2022年4月28日，印度计算机应急响应小组（CERT-In）发布了针对VPN提供商和其他服务提供商的某些指南。

政府公布数据本地化要求和数据保留指南的新方向引发了严重的数据隐私问题。由于许多问题仍未得到解答，因此需要制定一项基本的法律战略。

2022年4月28日，印度计算机应急小组（CERT-In）根据2000年《信息技术法》第70B条第（6）款赋予它的权力发布了某些指示。这些方向涉及信息安全实践，程序，预防，响应和网络事件报告。

印度计算机应急响应小组（CERT-In）是国家的职能部门，在网络安全领域履行以下职能：

1、收集、分析和传播网络事件信息
2、网络安全事件的预测和警报
3、处理网络安全事件的应急措施
4、协调网络事件响应活动
5、发布与信息安全实践、程序、预防、响应和报告网络事件相关的指南、建议、漏洞说明和白皮书
6、可能与网络安全有关的其他功能。

这些新方向要求任何服务提供商、中介机构、数据中心、法人团体和政府组织遵守以下规定：

1、网络事件的强制报告

所有相关利益相关者必须在注意到此类事件或被通知此类事件后的六小时内报告网络事件。但是，对于什么行为相当于“注意到”或“被注意到”，并没有明确的定义。此外，这些规则提出了许多尚未回答的问题。

首先是规则究竟适用于谁的不确定性。这些规则是否仅针对迎合公众的VPN服务提供商？还是也扩展到企业和企业VPN服务提供商？这将影响在大流行后通过VPN在家工作的员工连接到公司网络。

2、强制日志记录

这将需要启用其所有ICT（信息通信技术）系统的日志，并在180天的滚动期内安全地维护它们。

问题是，信息和通信技术是一个非常广泛的术语。它作为信息技术的延伸术语，强调通信和技术的统一，以允许用户获取信息。

对此的严格解释将意味着将所有日志保留六个月。自由主义的解释将被称为允许的，并被视为印度政府遵守，还有待观察。

政府通过声明他们对存储消费者数据不感兴趣来证明这一举动是合理的。相反，他们希望服务提供商保留数据，然后只有在法律要求的情况下，根据法院命令或刑事调查，才能与政府共享。

此外，还有管辖权问题。VPN服务提供商为印度境内外的消费者提供服务。由于政府推动数据本地化，这可能会产生双重影响。不仅印度消费者将受到该法规的约束，而且那些在印度境外拥有服务器的服务提供商也将受到印度法院的管辖。

此外，公司还将受到印度刑事条款的约束。如果任何服务提供商、中介机构、数据中心、法人团体或个人未能提供所要求的信息或遵守准则，他们应受到处罚。这涉及监禁，刑期可延长至一年，或罚款可延长至10万印度卢比或两者兼而有之。

3、数据存储

VPN（虚拟专用网络）服务提供商，云服务提供商，数据中心和VPS（虚拟专用服务器）服务提供商在取消或撤销注册后五年内必须注册和维护以下信息（ 视情况而定）：

雇用服务的订户或客户的经过验证的姓名
雇用期限，包括日期
分配给成员或由成员使用的IP
注册或入职时使用的电子邮件地址、IP 地址和时间戳
雇用服务的目的
经过验证的地址和联系电话
订阅者或雇用服务的客户所有权模式
在某些关键问题上缺乏明确性。关于是否必须创建额外的基础结构来存储数据，仍然存在歧义。或者他们是否被允许将数据存储外包给第三方数据存储，保留和本地化服务提供商。

此外，对这些服务提供商注册准确信息的要求也非常模糊。目前尚不清楚他们将如何确保用户提供的数据的准确性。还可能需要支付额外费用，以确保信息的准确性。

最后，该法规规定服务提供商必须指定POC（联系点）与CERT-In接口。到目前为止，当涉及到谁可以成为POC时，这些指令仍然模糊不清。POC必须是印度居民还是可以成为分站人员？谁可以成为 POC — 公司的管理联系人、具有特定权限的人员或关键管理人员？这些规定还使POC在根据“IT法案和规则”受到刑事保护的情况下被指控为被告的问题上保持沉默。

虽然这项规定适用于包括加密货币交易所在内的许多服务提供商，但VPN服务提供商似乎受影响最大。政府公布数据本地化要求和数据保留指南的新方向引发了严重的数据隐私问题。

VPN网络的基本原理是隐私，目前的指令显然与这些原则相冲突。 由于缺乏正式的隐私法，当局依赖最高法院的各种判决、《信息技术法》、《信息技术规则》和《印度宪法》第21条。这使得行业参与者和服务提供商难以遵守这些准则。

此外，VPN服务提供商使用各种不同的技术。在某些现有网络中，日志的存储仍然不存在。这意味着为基础设施和劳动力在印度运营和维护这些服务提供额外资金。

由于许多问题仍未得到解答，因此需要一项基本的法律战略。这将有助于公司遵守新法规，如果政府没有进一步澄清。这一基本法律策略包含以下步骤：

更改或修改VPN服务提供商的隐私政策，并通过点击生效，收缩包装或其他接受和同意格式获得客户的额外同意，以避免任何责任。
在印度创建服务器并添加基础架构，流程甚至资源以遵守规则。
修改客户的KYC规范，以符合额外的数据采集要求。
创建内部策略以符合法规。
更改创建 VPN 系统时所依据的值。推动数据本地化和保留将需要在印度境内提供服务的VPN服务提供商改变其价值以适应印度的法律要求。
指定印度的某个人充当 POC，以便与 CERT-In 进行通信。