印度暫緩實施VPN資料蒐集法令3個月

印度政府周二（6/28）宣布，原訂本周生效的VPN資料蒐集法令，將延後到今年9月25日實施。

印度電子暨資訊技術部今年4月聯同該國電腦緊急應變小組（CERT-in）發布一項命令，要求印度境內VPN服務供應商、資料中心與雲端服務供應商都必須儲存用戶資訊，包括姓名、電子郵件帳號、電話號碼與IP位址，而且要保留5年，以建立「開放、安全、信任及負責的網際網路」，業者也必須在得知資安問題的6個小時內就向印度CERT回報。印度政府同時要求微型、小型到中型企業必須強化安全，以符合該國網路安全指引（Cyber Security Direction）。

這項命令預計在6月27日正式上路。印度電子暨資訊技術部表示，在接到多方要求後，印度政府決定給中小企業完成遵法，並且讓VPN、資料中心與雲端服務業者有更多時間實作訂閱戶資料驗證的機制。兩者的期間都延後到2022年9月25日。

這項規定遭到廠商及資安業者的反彈。本周一20多位資安專家聯同隱私倡議組織向CERT-In發出公開信，要求延後實施並舉行公開諮詢會議。

該聲明指出，新法令將對網路安全及線上隱私產生負面後果。新法包含的安全事件回報作業時間僅6小時，以及要求保留用戶過於廣泛的資料，實務上難以達成而可能影響實施效果，並且斲傷線上隱私及安全性。

此外一些外國VPN業者包括ExpressVPN本月初已宣布將退出印度市場，另二家廠商包括Surfshark和NordVPN也分別宣布跟進，都將在法規生效前關閉在印度伺服器及撤離印度。

至於印度政府3個月後是否會撤回決定不得而知。印度電子暨資訊技術部次長Rajeev Chandrasekhar曾說不會對這些規定舉行公開諮詢會議。他並放話，不想蒐集用戶資料的廠商儘管可以離開印度市場。

上周該部會還頒布新法規，要求印度政府公務員或約聘、委外員工不得使用Nord VPN、ExpressVPN等業者提供的VPN服務以及Tor匿名服務，以及以Google Drive、Dropbox等雲端服務儲存公務檔案和文件。