Het Indian Computer Emergency Response Team (CERT-in) heeft donderdag nieuwe richtlijnen uitgevaardigd waardoor crypto-exchanges, VPN-providers en datacenters worden gedwongen om een breed scala van gebruikersgegevens maximaal vijf jaar op te slaan. Het CERT-in valt onder het ministerie van Elektronica en Informatietechnologie.
Volgens de nieuwe richtlijnen moeten crypto-exchanges die in India actief zijn, namen, eigendomspatronen, contactgegevens en andere gegevens van hun klanten opslaan. Ook zijn crypto-exchanges en VPN-providers verplicht om elk cyber-incident binnen zes uur na het optreden ervan, te melden. Daarnaast moeten de verzamelde gegevens op bestelling aan de autoriteiten worden overhandigd. De richtlijn luidde:
“Indien vereist door de opdracht/aanwijzing van CERT-In, met het oog op cyber-incidentrespons, beschermende en preventieve acties met betrekking tot cyber-incidenten, is de serviceprovider / tussenpersoon / datacenter / carrosseriebedrijf gemandateerd om actie te ondernemen of informatie of dergelijke assistentie aan CERT-In te verstrekken.”
Op 22 juni gaan de nieuwe richtlijnen van kracht, waardoor veel VPN-providers en privacygerichte cryptoplatforms kunnen worden gesloten zodra zij zich niet houden aan de verzameling van gebruikersgegevens.
Er wordt door CERT-in beweerd dat de nieuwe richtlijnen bedoeld zijn op hen te helpen binnen zes uur actie te ondernemen tegen cybercriminaliteit. Het scala aan gegevens dat ze de platforms echter vragen op te slaan en over te dragen heeft enkele wenkbrauwen doen fronsen. Een gebruiker schreef:
“Onze regering wil het privéleven van het volk controleren en onze grondwet staat dit niet toe, maar om eerlijk te zijn is niemand in India zich veel bewust van persoonlijke gegevens.”
Sommige eigenaren van crypto-exchanges verwelkomden de stap echter. Er werd gezegd dat het namelijk zal helpen bij het vervolgen van belastingontduikers. De CEO van Unocoin, Sathvik Vishwanath zei:
“Dit is een goede zet en helpt crypto-spelers om duidelijkheid te hebben over de gegevens die ze zouden opslaan. De gegevens zouden helpen bij het vervolgen van belastingontduikers en eventuele misdaden die plaatsvinden met behulp van crypto.”
Momenteel is het nog niet duidelijk of de nieuwe regels alleen van toepassing zijn voor crypto-exchanges die enkel alleen in India actief zijn of het ook gaat om buitenlandse exchanges die hun diensten ook in India aanbieden. Als er wordt gekeken naar eerder wetgevingen, is het aannemelijk dat het van toepassing zal zijn op alle platforms.
Op dit moment is het niet duidelijk of de nieuwe regels alleen van toepassing zijn op crypto-uitwisselingen die alleen in India actief zijn of op buitenlandse beurzen die hun diensten ook aan Indiërs aanbieden. Kijkend naar de eerdere crypto-richtlijnen, zou het echter wel eens van toepassing kunnen zijn op alle platforms.
De nieuwe richtlijnen voor gegevensverzameling komen op een moment dat het regressieve crypto-belastingbeleid in het land al heeft geleid tot een sterke daling van het handelsvolume en de gebruikersactiviteit op Indiase crypto-exchanges.