1月11日消息,路透社援引多方信源报道称,印度政府正计划推出一套涵盖多项技术管控内容的安全新规,要求智能手机厂商向当局提交核心软件源代码,并对操作系统进行多项强制性调整。此举已招致苹果、三星等国际科技企业的内部抵制。
据四名了解内情的消息人士透露,并结合路透社对印度政府及产业界保密文件的核查,这些企业明确指出:这份总计83条的技术安全规范——其中还包括对重大系统更新须提前向主管部门报备的要求——在全球范围内并无先例,且可能危及企业的核心技术资产与商业机密。
作为全球第二大智能手机消费国,印度目前拥有近7.5亿部在网手机。近年来,该国网络钓鱼、身份盗用及大规模数据泄露事件持续高发。在此背景下,总理纳伦德拉·莫迪领导的政府正加速推进数字安全治理框架建设,本次拟议新规即为该战略的关键一环。
印度电子和信息技术部(MeitY)秘书长S·克里希南(S. Krishnan)回应称:“对于业界提出的任何合乎逻辑的关切,政府都将秉持开放立场予以审慎对待。”他同时强调,“当前对政策意图作出过度推断尚不成熟”。该部门发言人则表示,由于相关条款仍处于与企业协商阶段,暂不便对外发表进一步评论。
苹果、三星、谷歌、小米,以及代表上述企业在印利益的印度电子与信息技术制造商协会(MAIT),均未就此事向媒体作出公开回应。
事实上,这并非印度首次因类似监管动议引发科技行业反弹。就在上月,因外界普遍担忧存在潜在监控风险,印度政府被迫撤回一项强制所有新售手机预装国产网络安全应用的行政指令。
市场研究机构Counterpoint数据显示,在印度智能手机市场中,采用谷歌安卓系统的品牌占据主导地位:小米以19%的份额位居第一,三星紧随其后占15%,而苹果则以5%的市占率位列高端阵营。
在《电信安全保障要求》草案中,最具争议性的条款之一,即是强制厂商向印度指定检测实验室提供设备操作系统底层源代码——即控制硬件运行的核心编程指令。文件显示,这些代码将被用于深度分析与安全验证,必要时还将启动专项测试流程。
此外,新规还规定厂商须优化系统架构,确保用户可自由卸载预装应用;并禁止第三方应用在未经明确授权的情况下于后台调用摄像头与麦克风,以遏制隐蔽性数据采集行为。
一份由印度电子和信息技术部整理的、记录其于去年12月与苹果、三星、谷歌及小米代表会谈要点的内部文件指出:“产业界一致认为,目前全球尚无任何国家实施过此类强制性安全准入机制。”
该套标准最早于2023年完成初步起草,近期因政府考虑将其升级为具有法律约束力的强制性规范而再度引发高度关注。知情人士透露,印度电子和信息技术部官员与多家跨国科技公司高管已约定于下周二举行新一轮闭门磋商会议。
新规中另一项关键义务是推行“漏洞识别+源码审计”双轨机制,要求厂商先行开展全覆盖式安全自评;随后,印度本土认证实验室将依据所获源代码展开独立复核,以验证厂商评估结论的真实性与完整性。
印度电子与信息技术制造商协会(MAIT)在其提交给政府部门的一份保密意见书中直言:“鉴于源代码的高度敏感性及其涉及的知识产权保护问题,此项要求在实际操作层面缺乏可行性。包括欧盟、北美、澳大利亚以及非洲主要经济体在内的全球多数发达市场,均未采纳类似强制披露机制。”
一位直接参与政策沟通的业内人士证实,该协会已正式致函印度电子和信息技术部,呼吁彻底取消该项源代码提交条款。
根据新规草案,所有在印销售的智能手机必须集成自动化的周期性恶意软件扫描模块。同时,厂商在面向终端用户推送重要系统更新或关键安全补丁前,须提前向印度国家通信安全中心(NCSC)通报,并接受其内容审查与合规性检测。
MAIT在反馈文件中指出,高频次的本地化病毒扫描将显著加剧设备功耗负担;而软件更新本身具有时效性特征,强制设置政府审批环节将极大延缓漏洞修复节奏,“在现实中难以落地执行”。
另据新规要求,手机系统日志——即完整记载设备运行状态、应用行为与网络交互过程的电子记录——须在终端本地持续存储不少于12个月。对此,协会在文件中明确反驳:“当前主流智能终端的内置存储容量,根本无法支撑长达一年的日志留存需求。”
