Kementerian Elektronika dan Teknologi Informasi (MeitY) telah mengeluarkan imbauan yang mengarahkan penyedia layanan jaringan pribadi virtual (VPN) dan perantara lainnya untuk segera memblokir akses ke situs web yang membocorkan informasi pribadi warga negara India.
Peringatan tersebut, tertanggal 11 Desember dan pertama kali diposting oleh pejabat MeitY di LinkedIn, menandai situs-situs seperti proxyearth.org dan leakdata.org karena diduga mengungkap nama, nomor ponsel, alamat, dan detail lainnya tanpa persetujuan. Dikatakan bahwa situs web tersebut juga memungkinkan pengguna untuk “memasukkan nomor ponsel India mana pun… untuk mengakses informasi, termasuk nama lengkap, alamat, nomor alternatif, dan ID email.” Seorang pejabat senior MeitY mengkonfirmasi keaslian nasihat tersebut kepada HT.
Dalam peringatannya, pemerintah memperingatkan bahwa situs-situs tersebut, “menimbulkan risiko yang signifikan bagi pengguna di India… karena situs tersebut mengizinkan akses publik terhadap informasi pribadi pengguna tanpa izin mereka.” Kementerian menambahkan bahwa situs-situs ini mungkin masih dapat dijangkau melalui layanan VPN, sehingga tindakan dari penyedia VPN menjadi penting.
Saran ini mengingatkan para perantara akan kewajiban mereka berdasarkan Undang-Undang Teknologi Informasi (TI) tahun 2000 dan Peraturan TI tahun 2021, termasuk persyaratan untuk mengambil “tindakan segera dan efektif” untuk memastikan bahwa konten yang melanggar hukum atau melanggar privasi tidak dihosting atau dibagikan di platform mereka. Kegagalan untuk mematuhi dapat merugikan perusahaan dalam perlindungan pelabuhan aman mereka berdasarkan Pasal 79 UU TI, dan pelanggaran dapat mengakibatkan tindakan berdasarkan UU TI dan Bharatiya Nyaya Sanhita, 2023.
Mengutip “situasi yang serius,” MeitY telah “menegaskan kembali, dengan penekanan yang lebih besar,” bahwa layanan VPN dan perantara harus “melakukan upaya yang wajar untuk tidak mengizinkan akses” ke situs web tersebut. Nasihat tersebut juga menegaskan kembali bahwa perantara harus memberikan informasi atau bantuan kepada lembaga penegak hukum dan keamanan siber “dalam jangka waktu yang ditentukan.”
MeitY yakin kerangka kerja yang ada saat ini, termasuk Peraturan TI, prosedur CERT-In, dan Undang-Undang Perlindungan Data Pribadi Digital sudah cukup untuk mencegah kebocoran skala besar. Mengenai alasan dikeluarkannya peringatan tersebut, Sekretaris MeitY S Krishnan mengatakan mereka mengetahui bahwa data pribadi orang India tersedia di beberapa situs web di luar India.
Beberapa tahun terakhir telah terjadi beberapa pelanggaran data besar yang berdampak pada masyarakat di India. Pada tahun 2025, Zoomcar melaporkan pelanggaran yang memengaruhi sekitar 8,4 juta pengguna dan mengungkap detail pribadi. Pada tahun yang sama, pelanggaran terhadap aplikasi masyarakat perumahan Adda mengungkap data lebih dari 18 lakh pengguna. Juga pada tahun 2025, Dewan Penelitian Pertanian India (ICAR) mengalami serangan siber yang mengganggu sistem rekrutmen dan penelitian.
Seorang pakar keamanan siber mengatakan langkah pemerintah bukan hanya secara teknis memblokir akses ke situs-situs yang menampung kebocoran, namun juga mengalihkan tanggung jawab hukum kepada perantara. “Itulah sebabnya kementerian tidak hanya melarang situs-situs ini tetapi juga mengingatkan perantara seperti ISP dan penyedia layanan VPN bahwa jika layanan tersebut dihosting oleh mereka maka mereka akan bertanggung jawab,” kata Sandeep K Shukla, direktur IIIT Hyderabad.
Menurutnya, hal ini merupakan pelarangan yang berbasis aturan dan bukan semata-mata berbasis teknologi. Pendekatan khusus teknologi memerlukan ISP dan VPN untuk memblokir URL tertentu. Namun, ia mencatat, “larangan berdasarkan aturan berarti penyedia layanan ini akan bertanggung jawab jika mereka tidak memblokir situs apa pun dengan sifat yang sama termasuk situs yang meniru situs tersebut.” Hal ini dimaksudkan untuk mengatasi situs web yang sering muncul kembali melalui mirror dan cadangan.
Dia menambahkan bahwa hal ini secara efektif memberikan tekanan besar pada ISP dan penyedia VPN, yang biasanya tidak memeriksa konten situs web yang mereka host. “Biasanya perantara seperti itu tidak memeriksa konten situs yang mereka hosting tetapi sekarang untuk konten semacam ini mereka harus… dengan cara yang sama mereka wajib memeriksa apakah situs yang mereka host menyajikan CSAM atau konten serupa,” katanya.
