Business

28_Planio.jpg
Forrás: ITB
Út a bizonytalanba

Az internetes doménnevek esete a GDPR-ral

Ami már hónapokkal korábban előre látható volt, az most bekövetkezett: az internetes doménnevek rendszeréért felelős ICANN nem tudott a május 25-i határidőre megfelelni a GDPR előírásainak. A jövő egyelőre bizonytalan.

Nemcsak a kisebb európai vállalkozásoknak nem sikerült észbe kapniuk és időben elkezdeniük a felkészülést az Európai Unió május végén hatályba lépő, de már két éve elfogadott új adatvédelmi rendelkezésére. Ugyanebbe a hibába esett az ICANN is, amelynek egyik legfőbb feladata az internetes doménnevek és azok regisztrációs rendszerének fenntartása, működtetése, fejlesztése és szabályozása.

 

Kötelezni nem lehet

A problémát leginkább az úgynevezett Whois szolgáltatás jelenti. Az ICANN jelenleg érvényben lévő szabályai szerint mindenki, aki doménnevet szeretne bejegyeztetni, köteles bizonyos információkat a regisztráló szervezet rendelkezésére bocsátani. Magánszemélyek esetében ezek között van a név, az otthoni postai és e-mail cím, valamint a telefonszám. Mindezeket az adatokat aztán a regisztrátorok nyilvános adatbázisokban közzéteszik. (A rendszert egyébként már korábban is sok kritika érte, erről lásd keretes írásunkat.) A doménnevet kérelmezők kötelesek ezeket az adatokat megadni, a regisztrálók pedig – az ICANN-nal kötött szerződésük értelmében – kötelesek az információt nyilvánosan elérhetővé tenni.

A laikus számára is tisztán látszik, hogy ezek a kötelezettségek szöges ellentétben állnak a GDPR szellemével és betűjével. Annak ugyanis az az egyik alaptétele, hogy a magánszemélyek maguk dönthetnek arról, hogy mennyi és milyen adatot, milyen célból osztanak meg külső felekkel, szolgáltatókkal. A bili tavaly októberben borult ki, amikor az .amsterdam címeket regisztráló holland szervezet az ICANN-nak küldött levelében semmisnek mondta ki a Whois-re vonatkozó szerződéses kitételt, és ennek alapján visszautasította az ICANN szerződésszegésre utaló vádjait.

 

Fűhöz-fához kapkodva

A nemzetközi szervezet ekkor már felébredt Csipkerózsika-álmából, de az ezt követő lépései sem árulkodtak végiggondolt cselekvési tervről vagy világos elképzelésről arra vonatkozóan, hogy mit is kellene tennie. Először javaslatokat kért be a regisztrátoroktól, majd február elején előállt saját átmeneti megoldásával – egyszerre tizenkettővel. A gond csak az volt, hogy akkor már alig három hónap volt hátra a GDPR hatályba lépéséig, a megoldások pedig meglehetősen kidolgozatlannak tűntek, és az EU sem volt lenyűgözve tőlük.

Ennek ellenére az ICANN illetékesei április végén – sikertelenül – megpróbálkoztak azzal, hogy egy éves moratóriumot könyörögjenek ki az EU adatvédelmi illetékeseitől a Whois-re vonatkozóan.

A Whois-ről

A Whois szolgáltatást még 1982-ben fejlesztették ki, azzal a céllal, hogy nyomon lehessen követni az akkor még gyerekcipőben járó, a bizalomra épülő, kimondottan nyílt és kizárólag szakmabeliek által használt internet gazdáit. Az internetes forradalom aztán megváltoztatta a világháló jellegét, de nem a Whois szolgáltatást, ami köré virágzó iparág épült. A várhatóan népszerűvé váló doménneveket élelmes kibertelepesek (cybersquatterek) foglalták le, rájuk pedig jogászok vadásztak, márkanév-bitorlási eseteket kutatva, esetleg befektetők keresték őket, jó pénzt ígérve a doménekért. A spamküldők is hamar felfedezték maguknak a hatalmas adatbázisokat, kéretlen levelekkel árasztva el a regisztránsokat.

Mindez odáig fajult, hogy a Whois még az eredeti célját sem volt képes betölteni: kiberbűnözők hamis adatokkal jegyeztek be rosszindulatú célokra használt webcímeket, az adatok valódiságát meg nem ellenőrizték a regisztrátorok. Az ICANN, illetve az ernyője alá tartozó szervezetek is látták a hiányosságokat, de az eltérő és kibékíthetetlennek látszó érdekellentétek miatt soha nem tudtak érdemi változásokat bevezetni. (A cikkben szereplő információk nagyrészt Kieren McCarthy-nak a theregister.co.uk-n megjelent cikkeiből származnak.)

 

Végül két héttel a GDPR életbe lépése előtt adta ki az ICANN az új, ideiglenes Whois eljárásrend tervezetét. Ebben három dolgot szeretett volna elérni. Egyrészt, hogy a regisztrátorok továbbra is gyűjtsék a személyes adatokat, még ha nem is teszik közzé azokat. Másrészt, legyen valamilyen eljárásrend arra, hogy az arra felhatalmazott felhasználók (bűnüldöző szervek, a szellemi tulajdon megsértése ügyében eljáró jogászok) hozzáférhessenek ezekhez az adatokhoz. Végül pedig olyan rendszert is szeretnének, amelyben külső felek úgy kereshetnék meg e-mailben a doménnév tulajdonosokat, hogy ehhez senkitől nem kell előzetes engedélyt kérniük. Mindezek akár még jogos és ésszerű elvárások is lehetnének a Whois eredeti céljait tekintve, de már akkor látszott, hogy két hét nem lesz elegendő a szükséges informatikai fejlesztések végrehajtásához.

De a csavaroknak ezzel még nem volt vége a történetben. Május 25-én (a GDPR életbe lépésének napján) az ICANN pert indított a német EPGA regisztráló szervezet ellen. A keresetében azt akarta elérni, hogy a cég, a fennálló szerződés értelmében, továbbra is köteles legyen személyes információkat begyűjteni mindenkiről, aki webcímet akar regisztrálni. A német hatékonyság ékes példájaként a bíróság hat nappal később már el is utasította a kérést. (Az ICANN viszont megfellebbezi a döntést, és az Európai Bíróságig is hajlandó elvinni az ügyet.)

 

Merre tovább?

Ezzel el is értünk a mához. A GDPR életbe lépett, az ICANN nem tudott időben olyan megoldást biztosítani, amely a regisztrátoroknak lehetővé tette volna a Whois szolgáltatás fenntartása mellett a GDPR előírásainak betartását. A német bíróság ítélete abban a tekintetben is jelzésértékű, hogy innentől kezdve egyetlen regisztrátornak sem kell a Whois-re vonatkozó szerződéses pontokat betartani.

Kérdés, hogy mi fog történni a jövőben. Az ICANN egyik javaslata szerint a közvetlen e-mail címeket anonimizált címekkel vagy valamilyen online elérési űrlappal kellene helyettesíteni; ennek megvalósítása is legalább négy hónapjába kerülne az érintett regisztrátoroknak. Kérdés, hogy a webcímet regisztrálók számára biztosítsanak-e opt-in lehetőséget adataik nyilvánosságra hozására – ennek kialakítása kilenc hónapot venne igénybe. Ha pedig az a döntés születik, hogy bizonyos felhatalmazott feleknek teljes hozzáférést kell biztosítani a Whois adatokhoz, akkor egy éves munka várna a fejlesztőkre. A legjobb persze az lenne, ha átírnák az Extensible Provisioning Protocolt (EPP), amely a doménnév-rendszeren belüli szabványos információcserét szabályozza – ez viszont már 15 hónapig tartana.

A GDPR ellen folytatott vesztes csatának hosszabb távon is komoly következményei lehetnek az ICANN-ra nézve. Bár az amerikai kormányzat már két évvel ezelőtt feladta a közvetlen ellenőrzést a szervezet felett, informális befolyása (hasonlóan a nagy amerikai internetes vállalkozásoké) meghatározó maradt, miközben a szervezet úgy vélte, hogy saját játékszabályai szerint játszhat továbbra is. Most viszont mind az ICANN, mind az amerikai érdekeltek kénytelenek voltak meghátrálni, a jövő működési irányai pedig a következő egy-két évben fognak kikristályosodni.