Сервис WHOIS должен измениться в соответствии с Общим регламентом по защите данных Европейского Союза

09 Апреля 2018

(доклад на семинаре ЕС по нарушениям авторских прав и прав на товарные знаки «Чемпионат мира по футболу FIFA 2018 в России™ — Борьба с контрафакцией и пиратством»)

М.А. Рожкова,
д.ю.н., эксперт РАН, президент IP CLUB,
профессор Московского государственного юридического
университета имени. О.Е. Кутафина (МГЮА)
 
 

"Журнал Суда по интеллектуальным правам", № 20, июнь 2018 г., с. 4-10


Ежедневно в мире регистрируется большое количество новых доменных имен. Для осуществления их регистрации лицо, на чье имя оно регистрируется (англ. Registrant; далее – правообладатель домена), должен предоставить аккредитованному регистратору, который вносит это доменное имя в соответствующий реестр доменных имен (англ. Registrar; далее – регистратор) идентифицирующую и контактную информацию, в том числе имя, адрес, адрес электронной почты, номер телефона данного лица и т.е. Эта информация впоследствии включается в общедоступную базу данных сервиса WHOIS (от англ. Who is? – Кто это?), обозначаемую как «данные WHOIS» (англ. WHOIS data).

В качестве примера можно привести данные, полученные при проверке доменного имени <nike.market>.

Политика Корпорации по присвоению имен и номеров в Интернете (англ. Internet Corporation for Assigned Names and Number; далее – ICANN)1 на сегодняшний день предусматривает открытый доступ к указанным данным: любой пользователь, которому необходимо установить правообладателя домена, может сделать это, воспользовавшись сервисом WHOIS.

Такая информация становится необходимой для правообладателя товарного знака в ситуации, когда принадлежащий ему товарный знак нелегально используется в доменном имени, например: при брендовом домейнинге (когда регистрируется доменное имя, содержащее чужие товарные знаки или торговые имена); тайпсквоттинге (когда регистрируется доменное имя, практически совпадающее с товарным знаком, но содержащее ошибки в последовательности написания символов); саундсквоттинге (в основе которого лежит совпадение домена и товарного знака по звучанию) и др. Обнаружив случаи противоправного использования товарного знака, его правообладатель может установить личность нарушителя посредством обращения к общедоступному сервису WHOIS и оперативно предъявить соответствующие требования (например, иск или ходатайство о применении предварительных обеспечительных мер).

Указанная возможность особенно важна для защиты именно интеллектуальной собственности, поскольку полноценная ее защита иногда зависит от быстроты реакции правообладателя на обнаруженное нарушение, что в свое время и стало, в частности, причиной для достаточно подробной регламентации в Agreement on Trade-Related Aspects of Intellectual Property Rights (далее – Соглашение TRIPS)2 временных мер для целей предотвращения возникновения нарушений интеллектуальной собственности (и, например, предотвращения поступления в продажу или пресечения продажи контрафактных товаров) либо сохранения соответствующих доказательств, относящихся к предполагаемому нарушению.

Здесь нужно отметить, что в отличие от регистратора (Registrar), наименование которого не подлежит сокрытию и обязательно раскрывается сервисом WHOIS, для правообладателей доменов (Registrant) в некоторых случаях допускается возможность сокрытия идентифицирующей и (или) контактной информации. В итоге сервис WHOIS может предоставлять «сокращенный» вариант персональных данных правообладателя домена, например такой (для доменного имени <adidas.ws>):

В качестве примера можно привести данные, полученные при проверке доменного имени <nike.market>.

Либо можно вовсе скрывать всю информацию о правообладателе домена, как, например, это имеет место в отношении доменного имени <иванов.рф>:

В качестве примера можно привести данные, полученные при проверке доменного имени <nike.market>.

В подобных случаях персональные данные правообладателя домена регистратор предоставляет заинтересованным лицам на основании запроса суда или правоохранительных органов, либо адвокатского запроса. Подобное «обременение», бесспорно, сказывается на оперативности предъявления исковых требований правообладателя товарного знака.

Между тем сегодня возникла реальная угроза утраты возможности в будущем получить сведения (в том числе контактную информацию) о правообладателе доменного имени, в частности в случаях нарушения прав правообладателя товарного знака, нелегально используемого в этом доменном имени.

Поясним данное заключение.

25 мая 2018 г. вступает в действие Общий регламент по защите данных (англ. General Data Protection Regulation – Регламент ЕС 2016/679 от 27 апреля 2016 г.3; далее – GDPR). Статьей 4(1) GDPR к персональным данным отнесена любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту данных); определяемое физическое лицо может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор либо один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица4.

GDPR призван заменить действующую сейчас рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 г. (англ. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data5; далее – Directive 95/46/EC). Особенностью GDPR является серьезное ужесточение ответственности за нарушение правил обработки персональных данных: в частности, GDPR предусматривает увеличение штрафов до 20 млн евро или 4% годового глобального дохода компании. При этом, важно, что GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан Европейского Союза, независимо от местонахождения такой компании.

При таких обстоятельствах естественно, что основным вопросом, активно обсуждавшимся на 60 встрече ICANN с 28 октября по 3 ноября 2017 г. в Абу-Даби (ОАЭ), стал вопрос политики общедоступности данных сервиса WHOIS в условиях действия GDPR. Однако решение возникшей проблемы тогда не было найдено.

Впоследствии ICANN опубликовала на своем сайте письмо, направленное в ее адрес Советом европейских национальных регистратур доменов верхнего уровня CENTR6. Это письмо содержало результаты опроса регистраторов – членов CENTR, многие из которых выразили готовность скрыть определенные поля в сервисе WHOIS в целях соблюдения требований GDPR (46,4%) либо ограничить объем доступа к сервису WHOIS (21,4%).

Также ICANN было опубликовано письмо Рабочей группы по защите данных в ЕС (англ. ARTICLE 29 Data Protection Working Party7; далее – WP29)8. В этом письме подчеркивалось, что открытый доступ к персональным данным физических лиц (предоставляемый сервисом WHOIS) не соответствует действующей Directive 95/46/EC, на что WP29 неоднократно обращала внимание ICANN в соответствующих письмах, начиная с 2003 г. В качестве решения имеющей место проблемы WP29 предложила создать систему многоуровневого доступа, в рамках которой персональные данные физических лиц будут скрыты от обычных пользователей, но доступны, в частности, правоохранительным органам.

С мнением WP29 сложно не согласиться, поскольку сервис WHOIS действительно предоставляет персональную информацию, и ярким примером может стать персональная данные правообладателя домена <puma.moscow>:

В качестве примера можно привести данные, полученные при проверке доменного имени <nike.market>.

Здесь же надо отметить: в отечественной практике сложилось так, что правообладателя домена (лицо, на которое зарегистрировано доменное имя), обычно обозначают как «администратора доменного имени» или «администратора домена»9. Между тем в сервисе WHOIS под администратором (англ. Administrator, сокр. – Admin) понимается контактное лицо по вопросам администрирования домена, а также – вопросов опубликования информации и материалов на информационном ресурсе, размещенном на данном домене. В качестве администратора домена, таким образом, могут выступать, например, веб-разработчик или команда копирайта, то есть те, кто управляет контентом сайта, является лицом, ответственным перед правообладателем домена; или это может быть лицо, с которым правообладатель домена заключил договор на использование доменного имени, и т.д. Таким образом, правообладатель домена и администратор домена – это совершенно разные лица, что, впрочем, не мешает правообладателю домена указывать себя и в качестве администратора домена, и в качестве техподдержки, то есть лица, отвечающего за техническое обеспечение (англ. Technical Administrator, сокр. – Tech), как это имело место применительно к упомянутому домену <puma.moscow>:

В качестве примера можно привести данные, полученные при проверке доменного имени <nike.market>.

Сегодня высказываются мнения в поддержку сохранения сервиса WHOIS в существующем виде как надежного и доступного источника информации, как механизма эффективной борьбы с киберпреступностью, обеспечения стабильности интернета и защиты интеллектуальной собственности10. Однако в большинстве случаев звучат призывы к поиску компромисса, который бы позволил при соблюдении требований GDPR сохранить результативность сервиса WHOIS.

Именно такой путь предлагает выбрать Европейская комиссия, отметившая в своем письме11, что сервис WHOIS используется различными заинтересованными лицами для разных целей, в том числе для достижения целей государственной политики, включая помощь в пресечении нарушений интеллектуальной собственности, обнаружение источников кибератак, содействие правоохранительным органам в расследованиях и т.д. В своем письме Европейская комиссия, в частности, предлагает различать категории данных, которые могут быть общедоступными и которые не подлежат раскрытию; четко информировать правообладателей доменных имен о том, как будут использоваться их персональные данные; создать работающие процедуры доступа к персональным данным, отвечающие потребностям правоохранительных органов, обеспечив при этом соблюдение гарантий против злоупотреблений и т.д.

ICANN пока не нашла оптимального решения обозначенной проблемы и призывает регистраторов, а также заинтересованных лиц не только исследовать саму проблему, но и делиться правовыми рекомендациями, которые могут быть выработаны по результатам такого исследования.

Одновременно в январе этого года самой ICANN были представлены на обсуждение 3 возможные модели будущего сервиса WHOIS, которые могут использоваться после вступления в действие GDPR12. Обращает на себя внимание то, что все модели не предусматривают общедоступности контактной информации правообладателей доменов13. Также было озвучено предложение о создании новой программы сертификации пользователей, которая позволит обеспечить полный доступ к базе данных сервиса WHOIS для правоохранительных органов, организаций по защите прав потребителей и интеллектуальной собственности.

Первая модель будущего сервиса WHOIS похожа на существующую систему, предоставляющую доступ к большинству данных: так, имя и почтовый адрес правообладателя домена – физического лица будут доступны для ознакомления, тогда как его e-mail и телефон будут закрыты, а e-mail, телефон и факс контактных лиц по вопросам администрирования и техподдержки (далее – Admin и Tech) – открыты. Если правообладатель домена – юридическое лицо, то все его данные будут отражены так, как это имеет место сейчас. Однако есть нюанс: для получения доступа к базе данных сервиса WHOIS пользователь должен подтвердить законный интерес в получении такой информацииподтвердить законный интерес в получении такой информации, например то, что он является полицейским или юристом в сфере интеллектуальной собственности. В свою очередь реестр доменов или регистратор могут удовлетворить или отклонить такой запрос.

Вторая модель будущего сервиса WHOIS допускает обнародование e-mail Admin и Tech, однако вся другая контактная информация, а также имя правообладателя домена, если правообладатель не предоставит своего разрешение, будет закрыта. В соответствии с этой моделью для доступа к закрытой информации планируется создание структурированной, формальной, централизованный системы сертификации пользователей базы данных сервиса WHOIS (она может быть разработана Governmental Advisory Committee и впоследствии управляться ICANN).

Третья модель будущего сервиса WHOIS предполагает, что будет открыта вся информация, за исключением той, которую правообладатель домена или регистратор относит к персональным данным (ожидается, что регистраторы достаточно жестко будут решать этот вопрос, опасаясь применения к ним мер ответственности, предусмотренных GDPR). Экспертами отмечается, что эта модель требует проверки каждой записи в базе данных сервиса WHOIS «вручную» и, по всей видимости, не найдет поддержки у отрасли. Причем предусматривается, что для доступа к закрытой информации сервиса WHOIS пользователи должны представлять судебную повестку или приказ суда либо иного судебного органа, что также не добавляет популярности этой модели прежде всего применительно к случаям пресечения нарушений в сфере интеллектуальной собственности, как известно, требующим оперативности.

В конце февраля 2018 г. ICANN обнародовала промежуточную модель будущего сервиса WHOIS14, которая стала результатом обсуждений в экспертном сообществе и обширной правовой работы. Впоследствии эта модель обсуждалась на 61 встрече ICANN, проходившей с 11 по 15 марта 2018 г. в Сан-Хуан (Пуэрто-Рико).

Данная промежуточная модель (“Calzone Model15) предусматривает многоуровневый доступ к базе данных сервиса WHOIS, предполагающий, что не любой пользователь может получить доступ к информации о правообладателе домена: так, если правообладатель доменного имени не дал своего согласия, не будет отражена информация об имени правообладателя – физического лица (информация о юридическом лице будет общедоступной), почтовый адрес (будет указываться лишь государство/провинция правообладателя домена), а также телефон и факс, причем как правообладателя доменного имени, так и Admin и Tech. Также не будет обнародоваться частный e-mail правообладателя доменного имени (а также Admin и Tech), но предполагается, что в соответствующем поле в WHOIS будет указан анонимный e-mail или будет содержаться веб-форма, используя которую можно будет отправить сообщение на частный e-mail правообладателя домена (либо Admin и Tech).

Критерием для получения доступа к персональным данным и прежде всего имени и почтовому адресу правообладателя доменного имени становится наличие законного интереса. То есть, как указывалось выше (применительно к первой модели будущего сервиса WHOIS), доступ будет предоставляться лицам, подтвердившее законный интерес в получении такой информации, в частности, правоохранительным органам и юристам, защищающим интеллектуальную собственности. Для этого предполагается создание системы сертификации для предоставления доступа к данным, не являющимися общедоступными.

Таково вкратце основное содержание “Calzone Model”.

Вместе с тем стоит обозначить еще одно решение рассматриваемой проблемы, предложенное DENIC16 – регистратором национального домена Германии .de.

Вначале DENIC изменила правила пользования сервисом WHOIS на собственном сайте: обратившийся к базе сервиса пользователь после ввода интересующего его домена не получал сразу всю необходимую информацию, а должен был ответить на вопрос, с какой целью он стремится получить доступ к этим данным. Ответ на этот вопрос предусматривал несколько стандартных вариантов, включая например такие: «Мне кажется, что использование этого домена влечет правовые проблемы» или «Мне необходимы контакты владельца, чтобы обратиться к нему с деловым предложением». Это было введено для получения сведений о причинах запросов информации о персональных данных правообладателя доменного имени.

С учетом проведенного исследования DENIC в феврале 2018 г. объявила о пересмотре свой политике в отношении сервиса WHOIS (что объяснялось стремлением обеспечить соблюдение требований GDPR)17. Общедоступные данные сервиса WHOIS не будут содержать персональные данные правообладателей доменных имен, но в соответствующем поле будут указываться два e-mail: по одному из них можно будет обратиться по вопросам администрирования и техподдержки, по другому – по вопросам недобросовестного использования доменного имени (управлять этими почтовыми ящиками будет компания-регистратор доменного имени). Лицо, представившее обоснование своего законного интереса в получении информации, вправе направить соответствующий запрос.

Подводя итоги, можно констатировать, что в ближайшее время базы данных сервиса WHOIS перестанут быть общедоступными. Это, может серьезно затруднить оперативное получение правообладателем товарного знака необходимой информации о правообладателе доменного имени, в котором нелегально использовался этот товарный знак. Вместе с тем – учитывая активную работу, направленную на создание эффективного механизма доступа к полной базе для правоохранительных органов и юристов в сфере интеллектуальной собственности, – очевидны пути разрешения этой проблемы.

 


1 Некоммерческая организация, деятельность которой нацелена на обеспечение непрерывного и стабильного функционирования глобальной сети Интернет (https://www.icann.org/).

2 http://www.wipo.int/wipolex/en/treaties/text.jsp?file_id=305907.

3 https://ec.europa.eu/info/law/law-topic/data-protection_en.

4 Об идентификаторах см.: Рожкова М.А. Идентификаторы [Электронный ресурс] // Закон.ру. 2017. 18 января. URL: https://zakon.ru/blog/2017/01/18/identifikatory; Рожкова М.А. Идентификаторы: все ли их надо относить к объектам интеллектуальной собственности? // Хозяйство и право. 2015. № 2. C. 82-86.

5 http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046&from=en.

6 https://www.icann.org/en/system/files/correspondence/roste-to-sahel-16nov17-en.pdf.

7Название группы происходит от ст. 29 Directive 95/46/EC.

8 https://www.icann.org/en/system/files/correspondence/falque-pierrotin-to-chalaby-marby-06Dec17-en.pdf.

9 См. об этом подробнее: Рожкова М.А. Проблема обозначений участников доменных споров: некоторые пояснения для целей рассмотрения дел и применения обеспечительных мер // Журнал Суда по интеллектуальным правам. 2015. № 9. С. 31-37 // http://ipcmagazine.ru/legal-issues/the-problem-domain-disputes-designations-participants-some-explanations-for-the-purpose-of-consideration-of-cases-and-the-use-of-interim-measures; Рожкова М.А. Права на доменное имя // Право в сфере Интернета: Сборник статей / Рук. авт. кол. и отв. ред. М.А. Рожкова. М.: Статут, 2018. С. 195-223 (статья размещена в открытом доступе на сайте Координационного центра национального домена сети Интернет: https://cctld.ru/files/books/rozhkova_asp.pdf).

10 См. например: http://domainincite.com/22583-us-and-eu-call-for-whois-to-stay-alive.

11 https://www.icann.org/en/system/files/correspondence/avramopoulos-et-al-to-marby-29jan18-en.pdf.

12 https://www.icann.org/news/blog/data-protection-and-privacy-update-seeking-community-feedback-on-proposed-compliance-models.

13 https://www.icann.org/en/system/files/files/interim-models-gdpr-compliance-12jan18-en.pdf.

14 https://www.icann.org/news/blog/data-protection-privacy-update-seeking-input-on-proposed-interim-model-for-gdpr-compliance.

15 https://www.icann.org/en/system/files/files/proposed-interim-model-gdpr-compliance-summary-description-28feb18-en.pdf.

16 https://www.denic.de/.

17 https://domainnamewire.com/2018/03/01/denic-remove-personal-info-public-whois-de-domains/.