Индия готовит закон, обязывающий VPN хранить логи 5 лет

07.07.2026 3
Индия готовит закон, обязывающий VPN хранить логи 5 лет

3 июля 2026 года власти Индии подтвердили, что готовят новую законодательную базу для регулирования VPN-провайдеров: компании обяжут открыть физический офис в стране, назначить местного compliance-офицера и хранить данные подписчиков - включая имена, адреса и IP-адреса - в течение пяти лет. Сотрудникам компаний, не выполнивших требования, грозит уголовная ответственность вплоть до тюремного заключения.

Что потребует новый VPN-закон Индии 2026 года

По данным индийских СМИ со ссылкой на чиновников, предлагаемая схема копирует Information Technology Rules 2021 - правила, которые уже обязывают крупные соцсети назначать Chief Compliance Officer и Nodal Contact Person как прямую линию связи с правоохранительными органами. Применительно к VPN та же модель потребует от провайдеров:

  • Зарегистрировать местное юрлицо и содержать физический офис на территории Индии.
  • Назначить compliance-офицера, который станет точкой контакта для властей.
  • Хранить данные подписчиков пять лет, включая полное имя, адрес, контактные данные и IP-адреса.
  • Передавать логи по запросу - при этом конкретные сотрудники будут нести уголовную ответственность, вплоть до тюрьмы, за невыполнение требований.

Директива 2022 года, которую провайдеры просто проигнорировали

Это не первая попытка Индии. В 2022 году индийская CERT-In (Computer Emergency Response Team) выпустила почти идентичную директиву с изначальным сроком исполнения 27 июня 2022 года, позже перенесённым на 25 сентября 2022 года. Реакция крупнейших игроков рынка была однозначной: Proton VPN, NordVPN, ExpressVPN и Surfshark вывезли физические серверы из Индии, вместо того чтобы подчиниться, и перенаправили индийских пользователей через виртуальные серверы в Сингапуре и других странах. Proton VPN назвал директиву "инвазивным законом массовой слежки" и заявил, что не намерен ей подчиняться.

Важно: по словам высокопоставленного чиновника, именно этот опыт объясняет, почему новый проект жёстче: директивы CERT-In 2022 года "не смогли обуздать эти компании, поскольку они просто отказались подчиняться". Новое предложение призвано закрыть эту лазейку, возложив уголовную ответственность на конкретных compliance-офицеров, а не только на юрлицо компании.

Почему власти считают, что контроль над VPN нужно ужесточить

Индийские власти указывают на резкий рост числа предписаний о блокировке сайтов как на доказательство того, что анонимизированный трафик становится всё труднее контролировать: госорганы выдали более 24 000 предписаний о блокировке в 2025 году - более чем вдвое больше, чем свыше 12 000 в 2024-м. Чиновники утверждают, что растущая доля заблокированного контента остаётся доступной именно потому, что VPN-провайдеры не хранят логи, которые можно было бы передать властям, а во многих случаях вообще не держат серверов в юрисдикции Индии. По оценкам, примерно половина из 800 миллионов интернет-пользователей Индии хотя бы иногда пользуется VPN, что, по словам чиновников, подрывает эффект блокировок в национальном масштабе.

Момент для инициативы выбран не случайно - она следует за реальной проверкой спроса на VPN в Индии. Когда в июне 2026 года Индия заблокировала Telegram в рамках более широкой кампании против зашифрованных мессенджеров, резкий всплеск регистраций в VPN-приложениях столкнул миллионы новых пользователей с хищнической, перегруженной рекламой в бесплатных VPN - этот скачок регуляторы теперь приводят как доказательство того, что использование VPN в Индии стало достаточно массовым, чтобы требовать формального надзора.

Что будет, если провайдеры снова откажутся

Если история повторится, наиболее вероятный исход тот же, что и в 2022 году: вместо того чтобы открывать офис в Индии, подставлять compliance-офицера под возможное уголовное преследование и вести пятилетний журнал активности пользователей, крупные no-log VPN-провайдеры просто снова выведут физическую инфраструктуру из страны и продолжат обслуживать индийских пользователей через серверы за рубежом. Формально доступ к VPN при этом сохранится, но рынок будет всё сильнее смещаться в сторону провайдеров, готовых работать в серой правовой зоне - зачастую тех же низкокачественных бесплатных приложений, которые зарабатывают на агрессивной рекламе, вызвавшей недовольство индийских пользователей во время блокировки Telegram.

Индийский VPN-рынок не понаслышке знаком с инцидентами безопасности, которые делают инструменты приватности не менее, а более актуальными. Ransomware-атака на производителя Bajaj Auto в июне 2026 года показала, насколько уязвимой может быть корпоративная VPN-инфраструктура даже внутри крупных, хорошо обеспеченных ресурсами индийских компаний - напоминание, что дискуссия о регулировании VPN разворачивается на фоне реальных взломов, а не гипотетических рисков.

Заключение: проект индийского закона о VPN станет одним из самых жёстких режимов хранения данных для VPN-провайдеров в мире - подкреплённым угрозой личной уголовной ответственности, а не только корпоративных штрафов. Удастся ли ему добиться того, чего не удалось директиве CERT-In 2022 года, скорее всего, будет зависеть от того же вопроса, что и раньше: подчинятся ли крупные провайдеры или снова просто оставят физическую инфраструктуру Индии и продолжат обслуживать страну из-за рубежа.
Теги: cybersecurity security vpn privacy india digital rights surveillance legislation

Читайте также