Uma nova ordem do governo forçará as redes privadas virtuais a armazenar dados de usuários por cinco anos ou mais.
Na Índia, as empresas de rede privada virtual serão obrigadas a coletar dados extensos de clientes – e mantê-los por cinco anos ou mais – sob uma nova diretiva nacional da Equipe de Resposta a Emergências de Computadores do país, conhecida como CERT-in. É uma política que provavelmente tornará a vida mais difícil para empresas de VPN e usuários de VPN lá.
O órgão, sob o Ministério de Eletrônica e TI do país, anunciou em 28 de abril que as VPNs no país terão que manter nomes de clientes, endereços físicos e IP validados, padrões de uso e outras formas de informações de identificação pessoal. Conforme relatado pela primeira vez pela Entrackr, aqueles que não cumprirem podem enfrentar até um ano de prisão de acordo com a lei vigente citada na nova diretiva.
A diretiva não se limita a provedores de VPN. Centros de dados e provedores de serviços em nuvem estão listados sob a mesma disposição. As empresas terão que manter as informações do cliente mesmo depois que o cliente cancelou sua assinatura ou conta. E, em todos os casos, o CERT-in exigirá que as empresas relatem o “acesso não autorizado a contas de mídia social” de seus usuários.
A maioria das VPNs oferece uma política de não registro, uma promessa pública contra registro, coleta ou compartilhamento de dados de uso e navegação do cliente. Serviços líderes como ExpressVPN e Surfshark operam apenas com servidores de disco RAM e outras tecnologias sem registro, o que significa que as VPNs seriam teoricamente incapazes de monitorar os URLs listados na diretiva. Se as VPNs na Índia forem exigidas pela nova diretiva para manter os dados de registro do cliente – ou para monitorar e relatar o uso de mídia social – muitas podem entrar em conflito com a lei simplesmente continuando a operar.
A Índia tem um histórico de aplicar mão pesada à atividade online.
Em abril, a Índia baniu 22 canais do YouTube. Em 2021, Facebook, Google Twitter encerrou um tenso impasse com o governo indiano quando eles cumpriram amplamente o controle expandido do governo sobre o conteúdo de mídia social no país. Em 2020, o país baniu mais de 200 aplicativos chineses, incluindo o TikTok, e, por fim, baniu 9.849 URLs de mídia social.
O grupo de defesa dos direitos digitais Access Now informou no mês passado que as paralisações e interrupções da Internet impostas pelo governo na Índia representaram 106 de um total global de 182 dessas ações governamentais, ou quase 60%. A diretiva também segue picos notáveis na demanda de VPN na Índia, onde a empresa de pesquisa independente Top10VPN estima que as paralisações afetaram 59,1 milhões de usuários em 2021.
O Ministério da Eletrônica e TI disse em um comunicado no sábado que a nova diretiva visa ajudá-lo a lidar com “certas lacunas” que o impedem de responder a “incidentes cibernéticos e interações com o eleitorado” não especificados.
De acordo com a diretriz completa do ministério, as empresas de VPN serão obrigadas a coletar e relatar as seguintes informações:
PureVPN, com sede nas Ilhas Virgens Britânicas, que atinge 3 milhões de usuários em todo o mundo, disse que a nova diretiva pode afetar a posição da empresa na Índia.
“Estamos bastante surpresos com este movimento político da maior democracia do mundo, que está prestes a se tornar o maior estado policial do mundo. Estamos entrando em contato com as autoridades indianas e revisando as diretrizes políticas para avaliar o que isso significa para empresas estrangeiras que atendem usuários na Índia. PureVPN é uma VPN sem registro. O anonimato e a segurança do usuário são uma prioridade central, mas se isso for comprometido por esta política, teremos que considerar nossa posição na Índia”, disse Uzair Gadit, CEO da PureVPN, à em 5 de maio. o email.
Gadit disse que, embora a nova diretiva peça às empresas de VPN que armazenem os dados de seus clientes por pelo menos 5 anos, o PureVPN não armazena informações de identificação pessoal.
“Nem registra ou armazena a atividade do usuário. Portanto, isso representa um risco significativo para nossos usuários. Mais amplamente, isso afetará o setor de VPN em geral”, disse Gadit.
A diretriz completa do ministério está programada para entrar em vigor em 27 de junho, embora o governo possa atrasar a implementação para dar tempo para uma conformidade mais ampla.
Publicado pela primeira vez em 2 de maio, atualizado em 5 de maio para incluir comentários do CEO da PureVPN, Uzair Gadit.