印度正在推进新的网络安全规则,要求云服务提供商和VPN运营商保存客户的姓名及其IP地址,并建议不愿遵守的公司退出全球第二大互联网市场。
新规概述
印度计算机应急响应小组(CERT-In)在周三明确表示,“虚拟专用服务器(VPS)提供商、云服务提供商、VPN服务提供商、虚拟资产服务提供商、虚拟资产交易所提供商、保管钱包提供商及政府机构”需遵循名为网络安全指令的规定,要求他们保存客户的姓名、电子邮件地址、IP地址、客户身份识别记录及财务交易记录,保存期限为五年。
企业VPN的豁免
政府机构进一步澄清,新规则将不适用于企业和公司VPN。尽管如此,许多VPN提供商对印度的新网络安全规则表示担忧。著名的VPN运营商NordVPN曾表示,如果“没有其他选择”,可能会撤回其在印度的服务。
隐私问题
其他服务提供商,如ExpressVPN和ProtonVPN,也表达了他们的担忧。ProtonVPN表示:“新的印度VPN规定对隐私构成了攻击,并威胁将公民置于监视之下。我们将继续坚持我们的无日志政策。”
政府的立场
印度初级信息技术部长Rajeev Chandrasekhar表示,想要隐瞒使用其服务的用户的VPN提供商“将不得不退出”。他还表示,关于这些规则将不会进行公众咨询。
新德里还没有放松一项新规定,要求公司在发现安全漏洞(如数据泄露)后六小时内报告事件。Chandrasekhar表示,印度在给予公司六小时报告安全事件的时间方面“非常慷慨”,并指出印度尼西亚和新加坡等国家有更严格的要求。
网络安全的复杂性
他强调:“如果你看看全球的先例,并理解网络安全是一个非常复杂的问题,多个事件的情境意识让我们能够理解其背后的更大力量——准确、及时、强制地报告是CERT和政府确保互联网始终安全的绝对必要部分。”
用户隐私的担忧
本月早些时候,总部位于新德里的数字权利倡导组织互联网自由基金会表示,这些新指令模糊不清,破坏了用户隐私和信息安全,“与CERT的任务相悖。”
然而,许多人为某些变更的合理性辩护。“由于印度报告了大规模的数据泄露,CERT-In承受了很大压力。大多数泄露事件被公司否认,尽管有其任务,CERT-In从未对这些报告采取行动,”研究员Srinivas Kodali表示。
例如,塔塔旗下的印度在线杂货商BigBasket在2020年底遭遇了一次声称的数据泄露,泄露了约2000万用户的姓名、地址和电话号码。许多用户确认,流传的数据确实看起来真实,因为他们在数据泄露中找到了自己的信息。BigBasket对此事保持沉默。
结论
随着印度新网络安全规则的实施,VPN服务提供商面临着重大挑战,而用户的隐私和信息安全问题也引发了广泛的讨论。尽管某些企业可能寻求遵守这些新规,但对于许多VPN提供商来说,保持用户隐私的承诺将可能促使他们重新考虑在印度的运营。
