Требования по хранению данных в САР 2013
В моей недавней публикации в блоге ICANN шла речь о САР 2013 и некоторых существенных улучшениях этого документа, направленных на защиту прав владельцев регистраций и пользователей Интернета. В САР 2013 содержится новый элемент – Спецификация хранения данных.
Спецификация хранения данных обновляет и уточняет обязанности по хранению данных, которые появились в САР 2009 (и в предыдущих версиях САР). САР 2013 в целом обязывает регистраторов хранить больше элементов данных по сравнению с прежними версиями документа, но при этом делит элементы данных на группы, срок хранения которых 2 года после окончания срока регистрации или 180 дней – то и другое меньше, чем предусматривалось в прежних версиях САР.
Соответствие требованиям законодательства
Требования к хранению данных в САР 2013 основаны на рекомендациях, горячо поддержанных государственными органами разных стран мира в лице Правительственного консультативного комитета ICANN. Тем не менее, некоторые регистраторы выражали опасения, что местные законы о защите данных и другие правовые нормы, относящиеся к неприкосновенности личной жизни, могут осложнить выполнение этих новых требований. ICANN признает, что законы в разных странах различаются, и что некоторые новые требования к хранению данных в САР 2013 могут противоречить определенным европейским законам о защите данных и неприкосновенности личной жизни. Необходимо внести ясность: регулирующее законодательство имеет приоритет над положениями САР.
В САР 2013 появилось новое положение об «автономности», которое описывает порядок действий в случаях, когда положение соглашения считается не имеющим силы в рамках применимого законодательства. Кроме того, в «Спецификацию хранения данных» включено специальное положение об освобождении от обязательств в случаях, когда выполнение требований о сборе и/или хранении данных может противоречить применимому законодательству.
Соответствие критериям освобождения от обязательств в САР 2013
Первые новые САР 2013 начали действовать в августе 2013 года, а в сентябре этого же года ICANN опубликовала «Процесс обработки запросов регистраторов об освобождении от обязательств по хранению данных». Чтобы иметь право на освобождение от обязательств по хранению данных, регистраторы должны представить ICANN заключение юридической компании или постановление/инструкция государственного органа компетентной юрисдикции, в котором говорится, что сбор или хранение одного или нескольких элементов данных способом, указанным в спецификации, нарушает применимое законодательство. Утверждения общего характера о том, что требования спецификации сбора и хранения данных незаконны, недостаточно, так как в этом случае не указывается конкретное требование САР 2013, противоречащее законодательству. В запросе об освобождении от обязательств должно быть указано применимое законодательство, конкретные требования по сбору/хранению данных, которые его нарушают, и то, в чем именно сбор/хранение данных нарушают закон. Эта конкретность помогает ICANN, освобождая от обязательств, определить надлежащие ограничения требований к объемам и срокам сбора и хранения данных.
В САР 2013 упомянуто, что ICANN и регистратор должны добросовестно обсудить запрос об освобождении от обязательств, чтобы прийти к взаимоприемлемому решению проблемы. Если ICANN соглашается с определением регистратора о том, что сбор или хранение каких-либо данных нарушает применимое законодательство, ICANN может приостановить действие положений о соответствии требованиям и предоставить освобождение от обязательств (после публикации в Интернете в течение 30 дней предварительного определения об освобождении от обязательств). ICANN предполагает, что освобождения от обязательств должны быть индивидуализированными, чтобы ограничить объем и/или длительность сбора и хранения данных рамками, установленными местным законодательством, но не снимать полностью все требования к сбору и хранению данных.
Законы о неприкосновенности личной жизни предусматривают хранение данных
ICANN обнаружила, что в странах, где существуют законы о неприкосновенности личной жизни, применимые к регистраторам, подобные ограничения обычно допускают хранение регистрационных данных, но только в предусмотренных законом целях и не дольше, чем необходимо для целей, в которых эти данные были собраны, или для их дальнейшей обработки. Что такое законные цели и как долго можно хранить данные – вопросы сложные, и ответы в разных странах могут быть разными даже в пределах Евросоюза (ЕС), где одна и та же директива о конфиденциальности данных действует во всех странах-участницах.
Позиция ICANN заключается в том, что существуют важные цели защиты интересов как общественности, так и регистраторов, и в связи с этим регистраторам предъявляются требования о хранении информации о регистрации доменных имен, в том числе даже в течение некоторого времени после окончания действия доменного имени. Например, регистрационные данные потребуются для борьбы с перехватами доменных имен, даже если по мнению регистратора срок действия соглашения о регистрации на момент (несанкционированной) передачи прав истек. 1 Точно так же жертва хищения персональных данных может опротестовать снятие средств с кредитной карты за регистрацию, которая была удалена регистратором в связи с использованием домена для фишинга или распространения вредоносного ПО в нарушение соглашения об обслуживании; для разрешения подобных проблем потребуется хранение базовых регистрационных данных. Регистрационные данные могут также потребоваться регистраторам для исправления ошибок или разрешения споров в связи с выставлением счетов, например в случае взыскания сбора за возобновление регистрации после передачи прав на домен или его удаления. Это лишь некоторые примеры из реальной жизни, когда существует законная причина ведения регистраторами данных о регистрациях и транзакциях в течение некоторого времени после удаления или передачи регистрации.
Состояние запросов об освобождении от обязательств
Сложность и разнообразие национальных законов о неприкосновенности личной жизни привели к значительным затратам времени и ресурсов как ICANN, так и регистраторов. На сегодняшний день поступило 15 запросов об освобождении от обязательств от регистраторов из Евросоюза. «Рабочая группа 29-й статьи» Евросоюза написала письмо ICANN, выражая сомнения в законности требований САР 2013 по хранению данных на территории ЕС. Каждая страна может по-своему толковать требования по хранению данных, поэтому ICANN рассматривает все поданные запросы индивидуально по каждой стране.
24 января 2014 года ICANN опубликовала первое «Уведомление о предварительном решшении удовлетворить запрос на освобождение регистратора от обязательств по хранению данных» для регистратора OVH SAS из Франции. Предложенное освобождение от обязательств позволяет OVH SAS хранить определенную информацию, указанную в «Спецификации хранения данных», на период спонсирования каждой регистрации и в течение 1 дополнительного года после окончания (вместо 2 лет). ICANN и ее внешний консультант ведут переговоры еще с несколькими регистраторами по их запросам об освобождении от обязательств. Мы уверены, что эти дискуссии в скором времени позволят ICANN предоставить и другие освобождения от обязательств.
Процедура разрешения конфликтов законодательств по WHOIS
Процедуры освобождения от обязательств по хранению данных, предусмотренных в САР 2013, отличаются от Процедуры разрешения конфликтов законодательств по WHOIS, разработанной сообществом ICANN и утвержденной Правлением. Мы хорошо представляем себе сложности, которые могут возникнуть в связи с наличием двух разных процедур; некоторые регистраторы выразили мнение, что порог запуска процедуры конфликтов Whois слишком высок. Чтобы развеять эти сомнения, ICANN в ближайшем будущем объявит общественную проверку процедуры конфликтов Whois, по результатам которой ожидается получение значительного вклада со стороны сообщества. Дополнительная информация об этой проверке будет опубликована в ближайшие несколько недель.
ICANN стремится защищать права как регистраторов, так и общественности, а также обеспечить соблюдение регистраторами применимого законодательства. Мы ожидаем продолжения дискуссии по этим вопросам с регистраторами, правительствами и другими заинтересованными сторонами, в том числе на предстоящей конференции ICANN 23-27 марта 2014 года в Сингапуре.