印度略微放宽了有争议的信息安全事件新报告要求，并明确表示它们适用于跨国公司。

该规则于 4 月下旬在几乎没有预先警告的情况下宣布，并迅速引起了业界的批评，理由包括要求在 6 小时内报告 22 种不同类型的事件、要求注册个人 VPN 用户的个人详细信息以及保留许多日志文件180 天。

印度政府昨天发布了有关新规则的常见问题解答[PDF]作为回应。

文件中的一些指导将受到欢迎，例如澄清轻微安全事件（例如接管社交媒体帐户）不受 6 小时报告要求的约束。相反，只有“严重性质的事件……在公共信息基础设施的任何部分，包括骨干网络基础设施”、数据泄露或危及公共安全的事件，必须迅速报告。

仅使用一对印度网络时间协议 (NTP) 服务器的要求似乎也有所放宽，常见问题解答允许使用与两个经批准的印度运营商同步的其他 NTP 服务器。

该文件还规定了对可能在印度经营而在该国没有实体存在的实体的要求。此类组织必须指定一个联系人与负责管理新规则的印度计算机应急响应小组 (CERT-In) 联络。非印度组织可以在海外存储诸如日志文

常见问题解答重申了之前的主张，即新规则是保护印度工业、政府和社会安全所必需的，并指出这些新规则是在与相关利益相关者协商后制定的，该规则于 2022 年 3 月上旬开始——距规则发布不到八周。

但该文件没有解决对新规则的批评。未解决对保留有关 VPN 用户及其活动的数据的异议。相反，该文件将这一要求解释为国家安全的当务之急，并驳斥了隐私问题。日志文件保留的技术负担没有得到解决，除了间接引用文件的弹性和安全性要求，以便将它们提供给 CERT-In。

该文件确实承认，新规则将使 CERT-In 可能从事件报告中收集大量个人信息，并且这些报告将包括对某些组织的 IT 系统的描述，这对某些方面非常有价值。向那些担心与组织共享信息的人提供 CERT-In 受隐私法约束并受监管链要求约束的保证。

但是，如果没有解释 CERT-In 将如何使用它收集的文件来分析安全事件，那么一个有趣的问题是，因为允许组织以 PDF 或 Fax 等不适合自动摄取或分析的格式提交报告。

印度的软件自由法律中心表示担心常见问题解答不具有约束力，使其指导不佳，并誓言要寻求有关谁参与了咨询过程的信息。VPN 提供商再次批评了规则的要求，电子和 IT 国务部长 Rajeev Chandrashekhar 建议如果他们不喜欢印度的法律，他们应该离开印度。

但 CERT-In 和部长 Chandrashekhar 并没有让步——满足新规则要求的截止日期为 6 月 27 日仍然有效。