老王 梯子
新指令由印度网络监管机构--印度计算机应急小组(CERT-In)发布,于2022年9月25日生效,要求VPN(虚拟专用网络)提供商将客户姓名、租用期限、用户IP地址、用户电子邮件地址、租用服务的目的、联系电话和用户数据的所有权模式作为了解客户(KYC)政策的一部分保存五年。1
根据国家指令,VPN 以及云服务提供商、数据中心和加密货币交易所必须收集准确、详细的客户数据,即使在用户删除账户或取消订阅后也是如此。 作为规则的一部分,企业必须保存用户名、IP 地址、使用趋势和其他形式的信息,并报告 "未经授权访问社交媒体账户 "的情况。 拒绝合作者可能面临一年的监禁。
考虑到 VPN 的主要用途是保持虚拟身份(即用户的 IP 地址)的私密性,以便用户远离网站跟踪器,目前的规则似乎不一致且武断。 由于新规则的出台,VPN 服务提供商将被要求保留服务器,用户的隐私将不再是他们最关心的问题。 同样,用户的隐私也会受到威胁,他们的活动也会受到监视。 虽然政府的立场是,目前的规则是为了打击借助 VPN 发生的网络犯罪,但制止这种行为的措施是对权力的任意使用,也侵犯了宪法赋予的隐私权。
因此,本文试图以宪法规定的隐私权、当代虚拟网络的功能性和印度加密货币的上升趋势为背景,对新的 VPN 规则进行研究。
老王 梯子
根据《2020 年全球 VPN 使用报告》,印度通过 VPN 上网的人数占互联网总使用人数的 45%,约占印度互联网用户总人数的 20%。2新规则建议对如此庞大人口的个人数据进行管理和监控,这引发了严重的隐私问题。 用户出于真正合法目的依赖 VPN、数据中心和云存储设施的能力也可能受到威胁。 此外,随着一些技术企业大规模数据泄露事件的增加,服务提供商存储的用户数据随时都有可能受到威胁。
新的 VPN 规则严重威胁了《世界人权宣言》第 2 条所列举的用户隐私权。213的宪法因为规定要求服务提供商将用户的个人数据保存 5 年。4最高法院在以下案件中做出了具有里程碑意义的判决K.S. Puttaswamy(Aadhaar-5J.)v.印度联邦5在该案中,已明确认定数据保护是必要的,否则就会侵犯隐私权,而根据移案法官组的意见,这将违反《消除对妇女一切形式歧视公约》第 2 条。21的宪法. 要求 VPN 存储详尽无遗的数据,从根本上危害了那些希望在不被政府或私营公司监视的情况下浏览互联网的用户的隐私。 指导方针已经假定那些通过 VPN 寻求匿名的人有什么事情要隐瞒。
新规则不仅侵犯了用户的隐私权,而且 VPN 公司如不遵守,将受到 2000 年《信息技术法》的惩罚。6政府的这种报复性措施破坏了印度宪法规定的相称性原则,因为少数互联网用户的安全是以其他用户的隐私为代价的。 存储 2.7 亿多 VPN 用户的个人数据7仅仅为了遏制网络安全威胁,绝不是实现新规则目标的相称措施。 法院在马拉克-辛格v.P&H 状态8认为不应以监视惯犯的名义侵犯公民的隐私权,根据《公民权利和政治权利国际公约》第21和文章19(1)(d)9的印度宪法.
老王 梯子
克莱夫-汉布利在 2006 年正确地指出,"数据是新的石油"。 时隔十五年,这句话在当前的全球技术背景下依然适用。 一方面,技术有巨大的好处,但也可能被严重滥用。 为了保护数据不被滥用,各国已经开始制定保护数据的规则和条例。10
近年来,关于隐私权和阻碍保护公共及商业机构保存的私人数据的问题一直备受争议。 数字足迹和在线交易的激增要求制定可接受的隐私标准。 印度政府早在 2017 年就提出了《个人数据保护法案》,在联合议会委员会发布并提交给议会的最新报告中,他们搁置了过去五年来一直在酝酿的前一版法案,因为这些法案并没有全面解决当前国家不断变化的技术环境的要求。 拟议的报告暗示,新的立法将针对并迎合全球化技术环境中无穷无尽的变化。11它旨在处理个人和非个人数据,建立一个名为数据保护机构的单一监管机构,并带来了其他许多变化。12由于在处理数据及其监管方面存在隐私问题,前法案中的这些突出内容将面临大量批评。 这些变化与新规定的虚拟专用网络(VPN)规则明显相关,因为它们与联合议会委员会提出的建议一字不差。 为了实施这些规则,必须在国内建立足够的数据服务器和存储系统,以满足拟议法案的要求。 不仅要纳入非个人数据和本地化规范,政府还必须确保这些数据的安全,因为如今人们对数据泄露和威胁的严重担忧已经非常明显,任何事故都可能对整个国家的安全和隐私造成严重威胁。13
老王 梯子
将于 2022 年 9 月底实施的规定也引起了印度 VPN 公司的严重关切。 VPN 的主要目的是保持用户 IP 地址的私密性,帮助他们远离任何可能跟踪用户数据和位置的网站跟踪器。 VPN 增加了一个加密涂层,为用户分配了一个影子 IP 地址,最大限度地减少了我们在网络上的数据被误操作或窃听的机会。 新修订颁布后,VPN 公司将必须存储服务器和用户数据,这意味着公司的核心功能(即隐私)将受到破坏。14
另一方面,鉴于使用 VPN 服务的根本原因是为了避免留下任何痕迹,指示 VPN 提供商收集和交换有关其客户的信息是很奇怪的。 还需要注意的是,订购此类 VPN 的交易是通过加密货币进行的,这就保证了交易用户的匿名性,因此不可能获取用户的详细信息。 大多数 VPN 公司都有 "无记录 "政策,通常会明确表示不会保留用户的活动数据,只有少数公司会收集这些数据以检查和解决连接困难。155 年保留政策如何有助于加强国家网络安全也是一个灰色地带。
据总部设在新德里的数字权利倡导组织互联网自由基金会称,这些限制是 "严厉的",将危及 VPN 用户的 "个人自由和隐私"。
老王 梯子
总之,我们必须明白,新规则所规定的最后通牒是为了打击网络犯罪,但也有可能成为网络犯罪的理由。 过度的数据收集和披露法律将危及个人自由和隐私,不仅影响 VPN 服务提供商,也影响 VPN 用户。 在这样的难题下,VPN 服务提供商如何遵守政府的命令尚不清楚,因为著名的 VPN 服务提供商,如 老王 梯子 和 老王 梯子,已经将其服务器从印度撤出。 政府对法律的这种改变不仅违反了宪法原则,还威胁到了用户的隐私和印度此类服务提供商的存在。
† 贾坎德邦兰契法学研究大学三年级学生。 作者联系方式sanchit.sinha@nusrlranchi.ac.in.
贾坎德邦兰契法律学习与研究大学三年级学生。
1.none
2.全球网络索引>(最后访问日期:25-5-2022)。
4.none
6.none
7.Sunainaa Chadha,"解释: 新的 VPN 规则对印度互联网用户意味着什么"、印度时报(12-5-2022) <;>.
10. Shubhodip Chakraborty,"2019 年个人数据保护法案--批判性分析: 新瓶装旧酒",(2020 年)PL February 66.
11.联合议会委员会,2021 年,《个人数据保护法案联合委员会报告》,2019 年 <;,%202019/pr_files/Press%20Release%20on%20the%20presentation%20Report.pdf> (访问日期:24-5-2022)
12.Surabhi Agarwal,"新立法可能取代数据保护法案"、经济时报 (24-5-2022).
13. Shubhodip Chakraborty,"2019 年个人数据保护法案--批判性分析: 新瓶装旧酒",(2020 年)PL February 66.
14.Sunainaa Chadha,"解释: 新的 VPN 规则对印度互联网用户意味着什么"、印度时报(12-5-2022), <;>.
15.none>.