OVH NEWS | AKTUALNOŚCI, INNOWACJE I TENDENCJE W IT


Najnowsze informacje o OVH









27/11/2017
Podziel się z innymi

Autor artykułu: Hugo Bonnaffé


Whois kwestionowany przez RODO?


Serwis Whois (skrót od angielskiego wyrażenia „Who is” - Kim jest) umożliwia każdemu internaucie identyfikację właściciela domeny. Istnienie tego popularnego „ogólnodostępnego internetowego spisu” jest obecnie kwestionowane przez RODO - nową regulację wspólnotową dotyczącą ochrony danych osobowych. Idąc za przykładem Afnic (francuskiego odpowiednika polskiego rejestratora NASK), zarządzającą między innymi domeną .fr , niektóre rejestry uruchomiły mechanizmy ograniczające rozpowszechnianie danych o właścicielach witryn. Czy taki model należałoby rozpowszechnić? Czy ochrona danych osobowych osoby rejestrującej powinna stanowić jedno z kryteriów wyboru rozszerzenia tak samo jak zapamiętywanie adresu URL lub jego optymalizacja pod SEO?





Rozmawiają Yann Lequerler, prawnik z firmy OVH specjalizujący się w tej dziedzinie oraz Marianne Georgelin, Kierownik ds. Polityki Rejestracyjnej w Afnic.



RODO: dlaczego dotyczy nas wszystkich?


Ogólne rozporządzenie UE o ochronie danych (RODO) ukazało się w Dzienniku Urzędowym UE w maju 2016 roku. Regulacje, które wejdą w życie 25 maja 2018 są nadrzędne wobec przepisów krajowych i mają na celu ujednolicenie na poziomie wspólnotowym prawa dotyczącego ochrony danych osobowych. W ramach dostosowania do RODO i stosowania kodeksu dobrych praktyk opracowanych przez CISPE OVH zaktualizowała ogólne warunki świadczenia usług, adaptując je do ww. regulacji.



O RODO zaczyna być coraz głośniej i coraz częściej stanowi przedmiot dyskusji, gdyż jest swego rodzaju rewolucją w przetwarzaniu zinformatyzowanych danych osobowych. Obliguje m.in. do traktowania tego procesu w sposób dużo surowszy i precyzyjniejszy niż obowiązujące do tej pory przepisy krajowe. Analiza dotychczasowego wpływu operacji przetwarzania (1), przenoszenia danych (data portability), pozyskiwania i wycofywania zgód czy profilowania użytkowników: RODO nakłada na każdą firmę obowiązek dostosowania procesów do nowych przepisów. Oprócz dotkliwych kar (aż do wysokości 4% obrotów przedsiębiorstwa!), chodzi również – a może w szczególności – o to, by firmy dawały więcej gwarancji użytkownikom, których dotyczą kwestie ochrony i wykorzystywania ich danych osobowych.



Przetwarzanie danych osobowych w ramach rejestrowania nazw domen: punkt sporny w europejskiej i amerykańskiej koncepcji ochrony życia prywatnego


W tym kontekście należy rozpatrywać kwestie prawne odmiennie postrzegane przez rejestratorów i rejestry europejskie, takie jak OVH (1. rejestrator domen we Francji i 2. w Europie) czy Afnic (Association Francaise pour le Nommage Internet en Cooperation), a amerykański ICANN. ICANN, główny organ regulacyjny, jeśli chodzi o internet, zarządza przydzielaniem domen pierwszego poziomu (gTLD). Instytucja ta, działająca w myśl przepisów prawa amerykańskiego uwierzytelnia m.in. rejestracje dla VeriSign (.com, .net), Donuts (zarządzającym częścią nowo powstałych domen: .social, .media, .email itp.), Affilias (.info, .pro itd.) czy dla miasta Paryż (.paris) oraz dla rejestratorów (np. OVH).



Jeśli chodzi o zobowiązania umowne, które należy spełnić, by otrzymać akredytację ICANN jako rejestrator (registrar) i dzięki temu móc sprzedawać rozszerzenia domen (registry) w zakresie gTLD i nowych gTLD, to niektóre z obowiązujących obecnie przepisów mogą okazać się niezgodne z nowym prawem wspólnotowym.



Chodzi w szczególności o rozpowszechnianie danych osobowych (współrzędnych) właściciela nazwy domeny w ramach serwisu Whois, które rejestry i rejestratorzy zobowiązani są przekazywać (2). Ale nie tylko: przesyłanie takich danych przez rejestratora do ICANN poprzez rejestr i powiernika danych podnosi kwestię wycofania ich z obszaru UE, okresu ich przechowywania oraz rodzi problem związany z zakresem odpowiedzialności każdego z uczestników procesu: kto jest wówczas odpowiedzialny za ich przetwarzanie i jak wygląda zakres odpowiedzialności w przypadku ewentualnego wycieku takich danych? RODO nakłada również obowiązek jak najlepszego informowania użytkowników o przetwarzaniu ich danych osobowych oraz jego celu. Ma to miejsce zanim rejestrator uzyska ich wyraźną zgodę. Jak widać, jest wiele rzeczy do uporządkowania, by obecnie stosowane praktyki dostosować do nowych przepisów regulowanych rozporządzeniem RODO.



Dlaczego Whois stanowi problem


Whois to publiczny serwis umożliwiający w szczególności pozyskiwanie informacji dotyczących właściciela nazwy domeny, takich jak: imię, nazwisko, firma (jeśli dotyczy), adres pocztowy i elektroniczny oraz numer telefonu. To usługa, która już od 1982 umożliwia identyfikację nadawcy i utrzymywana wspólnie przez wszystkie rejestry na podstawie mniej lub bardziej jednorodnych norm (RFC).



Whois stanowi wyzwanie jeśli chodzi o ochronę danych osobowych. Rozpowszechnianie danych identyfikacyjnych oraz innych informacji o właścicielu domeny otwiera drzwi do wykorzystywania do celów handlowych danych bez uprzedniej zgody oraz – przede wszystkim – do spamowania. Niektóre firmy zaczęły specjalizować się w regularnym wydobywaniu danych z serwisu Whois, by następnie archiwizować ich treść i odsprzedawać historię zmian oraz plików świadczących o potencjalnej działalności właściciela (podmiotu rejestrującego) domeny w zależności od słów zawartych w nazwie jego domeny (a więc słów umieszczonych przed kropką rozszerzenia).



Whois może być wykorzystywany do działań zgodnych z prawem, takich jak np. ochrona marki (poprzez usługi zapobiegające piractwu domenowemu (cybersquatting) lub porywaniu URL (typosquatting) lub Trademark Clearinghouse) lub umożliwiać praktyki mniej pożądane. Udostępnia na przykład subskrybowanie powiadomień opartych nie na nazwie domeny, a jej właściciela. Umożliwia to powiadamianie konkurencji o nowych, zwalnianych domenach. O tym trzeba wiedzieć!



Usługi te, bazujące na danych pochodzących z Whois, wykorzystują lukę prawną, którą rozporządzenie RODO ma za zadanie załatać. Pozostaje tylko przekonać stronę amerykańską, z agencją ICANN na czele, o konieczności przyjęcia modelu działania kładącego większy nacisk na ich ochronę. Tym bardziej, że taka anonimowość pozwoli na rejestrowanie domen pod którymi mogą być zamieszczane kontrowersyjne treści, gwarantując tym samym wolność wypowiedzi. Cyberprzemoc może szybko przerodzić się w przemoc rzeczywistą, dotykając na przykład właścicieli stron ujawniających swoją przynależność do wspólnot religijnych, preferencje seksualne, polityczne itp.



Afnic, prekursor ograniczonego rozpowszechniania informacji z Whois


Krajowe rozszerzenia domen (ccTLD), takie jak .fr, .de, .be, itd. nie są obecnie regulowane umowami z ICANN tak, jak rozszerzenia funkcjonalne. Ich zarządzaniem zajmują się niezależnie instytucje w każdym z państw. We Francji to Afnic, stowarzyszenie non-profit zostało wyznaczone jako instytucja odpowiedzialna za rejestrowanie domeny .fr oraz domen geograficznych dla krajów zamorskich: .re, .tf, .yt, .pm et .wf, w Polsce tę rolę pełni NASK.



Afnic, która jest związana z ICANN umową wzajemnego uznawania, od 2006 roku stosuje procedurę anonimizacji danych Whois jako domyślną dla wszystkich osób prywatnych (osoba fizyczna) rejestrujących domeny z rozszerzeniem .fr, .re, .tf, .yt, .pm i .wf.
W spisie danych figurujących w Whois przy takiej domenie w miejscu danych osobowych (nazwisko, adres, telefon itp.) widnieje informacja „ograniczony dostęp”. Dane te są udostępniane przez służby prawne Afnic na wyraźny i uzasadniony wniosek oraz po spełnieniu określonych warunków w ramach tzw. procedury zniesienia anonimizacji. Dane firmowe udostępnione przez przedstawiciela osoby prawnej (właściciel, dane kontaktowe działu administracyjnego, technicznego, księgowego, które w niektórych przypadkach mogą oznaczać kontakt do jednej i tej samej osoby) są ogólnie dostępne w serwisie Whois.



Opisane wyżej praktyki stosowane przez Afnic zostały zatwierdzone przez CNIL oraz potwierdzone decyzją Sądu Apelacyjnego w Paryżu z 2012 roku. Zostały uznane za prekursorskie, a niektóre rejestry zarządzające domenami krajowymi wzorują się na nich. Mechanizm wykorzystujący opcję ograniczonego dostępu do danych osobowych stosowany jest przy rejestrowaniu domen z rozszerzeniem .eu (zarządzanym przez Eurid) lub .cat (rozszerzenie utworzone dla Katalonii).



Ale uwaga: domeny takie jak .paris, .alsace, .bzh, , .corsica ...oraz .ovh, dla których Afnic jest dostawcą usług (Registry Service Provider) nie są domenami krajowymi (ccTLD) lecz domenami funkcjonalnymi najwyższego poziomu (gTLD). W związku z tym są objęte umową z ICANN, której przepisy uniemożliwiają anonimizowanie dotyczących ich danych zawartych w serwisie Whois. Jak opisujemy poniżej, możliwość ograniczonego dostępu do tych informacji chroni w tym przypadku w dużo mniejszym stopniu.



Ograniczenia w usługach anonimizacji (privacy services) dla domen gTLD


ICANN dokładnie określa zarządzanie rejestrami dla domen najwyższego poziomu -gTLD (przykłady najczęściej sprzedawanych przez OVH domen tego typu to: .com, .org, .net, .ovh, .top, .pro, .xyz, .paris, online, .mobi). Ale zasady gry nie są jednakowe dla wszystkich. Nawet, jeśli ICANN dopuszcza (choć nie zaleca) procedury dające więcej „privacy” w serwisie Whois, to nie umożliwia całkowitej anonimizacji nawet dla osób fizycznych. Imię i nazwisko – są systematycznie publikowane w serwisie Whois.



Niektóre rejestry stosują interesujące, choć nie do końca zadowalające procedury pośrednie z pominięciem ograniczonego dostępu. Robi tak np. rejestr .amsterdam, który filtruje dostęp do swojego serwera Whois, wymagając od wnioskodawców podpisania umowy na korzystanie z serwisu. Niektóre rejestry nie akceptują po prostu jakichkolwiek sposobów częściowej anonimizacji stosowanych przez rejestratorów.



Jeśli pozwala na to rejestr rozszerzenia, OVH proponuje opcjonalną usługę bezpłatną (privacy service) mającą na celu anonimizację niektórych informacji w serwisie Whois, takich jak: adres pocztowy, adres e-mail i/lub numer telefonu (do wyboru w przypadku osób fizycznych, osoby prawne mogą ukryć jedynie adres e-mail). W ramach usługi OWO, OVH przekierowuje pocztę elektroniczną na adres mailowy chroniony przed spamem oraz przesyła ewentualną korespondencję pocztową (np. wszelkiego rodzaju wezwania). Dane te nie są nigdzie rozpowszechniane ani nikomu odsprzedawane.
Usługa zapewnia minimalną ochronę, nie gwarantuje jednak anonimowości właściciela ani całkowitej ochrony przed niechcianą akwizycją. Dzieje się tak dlatego, że możliwe jest pozyskiwanie w sposób nielegalny danych przez podmioty trzecie.



Należy również ostrzec przed chęcią podania nieprawdziwych danych przy rejestrowaniu domeny: takie posunięcie może okazać się bardzo kosztowne. ICANN, przeprowadzająca regularne kontrole, może żądać od rejestratora domeny kopii dokumentów potwierdzających tożsamość właściciela, a w przypadku oszustwa zażądać zawieszenia takiej domeny. Poza tym, w celu zagwarantowania dokładności i ważności przekazywanych informacji, każdy rejestrator ma obowiązek wysyłania co roku e-maila do właścicieli domen funkcjonalnych (gTLD) z prośbą o potwierdzenie danych przekazanych przy jej rejestrowaniu. Należy również zauważyć, że podanie nieprawdziwych informacji stawia pod znakiem zapytania spełnianie szczególnych warunków podpisywanych z OVH przy subskrybowaniu usługi. Podobnie jest w przypadku właścicieli domeny .fr, których dane są przedmiotem 25 000 kontroli dokonywanych przez Afnic każdego roku, i które rejestratorzy mają obowiązek uaktualniać.



Pozostaje jeszcze rozwiązanie w postaci „proxy registration service”, polegające na opłaceniu osoby trzeciej, udostępniającej w zamian swoje własne dane serwisowi Whois. Jest to jednak droga usługa – nakłada ryzyko prawne na osobę biorącą na siebie odpowiedzialność jako właściciela domeny – była również zaskarżana, zwłaszcza przez firmy mające do niej prawo, a którym anonimizacja danych o właścicielu domeny niezwykle utrudnia wysuwanie roszczeń.



Jaka przyszłość czeka Whois?


Bliski termin wdrożenia RODO przyspiesza bieg spraw. ICANN musi uwzględnić zalecenia europejskich rejestrów i rejestratorów działających w grupie roboczej.
Grupa ta, w której zarówno Afnic, jak i OVH ma swoich przedstawicieli, opracowuje obecnie model akceptowalny przez wszystkie zainteresowane strony, dostosowujący praktyki ICANN do prawa wspólnotowego. Zapowiadają się naprawdę gorące dyskusje o sposobach anonimizacji informacji w Whois, a także – w nieco szerszym ujęciu – o cyklu życia danych pozyskiwanych w ramach działalności rejestrów i rejestratorów. Gdzie będą przechowywane takie dane, ile czasu po zakończeniu umowy będą przechowywane? Dzięki RODO użytkownicy otrzymają wreszcie wyczerpujące odpowiedzi na te pytania.



Może również wyjaśni się kwestia różnych poziomów zabezpieczenia oferowanych przez rejestry dla danych osobowych rejestratorów. Wszystko to uczyni wybór nazwy przyszłej domeny nieco bardziej złożonym... ale jednocześnie uświadamia, że sprawa jest tego warta!



(1) Analiza skutków jest obowiązkowa w przypadku przesyłania danych osobowych poza terytorium UE lub operacji objętych ryzykiem.



(2) W przypadku niektórych rozszerzeń to Rejestratorzy są zobowiązani do publikacji w Whois. Oto różnica pomiędzy „chudym” (Thin) i „grubym” (Thick) trybem działania Whois. Na przykład obecnie domena <.com> działa w trybie „cienkim” Thin Whois, co oznacza, że publikacja w Whois należy do Rejestratora (Registrar). Ten system się jednak zmieni. ICANN opublikowała nową politykę, która narzuca wszystkim Rejestrom zarządzającym domenami gTLD przejście na „gruby” tryb działania. Oznacza to, że Rejestry będą miały obowiązek publikacji w Whois.