印度一项新的网络安全法律将于6月27日生效。新法要求VPN供应商记录客户的个人信息，并根据法律调查要求提供给政府。据悉，一些供应商正在让印度的客户连接到国外的服务器，有的则在考虑将业务完全撤出印度。

　　VPN，即虚拟专用网络，是指通过公用网络建立的临时连接，可以被用于加密数据、远程访问、更换IP地址等。因此VPN经常被用于绕过政府或机构对IP地址的限制，以访问被屏蔽的网站。

　　一些VPN供应商指出，政府后门违背了部分客户出于隐私保护而使用VPN的初衷。他们认为，VPN供应商为合规重新建立的服务流程，以及印度政府对这些数据的保管，都可能增加数据泄露的风险。

　　南都记者了解到，新规于当地时间4月26日首次在印度提出，将于6月27日生效，适用于VPN（虚拟专用网络）、VPS（虚拟专用服务器）、数据中心和云服务提供商。

　　新规要求这些供应商持有和移交各种客户注册信息：姓名、地址、联系电话、电子邮件地址、首次注册时间、提供服务的日期、雇用服务的原因、分配给用户的IP地址等。供应商还将被要求以180天的滚动方式保存这些客户数据，但任何有关加密货币的数据存储时间被为五年。

　　印度电子信息和技术部部长Rajeev Chandrashekhar警告称，VPN供应商要么遵守条款，要么退出印度。

　　自新冠疫情以来，大量印度公司因远程工作增加了对VPN的依赖。印度政府对网络日益严格的审查也使得VPN的需求激增。

　　根据VPN供应商Atlas VPN的一份报告，印度的VPN渗透率从2020年的3%上升到2021年上半年的25%以上，安装量达到3.487亿，比2020年增长671%，增长速度全球最快。显然，这项新法规可能对依赖VPN远程工作的印度企业产生重大影响。

　　拥有超过100万客户的国际VPN供应商SurfShark已经，它将移除印度的所有服务器，并将这些客户连接到位于新加坡和英国的备用服务器，再经由这些新服务器分配印度IP地址。据了解，和NordVPN也宣布了类似的计划，而其他较小的VPN供应商则可能完全放弃印度市场。

　　作为回应，印度电子和信息技术部中负责应对网络安全威胁的办公室——计算机应急响应小组（CERT-In）发布了一份更新声明，称新规定适用于为印度客户提供VPN服务的供应商，即使服务器在国外也不例外。不提供此信息的供应商可能被罚款，甚至依据印度《信息技术法案》被判处最高一年监禁。

　　这项新法规共8页，还附有一份28页的常见问题解答。不过在律师事务所合伙人Prasanth Sugathan看来，该法规“措辞宽泛，并不能清晰地指导应用，不能指望用FAQ来解释法律文件”。

　　据了解，VPN会重定向网络流量，当它与网站联系时，会伪装电脑、电话或其他设备的位置。它还会加密通过互联网发送的信息，让拦截通信的人无法读取，包括互联网服务提供商。

　　但技术人员指出打击ip代理服务器失败，发送与接收的数据仍会通过VPN供应商的机器，用户的账号、密码信用卡信息等有被VPN供应商看到的风险。

　　为了使客户放心，一些VPN供应商承诺使用“无日志”（no-log）政策，声称不记录任何客户信息。例如，ExpressVPN称不记录用户的联系信息，只将内部进程必要的信息存储在RAM中，在用户会话结束后立即删除。ExpressVPN还明确表示，永远不会对外国政府索要信息的请求做出让步，并且他们根本没有任何可以共享的个人身份数据。

　　印度官员称，这项针对VPN供应商的新规并不是为了阻碍新闻与言论自由，而是为了更好地打击网络犯罪。

　　近年来，印度遭受了一系列重大数据泄露事件，并在2021年成为全球第三大受影响国家。根据VPN供应商Surfshark的数据，自2004年以来，有2.5亿印度用户的账户被入侵，每100名印度人中就有18人的个人信息被窃取。2018年印度唯一权威身份识别系统Aadhaar被攻破，泄露了12亿份生物数据信息。

　　SurfShark进一步指出，这些数据泄露事件表明印度政府没有能力保护大规模数据的安全，因此印度政府的新规反而增加了数据泄露的风险，甚至可能被外部黑客利用。还有观点认为，对于VPN供应商的客户来说，这项新法律可能代表一种“无法接受的隐私侵犯”——客户为这项服务付费，主要是为了保护自己的上网痕迹免受政府和广告技术公司的窥探，VPN供应商给政府开数据后门会违背这一初衷。

　　根据Top10VPN网站发布的报告，在印度这项对VPN的新法规发布之前，印度大部分地区使用VPN是合法的，但在克什米尔和查谟北部地区已经有相关监管。