圖片來源: 

Dan Nelson on usnplash

印度政府周二(6/28)宣布,原訂本周生效的VPN資料蒐集法令,將延後到今年9月25日實施。

印度電子暨資訊技術部今年4月聯同該國電腦緊急應變小組(CERT-in)發布一項命令,要求印度境內VPN服務供應商、資料中心與雲端服務供應商都必須儲存用戶資訊,包括姓名、電子郵件帳號、電話號碼與IP位址,而且要保留5年,以建立「開放、安全、信任及負責的網際網路」,業者也必須在得知資安問題的6個小時內就向印度CERT回報。印度政府同時要求微型、小型到中型企業必須強化安全,以符合該國網路安全指引(Cyber Security Direction)。

這項命令預計在6月27日正式上路。印度電子暨資訊技術部表示,在接到多方要求後,印度政府決定給中小企業完成遵法,並且讓VPN、資料中心與雲端服務業者有更多時間實作訂閱戶資料驗證的機制。兩者的期間都延後到2022年9月25日。

這項規定遭到廠商及資安業者的反彈。本周一20多位資安專家聯同隱私倡議組織向CERT-In發出公開信,要求延後實施並舉行公開諮詢會議。

該聲明指出,新法令將對網路安全及線上隱私產生負面後果。新法包含的安全事件回報作業時間僅6小時,以及要求保留用戶過於廣泛的資料,實務上難以達成而可能影響實施效果,並且斲傷線上隱私及安全性。

此外一些外國VPN業者包括ExpressVPN本月初已宣布將退出印度市場,另二家廠商包括Surfshark和NordVPN也分別宣布跟進,都將在法規生效前關閉在印度伺服器及撤離印度。

至於印度政府3個月後是否會撤回決定不得而知。印度電子暨資訊技術部次長Rajeev Chandrasekhar曾說不會對這些規定舉行公開諮詢會議。他並放話,不想蒐集用戶資料的廠商儘管可以離開印度市場。

上周該部會還頒布新法規,要求印度政府公務員或約聘、委外員工不得使用Nord VPN、ExpressVPN等業者提供的VPN服務以及Tor匿名服務,以及以Google Drive、Dropbox等雲端服務儲存公務檔案和文件。


熱門新聞

Advertisement