印度拟强制手机厂商交出源代码

印度政府正酝酿一项覆盖智能手机全链条的安全新规，要求包括苹果、三星、谷歌和小米在内的主要厂商向其指定实验室提交设备操作系统的核心源代码，并实施多项软件层面的强制性改动。这一提案已在科技行业内部引发强烈反弹，相关企业私下警告称，此类要求在全球尚无先例，且可能危及商业机密与用户隐私。

这项名为《印度电信安全保证要求》（Indian Telecom Security Assurance Requirements）的草案包含83项技术标准，最早于2023年起草，近期因政府考虑将其上升为具有法律约束力的强制规定而再度浮出水面。

新规则中最敏感的一项，是要求手机制造商提供用于驱动设备运行的“源代码”（source code），供印度官方指定实验室进行漏洞分析和安全测试。源代码被视为企业最核心的知识产权之一。代表苹果、三星、谷歌和小米等企业的印度手机与电子协会（MAIT）在一份内部文件中直言：“由于保密性和隐私政策限制，此举‘不可能实现’”，并指出欧盟、北美、澳大利亚及非洲主要国家均未设立此类强制要求。

除源代码外，新规还提出多项具体技术指令：所有预装应用（除维持基本通信功能所必需者外）必须允许用户卸载；应用程序在后台不得调用摄像头、麦克风或定位服务，一旦启用需在状态栏持续显示通知；设备须定期弹窗提醒用户审查各应用权限；系统需具备自动周期性扫描恶意软件的功能；手机还必须内置机制，检测是否被“越狱”（jailbroken）或“Root”（即绕过原厂安全限制），并持续显示警告；同时禁止回滚安装旧版系统软件，以防安全降级。

此外，厂商在向用户推送重大系统更新或安全补丁前，须提前通报印度国家通信安全中心（National Centre for Communication Security），后者有权对其进行测试。MAIT对此表示，安全漏洞修复往往需争分夺秒，若等待政府审批，“将使用户暴露于已知攻击风险之下”，实属“不切实际”。该协会还指出，要求设备本地存储长达12个月的安全审计日志（包括应用安装记录、登录尝试等）“超出普通消费级手机的存储容量”，而频繁的本地杀毒扫描则会“显著消耗电池电量并拖慢设备性能”。

印度信息技术部秘书S·克里希南（S. Krishnan）回应称，政府将以开放态度听取产业界的合理关切，并强调目前讨论仍处早期阶段，“不宜过度解读”。一位不愿具名的官员透露，上周MAIT已正式致函要求撤回源代码等关键条款。印度信息技术部官员本周将与科技公司代表举行新一轮闭门磋商。

此举被视为莫迪政府加强数据主权与网络安全的最新动作。作为全球第二大智能手机市场，印度拥有近7.5亿部设备，近年来网络诈骗与数据泄露事件频发。此前，印度曾以防范“中国间谍活动”为由，对安防摄像头实施严格准入测试；去年也曾短暂推行强制安装国产网络安全应用，后因舆论质疑监控风险而撤销。

免责声明

本文所述信息均来自合法公开渠道，我们不对信息的真实性、完整性或准确性作出任何形式的明示或暗示的保证。本文内容仅供分享、交流和学习之用，任何人不应将本文的全部或部分内容作为决策依据。因依赖本文内容所造成的任何后果，由行为人自行承担全部责任。本免责声明不构成法律、财务、医疗或其他专业建议，建议在做出任何决定前咨询相关专业人士。

声明：本文来自合规小叨客，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。