有多部立法、规则和针对特定行业的法规调整印度网络安全的法律、监管和制度框架,它们促进了安全标准的维护,定义了网络犯罪,并规定了事件报告制度。
概述
2000年《信息技术法》是适用于网络安全、数据保护和网络犯罪的主要立法。
该法的主要特征如下:
- 以制定法的形式认可并保护电子交易和通信;
- 旨在保障电子数据、信息和记录的安全;
- 旨在阻止未经授权或非法使用计算机系统;以及
- 识别非法侵入、阻断服务攻击、钓鱼式攻击、恶意软件攻击,识别应依法惩处的欺诈和电子盗窃等违法行为。
根据《信息技术法》制定的以下规则和法规调整网络安全的不同方面:
-
Nehaa Chaudhari
合伙人
Ikigai Law律师事务所班加罗尔办公室
电子信箱: nehaa@ikigailaw.com2013年《信息技术(印度计算机应急响应小组及履行职能职责的方式)规则》(2013规则)规定,计算机应急响应小组(CERT-In)作为行政机构,负责收集、分析和传播网络安全事件信息,并采取应急响应措施。该规则还规定,中介和服务提供者有义务向CERT-In报告网络安全事件。
- 《关于信息安全规范、程序、网络事件预防、响应和报告以实现安全、受信任的互联网的指引》。该指引由CERT-In于2022年发布,加入并修改了2013规则下的现行网络安全事件报告义务。
- 2011年《信息技术(合理安全规范和程序以及敏感个人数据或信息)规则》(SPDI规则)规定,处理、收集、存储或传输敏感个人数据或信息的公司应采取合理的安全规范和程序。
- 《信息技术(2021年中介和数字媒体伦理守则指引)》规定,中介应实施合理的安全规范和程序,以保护计算机资源和信息,并维护安全港保护。指引还要求中介向CERT-In报告网络安全事件。
- 2018年《信息技术(受保护系统的信息安全规范和程序)》规定,部署了受保护系统(定义见《信息技术法》)的公司有义务实施明确的信息安全措施。
高级律师
Ikigai Law律师事务所新德里办公室
电子信箱: vijayant@ikigailaw.com
其他包含网络安全相关规定的法律有:1860年《印度刑法典》以及2014年《公司(管理和行政)规则》;其中,前者惩处网络空间犯罪(如诽谤、欺骗、胁迫犯罪、淫秽),后者则要求公司确保电子记录和系统的安全,防止未经授权的访问和篡改。印度储备银行、印度保险监管和发展局、电信部、印度证券交易委员会、印度国家卫生局等监管部门和政府机构还发布了针对特定行业的规则,规定了受其监管的实体应遵守的网络安全标准。
印度将关键信息基础设施(CII)定义为,一旦丧失功能或遭到破坏,会危害国家安全、经济、公众健康或安全的任何计算机资源。在印度,CII的安全由国家关键信息基础设施保护中心(NCIIPC)发布的指引来调整。
根据《信息技术法》,政府可宣布影响CII功能的任何计算机资源为受保护系统,对处理受保护系统的公司规定网络安全义务。指定的CII行业包括交通运输、电信、银行和金融、电力、能源和电子政务。在这些行业内,相关主管机关可宣布某些计算机系统为受保护系统。中央电力局等行业监管部门和政府机构,也制定了与网络安全和CII有关的规则及指引。
制度框架
网络安全是一个跨领域的问题,而印度对网络安全又制定了复杂的部委间和部门间制度框架,由多个部委、部门和机构履行关键职能。例如,电子和信息技术部负责与信息技术、电子产品及互联网有关的政策,包括网络法律。该部成立了协调机构CERT-In,负责协调和处理网络事件响应活动。
内政部掌管国内安全,包括网络安全。为此,它在内部成立了网络和信息安全机构,其中包含网络犯罪分部、网络安全分部和监控单位。2018年,为了打击网络犯罪,它还设立了印度网络犯罪协调中心。CII的协调机构NCIIPC向国家安全顾问报告。国家网络安全协调员是负责协调网络安全事务之人,隶属于总理办公室,负责协调联邦各机构。
安全措施
在联邦一级,《信息技术法》规定由处理敏感个人数据的组织承担安全义务。SPDI规则所规定的该等义务要求公司制定管理、技术、操作和物理安全控制措施。SPDI规则还与ISO/IEC国际信息安全管理标准保持一致,要求法人团体每年至少接受一次审计核查,而且在大幅度升级流程和计算机资源时,也应由经政府批准的独立审计师进行审计核查。
行业监管部门和协调机构也规定了安全措施。印度储备银行制定了银行标准,包括建立处理和报告事件的机制、网络危机管理,以及用以持续监测系统和保护客户信息的安排。它还要求银行遵循ISO/IEC 27001和ISO/IEC 27002标准。
一套类似的框架适用于非银行金融公司。印度证券交易委员会规定,证券交易所、存托机构和清算公司应遵循ISO/IEC 27001、ISO/IEC 27002、COBIT 5等标准。
网络事件报告制度
高级律师
Ikigai Law律师事务所新德里办公室
电子信箱: anand@ikigailaw.com
2013规则要求各类组织在合理时间内向CERT-In报告相关事件。该等事件包括,阻断服务攻击、钓鱼式攻击、勒索软件事件、网站篡改攻击以及有针对性的扫描网络或网站。
2022年4月,CERT-In发布新指令,修改了2013规则项下的义务,修改后的义务包括在六个小时内报告网络安全事件的要求,将系统时钟与政府服务器提供的时间同步,在印度维护安全日志,以及存储更多客户信息。2021年IT规则也规定,作为尽职调查义务的一部分,中介机构应将安全漏洞通知CERT-In。
各类针对特定行业的报告义务亦适用。例如,在金融服务业,每家银行必须在发现事件后的2到6小时内进行报告。同样,保险公司必须在发现后的48小时内向保险监管和发展局报告网络安全事件。电信持牌人必须建立设施以监测对其技术设施的入侵、攻击和欺诈,并向电信部报告。
网络犯罪
1860年《印度刑法典》规定的盗窃、欺诈、伪造、诽谤、损害行为等全部传统罪行,也可能发生在网络犯罪中。《信息技术法》惩处当代犯罪,包括篡改、黑客攻击、发布淫秽信息、未经授权访问受保护系统、侵犯秘密和隐私以及发布虚假的数字签名证书等。通过电子邮件发送恐吓信息或诽谤信息、伪造电子记录、网络欺诈、电子邮件欺骗、网络劫持以及滥发电子邮件,也属于可依法惩处的犯罪行为。
未来之路
联邦政府正在通过国家网络安全协调员制定新的国家网络安全战略,目的是消除印度网络安全框架中的某些漏洞,强化印度的网络安全总体立场。
政府还在考虑修订《信息技术法》,以与全球及国内数字和科技环境的进步保持一致。这可能会改变现行网络犯罪、事件报告制度以及安全措施和标准框架。
IKIGAI LAW
New Delhi | Bengaluru
电邮:contact@ikigailaw.com
