印度对 VPN 隐私采取严厉打击措施,要求把日志记录存储五年
如果印度网络安全机构最近公布的一项指令生效,全国内可能不再欢迎遵守五日志记录的 VPN。
4月印度计算机紧急响应组(英语是指 CERT)发表的文件表示,虚拟私有网服务的提供商以及收集和处理数据的中心、云服务提供者,以及虚拟专用服务器(英语是指 VPS)的提供商必须将用户个人数据的列表存储5年,包括在用户已取消订阅的情况下。
7月下旬指令生效后,VPN 供应商必须存储的日志包括:
- 用户姓名、地址和手机号
- 使用期
- VPN 提供商供应的 IP
- 用户地址和 IP 地址,以及用户注册服务(时间标记)等信息
- 使用原因
- 产权模式
印度的电子和信息技术部声称,通过加强对 VPN 和其他在线服务提供商的控制,部委希望能改善网络安全水平。部委指出新立法规定的目标为关闭“造成事件分析的障碍”的“缺口”,新规定将“加强整体网络安全态势,确保国内互联网的安全和可靠信”。
在不遵守该指令规定的情况下,提供商有可能面临印度《信息技术法案》,即(Information Technology Act, ITA)的影响。该法案的相关条款指定,那些触犯法律的人可能面临长达1年的监禁或10万卢比(1,300美元)的罚款,或两项同时。
新法案必将对遵守严格的无记录政策的"匿名" VPN 的运作造成打击。提供上门,要么屈服于这些要求,开始执行存储服务器,最终用户的隐私会安全会下降;要么被迫迁移到灰色地带或完全停止在印度的业务。除此之外,新的要求会增加印度客户的 VPN 服务成本,因为供应商将不得不长期租用或购买存储服务器来保存日志。
对 AdGuard 来说,我们不存储用户个人记录。这是我们公司一贯的宗旨。因此,我们无法遵守本法案的规定。目前,我们还在谨慎观察情况发展的趋势并思考可能的解决方案。如果我们别无选择,我们将被迫重新考虑我们的服务器是否会在该地区继续运行。
