印度电信部(DoT)已指示基于应用程序的通信服务提供商,确保用户必须持有 SIM 卡才能使用其服务。此前,DoT发布了《2025 年电信网络安全修正规则》,将电信标识符用户实体 (TIUE) 纳入电信监管范围。该修正案引入了一种新的服务提供商类别——电信标识符用户实体 (TIUE),其需履行一系列网络安全义务,包括使用移动号码验证 (MNV) 平台来验证与特定电信标识符关联的客户或用户,以便提供与该标识符相关的服务。除验证外,政府还可以指示 TIUE 停止使用特定的电信标识符来识别客户或提供服务。
这些规则最初出台时,许多人担心“非法使用信息”(TIUE)类别过于宽泛,几乎涵盖了所有收集客户电话号码以提供服务的企业。这可能包括像Swiggy或Zomato这样的外卖平台,也可能包括通过手机号码发送电子收据的本地杂货店。
新规已发送给WhatsApp、Telegram、Signal、Arattai、Snapchat、ShareChat、JioChat和Josh,实际上将这些公司认定为第三方互联网用户(TIUE)。新规要求这些平台确保SIM卡在未来90天内持续与其服务保持关联。对于基于网站或 Web 应用的访问方式,TIUE 必须确保用户定期(不迟于 6 小时)注销,并提供通过二维码重新关联账户的选项。
SIM卡绑定的基本原理:
根据相关指示,政府发现一些使用手机号码进行用户验证的应用程序,即使设备中没有相应的SIM卡,也能访问网络。政府认为,这会造成安全漏洞,并可能被境外攻击者利用实施网络诈骗。这一论点与印度移动运营商协会(COAI)8月份发布的支持SIM卡绑定的声明相符。
该行业机构解释说:“目前,用户的应用程序通信服务与其移动 SIM 卡之间的绑定过程仅在初始安装和验证阶段发生一次,之后即使 SIM 卡后来被移除、更换或停用,该应用程序仍可在设备上继续独立运行。”
这导致即使移除SIM卡也无法阻止犯罪分子从任何地点使用OTT通信应用程序进行犯罪活动。由于没有激活的SIM卡,执法部门无法通过通话记录、位置数据或运营商日志等可验证的关联信息来确定服务的使用地点。因此,COAI表示,OTT通信服务需要启用持久性SIM卡绑定,即在初始安装后仍保持激活状态。
“这将确保通信服务只有在经过认证的SIM卡实际插入设备后才能运行,从而维护用户、号码和设备之间的关键可追溯性。COAI认为,这不仅有助于显著减少这些应用程序上的垃圾信息和欺诈通信,还能通过威慑滥用基于应用程序的通信平台来减少金融欺诈,从而减轻电信服务提供商和OTT通信平台的负担。”该协会在声明中提到。
其他采用 SIM 卡绑定的行业:
包括银行和统一支付接口 (UPI) 应用在内的多个金融应用已经实施严格的激活 SIM 卡规则以防止欺诈。
今年2月,印度证券交易委员会(SEBI)提议将交易账户与SIM卡绑定,类似于UPI系统,以确保只有交易者本人才能访问账户。SEBI还建议强制实施生物识别或面部识别验证,以降低未经授权的交易风险。
SIM卡绑定在防止欺诈方面能有多有效?
在2023年MediaNama活动上,网络安全研究员兼DeepStrat联合创始人Anand Venkatnarayan解释说,诈骗分子经常使用借来的或伪造的身份证件来获取SIM卡,从而绕过KYC认证。
他说:“他们诈骗一百个受害者需要十张SIM卡;他们不会重复使用SIM卡。”他还补充说,诈骗分子每年只需要弄到两到三个身份证件就能进行诈骗活动。在这种情况下,将通信服务绑定到SIM卡上可能作用有限,因为诈骗分子可以轻易地获得新的SIM卡并继续作案。
电信用户数据库的准确性:
有趣的是,在MediaNama就电信网络安全修正案草案进行讨论时,业内人士就曾提出过类似的担忧。MediaNama编辑Nikhil Pahwa问道:“通过ASTR数据库进行视频KYC验证流程已经实施至少两年了,但欺诈行为并未减少。既然欺诈行为没有减少,那么将相同的身份识别信息引入不同的生态系统又如何能提高信任度呢?” ASTR是印度电信部于2023年部署的基于人工智能和人脸识别技术的电信用户验证系统。
帕瓦还质疑这些规则是否充分解决了“骡子账户”的问题。对此,印度移动通信运营商协会(COAI)副总干事维克拉姆·蒂瓦蒂亚回应称,政府的目标是最大限度地发挥电信数据库的作用。
“那么,政府的出发点是什么呢?你看,网络安全和欺诈问题非常严重。最常见的KYC(了解你的客户)方式是什么?是手机号码设备。没错。与其他任何设备相比,手机号码是最普遍、更新最及时、监控最严格的。所以,政府的意图是,如何才能更有效地利用这项国家资源?”他说道。
完整说明如下:
- 鉴于电信部已于 2024 年 11 月 21 日发布第 CG-DL-E-21112024-258808 号通知,公布了《2024 年电信(电信网络安全)规则》,并随后于 2025 年 10 月 22 日发布第 CG-DL-E-22102025-267074 号通知对其进行了修订(以下统称为“规则”);
- 鉴于,《规则》第 2(i) 条将“电信标识符用户实体 (TIUE)”定义为除持牌人或授权实体以外的个人,该个人使用电信标识符来识别其客户或用户,或用于提供或交付服务。
- 鉴于规则第4(3)条规定,所有电信实体和电信信息用户(TIUE)均有义务确保遵守中央政府为防止滥用电信标识符或电信设备、网络或服务而发布的各项指示和标准(包括实施时间表),以确保电信网络安全。
- 鉴于规则第10(2)条允许中央政府使用除指定门户网站以外的安全通信方式,向电信实体、电信信息用户企业、电信设备制造商或进口商发布命令、指示或指令,或从上述实体收集任何信息。
- 鉴于中央政府注意到,一些利用手机号码识别客户/用户或提供服务的应用程序通信服务,允许用户在运行这些应用程序通信服务的设备中没有底层用户识别模块(SIM卡)的情况下使用其服务,而这一功能正被境外人员滥用以实施网络诈骗,从而对电信网络安全构成挑战。
- 鉴于有必要向提供此类基于应用程序的通信服务的电信用户企业发出指示,以防止滥用电信标识符,并维护电信生态系统的完整性和安全性;
- 因此,电信部根据相关规则赋予的权力,特此指示在印度境内使用手机号码识别客户/用户或提供服务的基于应用程序的通信服务的电信运营商:
- 自本指示发布之日起 90 天内,确保基于应用程序的通信服务持续连接到设备中安装的 SIM 卡(与用于识别客户/用户或用于提供或交付服务的手机号码相关联),使得在没有该特定、有效的 SIM 卡的情况下无法使用该应用程序。
- 自本指令发布之日起 90 天内,应确保移动应用程序的 Web 服务实例(如有提供)定期注销(不得晚于 6 小时),并允许用户使用二维码重新连接设备。
- 所有在印度提供基于应用程序的通信服务的电信运营商都应在本指令发布之日起 120 天内向电信部提交合规报告。
- 不遵守这些指示将根据 2023 年电信法、2024 年电信网络安全规则(经修订)及其他适用法律受到处罚。
- 这些指令立即生效,并将持续有效,直至交通部对其进行修改或撤销。