Kementerian Elektronika dan Teknologi Informasi (MeitY) telah mengeluarkan imbauan yang mengarahkan penyedia layanan jaringan pribadi virtual (VPN) dan perantara lainnya untuk segera memblokir akses ke situs web yang mengungkapkan informasi pribadi warga negara India.
Peringatan tersebut, tertanggal 11 Desember dan pertama kali diposting oleh perwakilan MeitY di LinkedIn, menyebutkan situs-situs seperti proxyearth.org dan leakdata.org diduga mengungkapkan nama, nomor ponsel, alamat, dan data lainnya tanpa persetujuan. Situs web tersebut juga memungkinkan pengguna untuk “memasukkan nomor ponsel India mana pun… untuk mengakses informasi termasuk nama lengkap, alamat, nomor alternatif, dan ID email,” katanya. Seorang pejabat senior MeitY mengkonfirmasi kepada HT keaslian laporan tersebut.
Dalam pemberitahuannya, pemerintah memperingatkan bahwa situs-situs tersebut “menimbulkan risiko yang signifikan bagi pengguna di India… karena situs web tersebut mengizinkan akses terbuka ke informasi pribadi pengguna tanpa izin mereka”. Kementerian menambahkan bahwa situs-situs ini mungkin masih dapat diakses melalui layanan VPN, sehingga diperlukan tindakan oleh penyedia VPN.
Peringatan ini mengingatkan para perantara akan kewajiban mereka berdasarkan Undang-undang Teknologi Informasi (TI) tahun 2000 dan Peraturan TI tahun 2021, termasuk persyaratan untuk mengambil “tindakan segera dan efektif” untuk memastikan bahwa konten ilegal atau yang melanggar privasi tidak dihosting atau didistribusikan di platform mereka. Kegagalan untuk mematuhi dapat menyebabkan perusahaan kehilangan perlindungan terhadap safe harbour berdasarkan Pasal 79 UU TI, dan pelanggaran dapat mengakibatkan hukuman berdasarkan UU TI dan Bharatiya Nyaya Sanhita, 2023.
Mengutip “situasi yang serius”, MeitY “menekankan kembali, dengan peningkatan penekanan” bahwa layanan VPN dan perantara harus “menggunakan upaya yang wajar untuk mencegah akses” ke situs web tersebut. Konsultasi tersebut juga menegaskan kembali bahwa perantara harus memberikan informasi atau bantuan kepada penegak hukum dan otoritas keamanan siber “pada waktu yang wajar”.
MeitY percaya bahwa kerangka kerja yang ada saat ini, termasuk peraturan TI, prosedur CERT-In, dan Undang-Undang Perlindungan Data Pribadi Digital, sudah cukup untuk mencegah kebocoran skala besar. Mengenai alasan peringatan tersebut dikeluarkan, sekretaris MeitY S Krishnan mengatakan mereka mengetahui bahwa data pribadi orang India tersedia di beberapa situs web di luar India.
Ada beberapa pelanggaran data besar di India dalam beberapa tahun terakhir. Pada tahun 2025, Zoomcar melaporkan pelanggaran terhadap sekitar 8,4 juta pengguna, sehingga mengungkap data pribadi. Pada tahun yang sama, data lebih dari 18 juta pengguna terungkap akibat peretasan aplikasi masyarakat Adda Howard. Juga pada tahun 2025, Dewan Penelitian Pertanian India (ICAR) mengalami serangan dunia maya yang mengganggu sistem rekrutmen dan penelitian.
Seorang pakar keamanan siber mengatakan langkah pemerintah ini tidak hanya bertujuan memblokir akses secara teknis ke situs hosting tersebut, namun juga mengalihkan tanggung jawab hukum kepada perantara. “Inilah sebabnya kementerian tidak hanya melarang situs-situs ini tetapi juga mengingatkan perantara seperti ISP dan penyedia layanan VPN bahwa jika layanan tersebut diselenggarakan oleh mereka, mereka akan bertanggung jawab,” kata Sandeep K. Shukla, direktur IIIT Hyderabad.
Menurutnya, larangan ini berdasarkan aturan, bukan semata-mata teknologi. Hanya pendekatan teknis yang memerlukan ISP dan VPN untuk memblokir URL tertentu. Namun, ia mencatat, “larangan berbasis aturan berarti bahwa penyedia layanan ini akan bertanggung jawab jika mereka tidak memblokir situs apa pun yang sejenis, termasuk situs yang mencerminkan situs tersebut.” Hal ini dimaksudkan untuk menghilangkan cara situs web tersebut sering dipulihkan melalui mirror dan cadangan.
Dia menambahkan bahwa hal ini secara efektif menimbulkan permintaan yang tinggi pada ISP dan penyedia VPN, yang biasanya tidak memverifikasi konten situs web yang mereka host. “Biasanya para perantara ini tidak memeriksa konten situs yang mereka hosting, tapi sekarang untuk konten semacam ini mereka harus… dengan cara yang sama mereka harus memeriksa apakah situs yang mereka host menghosting CSAM atau konten serupa,” katanya.
