يثير مقدمو خدمات الشبكة الخاصة الافتراضية (VPN) مخاوف بشأن أمر الحكومة الذي وجهتهم بموجبه للاحتفاظ ببيانات المستخدم لمدة خمس سنوات على الأقل ومشاركة السجلات مع السلطات عند الحاجة. تم تعيين بعض شركات VPN الكبرى بما في ذلك NordVPN على مغادرة البلاد إذا لم توفر لهم الحكومة مجالًا لخدمة عملائهم بطريقة خاصة. في الوقت نفسه، تقترح مجموعات الدفاع القانوني على الحكومة إزالة المتطلبات التي تنتهك خصوصية المستخدم.
الأمر، الذي تم تمريره من قبل وكالة CERT-In التابعة لوزارة الإلكترونيات وتكنولوجيا المعلومات الأسبوع الماضي ويدخل حيز التنفيذ اعتبارًا من 28 يونيو، يوجه مزودي خدمة VPN للحفاظ على البيانات بما في ذلك الأسماء التي تم التحقق من صحتها ومعرفات البريد الإلكتروني وعناوين IP لمستخدميهم. لمدة خمس سنوات أو أكثر “وفقًا لما ينص عليه القانون” حتى بعد إلغاء أو سحب تسجيلهم.
وتنص أيضًا على أنه يجب على “جميع مزودي الخدمة” “تمكين سجلات” أنظمتهم بشكل إلزامي والحفاظ عليها بشكل آمن لمدة 180 يومًا و “يجب الحفاظ على نفس الشيء في نطاق الولاية القضائية الهندية”. يقيد التوجيه مقدمي الخدمة من تقديم السجلات إلى CERT-In عندما تطلب الوكالة أو توجهها.
وفقًا للأمر، يهدف إلى المساعدة في الحد من جرائم الإنترنت وحوادث الأمن السيبراني في البلاد. وقالت الوكالة الحكومية إن عدم تقديم المعلومات أو عدم الامتثال للتوجيهات قد يدعو إلى “إجراء عقابي” بموجب القسم الفرعي (7) من القسم 70 ب من قانون تكنولوجيا المعلومات لعام 2000 والقوانين الأخرى حسب الاقتضاء.
ومع ذلك، فإن موفري خدمة VPN – كنموذجهم الافتراضي – يوفرون خصوصية المستخدم القصوى لجذب العملاء.
قال Gytis Malinauskas ، رئيس القسم القانوني في Surfshark ، في بيان لـ Gadgets 360 “إن Surfshark لديه سياسة صارمة لعدم الاحتفاظ بالسجلات، مما يعني أننا لا نجمع أو نشارك بيانات تصفح عملائنا أو أي معلومات استخدام”. ، نحن نعمل فقط مع خوادم RAM فقط، والتي تقوم تلقائيًا بالكتابة فوق البيانات المتعلقة بالمستخدم. وبالتالي، في هذه اللحظة، حتى من الناحية الفنية، لن نتمكن من الامتثال لمتطلبات التسجيل “.
أضاف Malinauskas بالقول إن Surfshark لا يزال يحقق في اللوائح الجديدة وآثارها ولكن ليس لديه خطط للتنازل عن خصوصية المستخدم ويهدف إلى الاستمرار في تقديم خدمات عدم الاحتفاظ بالسجلات لجميع مستخدميها.
على غرار Surfshark ، تقوم شركة Nord Security – الشركة الأم لـ NordVPN – حاليًا بالتحقيق في الأمر الذي تم تمريره بواسطة CERT-In في خطوة مفاجئة.
قالت Laura Tyrylyte ، رئيسة العلاقات العامة في Nord Security ، لـ Gadgets 360 إنها كانت تستكشف أفضل مسار للعمل وتعمل حاليًا كالمعتاد حيث لا يزال هناك “شهرين على الأقل” حتى يدخل الأمر حيز التنفيذ.
قال تيريليت: “نحن ملتزمون بحماية خصوصية عملائنا، لذلك، قد نقوم بإزالة خوادمنا من الهند إذا لم يتم ترك خيارات أخرى”.
أخبرت ProtonVPN أيضًا Gadgets 360 أنها كانت تراقب الموقف وتظل ملتزمة بسياسة عدم الاحتفاظ بالسجلات والحفاظ على خصوصية مستخدميها.
وأضاف مزود خدمة VPN ، “ستؤدي لوائح VPN الجديدة في الهند إلى تآكل الحريات المدنية وتجعل من الصعب على الأشخاص حماية بياناتهم عبر الإنترنت.”
الهند هي واحدة من أكبر الأسواق لشبكات VPN – مع الأخذ في الاعتبار الرقابة على الإنترنت في الدولة التي تنمو ويتم تنفيذها باستخدام منهجيات تكنولوجية مختلفة، بما في ذلك قيود DNS وحظر TCP / IP. في كثير من الحالات، أبلغ المستخدمون عن قيود معينة تقتصر على بعض مزودي خدمة الإنترنت (ISPs) ، والتي يمكن التغلب عليها باستخدام خدمة VPN. أدى الإغلاق في الدولة لعام 2020 أيضًا إلى نمو كبير في خدمات VPN بما في ذلك ExpressVPN.
وفقًا لتقرير صادر عن موقع مراجعة VPN ومقره المملكة المتحدة Top10VPN.com ، كانت الهند ثاني أكبر سوق لشبكات VPN على مستوى العالم، حيث يعتمد ما يصل إلى 45 بالمائة من إجمالي قاعدة مستخدمي الإنترنت على VPN ، اعتبارًا من عام 2020.
قال Simon Migliano ، رئيس الأبحاث في Top10VPN.com: “في حين أن هناك عددًا هائلاً من مستخدمي VPN في الهند، فإن عددًا قليلاً من مزودي VPN لديهم وجود مادي مباشر في البلاد، مما سيجعل من الصعب على السلطات إنفاذ التشريع الجديد”. .
مزودو الخدمات مثل NordVPN لديهم خوادمهم في الهند، وفقًا للتفاصيل المتاحة على موقع شركة VPN ومقرها بنما.
ولكن مع ذلك، قال ميغليانو إنه سيكون هناك تأثير ضئيل على العملاء حيث يمكنهم ببساطة الاتصال بخدمة VPN مقرها في بلد آخر.
قال الباحث: “بشكل عام، يبدو من المستبعد جدًا أن يمتثل أي مزود VPN شرعي لقانون CERT-In لأنه ليس من الصعب تطبيقه فحسب، بل يتعارض مع كل ما يمثلونه”.
يوجه الأمر أيضًا مزودي الخدمة ومراكز البيانات والمؤسسات للإبلاغ عن الحوادث الإلكترونية في غضون ست ساعات من إخطارهم إلى CERT-In. وقد اعتبرت مجموعات الدعوة القانونية هذه خطوة إيجابية بما في ذلك SFLC.in – بالنظر إلى حقيقة أن الدولة تشهد عددًا من قضايا الأمن السيبراني.
ومع ذلك، قال Mishi Choudhary ، المحامي التكنولوجي ومؤسس SFLC.in ، إن متطلبات تسجيل مستخدمي VPN وربط تحديد الهوية بعناوين IP تثير مخاوف تتعلق بالخصوصية ويجب إزالتها.
قالت لـ Gadgets 360: “لا يمكن لـ CERT-In أن يسلب الحق في استخدام أدوات معينة في زي الأمن السيبراني”.
قال براسانث سوغاثان، المدير القانوني في SFLC.in ، إن جمع البيانات الزائدة عن المستهلكين يتعارض مع سياسة معظم مزودي VPN وقد يؤدي إلى خروج بعضهم من البلاد بدلاً من الامتثال “للأحكام المرهقة” الواردة في الأمر .
يجد الخبراء القانونيون أن التوجيه ذو طبيعة غامضة لأنه لا يوضح بالتفصيل الآثار المترتبة على مقدمي الخدمات.
قال براتيك واغر، مدير السياسات في مؤسسة حرية الإنترنت (IFF): “جاءت هذه التوجيهات دون أي نوع من التشاور العام”.
وأضاف أن الأمر لا يعطي أي توضيح بشأن ما تعنيه القواعد لمقدمي خدمات VPN وعملياتهم في الهند.
وقال: “من غير الواضح أيضًا ما إذا كان مقدمو خدمة VPN الذين لا يشغلون عنوان IP هنديًا سيظلون مسؤولين بموجب أحكام التوجيه” ، مضيفًا أن التطوير سيضيف بالتأكيد طبقة من القلق إذا كان لدى أي من مزودي الخدمة هؤلاء موظفين في البلاد.
في الماضي القريب، اقترح المشرعون قيودًا على خدمات VPN. كما شوهد مشغلو الاتصالات بما في ذلك Reliance Jio يحدون من الوصول إلى بعض خدمات VPN. ومع ذلك، فقد استمر مستخدمو VPN في الدولة في النمو حتى الآن.