หลักเกณฑ์ VPN ใหม่ของอินเดียมีความหมายอย่างไรต่อผู้ให้บริการและผู้ใช้ VPN

เผยแพร่แล้ว: 2022-05-22

เมื่อวันที่ 28 เมษายน ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของอินเดีย (CERT-In) ได้ออกแนวทางปฏิบัติบางประการสำหรับผู้ให้บริการ VPN และผู้ให้บริการอื่นๆ

ทิศทางใหม่ของรัฐบาลที่แสดงรายการข้อกำหนดการแปลข้อมูลและแนวทางการเก็บรักษาข้อมูลทำให้เกิดความกังวลเรื่องความเป็นส่วนตัวของข้อมูลอย่างจริงจัง

เนื่องจากมีจำนวนมากที่ยังไม่ได้รับคำตอบ จึงจำเป็นต้องมีกลยุทธ์ทางกฎหมายพื้นฐาน อ่านเพื่อทำความเข้าใจว่าสิ่งนี้จะช่วยให้บริษัทปฏิบัติตามกฎระเบียบใหม่ได้อย่างไร...

เมื่อวันที่ 28 เมษายน พ.ศ. 2565 ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของอินเดีย (CERT-In) ได้ออกคำสั่งบางอย่างภายใต้อำนาจที่ได้รับภายใต้มาตราย่อย (6) ของมาตรา 70B แห่งพระราชบัญญัติเทคโนโลยีสารสนเทศ พ.ศ. 2543 แนวทางเหล่านี้เกี่ยวข้องกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูล ขั้นตอน การป้องกัน การตอบสนอง และการรายงานเหตุการณ์ทางไซเบอร์

CERT-In เป็นหน่วยงานระดับชาติที่ทำหน้าที่ดังต่อไปนี้ในด้านความมั่นคงปลอดภัยทางไซเบอร์:

  • การรวบรวม วิเคราะห์ และเผยแพร่ข้อมูลเกี่ยวกับเหตุการณ์ทางไซเบอร์
  • การพยากรณ์และการแจ้งเตือนเหตุการณ์ความปลอดภัยทางไซเบอร์
  • มาตรการฉุกเฉินในการจัดการเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
  • ประสานงานกิจกรรมตอบโต้เหตุการณ์ทางไซเบอร์
  • ออกแนวทาง คำแนะนำ บันทึกจุดอ่อนและเอกสารรายงานที่เกี่ยวข้องกับการปฏิบัติการรักษาความปลอดภัยของข้อมูล ขั้นตอน การป้องกัน การตอบสนอง และการรายงานเหตุการณ์ทางไซเบอร์
  • หน้าที่อื่น ๆ ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ตามที่อาจจะกำหนด

แนวทางใหม่เหล่านี้กำหนดให้ผู้ให้บริการ ตัวกลาง ศูนย์ข้อมูล หน่วยงาน และหน่วยงานของรัฐต้องปฏิบัติตามดังต่อไปนี้:

การรายงานที่จำเป็นของเหตุการณ์ทางไซเบอร์

ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องทั้งหมดจะต้องรายงานเหตุการณ์ทางไซเบอร์ภายในหกชั่วโมงหลังจากสังเกตเห็นเหตุการณ์ดังกล่าวหรือถูกนำไปแจ้งให้ทราบเกี่ยวกับเหตุการณ์ดังกล่าว แต่ไม่มีคำจำกัดความที่ชัดเจนว่าการกระทำใดเป็น 'การสังเกต' หรือ 'การแจ้งให้ทราบ' นอกจากนี้ กฎเหล่านี้ยังทำให้เกิดคำถามสองสามข้อที่ยังไม่ได้คำตอบ

ประการแรกคือความไม่แน่นอนว่าใครเป็นผู้บังคับใช้กฎเกณฑ์ กฎเกณฑ์มุ่งไปที่ผู้ให้บริการ VPN ที่ให้บริการแก่บุคคลทั่วไปเท่านั้นหรือไม่? หรือขยายไปยัง ผู้ให้บริการ VPN สำหรับองค์กรและองค์กรด้วย ? สิ่งนี้จะส่งผลกระทบต่อพนักงานที่ทำงานจากที่บ้านที่เชื่อมต่อกับเครือข่ายองค์กรผ่าน VPN หลังการแพร่ระบาด

บันทึกบังคับ

สิ่งนี้จะต้องเปิดใช้งานบันทึกของระบบ ICT (เทคโนโลยีการสื่อสารข้อมูล) ทั้งหมดและบำรุงรักษาอย่างปลอดภัยเป็นระยะเวลา 180 วัน

ประเด็นคือ ICT เป็นคำที่กว้างมาก มันทำหน้าที่เป็นคำขยายสำหรับเทคโนโลยีสารสนเทศ โดยเน้นที่การรวมกันของการสื่อสารและเทคโนโลยีเพื่อให้ผู้ใช้สามารถเข้าถึงข้อมูลได้

การตีความอย่างเข้มงวดนี้จะหมายถึงการรักษาบันทึกทั้งหมดเป็นระยะเวลาหกเดือน ยังคงต้องดูการตีความแบบเสรีนิยมที่จะเรียกว่าอนุญาตและถือว่ารัฐบาลอินเดียปฏิบัติตาม

แนะนำสำหรับคุณ:

วิธีที่กรอบงานผู้รวบรวมบัญชีของ RBI ถูกตั้งค่าให้เปลี่ยน Fintech ในอินเดีย
ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

รักษาบันทึกทั้งหมดภายในเขตอำนาจศาลของอินเดีย

รัฐบาลกำลังให้เหตุผลกับการย้ายครั้งนี้โดยระบุว่าพวกเขาไม่สนใจที่จะจัดเก็บข้อมูลผู้บริโภค พวกเขาต้องการให้ผู้ให้บริการเก็บรักษาข้อมูล ซึ่งสามารถแบ่งปันกับรัฐบาลได้ก็ต่อเมื่อกฎหมายกำหนดเท่านั้น ภายใต้คำสั่งศาลหรือการสอบสวนทางอาญา

นอกจากนี้ยังมีประเด็นของเขตอำนาจศาล ผู้ให้บริการ VPN ให้บริการแก่ผู้บริโภคทั้งในและนอกอินเดีย เนื่องจากการผลักดันของรัฐบาลในการโลคัลไลเซชันข้อมูล การดำเนินการนี้อาจส่งผลกระทบสองเท่า ผู้บริโภคชาวอินเดียไม่เพียงแต่จะถูกนำเข้ามาอยู่ภายใต้ขอบเขตของระเบียบข้อบังคับนี้ แต่ยังรวมถึงผู้ให้บริการที่มีเซิร์ฟเวอร์นอกอินเดียด้วยก็จะอยู่ภายใต้เขตอำนาจศาลของศาลอินเดียด้วย

นอกจากนี้ บริษัทต่างๆ ยังต้องอยู่ภายใต้บทบัญญัติทางอาญาของอินเดีย หากผู้ให้บริการ ตัวกลาง ศูนย์ข้อมูล หน่วยงาน หรือบุคคลใดไม่สามารถให้ข้อมูลที่เรียกหรือปฏิบัติตามแนวทางปฏิบัติได้ จะถูกลงโทษ สิ่งนี้เกี่ยวข้องกับการจำคุกเป็นระยะเวลาที่อาจขยายถึงหนึ่งปีหรือปรับซึ่งอาจขยายถึง INR 1 Lakh หรือทั้งจำทั้งปรับ

การจัดเก็บข้อมูล

ผู้ให้บริการ VPN (Virtual Private Network) ผู้ให้บริการระบบคลาวด์ ศูนย์ข้อมูล และผู้ให้บริการ VPS (Virtual Private Server) จะต้อง ลงทะเบียนและรักษาข้อมูลต่อไปนี้เป็นระยะเวลาห้าปี หลังจากการยกเลิกหรือเพิกถอนการลงทะเบียนตาม กรณีอาจเป็น:

  • ยืนยันชื่อสมาชิกหรือลูกค้าที่ใช้บริการ
  • ระยะเวลาจ้างรวมทั้งวันที่
  • IP ที่สมาชิกจัดสรรให้หรือใช้งานอยู่
  • ที่อยู่อีเมล ที่อยู่ IP และการประทับเวลาที่ใช้เมื่อลงทะเบียนหรือขึ้นเครื่อง
  • วัตถุประสงค์ในการจ้างบริการ
  • ที่อยู่ตรวจสอบและเบอร์ติดต่อ
  • รูปแบบความเป็นเจ้าของของสมาชิกหรือลูกค้าที่ใช้บริการ

ยังขาดความชัดเจนในประเด็นสำคัญบางประการ ความคลุมเครือยังคงมีอยู่ว่าจะต้องสร้างโครงสร้างพื้นฐานเพิ่มเติมเพื่อจัดเก็บข้อมูลหรือไม่ หรืออนุญาตให้บุคคลภายนอกจัดเก็บข้อมูลไปยังผู้ให้บริการจัดเก็บข้อมูล การเก็บรักษา และการแปลเป็นภาษาท้องถิ่นหรือไม่

นอกจากนี้ ข้อกำหนดสำหรับผู้ให้บริการเหล่านี้ในการลงทะเบียนข้อมูลที่ถูกต้องยังคลุมเครือมาก ยังไม่ชัดเจนว่าพวกเขาจะรับรองความถูกต้องของข้อมูลที่ผู้ใช้ให้มาได้อย่างไร อาจมีข้อกำหนดสำหรับค่าใช้จ่ายเพิ่มเติมเพื่อให้แน่ใจว่าข้อมูลถูกต้อง

สุดท้ายนี้ ข้อบังคับกำหนดให้ผู้ให้บริการต้องกำหนด POC (Point Of Contact) เพื่อเชื่อมต่อกับ CERT-In คำสั่งยังคงคลุมเครือเมื่อกล่าวถึงว่าใครสามารถเป็น POC ได้ POC ต้องเป็นผู้มีถิ่นที่อยู่ในอินเดียหรือไม่ หรือพวกเขาสามารถเป็นบุคลากรนอกสถานีได้หรือไม่? ใครสามารถเป็น POC ได้ — ผู้ติดต่อฝ่ายธุรการของบริษัท บุคคลที่มีอำนาจบางอย่าง หรือบุคลากรด้านการจัดการที่สำคัญ กฎระเบียบยังทำให้คุณแม่ในประเด็นของ POC ถูกตั้งข้อหาเป็นผู้ต้องหาในคดีการคุ้มครองทางอาญาภายใต้พระราชบัญญัติและกฎระเบียบด้านไอที

ความท้าทายต่อระบอบความเป็นส่วนตัว

แม้ว่าข้อบังคับนี้มีไว้สำหรับผู้ให้บริการหลายรายรวมถึงการแลกเปลี่ยนสกุลเงินดิจิทัล แต่ ผู้ให้บริการ VPN ดูเหมือนจะได้รับผลกระทบมาก ที่สุด แนวทางใหม่ของรัฐบาลที่แสดงรายการข้อกำหนดการแปลข้อมูลและแนวทางการเก็บรักษาข้อมูลทำให้เกิดความกังวลเรื่องความเป็นส่วนตัวของข้อมูลอย่างจริงจัง

หลักการพื้นฐานของเครือข่าย VPN คือความเป็นส่วนตัวและคำสั่งปัจจุบันขัดแย้งกับหลักการเหล่านั้นอย่างชัดเจน การไม่มีกฎหมายความเป็นส่วนตัวอย่างเป็นทางการ ทำให้ทางการต้องอาศัยคำตัดสินของศาลฎีกา พระราชบัญญัติไอที กฎไอที และมาตรา 21 ของรัฐธรรมนูญอินเดีย สิ่งนี้ทำให้ผู้เล่นในอุตสาหกรรมและผู้ให้บริการปฏิบัติตามแนวทางปฏิบัติได้ยาก

นอกจากนี้ ผู้ให้บริการ VPN ยังใช้เทคโนโลยีที่หลากหลาย ในบางเครือข่ายที่มีอยู่ ที่เก็บข้อมูลบันทึกยังคงไม่มีอยู่จริง นี่หมายถึงเงินทุนเพิ่มเติมสำหรับโครงสร้างพื้นฐานและพนักงานเพื่อดำเนินการและบำรุงรักษาบริการเหล่านี้ในอินเดีย

วางกลยุทธ์ในการปฏิบัติตามข้อกำหนด

เนื่องจากมีจำนวนมากที่ยังไม่ได้รับคำตอบ จึงจำเป็นต้องมีกลยุทธ์ทางกฎหมายพื้นฐาน ซึ่งจะช่วยให้บริษัทปฏิบัติตามกฎระเบียบใหม่ได้ หากไม่มีคำชี้แจงเพิ่มเติมจากรัฐบาล กลยุทธ์ทางกฎหมายพื้นฐานนี้มีขั้นตอนต่อไปนี้:

  • เปลี่ยนแปลงหรือแก้ไขนโยบายความเป็นส่วนตัวของผู้ให้บริการ VPN และขอรับความยินยอมเพิ่มเติมจากลูกค้าด้วยรูปแบบการคลิก ย่อขนาด หรือการยอมรับและยินยอมอื่นๆ เพื่อหลีกเลี่ยงความรับผิดใดๆ
  • สร้างเซิร์ฟเวอร์ในอินเดียและเพิ่มโครงสร้างพื้นฐาน กระบวนการ และแม้แต่ทรัพยากรเพื่อให้สอดคล้องกับกฎ
  • ปรับเปลี่ยนบรรทัดฐาน KYC ของลูกค้าเพื่อให้สอดคล้องกับข้อกำหนดในการเก็บข้อมูลเพิ่มเติม
  • จัดทำนโยบายภายในเพื่อให้เป็นไปตามระเบียบ
  • เปลี่ยนค่าที่สร้างระบบ VPN การผลักดันเพื่อโลคัลไลซ์เซชั่นและการเก็บรักษาข้อมูลจะทำให้ผู้ให้บริการ VPN ที่นำเสนอบริการภายในอินเดียเปลี่ยนแปลงค่าของพวกเขาให้เหมาะสมกับข้อกำหนดทางกฎหมายของอินเดีย
  • กำหนดบุคคลในอินเดียให้ทำหน้าที่เป็น POC เพื่อสื่อสารกับ CERT-In