Alla VPN-tjänster som kör servrar i Indien måste nu följa en ny datalag som nu officiellt trätt i kraft.
Enligt de nya CERT-In-bestämmelserna är leverantörer av säkerhetsprogramvara lagligt skyldiga att lagra användardata, såsom IP-adresser, riktiga namn och användningsmönster, i upp till fem år. De kommer också att vara skyldiga att lämna denna information till myndigheterna på begäran.
Sedan regeringens tillkännagivande publicerades den 28 april har internetanvändare, integritets- och cybersäkerhetsexperter uttryckt oro över de negativa effekterna av dessa regler på människors integritet.
Allt detta har fått några av de bästa VPN-tjänsterna att vidta drastiska åtgärder för att inte äventyra integritetsvärdena och fortfarande skydda användarnas anonymitet.
Även om länders lagar och lagstiftning ändras, kvarstår vår prioritet att skydda användarnas integritet. Därför kommer vi, mot bakgrund av det kommande Indiens datainsamlingsdirektiv, att ta bort våra Indien-baserade servrar. Trots detta kommer användare i Indien fortfarande att kunna använda våra tjänster den 23 juni 2022
Se mer
Varför är Indiens nya lag om datalagring kontroversiell?
Förkortning för Virtual Private Network, en VPN är säkerhetsprogramvara som skyddar människors integritet genom att dölja deras riktiga IP-plats samtidigt som de skyddar deras data i en krypterad tunnel.
För att skydda användarens anonymitet har de flesta privata VPN-tjänster strikta policyer för att inte logga. Detta innebär att ingen användardata kan lagras, avslöjas eller delas. Det är precis därför att fråga efter kundregister är, som ExpressVPN beskrev det, "inkonsekvent med syftet med VPN - öppnas i en ny flik."
Dessutom påverkar Indiens nya lag om datalagring inte bara VPN. Molnlagringstjänster, virtuella privata servrar (VPS), datacenter och kryptovalutabörser är mål för de nya CERT-In-bestämmelserna.
Detta drag kommer i ett försök att stävja den ökande förekomsten av cyberbrottslighet. Med över 86 miljoner dataintrång 2021 var Indien det tredje mest drabbade landet i världen (öppnas i en ny flik) förra året.
Men som Surfshark förklarade i ett officiellt uttalande (öppnas i en ny flik): "Insamlingen av alltför stora mängder data inom indisk jurisdiktion utan starka skyddsåtgärder kan leda till fler intrång på nationell nivå."
Samtidigt befanns Indien vara ansvarigt för 106 av de 180 internetavbrotten under 2021 (öppnas i en ny flik), enligt digitalrättighetsaktivisten Access Now. För att inte tala om pressfriheten och anklagelserna om att den indiska regeringen använde Pegasus-teknik för att spionera på aktivister, politiker och advokater.
Med ett sådant register är det inte svårt att se varför medborgare och experter fruktar att myndigheter kommer att missbruka denna datainsamling för att uppmuntra påträngande massövervakningsmetoder och undergräva medborgerliga friheter.
Integritet är dock inte den enda som är i fara. Indiens nya datalag kan skada tillväxten av IT-sektorn i landet. Som Sudip Saha, COO för Future Market Insights, sa till TechRadar, "VPN-förbud kommer främst att skada företagens intressen genom att avskräcka investeringar och affärer i Indien."
Hur VPN-leverantörer planerar att skydda användarnas integritet
Många VPN-leverantörer har motsatt sig den indiska regeringens beslut och uttryckt sitt engagemang för deras företags värderingar.
Några av dem har bestämt sig för att bli virtuella för att skydda användarnas integritet. Som? De har skapat virtuella platser så att människor i Indien fortfarande kan ansluta till en falsk indisk IP-adress. Dessa erbjuder samma funktionalitet, men användardatan kommer att vara säker eftersom deras anslutning kommer att omdirigeras till servrar fysiskt placerade utanför landets gränser.
Leverantörer som nu erbjuder virtuella platser i Indien inkluderar ExpressVPN, Surfshark, CyberGhost, Private Internet Access (PIA) och PureVPN.
Vissa, som IPVanish, planerar att erbjuda något liknande i framtiden. Men i skrivande stund har de virtuella indiska platserna ännu inte meddelats.
Andra, trots att de har stängt ner sina indiska servrar, säger att de inte har för avsikt att introducera falska platser. Dessa inkluderar NordVPN, Hide.me och AtlasVPN.
Som NordVPNs Laura Tyrylyte sa till oss, "Vi tror att vi kommer att hitta ett sätt att möta kraven från alla våra kunder, oavsett var de befinner sig."
ProtonVPN höll inte heller med om de nya CERT-In-reglerna och föreslog säkra sätt att ansluta till VPN-servrar i högriskländer (öppnas i en ny flik). Dessa inkluderar att använda en av deras Secure Core-servrar för ett extra lager av kryptering.
Samtidigt sa Windscribe att de planerar att behålla sina indiska servrar, "om inte våra indiska värdar tvingar oss att sluta."
Jämför de bästa indiska VPN-tjänsterna just nu: