Кто там? В Евросоюзе предложили скрыть данные владельцев доменных имен

    25 мая в Евросоюзе вступает в силу Общий регламент по защите данных (GDPR). Постановление изменит способ хранения и обработки персональных данных компаниями, работающими на территории ЕС. Однако некоторые его положения до сих пор вызывают у сообщества вопросы.

    Так, Корпорация по управлению доменными именами и IP-адресами (ICANN) предлагает исключить информацию о владельцах доменов (имя, адрес и др.) из WHOIS, чтобы привести принципы работы системы в соответствии с GDPR.

    Разбираемся, зачем это нужно и кого затронет.


    / Pixabay / SplitShire / CC

    Почему WHOIS «не дружит» с GDPR


    GDPR заменит Директиву по защите данных ЕС, которая действует с 1995 года. Главная особенность нового постановления — ужесточение требований к хранению и обработке персональных данных.

    Регламент значительно расширяет права физических лиц по контролю за собственной конфиденциальной информацией. Пользователи будут лучше осведомлены, как используются их персональные данные. Они смогут запрещать их обработку и активно пользоваться правом на забвение. GDPR предусматривает серьезные штрафы для компаний за нарушения новых правил — до 20 млн евро или 4% годового оборота организации.

    Сетевой протокол WHOIS, который используют для получения регистрационных данных о владельцах доменных имен — имен/названий и контактной информации — «конфликтует» с постановлениями GDPR. В ICANN посчитали, что с точки зрения нового регламента эта информация считается конфиденциальной, соответственно ее публикацию в открытом доступе можно трактовать как нарушение новых правил обработки персональных данных.


    / Данные WHOIS о wikipedia.org

    Что предлагает ICANN


    Обязательства по администрированию WHOIS лежат на ICANN. Корпорация заключает соглашения с тысячами регистраторов доменов по всему миру и требует от них предоставлять достоверные данные. Сейчас ICANN принимает участие в подготовке новых положений GDRP и дает свои рекомендации. Одна из них поступила от президента и главного исполнительного директора ICANN Йорана Марба (Göran Marb).

    Чтобы привести WHOIS в соответствии с GDPR, он предлагает три модели:

    1. Модель первая — работает только на территории Европейской экономической зоны. Персональные данные владельцев доменов будут скрыты, но к ним смогут обратиться те люди и организации, которые докажут необходимость получения этой информации. Эта модель незначительно отличается от действующей сейчас, однако не описывает критерии оценки правомерности доступа к ПД.
    2. Вторая — многоуровневая система, в которой большая часть данных закрыта, однако определенная группа лиц может получить к ним доступ после прохождения аккредитации.
    3. Третья — большая часть ПД скрыта. Получить к ним доступ можно только по решению суда. Эта модель отвечает основным идеям GDPR.

    С точки зрения обычного пользователя, который хочет воспользоваться системой WHOIS, обращение к персональным данным владельцев доменных имен во всех трех случаях будет выглядеть так: вся информация закрыта, но есть анонимный адрес электронной почты. Через него письмо будет перенаправлено на реальный адрес владельца.

    Сейчас WHOIS используется для связи с администраторами, разрешения технических вопросов, проведения сделок по продаже доменов, уточнения адреса компании. Этой информацией также пользуются правоохранительные органы. Например, данные владельцев доменов, с которыми связывают кибератаки, позволяют установить личность преступников.

    Предполагается, что разработка системы аккредитации ляжет на плечи Правительственного консультативного комитета (GAC). Так, по мнению ICANN получится соблюсти закон и государственные интересы.

    Также ICANN объясняет необходимость изменений тем, что WHOIS используется для рассылки спама, фишинга и совершения киберпреступлений. Основной ущерб эта деятельность наносит владельцам доменных имен, которые являются клиентами регистраторов. Поэтому последние заинтересованы в пересмотре действующей системы.


    / Flickr / Veni / CC

    Недавно ICANN заявили, что больше не будут предъявлять судебные иски регистраторам, которые не публикуют персональные данные в WHOIS. Крупнейший регистратор доменных имен в мире — GoDaddy уже начал скрывать ПД. Вице-президент компании объяснил, что таким образом они защищают клиентов от спама.

    Судьба инициативы


    На прошлой неделе план ICANN был отвергнут Европейской комиссией. Это было сделано из-за того, что внесенные ICANN предложения базируются на неполной информации GDPR. При этом необходимость таких мер была недостаточно обоснована и не подкреплена статистикой или аналитической информацией.

    Также причиной в отказе послужили опасения по поводу анонимных киберпреступлений. Данные WHOIS являются ключевым инструментом в борьбе с киберпреступностью. Модель, в которой правоохранительные органы должны получать разрешение на доступ к информации через суд, препятствует оперативному расследованию таких дел. Такую позицию занял центр киберпреступности Европола.

    Анонимность владельцев доменов также скажется на юристах, работающих с вопросами интеллектуального права. Данные WHOIS помогают им находить людей, распространяющих пиратский контент. К базам WHOIS часто обращаются журналисты для проведения расследований. ICANN не разъясняет, смогут ли получить аккредитацию.

    Хотя инициативу ICANN и отклонили, члены Европейской комиссии рекомендовали компании продолжить работу над новыми политиками. Поэтому, вероятно, обсуждение этого вопроса будет возобновлено в ближайшее время.

    Несколько материалов из нашего корпоративного блога:

    1cloud.ru
    278,99
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 14

      0
      У крупнейшего российского регистратора уже давно можно скрывать персону. Даже имайл админа и вся связь только через форму регистратора
        +2
        Боюсь при первом же обращении «органов», он будет вынужден раскрыть всю эту информацию им.
          +2
          Так проблема не в доступности органам, а всяким спамерам, мошенникам и прочей публике. Органам наоборот, доступ нужен попроще, о чём в тексте и говорится.
            0
            Боюсь при первом же обращении «органов», он будет вынужден раскрыть всю эту информацию им.


            Ровно также и в любой другой стране.
              0
              • нет.
              • нашим органом, до данных размещенных там дотянуться сложнее, как минимум нужен ордер и прочие формальности.
                0
                нашим органом, до данных размещенных там


                ровно также как и каким-нибудь британцам, дотянуться до данных размещенных «здесь».
            +3
            Очень часто услуга скрытия данных предоставляется регистраторами за отдельную плату.
              +4
              Нигде не встречал данную услугу бесплатно. Везде за это приходилось платить.
                +3
                Для российских национальных TLD — бесплатна и обязательна (законы такие).
                  0
                  у них например бесплатно internetbs.net
              +2
              А у нас кажется уже несколько лет как whois данные законодательно скрыты (для национальных зон).
                0
                Это очень хорошо. Удивительно, почему только сейчас принимаются меры.
                  0
                  У ЕС просто ужасающе огромная и тормозная бюрократия. Я бы даже назвал это метабюрократией — самых матерых и тормозных чиновников-бюрократов из правительства страны-члена ЕС сбрасывают со скалы отправляют в Брюссель заседать во всяких комиссиях и разводить бумагомарательство (по крайней мере у меня тут в Эстонии).
                  В общем приняли так быстро как только смогли.
                  –2
                  Не хочу уходить в политику, но было бы замечательно если бы евросоюз и сша оказывали давление на наши органы власти вынуждая отказываться от тотального роскомнадзоривания всего и требований ключей шифрований с выдачей личной информации.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое