印度的新 VPN 指南对 VPN 服务提供商和用户意味着什么

已发表: 2022-05-22

4 月 28 日,印度计算机应急响应小组 (CERT-In) 为 VPN 提供商和其他服务提供商发布了某些指南

政府列出数据本地化要求和数据保留指南的新方向引发了严重的数据隐私问题

由于还有很多问题没有得到解答,因此需要一个基本的法律策略。 阅读以了解这将如何帮助公司实现对新法规的遵守……

2022 年 4 月 28 日,印度计算机应急响应小组 (CERT-In) 根据 2000 年《信息技术法》第 70B 条第 (6) 款授予的权力发布了某些指示。这些指示与信息安全实践有关、程序、预防、响应和网络事件报告。

CERT-In 是在网络安全领域执行以下职能的国家节点机构:

  • 收集、分析和传播网络事件信息
  • 网络安全事件的预测和警报
  • 处理网络安全事件的应急措施
  • 协调网络事件响应活动
  • 发布与信息安全实践、程序、预防、响应和报告网络事件相关的指南、建议、漏洞说明和白皮书
  • 可能规定的与网络安全有关的其他职能。

这些新方向要求任何服务提供商、中介、数据中心、法人团体和政府组织遵守以下规定:

强制报告网络事件

所有相关利益相关者都必须在注意到此类事件或被告知此类事件后六小时内报告网络事件。 但是对于什么行为相当于“注意到”或“被引起注意”并没有明确的定义。 此外,这些规则提出了许多至今仍未得到解答的问题。

首先是规则究竟适用于谁的不确定性。 这些规则是否仅针对面向大众的 VPN 服务提供商? 或者它是否也扩展到企业和企业 VPN 服务提供商 这将影响在大流行后通过 VPN 连接到公司网络的在家工作的员工。

强制记录

这将需要启用其所有 ICT(信息通信技术)系统的日志,并在 180 天的滚动期内对其进行安全维护。

问题是 ICT 是一个非常广泛的术语。 它作为信息技术的外延术语,强调通信和技术的统一,让用户能够访问信息。

对此的严格解释意味着将所有日志保留六个月。 自由主义的解释是否会被认为是允许的并被印度政府认为是合规的,还有待观察。

为你推荐:

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

维护印度管辖范围内的所有日志

政府通过声明他们对存储消费者数据不感兴趣来证明这一举措的合理性。 相反,他们希望服务提供商保留数据,然后只有在法律要求、法院命令或刑事调查时才能与政府共享。

此外,还有管辖权问题。 VPN 服务提供商为印度境内外的消费者提供服务。 由于政府推动数据本地化,这可能会产生双重影响。 不仅印度消费者将被纳入该法规的范围,而且那些在印度境外拥有服务器的服务提供商也将受到印度法院的管辖。

此外,公司还将受到印度刑法规定的约束。 如果任何服务提供商、中介、数据中心、法人团体或个人未能提供所要求的信息或未遵守指南,他们将受到处罚。 这涉及监禁可能延长至一年或罚款可能延长至 10 万印度卢比或两者兼施。

数据存储

VPN(虚拟专用网络)服务提供商、云服务提供商、数据中心和 VPS(虚拟专用服务器)服务提供商应在任何取消或撤销注册后的五年内注册和维护以下信息作为情况可能是:

  • 使用服务的订户或客户的经过验证的名称
  • 包括日期在内的租用期
  • 分配给成员或由成员使用的 IP
  • 注册或入职时使用的电子邮件地址、IP 地址和时间戳
  • 租用服务的目的
  • 经验证的地址和联系电话
  • 订阅者或租用服务的客户的所有权模式

在某些关键问题上缺乏明确性。 是否必须创建额外的基础设施来存储数据仍然存在歧义。 或者是否允许他们将数据存储外包给第三方数据存储、保留和本地化服务提供商。

此外,这些服务提供商注册准确信息的要求也非常模糊。 目前尚不清楚他们将如何确保用户提供的数据的准确性。 可能还需要产生额外费用以确保信息的准确性。

最后,该法规强制要求服务提供商指定一个 POC(联系点)与 CERT-In 进行交互。 到目前为止,关于谁可以成为 POC,这些指令仍然含糊不清。 POC 必须是印度居民还是可以是外派人员? 谁可以成为 POC——公司的行政联系人、具有一定权力的人或关键管理人员? 该法规还对 POC 在 IT 法案和规则下的刑事保护案件中被指控为被告的问题保持沉默。

对隐私制度的挑战

虽然这项规定适用于包括加密货币交易所在内的许多服务提供商,但VPN 服务提供商似乎受到的影响最大 政府列出数据本地化要求和数据保留指南的新方向引发了严重的数据隐私问题

VPN 网络的基本原则是隐私,当前的指令显然与这些原则相冲突。 由于缺乏正式的隐私法,当局不得不依赖最高法院的各种判决、IT 法案、IT 规则和印度宪法第 21 条。 这使得行业参与者和服务提供商难以遵守这些准则。

此外,VPN 服务提供商使用各种不同的技术。 在一些现有的网络中,日志的存储仍然不存在。 这意味着为基础设施和劳动力提供额外资金,以在印度运营和维护这些服务。

制定合规之路

由于许多问题仍未得到解答,因此需要制定基本的法律策略。 这将有助于公司实现对新法规的遵守,如果政府没有进一步澄清的话。 该基本法律策略包含以下步骤:

  • 更改或修改 VPN 服务提供商的隐私政策,并通过点击包装、收缩包装或其他接受和同意格式获得客户的额外同意,以避免任何责任。
  • 在印度创建服务器并添加基础设施、流程甚至资源以遵守规则。
  • 修改客户的 KYC 规范以符合额外的数据采集要求。
  • 制定内部政策以遵守法规。
  • 更改创建 VPN 系统的值。 推动数据本地化和保留将要求在印度提供服务的 VPN 服务提供商改变其价值以适应印度法律要求。
  • 在印度指定一个人作为 POC 与 CERT-In 进行通信。