ICANN вновь обновила политики работы с WHOIS — ими снова недовольны

Корпорация ICANN продолжает попытки сделать так, чтобы работа системы WHOIS, предоставляющей открытый доступ к данным о владельцах доменных имен, удовлетворяла требованиям GDPR. GDPR уже вступил в силу, а пока ни одна из предложенных ICANN инициатив не была одобрена Европейским союзом.

В середине мая ICANN опубликовала очередной, временный, набор политик для WHOIS. Сегодня мы решили рассказать о новой инициативе и сложностях, которые она принесла. Камнем преткновения во всей ситуации выступает сетевой протокол WHOIS. Получаемая с его помощью информация подпадает под действие GDPR, ужесточающего требования по обработке ПД.

Еще в конце прошлого года ICANN в целях соответствия регламенту предложила изъять данные о владельцах доменных имен из публичного доступа. Согласно инициативе, получить их могли бы только аккредитованные организации. Например, правоохранительные органы. Для всех остальных, кто желает воспользоваться системой WHOIS, информация о владельце доменного имени оказывалась бы закрытой — им был бы виден только анонимный адрес электронной почты, с которого вся корреспонденция переводится на реальный email.

Однако эта информация интересует множество других людей. В частности, она нужна юристам, которые с помощью этих данных находят людей, распространяющих пиратский контент. К базам WHOIS часто обращаются журналисты, когда им нужно получить информацию для статьи, или они ведут расследование. И ICANN не рассказали, будет ли у всех них возможность получить необходимую аккредитацию. По этой причине (и по некоторым другим) в марте предложения ICANN были отвергнуты Европейской комиссией.

В апреле представители ICANN попросили регулятора дать отсрочку до следующего года, чтобы иметь возможность доработать политики в соответствии с GDPR. Однако отсрочку не предоставили, и дедлайн остался прежним — 25 мая.

В связи с этим 11 мая ICANN поспешно опубликовали временную спецификацию работы с WHOIS. И она очень похожа на предыдущую работу ICANN, но с дополнениями.

Новая политика WHOIS

Во временной спецификации сказано, что регистраторы должны продолжить собирать все данные владельцев доменов: имена, домашние адреса и телефонные номера. Однако для удовлетворения требований общего регламента по защите данных будет обеспечен многоуровневый доступ к персональным данным. Право запрашивать доступ к закрытым данным через регистраторов будет только у пользователей с легитимными целями.

При этом ICANN хочет, чтобы регистраторы организовали систему, которая бы позволила третьей стороне запрашивать у владельцев доменных имен всю эту информацию напрямую с помощью электронной почты. Новая политика также описывает механизм обмена домена между двумя регистраторами, при котором используются данные WHOIS. Отныне перед проведением подобной операции обе стороны должны заполучить форму авторизации от владельца доменного имени.

В ICANN признают, что изменения в политике носят временный характер. И через 90 дней она будет либо продлена, либо изменена еще раз.

Как отреагировали регистраторы

Компании-регистраторы еще в марте предупреждали, что ко вступлению в силу GDPR (25 мая) не успеют реализовать ряд новых требований, выдвинутых ICANN. Они даже составили документ с приблизительными сроками внедрения каждой новой функции. По приблизительным подсчетам работы будут завершены не ранее конца 2019 года. 

Самым сложным для внедрения регистраторы признали механизм предоставления доступа к данным WHOIS по запросу заинтересованных сторон. Все это усложняется тем, что сам механизм аккредитации организаций для подобных запросов до сих пор не реализован. 

Крупнейшие регистраторы, среди которых GoDaddy и Tucows, отправили письмо ICANN. В нем они попросили отсрочку введения новых политик на минимум 6 месяцев, так как они во многом противоречат тем изменениям, которые регистраторы ввели для соответствия GDPR самостоятельно.

При этом ICANN недавно начала судиться с регистратором EPAG. Он как раз начал самостоятельно внедрять различные инициативы, чтобы привести в порядок процедуры обращения с персональными данными пользователей. И он теперь отказывается собирать контактную информацию владельцев доменных имен, так как, по его мнению, это все-таки нарушает требования GDPR. Но подобное поведение противоречит договору, заключенному между ICANN и EPAG.

Вину за неопределенность сообщество возлагает на ICANN. Финальный вариант GDPR был опубликован еще 2 года назад, в мае 2016-го. Однако Корпорация по управлению доменными именами начала активно заниматься вопросами соответствия регламенту только в октябре 2017 года. Толчком к этому стал момент, когда два интернет-регистратора, чтобы соответствовать требованиям европейского регламента, отказались от использования сервиса WHOIS.

Сейчас в ICANN надеются в оперативном режиме реализовать полноценное и постоянное решение, которое закроет все обнаруженные пробелы. Но что из этого получится, регистраторы предположить пока не могут — им придется переждать несколько месяцев неопределенности.