Ấn Độ: Dự thảo quy định về an ninh mạng viễn thông năm 2024

- Vào ngày 28 tháng 8 năm 2024, Cục Viễn thông [“DoT”], Bộ Truyền thông [“MoC”] Ấn Độ đã công bố dự thảo Quy định về Viễn thông (An ninh mạng viễn thông), 2024 [“Quy định về An ninh mạng, 2024”]. Lần đầu tiên được công bố trên Công báo điện tử vào ngày 29 tháng 8 năm 2024, MoC cũng đã công bố 3 dự thảo Quy định khác cùng với Quy định về An ninh mạng, bao gồm việc đóng cửa internet, chặn viễn thông và cơ sở hạ tầng viễn thông quan trọng. MoC đang tìm kiếm phản đối hoặc đề xuất trong vòng 30 ngày kể từ ngày công bố.

- Quy định an ninh mạng viễn thông 2024 do Bộ Truyền Thông đề xuất nhằm đảm bảo an toàn cho hệ thống và dịch vụ viễn thông, đồng thời bảo vệ người dùng trước các mối đe dọa an ninh mạng. Quy định được ban hành dưới quyền của Đạo luật Viễn thông 2023, với các mục tiêu chính là bảo mật thông tin, quản lý thiết bị và ngăn chặn các sự cố bảo mật.
  
- Những quy định mới này sẽ thay thế hoàn toàn các quy định từ năm 2017 và 2022 về việc ngăn chặn giả mạo số IMEI của thiết bị viễn thông, nhưng không làm mất hiệu lực các biện pháp đã thực hiện theo các quy định trước đó.
  
- Chính phủ hoặc các cơ quan được ủy quyền có quyền yêu cầu doanh nghiệp viễn thông cung cấp dữ liệu lưu lượng, thông tin người dùng và các dữ liệu cần thiết để đảm bảo an ninh mạng. Điều này bao gồm việc thiết lập hạ tầng để thu thập và phân tích dữ liệu tại các điểm chỉ định.
  
- Dữ liệu thu thập được sẽ được sử dụng để phân tích, đánh giá và cải thiện an ninh mạng. Trong một số trường hợp, dữ liệu này có thể được chia sẻ với các cơ quan Chính phủ hoặc các doanh nghiệp viễn thông khác để tăng cường bảo mật cho toàn bộ hệ thống. Đồng thời, các biện pháp bảo mật sẽ được thực hiện để ngăn chặn việc truy cập trái phép vào dữ liệu.
  
- Các doanh nghiệp viễn thông phải thực hiện nghiêm túc quy định không được sử dụng thiết bị, dịch vụ viễn thông để thực hiện các hành vi gian lận, lừa đảo hoặc bất kỳ hoạt động nào gây nguy hại cho an ninh mạng. Điều này bao gồm việc sử dụng thông tin giả mạo, thực hiện các hành vi gây ra sự cố bảo mật hoặc trái với pháp luật hiện hành.
  
- Chính phủ sẽ ban hành các tiêu chuẩn an ninh bắt buộc doanh nghiệp viễn thông phải tuân thủ để ngăn chặn việc sử dụng sai lệch mạng lưới, thiết bị hoặc dịch vụ viễn thông. Những tiêu chuẩn này bao gồm kiểm tra bảo mật, đánh giá rủi ro và phản ứng nhanh với các sự cố bảo mật.
  
- Mỗi doanh nghiệp viễn thông phải áp dụng chính sách an ninh mạng rõ ràng, bao gồm các biện pháp phòng ngừa, khắc phục sự cố, đánh giá lỗ hổng và quản lý rủi ro. Các biện pháp này sẽ phải bao gồm việc kiểm tra định kỳ hệ thống, đào tạo nhân viên và báo cáo kịp thời các sự cố bảo mật cho Chính phủ.
  
- Doanh nghiệp phải duy trì hồ sơ chi tiết về tất cả các sự kiện liên quan đến hệ thống viễn thông, từ dữ liệu lưu lượng, thiết bị sử dụng cho đến các sự cố an ninh. Những hồ sơ này cần được lưu giữ trong thời gian quy định và sẵn sàng cung cấp khi Chính phủ hoặc các cơ quan thực thi pháp luật yêu cầu.
  
- Chính phủ có quyền đình chỉ hoặc chấm dứt sử dụng thiết bị viễn thông có số IMEI bị giả mạo hoặc bị thay đổi. Những thiết bị này có thể bị cấm truy cập dịch vụ trong thời gian từ 1 đến 3 năm, tùy thuộc vào mức độ vi phạm. Ngoài ra, các nhà sản xuất và nhập khẩu thiết bị có số IMEI phải đăng ký số này với Chính phủ trước khi bán hoặc nhập khẩu vào Ấn Độ.
  
- Trong trường hợp xảy ra sự cố bảo mật, doanh nghiệp viễn thông phải báo cáo cho Chính phủ trong vòng 6 giờ kể từ khi sự cố xảy ra. Báo cáo phải bao gồm số lượng người dùng bị ảnh hưởng, phạm vi địa lý và thời gian của sự cố, cùng với các biện pháp khắc phục được thực hiện hoặc dự kiến thực hiện.
  
- Chính phủ có quyền công khai thông tin về sự cố bảo mật nếu cho rằng điều này là cần thiết vì lợi ích công cộng. Đồng thời, Chính phủ cũng có thể yêu cầu doanh nghiệp thực hiện các biện pháp bảo mật bổ sung, tiến hành kiểm tra an ninh và cung cấp kết quả kiểm tra cho cơ quan chức năng.
  
- Mỗi doanh nghiệp viễn thông phải bổ nhiệm một Chief Telecommunication Security Officer (Giám đốc An ninh Viễn thông), người chịu trách nhiệm phối hợp với Chính phủ và giám sát việc tuân thủ các quy định an ninh mạng. Người này phải là công dân Ấn Độ và cư trú tại Ấn Độ.
  
- Đối với những thiết bị viễn thông có số IMEI bị thay đổi hoặc giả mạo, Chính phủ có thể yêu cầu nhà sản xuất cung cấp sự hỗ trợ để khắc phục. Ngoài ra, các doanh nghiệp viễn thông phải có cơ chế để ngăn chặn thiết bị có số IMEI bị giả mạo truy cập vào hệ thống mạng.
  
- Các biện pháp số hóa sẽ được triển khai để hỗ trợ việc thu thập, xử lý và phân tích dữ liệu nhằm đảm bảo quy định được thực thi hiệu quả. Chính phủ có thể yêu cầu doanh nghiệp thực hiện các báo cáo định kỳ và cung cấp dữ liệu cần thiết thông qua hệ thống số hóa.

📌 Dự thảo quy định về an ninh mạng viễn thông năm 2024 của Bộ Truyền thông (Cục Viễn thông) Ấn Độ đưa ra các biện pháp bảo mật toàn diện, yêu cầu các doanh nghiệp viễn thông báo cáo nhanh chóng các sự cố bảo mật, kiểm tra định kỳ hệ thống và quản lý nghiêm ngặt số IMEI của thiết bị. Quy định này nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu và sự phối hợp chặt chẽ giữa Chính phủ và các doanh nghiệp để đảm bảo an toàn cho hệ thống viễn thông.

https://internetfreedom.in/draft-cyber-security-rules-2024/

Phân tích: 

- Quy định an ninh mạng viễn thông năm 2024 được ban hành theo Điều 22(1) và Điều 56(2)(v) của Luật Viễn thông 2023, thay thế các quy định trước đó về số nhận dạng thiết bị di động (IMEI) trong năm 2017 và 2022. Các quy định mới không loại bỏ các đăng ký hiện hành, nhưng có những thay đổi quan trọng trong cách bảo mật mạng và dịch vụ viễn thông.
- Giới thiệu khái niệm mới như "Giám đốc An ninh Viễn thông" (Chief Telecommunication Security Officer - CTSO), chịu trách nhiệm phối hợp với Chính phủ trong việc triển khai các quy định và báo cáo sự cố bảo mật. Đây là một vai trò quan trọng mà các nhà cung cấp dịch vụ viễn thông cần bổ nhiệm, và thông báo kịp thời về bất kỳ thay đổi nào cho Chính phủ.
- Định nghĩa về "an ninh mạng viễn thông" trong quy định này bao gồm các công cụ, chính sách, khái niệm bảo mật, hướng dẫn, biện pháp quản lý rủi ro, và công nghệ nhằm bảo vệ mạng và dịch vụ viễn thông khỏi các rủi ro bảo mật. Tuy nhiên, khái niệm "ứng dụng" trong phạm vi dịch vụ bảo mật chưa được định nghĩa rõ ràng, dẫn đến lo ngại rằng các dịch vụ giao tiếp trực tuyến có thể bị đưa vào phạm vi điều chỉnh của quy định.
- Quy định cấm hoàn toàn việc giả mạo hoặc thay đổi số nhận dạng thiết bị viễn thông, và yêu cầu Chính phủ có quyền yêu cầu các nhà sản xuất hỗ trợ trong trường hợp số IMEI bị giả mạo. Nhà cung cấp dịch vụ viễn thông cũng phải có khả năng chặn các thiết bị có số IMEI bị thay đổi theo yêu cầu của Chính phủ, mà không có quy trình kháng cáo hoặc xem xét độc lập rõ ràng.
- Các điều khoản liên quan đến thu thập và chia sẻ dữ liệu yêu cầu nhà cung cấp dịch vụ viễn thông phải cung cấp dữ liệu lưu lượng và các loại dữ liệu khác khi có yêu cầu từ Chính phủ. Quy định cho phép Chính phủ thu thập, phân tích và chia sẻ dữ liệu với các cơ quan thực thi pháp luật hoặc các bên liên quan khác để đảm bảo an ninh mạng viễn thông. Tuy nhiên, không có quy định rõ ràng về thời gian lưu trữ dữ liệu, mức độ bảo mật cần thiết, hay sự minh bạch trong quy trình này, có thể gây lo ngại về quyền riêng tư.
- Các nhà cung cấp dịch vụ viễn thông phải báo cáo bất kỳ sự cố bảo mật nào trong vòng 6 giờ kể từ khi xảy ra, bao gồm chi tiết về số lượng người dùng bị ảnh hưởng, khu vực địa lý, và biện pháp khắc phục. Tuy nhiên, thời gian 6 giờ có thể không thực tế trong nhiều trường hợp, và quy định cũng cho phép Chính phủ quyết định có nên công bố sự cố bảo mật cho công chúng hay không, tùy thuộc vào "lợi ích công cộng", mà không có tiêu chí rõ ràng về việc này.
- Quy định yêu cầu các nhà cung cấp dịch vụ viễn thông thiết lập Trung tâm Điều hành An ninh (Security Operations Center - SOC) để theo dõi và đối phó với các sự cố bảo mật. Họ cũng phải lưu giữ các bản ghi (log) liên quan đến hoạt động viễn thông trong một khoảng thời gian do Chính phủ quy định, với yêu cầu duy trì tất cả các bản ghi cần thiết cho bảo mật. Tuy nhiên, quy định không cung cấp rõ ràng về thời gian giữ lại dữ liệu, và việc này có thể vi phạm các nguyên tắc quốc tế về giới hạn lưu trữ và giảm thiểu dữ liệu.
- Một điểm mới là Chính phủ có thể duy trì một cơ sở dữ liệu về các cá nhân và thiết bị bị xử lý dựa trên các vi phạm an ninh mạng, và có thể cấm hoặc hạn chế quyền truy cập dịch vụ viễn thông của họ trong tối đa 3 năm. Danh sách này có thể được chia sẻ với các nhà cung cấp dịch vụ khác để hạn chế việc sử dụng thiết bị vi phạm. Quy định này có thể gây ra lo ngại về quyền riêng tư và tự do ngôn luận, đặc biệt khi không có cơ chế giám sát độc lập hoặc quy trình khiếu nại rõ ràng.
- Quy định mới cũng yêu cầu các nhà cung cấp dịch vụ viễn thông tiến hành kiểm tra bảo mật định kỳ, không chỉ bởi cơ chế nội bộ mà còn thông qua các cơ quan kiểm toán được Chính phủ chứng nhận. Tuy nhiên, tính độc lập của các cuộc kiểm toán này có thể bị đặt câu hỏi vì các cơ quan được Chính phủ chỉ định, và quy định không yêu cầu các nhà cung cấp báo cáo kết quả kiểm toán.

📌 Quy định an ninh mạng viễn thông 2024 mở rộng quyền lực của Chính phủ trong việc thu thập dữ liệu, bảo vệ mạng lưới viễn thông và quản lý an ninh thiết bị. Tuy nhiên, nhiều điều khoản thiếu rõ ràng và có thể gây lo ngại về quyền riêng tư, tính minh bạch và trách nhiệm của các nhà cung cấp dịch vụ trong việc tuân thủ các quy định mới.

https://content.internetfreedom.in/api/files/divco3ywedt9rpe/h8b3y9efszmbzl4/iff_s_analysis_of_cyber_security_rules_2024_7EgISDGMuE.pdf?ref=static.internetfreedom.in

Phản biện: 
- Đạo luật Viễn thông 2023 đã được Quốc hội thông qua giữa lúc hỗn loạn với hơn 140 thành viên phe đối lập bị đình chỉ. Đạo luật này được Tổng thống phê chuẩn và công bố vào ngày 24/12/2023. Một số điều khoản quan trọng của luật đã bắt đầu có hiệu lực từ ngày 26/6/2024, theo thông báo của Bộ Truyền thông.
- Dự thảo Quy định 2024 nhằm thay thế các Quy định về Ngăn chặn việc làm giả số IMEI năm 2017 và các sửa đổi năm 2022 theo Đạo luật Điện báo Ấn Độ 1885. Tuy nhiên, các đăng ký và điều khoản dưới chế độ cũ vẫn có hiệu lực.
- Định nghĩa "an ninh mạng viễn thông" trong dự thảo rất mơ hồ, bao gồm nhiều loại dịch vụ viễn thông, mạng lưới, và tài sản liên quan. Một trong số đó là “các ứng dụng”, không được định nghĩa rõ ràng, gây lo ngại rằng các dịch vụ truyền thông trực tuyến như Signal có thể bị đưa vào phạm vi điều chỉnh của quy định.
- Chính phủ được trao quyền yêu cầu các nhà mạng chặn thiết bị viễn thông có IMEI giả mạo. Quy định này không có trong Quy định năm 2017 và không chỉ rõ thẩm quyền nào trong chính phủ sẽ ban hành các chỉ thị này. Không có quy trình nghe xét hoặc quyền kháng nghị cho người bị ảnh hưởng, điều này thiếu các biện pháp bảo vệ cho quyền lợi người dùng.
- Quy định 5 cho phép chính phủ xác định và đưa ra thông báo cho người có hành vi đe dọa an ninh mạng viễn thông. Tuy nhiên, quy định cũng cho phép bỏ qua quy trình nghe xét nếu chính phủ cho rằng điều đó cần thiết vì “lợi ích công cộng”, nhưng không định nghĩa rõ ràng thế nào là lợi ích công cộng. Điều này dẫn đến nguy cơ các quyết định tùy tiện, không công bằng mà không có cơ chế kháng cáo hoặc giám sát độc lập từ quốc hội hoặc tòa án.
- Chính phủ có quyền thu thập dữ liệu về lưu lượng và các loại dữ liệu khác từ các nhà cung cấp dịch vụ viễn thông, yêu cầu họ thiết lập cơ sở hạ tầng để xử lý và lưu trữ dữ liệu. Tuy nhiên, không có biện pháp bảo vệ quyền riêng tư cụ thể nào được quy định. Quy định cũng không nêu rõ cơ quan nào có quyền phân tích dữ liệu được thu thập, và dữ liệu có thể được chia sẻ với bất kỳ cơ quan chính phủ nào liên quan đến an ninh hoặc thực thi pháp luật mà không có giới hạn về thời gian lưu trữ.
- Quy định không xác định rõ các biện pháp an ninh cụ thể cho việc thu thập và lưu trữ dữ liệu, làm tăng nguy cơ vi phạm quyền riêng tư và an ninh dữ liệu. Các nguyên tắc bảo mật thông tin như "thiết kế bảo mật" và "hạn chế thời gian lưu trữ" không được tuân thủ.
- Các dịch vụ mã hóa đầu cuối như Signal hoặc các nhà cung cấp VPN như ProtonVPN có thể đối mặt với nguy cơ phải thay đổi các hoạt động bảo mật, thu thập thêm thông tin hoặc thậm chí rút khỏi thị trường Ấn Độ, tương tự như các trường hợp của NordVPN và Surfshark rút lui sau các yêu cầu giám sát năm 2022.
- Các nhà cung cấp dịch vụ viễn thông sẽ phải báo cáo sự cố an ninh trong vòng 6 giờ, giống với yêu cầu từ các chỉ thị của CERT-In 2022. Tuy nhiên, không có sự khác biệt giữa các loại sự cố hay quy mô của doanh nghiệp, điều này gây gánh nặng tuân thủ đặc biệt đối với các doanh nghiệp nhỏ và vừa (MSME).
- Quy định 7 cho phép chính phủ quyết định có công bố thông tin về sự cố an ninh cho công chúng hay không, nếu điều đó không được coi là vì lợi ích công cộng. Điều này mâu thuẫn với Đạo luật Bảo vệ Dữ liệu Cá nhân (DPDPA) 2023, trong đó quy định rõ ràng việc thông báo cho người bị ảnh hưởng.
- Các quy định dự thảo cũng thiếu các cơ chế giải quyết khiếu nại và bảo vệ quyền riêng tư của người dùng, đặc biệt trong bối cảnh chia sẻ dữ liệu với các cơ quan chính phủ mà không có sự giám sát độc lập. Điều này mở ra nguy cơ lạm dụng quyền lực và đe dọa quyền tự do ngôn luận, quyền được bảo vệ thông tin cá nhân của người dùng.
- Việc yêu cầu lưu giữ các bản ghi nhật ký mà không có tiêu chuẩn rõ ràng về bảo mật hoặc thời gian lưu trữ cụ thể làm gia tăng nguy cơ lạm dụng dữ liệu. Điều này không phù hợp với các nguyên tắc quốc tế về giới hạn lưu trữ và tối thiểu hóa dữ liệu. Một số nhà cung cấp dịch vụ có thể phải thay đổi cơ cấu hoạt động kinh doanh hoặc rút lui khỏi thị trường do chi phí và yêu cầu tuân thủ quá cao.

📌 Dự thảo Quy định 2024 của Đạo luật Viễn thông 2023 mở rộng quyền giám sát của chính phủ mà không có các biện pháp bảo vệ đủ mạnh. Quy định này gây lo ngại về quyền riêng tư, an ninh dữ liệu, và quyền tự do cá nhân, đặc biệt đối với các dịch vụ mã hóa. Những quy định thiếu rõ ràng có thể dẫn đến việc lạm dụng quyền lực và làm tăng chi phí tuân thủ cho doanh nghiệp.

https://internetfreedom.in/draft-cyber-security-rules-2024/