- PVSM.RU - https://www.pvsm.ru -

Кто там? В Евросоюзе предложили скрыть данные владельцев доменных имен

25 мая в Евросоюзе вступает в силу [1] Общий регламент по защите данных (GDPR). Постановление изменит способ хранения и обработки персональных данных компаниями, работающими на территории ЕС. Однако некоторые его положения до сих пор вызывают у сообщества вопросы [2].

Так, Корпорация по управлению доменными именами и IP-адресами (ICANN) предлагает исключить информацию [3] о владельцах доменов (имя, адрес и др.) из WHOIS, чтобы привести принципы работы системы в соответствии с GDPR.

Разбираемся, зачем это нужно и кого затронет.

Кто там? В Евросоюзе предложили скрыть данные владельцев доменных имен - 1 [4]
/ Pixabay / SplitShire [5] / CC [6]

Почему WHOIS «не дружит» с GDPR

GDPR заменит Директиву по защите данных ЕС, которая действует с 1995 года. Главная особенность нового постановления — ужесточение требований к хранению и обработке персональных данных.

Регламент значительно расширяет права физических лиц по контролю за собственной конфиденциальной информацией. Пользователи будут лучше осведомлены, как используются их персональные данные. Они смогут запрещать их обработку и активно пользоваться правом на забвение [7]. GDPR предусматривает [8] серьезные штрафы для компаний за нарушения новых правил — до 20 млн евро или 4% годового оборота организации.

Сетевой протокол WHOIS, который используют для получения регистрационных данных о владельцах доменных имен — имен/названий и контактной информации — «конфликтует» с постановлениями GDPR. В ICANN посчитали, что с точки зрения нового регламента эта информация считается конфиденциальной, соответственно ее публикацию в открытом доступе можно трактовать [9] как нарушение новых правил обработки персональных данных.

Кто там? В Евросоюзе предложили скрыть данные владельцев доменных имен - 2

/ Данные [10] WHOIS о wikipedia.org

Что предлагает ICANN

Обязательства по администрированию WHOIS лежат [11] на ICANN. Корпорация заключает соглашения [12] с тысячами регистраторов доменов по всему миру и требует от них предоставлять достоверные данные. Сейчас ICANN принимает участие [13] в подготовке новых положений GDRP и дает свои рекомендации. Одна из них поступила [14] от президента и главного исполнительного директора ICANN Йорана Марба (Göran Marb).

Чтобы привести WHOIS в соответствии с GDPR, он предлагает три модели:

  1. Модель первая — работает только на территории Европейской экономической зоны. Персональные данные владельцев доменов будут скрыты, но к ним смогут обратиться те люди и организации, которые докажут необходимость получения этой информации. Эта модель незначительно отличается от действующей сейчас, однако не описывает критерии оценки правомерности доступа к ПД.
  2. Вторая — многоуровневая система, в которой большая часть данных закрыта, однако определенная группа лиц может получить к ним доступ после прохождения аккредитации.
  3. Третья — большая часть ПД скрыта. Получить к ним доступ можно только по решению суда. Эта модель отвечает основным идеям GDPR.

С точки зрения обычного пользователя, который хочет воспользоваться системой WHOIS, обращение к персональным данным владельцев доменных имен во всех трех случаях будет выглядеть [3] так: вся информация закрыта, но есть анонимный адрес электронной почты. Через него письмо будет перенаправлено на реальный адрес владельца.

Сейчас WHOIS используется [15] для связи с администраторами, разрешения технических вопросов, проведения сделок по продаже доменов, уточнения адреса компании. Этой информацией также пользуются правоохранительные органы. Например, данные владельцев доменов, с которыми связывают кибератаки, позволяют установить личность преступников.

Предполагается [3], что разработка системы аккредитации ляжет на плечи Правительственного консультативного комитета (GAC). Так, по мнению ICANN получится соблюсти закон и государственные интересы.

Также ICANN объясняет [11] необходимость изменений тем, что WHOIS используется [16] для рассылки спама, фишинга и совершения киберпреступлений. Основной ущерб эта деятельность наносит владельцам доменных имен, которые являются клиентами регистраторов. Поэтому последние заинтересованы [12] в пересмотре действующей системы.

Кто там? В Евросоюзе предложили скрыть данные владельцев доменных имен - 3
/ Flickr / Veni [17] / CC [18]

Недавно ICANN заявили [19], что больше не будут предъявлять судебные иски регистраторам, которые не публикуют персональные данные в WHOIS. Крупнейший регистратор доменных имен в мире — GoDaddy уже начал скрывать [20] ПД. Вице-президент компании объяснил [12], что таким образом они защищают клиентов от спама.

Судьба инициативы

На прошлой неделе план ICANN был отвергнут [21] Европейской комиссией. Это было сделано из-за того, что внесенные ICANN предложения базируются на неполной информации GDPR. При этом необходимость таких мер была недостаточно обоснована и не подкреплена статистикой или аналитической информацией.

Также причиной в отказе послужили опасения по поводу анонимных киберпреступлений. Данные WHOIS являются [22] ключевым инструментом в борьбе [23] с киберпреступностью. Модель, в которой правоохранительные органы должны получать разрешение на доступ к информации через суд, препятствует оперативному расследованию таких дел. Такую позицию занял центр киберпреступности Европола.

Анонимность владельцев доменов также скажется на юристах, работающих с вопросами интеллектуального права. Данные WHOIS помогают им находить людей, распространяющих пиратский контент. К базам WHOIS часто обращаются журналисты для проведения расследований. ICANN не разъясняет, смогут ли получить аккредитацию.

Хотя инициативу ICANN и отклонили, члены Европейской комиссии рекомендовали [19] компании продолжить работу над новыми политиками. Поэтому, вероятно, обсуждение этого вопроса будет возобновлено в ближайшее время.

Несколько материалов из нашего корпоративного блога:

Автор: 1cloud

Источник [32]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/evrosoyuz/276088

Ссылки в тексте:

[1] вступает в силу: https://www.csoonline.com/article/3202771/data-protection/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html

[2] вызывают у сообщества вопросы: https://www.eugdpr.org/controversial-topics.html

[3] предлагает исключить информацию: https://www.theregister.co.uk/2018/03/02/icann_gdpr_whois/

[4] Image: https://habrahabr.ru/company/1cloud/blog/351918/

[5] SplitShire: https://pixabay.com/ru/%D0%B0%D0%BD%D0%BE%D0%BD%D0%B8%D0%BC%D0%BD%D1%8B%D0%B9-%D0%B0%D0%BB%D1%8E%D0%BC%D0%B8%D0%BD%D0%B8%D0%B9-%D1%84%D0%BE%D0%BB%D1%8C%D0%B3%D0%B0-%D0%BC%D0%B0%D1%81%D0%BA%D0%B8-438427/

[6] CC: https://pixabay.com/ru/service/terms/#usage

[7] правом на забвение: https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B0%D0%B2%D0%BE_%D0%BD%D0%B0_%D0%B7%D0%B0%D0%B1%D0%B2%D0%B5%D0%BD%D0%B8%D0%B5

[8] предусматривает: https://www.gdpr.associates/what-is-gdpr/understanding-gdpr-fines/

[9] можно трактовать: https://www.forbes.com/sites/davelewis/2017/12/21/whois-the-first-casualty-of-gdpr/

[10] Данные: https://www.whois.com/whois/wikipedia.org

[11] лежат: https://whois.icann.org/ru/%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-whois

[12] заключает соглашения: https://motherboard.vice.com/en_us/article/vbpgga/whois-gdpr-europe-icann-registrar

[13] принимает участие: https://www.icann.org/dataprotectionprivacy

[14] поступила: http://www.rstreet.org/2018/02/20/what-is-going-on-with-whois/

[15] используется: https://whois.icann.org/en/what-whois-data-used

[16] используется: https://medium.com/@valgaze/this-is-what-happens-when-whois-data-is-made-public-60b419bc2e89

[17] Veni: https://www.flickr.com/photos/veni/1809924112

[18] CC: https://creativecommons.org/licenses/by/2.0/

[19] заявили: http://www.ipwatchdog.com/2018/03/11/gdpr-what-will-happen-whois/id=94525/

[20] начал скрывать: https://domainnamewire.com/2018/01/12/godaddy-start-masking-whois-data-port-43/

[21] был отвергнут: https://www.theregister.co.uk/2018/03/16/whois_gdpr_icann/

[22] являются: https://www.whoisxmlapi.com/blog/5-uses-of-whois-data-for-cyber-security-professionals/

[23] в борьбе: http://www.statewatch.org/news/2018/jan/eu-council-cybercrime-enforcement-15738-17.pdf

[24] Spectre и Meltdown: Новогодняя процессорная уязвимость: https://1cloud.ru/blog/uyazvimost-meltdown-spectre?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[25] Принципы сетевого нейтралитета: что нужно знать: https://1cloud.ru/blog/principy-setevogo-nejtraliteta?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[26] Часть 1: https://1cloud.ru/blog/oblachnye-tendencii-2017-chast-1?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[27] Часть 2: https://1cloud.ru/blog/oblachnye-tendencii-2017-chast-2?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[28] Часть 3: https://1cloud.ru/blog/oblachnye-tendencii-2017-chast-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[29] Часть 4: https://1cloud.ru/blog/oblachnye-tendencii-2017-chast-4?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[30] Часть 5: https://1cloud.ru/blog/oblachnye-tendencii-2017-chast-5?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[31] RAID-массивы в виртуальной машине: типы и реализация: https://1cloud.ru/blog/raid-massiv-v-virtualynoy-mashine?utm_source=habrahabr&utm_medium=cpm&utm_campaign=business-laws&utm_content=blog

[32] Источник: https://habrahabr.ru/post/351918/?utm_source=habrahabr&utm_medium=rss&utm_campaign=351918