दो कर्तव्य जो टकराते प्रतीत होते हैं
कानूनी टीमें एक साथ दो कर्तव्य निभाती हैं।
पहला: बाहरी वकीलों, सह-वकीलों और विशेषज्ञों के साथ मास्क किए गए फ़ाइलें साझा करना। क्लाइंट के नाम और तीसरे पक्ष की PII छुपी रहनी चाहिए।
दूसरा: जब कोर्ट आदेश दे तो मूल रिकॉर्ड प्रस्तुत करना। Federal Rules of Civil Procedure फर्मों को उन फ़ाइलों में बदलाव की अनुमति नहीं देते।
सिद्धांत में, दोनों एक साथ चल सकते हैं। मूल प्रतियाँ फर्म के पास रखें। बाहर मास्क की गई प्रतियाँ भेजें।
व्यवहार में, कई फर्में यह गलत करती हैं। वे हार्ड-रिडैक्शन टूल इस्तेमाल करती हैं जो सोर्स डेटा मिटा देते हैं। जो प्रति वे अपने पास रखती हैं वह भी रिडैक्टेड होती है। कोई साफ मूल प्रति नहीं बचती। जब कोर्ट का आदेश आता है, उनके पास देने को कुछ नहीं होता।
स्पोलिएशन का जोखिम
आदेशित रिकॉर्ड न सौंपने को spoliation कहते हैं।
कोर्ट इसके लिए कई तरीकों से दंड दे सकते हैं। वे प्रतिकूल अनुमान आदेश जारी कर सकते हैं। वे साक्ष्य को वर्जित कर सकते हैं। गंभीर मामलों में, वे दावे को खारिज कर सकते हैं या डिफ़ॉल्ट निर्णय दे सकते हैं।
Bloomberg Law के 2025 सर्वेक्षण में पाया गया कि 73% कानूनी फर्में AI टूल का उपयोग बिना यह ट्रैक किए करती हैं कि PII कहाँ जाती है। वही अंधा धब्बा शायद हार्ड-रिडैक्शन टूल पर भी लागू होता है। फर्में डेटा मास्क करती हैं लेकिन उसे वापस लाने का कोई तरीका नहीं रखतीं।
2024 में GDPR जुर्माना 1.2 अरब यूरो तक पहुँचा। खराब डेटा-हैंडलिंग निर्णय की कीमत वास्तविक है।
प्रतिवर्ती समाधान
उत्तर सरल है। हार्ड डिलीशन की जगह प्रतिवर्ती मास्किंग का उपयोग करें।
AES-256-GCM एन्क्रिप्शन निर्धारक है। "John Smith" हर बार एक ही टोकन में बदलता है — पूरी फ़ाइल में और संबंधित फ़ाइलों में भी। कुंजी फ़ाइल से अलग संग्रहीत की जाती है।
मास्क की गई फ़ाइल साझा करें। अगर कोर्ट मूल प्रतियाँ माँगे, तो कुंजी धारक मिनटों में डिक्रिप्ट करके दे सकता है।
यह FRCP Rule 26(b)(5) को भी पूरा करता है, जो privilege logs को नियंत्रित करता है। इसमें फर्मों को दिखाना होता है कि क्या रोका गया, कब, किसके द्वारा, और क्यों। एक क्रिप्टोग्राफ़िक लॉग ठीक यही करता है।
टोकन सिस्टम कैसे काम करता है यह अंत से अंत तक देखें। हमारी अनुपालन समीक्षा पढ़ें यह जानने के लिए कि यह प्रक्रिया कोर्ट की जरूरतों को कैसे पूरा करती है।
एक फार्मा उदाहरण
एक दवा कंपनी एक contract research organization (CRO) के साथ ट्रायल डेटा साझा करती है।
फ़ाइलें फर्म छोड़ने से पहले मरीज़ IDs मास्क हो जाती हैं। CRO साफ डेटा पर काम करती है। जब FDA कच्चे मरीज़ रिकॉर्ड माँगती है, तो compliance टीम उन्हें पूरे ऑडिट ट्रेल के साथ डिक्रिप्ट करके देती है।
ऑडिट के बाद, key rotation CRO की पहुँच समाप्त कर देता है — अतीत और भविष्य के लिए। पूर्व CRO कर्मचारी पुराने रिकॉर्ड तक नहीं पहुँच सकते।
यह dual-compliance मॉडल है: साझाकरण के दौरान डेटा सुरक्षित रखें, कोर्ट या नियामकों के माँगने पर वापस लाएँ।
आपके काम के लिए यह कैसे फिट बैठता है, इसके लिए हमारी सुरक्षा समीक्षा देखें।