早在5月,印度宣佈瞭一套新的嚴格規定,其要求VPN和雲服務供應商記錄其客戶的數據並跟政府分享。雖然修改後的規定本應於6月27日生效,但現在已經推遲瞭三個月。
這些有爭議的規定強制要求VPN供應商收集以下信息:
姓名、電子郵件地址和電話號碼
客戶使用VPN服務的目的
分配給客戶的IP地址和客戶用來註冊服務的IP地址
客戶的“所有權模式”
包括日期在內的租用期限
該條例影響到數據中心、VPN、虛擬私人服務器(VPS)和雲服務供應商,那些拒絕遵守的人可能面臨一年以下的監禁。印度計算機應急小組(CERT)的這一指令面臨來自消費者和受影響供應商的許多批評。事實上,ExpressVPN拒絕遵守規則,其已經將其服務器從該國撤出。
據瞭解,該規定推遲三個月的原因是為瞭使受影響的公司能夠適應新的指導方針,甚至考慮完全放棄在該國的業務的選擇。
在給CERT的一封聯名信中,當地網絡安全專傢對新法規的危險性發出警告:
目前的指示將產生削弱網絡安全及其關鍵組成部分--在線隱私的意外後果。我們認識到需要一個框架來管理網絡事件的報告,但《Directions》中規定的報告時限和過度的數據保留任務,將在實踐中產生負面影響並阻礙有效性,與此同時還會危及在線隱私和安全。
印度政府方面拒絕在其立場上做出讓步,立法者表示他們不會屈服於外部壓力也不會就此事進行公開咨詢。在推遲之後,新規則將從2022年9月25日開始生效。