印度的新 VPN 指南對 VPN 服務提供商和用戶意味著什麼

已發表: 2022-05-22

4 月 28 日,印度計算機應急響應小組 (CERT-In) 為 VPN 提供商和其他服務提供商發布了某些指南

政府列出數據本地化要求和數據保留指南的新方向引發了嚴重的數據隱私問題

由於還有很多問題沒有得到解答,因此需要一個基本的法律策略。 閱讀以了解這將如何幫助公司實現對新法規的遵守……

2022 年 4 月 28 日,印度計算機應急響應小組 (CERT-In) 根據 2000 年《信息技術法》第 70B 條第 (6) 款授予的權力發布了某些指示。這些指示與信息安全實踐有關、程序、預防、響應和網絡事件報告。

CERT-In 是在網絡安全領域執行以下職能的國家節點機構:

  • 收集、分析和傳播網絡事件信息
  • 網絡安全事件的預測和警報
  • 處理網絡安全事件的應急措施
  • 協調網絡事件響應活動
  • 發布與信息安全實踐、程序、預防、響應和報告網絡事件相關的指南、建議、漏洞說明和白皮書
  • 可能規定的與網絡安全有關的其他職能。

這些新方向要求任何服務提供商、中介、數據中心、法人團體和政府組織遵守以下規定:

強制報告網絡事件

所有相關利益相關者都必須在註意到此類事件或被告知此類事件後六小時內報告網絡事件。 但是對於什麼行為相當於“注意到”或“被引起注意”並沒有明確的定義。 此外,這些規則提出了許多至今仍未得到解答的問題。

首先是規則究竟適用於誰的不確定性。 這些規則是否僅針對面向大眾的 VPN 服務提供商? 或者它是否也擴展到企業和企業 VPN 服務提供商 這將影響在大流行後通過 VPN 連接到公司網絡的在家工作的員工。

強制記錄

這將需要啟用其所有 ICT(信息通信技術)系統的日誌,並在 180 天的滾動期內對其進行安全維護。

問題是 ICT 是一個非常廣泛的術語。 它作為信息技術的外延術語,強調通信和技術的統一,讓用戶能夠訪問信息。

對此的嚴格解釋意味著將所有日誌保留六個月。 自由主義的解釋是否會被認為是允許的並被印度政府認為是合規的,還有待觀察。

為你推薦:

RBI 的賬戶聚合器框架將如何改變印度的金融科技
資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:CitiusTech 首席執行官
消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:Cit...

元界將如何改變印度汽車業
資源

元界將如何改變印度汽車業

反暴利條款對印度初創企業意味著什麼?
資源

反暴利條款對印度初創企業意味著什麼?

Edtech 初創公司如何幫助提高技能並使勞動力為未來做好準備
資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

消息

本週新時代科技股:Zomato 的麻煩仍在繼續,EaseMyTrip 發布強...

維護印度管轄範圍內的所有日誌

政府通過聲明他們對存儲消費者數據不感興趣來證明這一舉措的合理性。 相反,他們希望服務提供商保留數據,然後只有在法律要求、法院命令或刑事調查時才能與政府共享。

此外,還有管轄權問題。 VPN 服務提供商為印度境內外的消費者提供服務。 由於政府推動數據本地化,這可能會產生雙重影響。 不僅印度消費者將被納入該法規的範圍,而且那些在印度境外擁有服務器的服務提供商也將受到印度法院的管轄。

此外,公司還將受到印度刑法規定的約束。 如果任何服務提供商、中介、數據中心、法人團體或個人未能提供所要求的信息或未遵守指南,他們將受到處罰。 這涉及監禁可能延長至一年或罰款可能延長至 10 萬印度盧比或兩者兼施。

數據存儲

VPN(虛擬專用網絡)服務提供商、雲服務提供商、數據中心和 VPS(虛擬專用服務器)服務提供商應在任何取消或撤銷註冊後的五年內註冊和維護以下信息作為情況可能是:

  • 使用服務的訂戶或客戶的經過驗證的名稱
  • 包括日期在內的租用期
  • 分配給成員或由成員使用的 IP
  • 註冊或入職時使用的電子郵件地址、IP 地址和時間戳
  • 租用服務的目的
  • 經驗證的地址和聯繫電話
  • 訂閱者或租用服務的客戶的所有權模式

在某些關鍵問題上缺乏明確性。 是否必須創建額外的基礎設施來存儲數據仍然存在歧義。 或者是否允許他們將數據存儲外包給第三方數據存儲、保留和本地化服務提供商。

此外,這些服務提供商註冊準確信息的要求也非常模糊。 目前尚不清楚他們將如何確保用戶提供的數據的準確性。 可能還需要產生額外費用以確保信息的準確性。

最後,該法規強制要求服務提供商指定一個 POC(聯繫點)與 CERT-In 進行交互。 到目前為止,關於誰可以成為 POC,這些指令仍然含糊不清。 POC 必須是印度居民還是可以是外派人員? 誰可以成為 POC——公司的行政聯繫人、具有一定權力的人或關鍵管理人員? 該法規還對 POC 在 IT 法案和規則下的刑事保護案件中被指控為被告的問題保持沉默。

對隱私製度的挑戰

雖然這項規定適用於包括加密貨幣交易所在內的許多服務提供商,但VPN 服務提供商似乎受到的影響最大 政府列出數據本地化要求和數據保留指南的新方向引發了嚴重的數據隱私問題

VPN 網絡的基本原則是隱私,當前的指令顯然與這些原則相衝突。 由於缺乏正式的隱私法,當局不得不依賴最高法院的各種判決、IT 法案、IT 規則和印度憲法第 21 條。 這使得行業參與者和服務提供商難以遵守這些準則。

此外,VPN 服務提供商使用各種不同的技術。 在一些現有的網絡中,日誌的存儲仍然不存在。 這意味著為基礎設施和勞動力提供額外資金,以在印度運營和維護這些服務。

制定合規之路

由於許多問題仍未得到解答,因此需要製定基本的法律策略。 這將有助於公司實現對新法規的遵守,如果政府沒有進一步澄清的話。 該基本法律策略包含以下步驟:

  • 更改或修改 VPN 服務提供商的隱私政策,並通過點擊包裝、收縮包裝或其他接受和同意格式獲得客戶的額外同意,以避免任何責任。
  • 在印度創建服務器並添加基礎設施、流程甚至資源以遵守規則。
  • 修改客戶的 KYC 規範以符合額外的數據採集要求。
  • 制定內部政策以遵守法規。
  • 更改創建 VPN 系統的值。 推動數據本地化和保留將要求在印度提供服務的 VPN 服務提供商改變其價值以適應印度法律要求。
  • 在印度指定一個人作為 POC 與 CERT-In 進行通信。