印度正在推動新的網路安全規則,要求雲端服務供應商和VPN營運商保存客戶的姓名及其IP位址,並建議不願遵守的公司退出全球第二大網路市場。
新規概述
印度電腦緊急應變小組(CERT-In)在周三明確表示,「虛擬專用伺服器(VPS)供應商、雲端服務供應商、VPN服務提供者、虛擬資產服務提供者、虛擬資產交易所提供者、保管錢包提供者及政府機構」需遵循名為網路安全指示的規定,要求他們保存客戶的姓名、電子郵件地址、IP位址、客戶識別記錄及財務交易記錄,保存期限為五年。
企業VPN的豁免
政府機構進一步澄清,新規則將不適用於企業和公司VPN。儘管如此,許多VPN提供者對印度的新網路安全規則表示擔憂。著名的VPN運營商NordVPN曾表示,如果“沒有其他選擇”,可能會撤回其在印度的服務。
隱私問題
其他服務提供者,如ExpressVPN和ProtonVPN,也表達了他們的擔憂。 ProtonVPN表示:“新的印度VPN法規對隱私構成了攻擊,並威脅將公民置於監視之下。我們將繼續堅持我們的無日誌政策。”
政府的立場
印度初級資訊技術部長Rajeev Chandrasekhar表示,想要隱瞞使用其服務的用戶的VPN提供者「將不得不退出」。他也表示,關於這些規則將不會進行公眾諮詢。
新德里還沒有放鬆一項新規定,要求公司在發現安全漏洞(如資料外洩)後六小時內報告事件。 Chandrasekhar表示,印度在給予公司六小時報告安全事件的時間方面“非常慷慨”,並指出印尼和新加坡等國家有更嚴格的要求。
網路安全的複雜性
他強調:「如果你看看全球的先例,並理解網路安全是一個非常複雜的問題,多個事件的情境意識讓我們能夠理解其背後的更大力量——準確、及時、強制地報告是CERT和政府確保互聯網始終安全的絕對必要部分。
用戶隱私的擔憂
本月早些時候,總部位於新德里的數位權利倡導組織互聯網自由基金會表示,這些新指令模糊不清,破壞了用戶隱私和資訊安全,“與CERT的任務相悖。”
然而,許多人為某些變更的合理性辯護。 「由於印度報告了大規模的數據洩露,CERT-In承受了很大壓力。大多數洩露事件被公司否認,儘管有其任務,CERT-In從未對這些報告採取行動,」研究員Srinivas Kodali表示。
例如,塔塔旗下的印度線上雜貨商BigBasket在2020年底遭遇了一次聲稱的資料洩露,洩露了約2,000萬名用戶的姓名、地址和電話號碼。許多用戶確認,流傳的資料確實看起來真實,因為他們在資料外洩中找到了自己的資訊。 BigBasket對此事保持沉默。
結論
隨著印度新網路安全規則的實施,VPN服務供應商面臨重大挑戰,而用戶的隱私和資訊安全問題也引發了廣泛的討論。儘管某些企業可能尋求遵守這些新規,但對於許多VPN提供者來說,保持用戶隱私的承諾將可能促使他們重新考慮在印度的營運。
