印度一項新的網絡安全法律將於6月27日生效。新法要求VPN供應商記錄客戶的個人信息，並根據法律調查要求提供給政府。據悉，一些供應商正在讓印度的客戶連接到國外的服務器，有的則在考慮將業務完全撤出印度。

VPN，即虛擬專用網絡，是指通過公用網絡建立的臨時連接，可以被用於加密數據、遠程訪問、更換IP地址等。因此VPN經常被用於繞過政府或機構對IP地址的限制，以訪問被屏蔽的網站。

一些VPN供應商指出，政府後門違背瞭部分客戶出於隱私保護而使用VPN的初衷。他們認為，VPN供應商為合規重新建立的服務流程，以及印度政府對這些數據的保管，都可能增加數據泄露的風險。

VPN供應商或使用國外服務器，或撤出印度

南都記者瞭解到，新規於當地時間4月26日首次在印度提出，將於6月27日生效，適用於VPN（虛擬專用網絡）、VPS（虛擬專用服務器）、數據中心和雲服務提供商。

印度電子信息和技術部網站法規截圖

新規要求這些供應商持有和移交各種客戶註冊信息：姓名、地址、聯系電話、電子郵件地址、首次註冊時間、提供服務的日期、雇用服務的原因、分配給用戶的IP地址等。供應商還將被要求以180天的滾動方式保存這些客戶數據，但任何有關加密貨幣的數據存儲時間被為五年。

印度電子信息和技術部部長Rajeev Chandrashekhar警告稱，VPN供應商要麼遵守條款，要麼退出印度。

自新冠疫情以來，大量印度公司因遠程工作增加瞭對VPN的依賴。印度政府對網絡日益嚴格的審查也使得VPN的需求激增。

根據VPN供應商Atlas VPN的一份報告，印度的VPN滲透率從2020年的3%上升到2021年上半年的25%以上，安裝量達到3.487億，比2020年增長671%，增長速度全球最快。顯然，這項新法規可能對依賴VPN遠程工作的印度企業產生重大影響。

此前，幾傢大型國際VPN供應商曾經公開表示不打算遵守新法，但都在最近宣佈瞭妥協方案。

擁有超過100萬客戶的國際VPN供應商SurfShark已經宣佈，它將移除印度的所有服務器，並將這些客戶連接到位於新加坡和英國的備用服務器，再經由這些新服務器分配印度IP地址。據瞭解，ExpressVPN和NordVPN也宣佈瞭類似的計劃，而其他較小的VPN供應商則可能完全放棄印度市場。

作為回應，印度電子和信息技術部中負責應對網絡安全威脅的辦公室——計算機應急響應小組（CERT-In）發佈瞭一份更新聲明，稱新規定適用於為印度客戶提供VPN服務的供應商，即使服務器在國外也不例外。不提供此信息的供應商可能被罰款，甚至依據印度《信息技術法案》被判處最高一年監禁。

這項新法規共8頁，還附有一份28頁的常見問題解答。不過在律師事務所合夥人Prasanth Sugathan看來，該法規“措辭寬泛，並不能清晰地指導應用，不能指望用FAQ來解釋法律文件”。

給政府開後門被認為增加隱私泄露風險

據瞭解，VPN會重定向網絡流量，當它與網站聯系時，會偽裝電腦、電話或其他設備的位置。它還會加密通過互聯網發送的信息，讓攔截通信的人無法讀取，包括互聯網服務提供商。

但技術人員指出，發送與接收的數據仍會通過VPN供應商的機器，用戶的賬號、密碼信用卡信息等有被VPN供應商看到的風險。

為瞭使客戶放心，一些VPN供應商承諾使用“無日志”（no-log）政策，聲稱不記錄任何客戶信息。例如，ExpressVPN稱不記錄用戶的聯系信息，隻將內部進程必要的信息存儲在RAM中，在用戶會話結束後立即刪除。ExpressVPN還明確表示，永遠不會對外國政府索要信息的請求做出讓步，並且他們根本沒有任何可以共享的個人身份數據。

存在實時記錄的“無日志”VPN服務。圖自SkyVPN隱私政策

印度官員稱

，這項針對VPN供應商的新規並不是為瞭阻礙新聞與言論自由，而是為瞭更好地打擊網絡犯罪。

近年來，印度遭受瞭一系列重大數據泄露事件，並在2021年成為全球第三大受影響國傢。根據VPN供應商Surfshark的數據，自2004年以來，有2.5億印度用戶的賬戶被入侵，每100名印度人中就有18人的個人信息被竊取。2018年印度唯一權威身份識別系統Aadhaar被攻破，泄露瞭12億份生物數據信息。

SurfShark進一步指出，這些數據泄露事件表明印度政府沒有能力保護大規模數據的安全，因此印度政府的新規反而增加瞭數據泄露的風險，甚至可能被外部黑客利用。還有觀點認為，對於VPN供應商的客戶來說，這項新法律可能代表一種“無法接受的隱私侵犯”——客戶為這項服務付費，主要是為瞭保護自己的上網痕跡免受政府和廣告技術公司的窺探，VPN供應商給政府開數據後門會違背這一初衷。

根據Top10VPN網站發佈的報告，在印度這項對VPN的新法規發佈之前，印度大部分地區使用VPN是合法的，但在克什米爾和查謨北部地區已經有相關監管。

采寫/綜合：實習生程雨祺 南都記者蔣琳