印度一项新的网络安全法律将于6月27日生效。新法要求VPN供应商记录客户的个人信息,并根据法律调查要求提供给政府。据悉,一些供应商正在让印度的客户连接到国外的服务器,有的则在考虑将业务完全撤出印度。
VPN,即虚拟专用网络,是指通过公用网络建立的临时连接,可以被用于加密数据、远程访问、更换IP地址等。因此VPN经常被用于绕过政府或机构对IP地址的限制,以访问被屏蔽的网站。
一些VPN供应商指出,政府后门违背了部分客户出于隐私保护而使用VPN的初衷。他们认为,VPN供应商为合规重新建立的服务流程,以及印度政府对这些数据的保管,都可能增加数据泄露的风险。
VPN供应商或使用国外服务器,或撤出印度
南都记者了解到,新规于当地时间4月26日首次在印度提出,将于6月27日生效,适用于VPN(虚拟专用网络)、VPS(虚拟专用服务器)、数据中心和云服务提供商。
印度电子信息和技术部网站法规截图
新规要求这些供应商持有和移交各种客户注册信息:姓名、地址、联系电话、电子邮件地址、首次注册时间、提供服务的日期、雇用服务的原因、分配给用户的IP地址等。供应商还将被要求以180天的滚动方式保存这些客户数据,但任何有关加密货币的数据存储时间被为五年。
印度电子信息和技术部部长Rajeev Chandrashekhar警告称,VPN供应商要么遵守条款,要么退出印度。
自新冠疫情以来,大量印度公司因远程工作增加了对VPN的依赖。印度政府对网络日益严格的审查也使得VPN的需求激增。
根据VPN供应商Atlas VPN的一份报告,印度的VPN渗透率从2020年的3%上升到2021年上半年的25%以上,安装量达到3.487亿,比2020年增长671%,增长速度全球最快。显然,这项新法规可能对依赖VPN远程工作的印度企业产生重大影响。
此前,几家大型国际VPN供应商曾经公开表示不打算遵守新法,但都在最近宣布了妥协方案。
拥有超过100万客户的国际VPN供应商SurfShark已经宣布,它将移除印度的所有服务器,并将这些客户连接到位于新加坡和英国的备用服务器,再经由这些新服务器分配印度IP地址。据了解,ExpressVPN和NordVPN也宣布了类似的计划,而其他较小的VPN供应商则可能完全放弃印度市场。
作为回应,印度电子和信息技术部中负责应对网络安全威胁的办公室——计算机应急响应小组(CERT-In)发布了一份更新声明,称新规定适用于为印度客户提供VPN服务的供应商,即使服务器在国外也不例外。不提供此信息的供应商可能被罚款,甚至依据印度《信息技术法案》被判处最高一年监禁。
这项新法规共8页,还附有一份28页的常见问题解答。不过在律师事务所合伙人Prasanth Sugathan看来,该法规“措辞宽泛,并不能清晰地指导应用,不能指望用FAQ来解释法律文件”。
给政府开后门被认为增加隐私泄露风险
据了解,VPN会重定向网络流量,当它与网站联系时,会伪装电脑、电话或其他设备的位置。它还会加密通过互联网发送的信息,让拦截通信的人无法读取,包括互联网服务提供商。
但技术人员指出,发送与接收的数据仍会通过VPN供应商的机器,用户的账号、密码信用卡信息等有被VPN供应商看到的风险。
为了使客户放心,一些VPN供应商承诺使用“无日志”(no-log)政策,声称不记录任何客户信息。例如,ExpressVPN称不记录用户的联系信息,只将内部进程必要的信息存储在RAM中,在用户会话结束后立即删除。ExpressVPN还明确表示,永远不会对外国政府索要信息的请求做出让步,并且他们根本没有任何可以共享的个人身份数据。
存在实时记录的“无日志”VPN服务。图自SkyVPN隐私政策
印度官员称,这项针对VPN供应商的新规并不是为了阻碍新闻与言论自由,而是为了更好地打击网络犯罪。
近年来,印度遭受了一系列重大数据泄露事件,并在2021年成为全球第三大受影响国家。根据VPN供应商Surfshark的数据,自2004年以来,有2.5亿印度用户的账户被入侵,每100名印度人中就有18人的个人信息被窃取。2018年印度唯一权威身份识别系统Aadhaar被攻破,泄露了12亿份生物数据信息。
SurfShark进一步指出,这些数据泄露事件表明印度政府没有能力保护大规模数据的安全,因此印度政府的新规反而增加了数据泄露的风险,甚至可能被外部黑客利用。还有观点认为,对于VPN供应商的客户来说,这项新法律可能代表一种“无法接受的隐私侵犯”——客户为这项服务付费,主要是为了保护自己的上网痕迹免受政府和广告技术公司的窥探,VPN供应商给政府开数据后门会违背这一初衷。
根据Top10VPN网站发布的报告,在印度这项对VPN的新法规发布之前,印度大部分地区使用VPN是合法的,但在克什米尔和查谟北部地区已经有相关监管。
采写/综合:实习生程雨祺 南都记者蒋琳