虚拟私人网络(VPN)供应商ExpressVPN周四宣布,为响应印度计算机应急响应小组(CERT-In)发布的新网络安全指令,它将移除位于印度的VPN服务器。
该公司表示:“请放心,我们的用户仍然可以连接到VPN服务器,该服务器将为他们提供印度IP地址,并允许他们访问互联网,就像他们位于印度一样。”“这些‘虚拟’印度服务器将实际位于新加坡和英国。”
这一发展是在CERT-In执行新的有争议的数据保留要求之际,该要求将于2022年6月27日生效,要求VPN服务提供商将用户的真实姓名、联系方式和分配给他们的IP地址至少保存五年。
CERT-In强调,记录的用户数据只会被要求用于“与网络事件有关的网络事件响应、保护和预防行动”。
该机构此后澄清说,该规则不适用于企业和企业VPN解决方案,仅针对那些向“普通互联网订户/用户”提供类似代理服务的运营商。
“新的数据法[……],旨在帮助打击网络犯罪,与VPN的目的不相容,因为VPN的目的是保持用户在线活动的隐私,”ExpressVPN说,“这项法律也过于宽泛,以至于为潜在的滥用打开了窗口。”
这些被称为“网络安全指示”的规则还要求公司在发现数据泄露和勒索软件攻击等安全漏洞事件后的六小时内报告此类事件。
此举不仅引发了隐私问题,而且还被批评为模棱两可和过于宽泛,指出即将出台的指令所涵盖的事件范围缺乏明确性。
互联网自由基金会在一份声明中说:“这种对收集和移交数据的过度要求不仅会影响到VPN服务提供商,还会影响VPN用户,损害他们的个人自由和隐私。”
“在缺乏足够的监督和防止滥用的数据保护框架的情况下,这些要求有可能实现大规模监控。”