FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

印度电信监管机构推出了旨在保护国家关键基础设施网络免受网络威胁的规则，但专家表示，这些新指南对用户的基本隐私权保护不足。

上周由印度电信部（DoT）发布的这些规定，要求电信实体在六小时内报告网络安全事件，与网络安全当局共享用户流量数据，并采用包括风险管理方法、培训、网络测试和风险评估的网络安全政策。

这些措施是在2023年通过的具有里程碑意义的《电信法》下推出的，对行业来说是一个重要的监管步骤。尽管最终规则纳入了一些由公众咨询引起的变化，但专家表示，它们仍然需要更多的保护措施来限制政府访问数据。

对用户隐私的影响

向国家当局提供用户数据的义务在隐私倡导者中引起了重大关注。与可能允许当局收集人们消息内容的规则草案不同，适应后的版本主要允许收集用户元数据。然而，据数字权利组织Access Now的高级政策顾问Namrata Maheshwari称，这些元数据仍被认为是“极其敏感”的。

Maheshwari告诉Recorded Future News：“法律缺乏对政府收集此类数据、与其他机构共享或在没有独立监督的情况下存储的明确限制。”

印度电信规则规定，收集的数据“不应用于确保电信网络安全之外的任何目的。”然而，据印度互联网自由基金会（IFF）的专家表示，立法的措辞可能导致政府滥用其数据收集和共享权力。Maheshwari说：“赋予政府收集任何数据，无论是否与网络安全事件相关，赋予了国家不受限制的监视权力。”

如果发现某人违反了这些规则下模糊定义的义务，政府还可以暂停其电信服务的使用。她补充说：“这是一种严重的剥夺，侵犯了基本权利，必须有立法保障来防止法律的滥用。”

对电信行业的影响

根据IFF的声明，印度电信行业可能会发现遵守新规定“繁琐”。

如果电信实体在新规则下的最初六小时窗口内报告网络安全事件，它仍然面临另一个立即的截止日期：在24小时内，该组织必须提交所有其他相关信息，以及对事件的更详细描述。

IFF认为，这种报告要求是“不现实的和不可行的。”他们说，24小时的截止日期与全球最佳实践不一致。例如，在美国以及根据欧盟的通用数据保护条例（GDPR），关键基础设施事件和个人数据泄露的报告时间设定为72小时。

IFF警告说，印度规则设定的时间表可能会导致事件报告的质量下降。印度法律专家还表示，这些规则可能会增加电信公司的合规成本，这可能会使移动服务对用户来说更加昂贵。几家当地电信运营商向印度商业报纸《经济时报》证实，他们在尝试遵守规则时所产生的费用可能会转嫁给消费者。

包括Airtel、Vodafone和Reliance Jio在内的当地电信巨头尚未公开评论新规则。《电信法》旨在现代化印度的部门并鼓励创新，但Maheshwari称该法律是“错失的机会”。她补充说：“它在印度议会匆忙通过，避免了急需的辩论和审议。”

Maheshwari认为，网络安全规则以及《电信法》下的其他规则应该在立法者面前提出并进行审查，以确保它们为人们的权利提供充分的保障。印度政府经常通过封锁社交媒体平台或在重大政治和社会事件期间切断互联网访问来限制公民的数字自由。

根据Access Now的数据，印度连续第六年在全球互联网关闭中领先。当地政府继续以越来越快的速度封锁在线内容，根据美国非营利组织Freedom House的报告，印度的互联网用户因批评政府的帖子而面临被捕的风险。

参考来源：https://therecord.media/india-telecom-act-cyber-regulations-privacy-concerns

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022