Indien varnar VPN-tjänster för tillgång till förbjudna vadslagningssajter

Indiens MeitY varnar VPN-leverantörer formellt

Indiens ministerium för elektronik och informationsteknik (MeitY) har utfärdat ett formellt rådgivande meddelande till VPN-tjänsteleverantörer och onlineintermediärer, och varnar dem för att tillhandahålla tillgång till förbjudna vadslagnings- och prediktionsplattformar kan kosta dem viktiga rättsliga skydd. Det rådgivande meddelandet pekar specifikt ut plattformar som Polymarket, vilka indiska myndigheter klassificerar som olagliga vadslagnings- eller prediktorstjänster, och signalerar att regeringen bevakar hur VPN används för att kringgå inhemska förbud.

Kärnan i MeitYs varning kretsar kring paragraf 79 i Indiens informationsteknologilag, som ger intermediärer – inklusive VPN-leverantörer – ett så kallat "safe harbor"-skydd mot rättsligt ansvar för innehåll som överförs via deras tjänster. Detta skydd är dock villkorat. Det kräver att intermediärer iakttar tillbörlig aktsamhet och följer myndighetsdirektiv. MeitY gör nu klart att leverantörer som medvetet tillåter användare att nå blockerade plattformar riskerar att förlora detta skydd helt och hållet.

Vad safe harbor enligt paragraf 79 faktiskt innebär

Safe harbor-bestämmelser är ett grundläggande koncept inom interneträtten världen över. De gör det möjligt för plattformar, nätverk och tjänsteleverantörer att verka utan att hållas ansvariga för varje åtgärd som deras användare vidtar, så länge dessa leverantörer följer vissa regler och reagerar på ett lämpligt sätt på rättsliga meddelanden.

I Indiens fall är det paragraf 79 i IT-lagen som förhindrar att en VPN-leverantör åtalas enbart för att en av dess användare besökt en begränsad webbplats. I det ögonblick en leverantör anses ha brustit i sina skyldigheter om tillbörlig aktsamhet upphör detta skydd att gälla. MeitYs rådgivande meddelande är i grunden ett varningsskott: fortsätt att verka utan tillräckliga kontroller, och du kan komma att stå utan rättsligt skydd.

Det rådgivande meddelandet noterar också att användare har kombinerat VPN med stablecoins för att kringgå både innehållsbegränsningarna och den finansiella övervakning som annars skulle flagga transaktioner till förbjudna plattformar. Detta tvåskiktade kringgående verkar ha föranlett regeringens mer aggressiva hållning.

Den bredare spänningen: integritetsverktyg kontra statlig kontroll

VPN befinner sig i ett komplicerat rättsligt och etiskt utrymme i många länder. De tjänar helt legitima syften och skyddar journalister, aktivister, distansarbetare och vanliga användare från övervakning och exponering av personuppgifter. Samtidigt kan vilket verktyg som helst som kan dölja en användares onlineaktivitet också användas för att nå innehåll som en regering har beslutat att blockera.

Indien har under flera år skärpt sina regler kring VPN-leverantörer. År 2022 införde landets datorincidentberedskapsteam (CERT-In) obligatoriska krav på datalagring för VPN-leverantörer, vilket tvingade dem att logga användaraktivitet och lagra den i fem år. Flera stora leverantörer svarade med att ta bort sina fysiska servrar från Indien snarare än att efterleva kraven. MeitYs senaste rådgivande meddelande fortsätter denna regulatoriska kurs och driver leverantörerna mot större ansvarsskyldighet för vad deras infrastruktur möjliggör.

Detta skapar ett verkligt dilemma för leverantörerna. Att verka i Indien innebär att följa regler som av design står i konflikt med de integritetslöften som VPN är byggda kring. Att vägra efterleva innebär att antingen lämna marknaden helt eller att verka under avsevärt förhöjd rättslig risk.

Det prejudikat detta skapar har betydelse även utanför Indiens gränser. Regeringar i andra jurisdiktioner som bevakar detta område kan komma att se MeitYs tillvägagångssätt som en fungerande modell: snarare än att förbjuda VPN direkt används befintliga ramverk för intermediärers ansvar för att pressa leverantörer att övervaka sina egna användare.

Vad detta betyder för dig

Om du är VPN-användare i Indien är MeitYs rådgivande meddelande inte en direkt varning till dig som individ. Det riktar sig till leverantörerna. De nedströmseffekter som uppstår är dock verkliga. Leverantörer som väljer att efterleva kan börja begränsa tillgången till vissa kategorier av webbplatser, logga mer användardata eller lämna den indiska marknaden helt. Användare som förlitar sig på VPN för legitima integritetssyften kan se sina alternativ krympa.

För användare som använder plattformar som indisk lag klassificerar som olagliga vadslagstjänster ligger den rättsliga risken primärt hos dem själva – inte enbart hos VPN-leverantören. Att använda ett VPN ger inte rättslig immunitet mot inhemsk lag, och MeitYs rådgivande meddelande bekräftar att regeringen betraktar VPN-assisterad tillgång till förbjudna plattformar som ett regelefterlevnadsfel i hela kedjan.

Det rådgivande meddelandet är också en påminnelse om att den rättsliga statusen för VPN-användning varierar avsevärt mellan länder och användningsfall. Vad som är ett skyddat integritetsverktyg i ett sammanhang kan bli en risk i ett annat, beroende på vad du använder det till och var du befinner dig.

Viktiga slutsatser

• MeitY har varnat VPN-leverantörer om att tillhandahålla tillgång till förbjudna vadslagningsplattformar kan leda till förlust av safe harbor-skyddet enligt Indiens IT-lag.
• Safe harbor enligt paragraf 79 är villkorat av tillbörlig aktsamhet; det är inte ett automatiskt skydd för alla leverantörer.
• Indiens tillvägagångssätt speglar en bredare regulatorisk trend som innebär att man använder ramverk för intermediärers ansvar för att pressa VPN-leverantörer snarare än att förbjuda dem direkt.
• VPN-användare i Indien bör förstå att använda ett VPN för att komma åt innehåll som är förbjudet enligt indisk lag medför personlig rättslig risk, oavsett leverantörens egen efterlevnadsstatus.
• Om du använder ett VPN för legitima integritetssyften, bevaka hur din leverantör reagerar på regulatorisk press på de marknader där du är verksam.

Regeringar förstår i allt högre grad att det är svårt att direkt kontrollera tillgången till VPN. Att kontrollera leverantörerna via ramverk för rättsligt ansvar är avsevärt mer genomförbart, och Indiens senaste åtgärd visar exakt hur detta tryck tillämpas. För alla som använder eller driver VPN-tjänster på reglerade marknader är det inte längre valfritt att hålla sig informerad om det rättsliga klimatet.