अंतिम उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण का लाभ उठाकर उतना ही सुरक्षित हो सकता है, जो बिना आवश्यकता के पोर्टल को सुरक्षित करने का एक अधिक सस्ता, कम दखल देने वाला और निष्पक्ष तरीका है। तीसरे पक्ष का लाभ उठाने के लिए," उन्होंने कहा।
पाज़ ऐसे माध्यमिक पहचान सत्यापन विधियों के पक्ष में है, विशेष रूप से Google प्रमाणक जैसे समय-आधारित वन-टाइम पासवर्ड ऐप्स का उपयोग। वैकल्पिक रूप से, उन्होंने सुझाव दिया कि आईआरएस उपयोगकर्ताओं को एसएमएस कोड टेक्स्ट करने के लिए सत्यापित फोन नंबरों का उपयोग करने का भी प्रयास कर सकता है, जो शायद सभी उम्र के लगभग सभी उपयोगकर्ताओं के लिए उपलब्ध सबसे व्यापक रूप से सुलभ समाधान है।
"अधिक संवेदनशील प्रणालियों और डेटा के लिए… प्रौद्योगिकी और प्रक्रियाओं में पारदर्शिता होना महत्वपूर्ण है जो उपयोगकर्ताओं के डेटा की सुरक्षा करेगी।"
इससे पहले कि यह एक समाधान पर शून्य हो, हालांकि, डेरेन कूपर, सीटीओ, ईग्रेस ने ईमेल के माध्यम से लाइफवायर को समझाया, आईआरएस को यह सुनिश्चित करना होगा कि वह जिस तंत्र का चयन करता है वह एक्सेसिबिलिटी मुद्दों को पेश किए बिना करदाता डेटा की रक्षा कर सकता है।
उन्होंने सुझाव दिया कि यदि विभाग उच्च स्तर की सुरक्षा को प्राथमिकता देना चाहता है, तो वे व्यक्तिगत प्रमाणीकरण के भौतिक साधनों जैसे कि RSA सुरक्षा कुंजी का उपयोग कर सकते हैं। हालाँकि, यह विधि तार्किक रूप से जटिल है। एसएमएस प्रमाणीकरण एक संभावित कम जटिल विकल्प है, लेकिन कूपर ने कहा कि यह तभी काम करेगा जब विभाग के पास सभी के लिए एक ज्ञात मोबाइल नंबर हो।
"आईआरएस को सेवा का उपयोग करने से पहले अपनी पहचान की पुष्टि करने के लिए उपयोगकर्ता के साथ पूर्व बातचीत की आवश्यकता पर भी विचार करना चाहिए। उदाहरण के लिए, उन्हें आवश्यकता हो सकती है कि करदाता अद्वितीय आईडी विवरण दर्ज करें, जैसे कि सामाजिक सुरक्षा या पासपोर्ट नंबर, जिसे ऑनलाइन लॉगिन जारी होने से पहले आईआरएस द्वारा आंतरिक रूप से जांचा जा सकता है।यहां लॉजिस्टिक ओवरहेड अधिक है लेकिन यह सुनिश्चित करता है कि उच्च स्तर की सुरक्षा हासिल की जा सके, "कूपर ने सुझाव दिया।
हालांकि आईआरएस ने अपने द्वारा खोजे जा रहे विकल्पों को सूचीबद्ध नहीं किया है, स्पष्ट रूप से, विकल्पों की कोई कमी नहीं है।
यहां तक कि जब उन्होंने सामूहिक रूप से अपने निर्णय को उलटने के लिए आईआरएस की सराहना की, सुरक्षा विशेषज्ञ सरकार में अन्य लोगों को इंगित करते हैं, विशेष रूप से वेटरन्स अफेयर्स विभाग, अभी भी पहचान सत्यापन उद्देश्यों के लिए उसी अंतर्निहित चेहरे की पहचान सेवा का उपयोग करते हैं।
यह कुछ ऐसा है जिसके बारे में डीपौला जूनियर अच्छी तरह से जानते हैं और उम्मीद करते हैं कि आईआरएस "सही दिशा में आगे बढ़ना शुरू कर देता है, क्योंकि एक बार एक सरकारी एजेंसी एक मानक अपना लेती है, तो दूसरे उसका पालन करना शुरू कर देते हैं।"
