Czy wykorzystanie Whois privacy obarczone jest ryzykiem?
Czy wykorzystanie Whois privacy obarczone jest ryzykiem?
Anna Kur, Dyrektor AZ.pl
Niektórzy Abonenci domen obawiając się ujawnienia w publicznym serwisie WHOIS swoich danych osobowych w postaci imienia, nazwiska czy adresu, starają się je ukryć, korzystając z popularnych serwisów typu privacy protection. Warto się zastanowić na ile takie serwisy chronią naszą prywatność, kiedy można z nich korzystać i jak ocenić ryzyko ich użytkowania.
Dla domen z końcówką .PL, ukrywanie danych osobowych jest domyślne, a w przypadku pozostałych podmiotów (firm, fundacji, spółdzielni, stowarzyszeń, ambasad itd) takiej możliwości nie ma. Dla domen generycznych (np. COM, NET, ORG), Rejestry nie dają możliwości ukrycia danych, tak jak to ma miejsce w przypadku NASK i domeny .PL. Dlatego też popularne stały się serwisy pozwalające na zamianę danych Abonenta w serwisie WHOIS na dane proxy czyli firmy, która w miejsce danych Abonenta pozwala umieścić swoje dane, w zamian za odpowiednią – zwykle dość niską – opłatę roczną.
Dla osób fizycznych prowadzących strony domowe czy blogi jest to rozwiązanie ciekawe i zapewne potrzebne. Dla firm, szczególnie takich, które są narażone na ewentualne procesy sądowe, może to być obarczone ryzykiem.
Należy pamiętać, jakim celom służą te serwisy. Dwa zasadnicze obszary, w których Whois privacy może być pomocny to:
Ochrona przed kradzieżą tożsamości.
Zmniejszenie ryzyka spamu i pozostałej korespondencji oraz niechcianych kontaktów telefonicznych.
Serwisy privacy proxy istnieją od wielu lat, niemniej jednak stale towarzyszą tej usłudze wątpliwości, a w szczególności kto, z punktu widzenia formalnego, tak naprawdę jest Abonentem domeny – serwis proxy czy ten, którego dane są ukrywane? Dyskusje w tej sprawie były prowadzone zarówno pomiędzy prawnikami jak i na forum ICANN, w tym organizacji GNSO (Generic Names Supporting Organization).
Swój kamyk do ogródka wrzuciło też WIPO, które ostatnio rozpatrywało sprawę, gdzie jednym z elementów było właśnie ukrycie danych za serwisem typu Whois privacy. W dniu 11 stycznia 2012 roku WIPO ogłosiło bowiem orzeczenie w dość ciekawej sprawie dotyczącej domeny .ORG. Otóż sprawę wytoczył Conforama Holding a pozwanymi był Whois Privacy Protection Service, Inc (!) oraz Profile Group, DNS Manager – sprawa numer D2011-1976 http://www.wipo.int/amc/en/domains/search/text.jsp?case=D2011-1976.
I tutaj pojawia się najciekawszy element. Powód (Conforma Holidng) nie zastanawiał się nad charakterem serwisu prowadzonego przez Whois Privacy Protection Service, Inc., tylko po zapoznaniu się z zasadami rejestracji domen generycznych, w tym domen .ORG (http://www.icann.org/en/tlds/agreements/org/) oraz zasadami rozwiązywania sporów Uniform Domain-Name Dispute-Resolution Policy, pozwał Abonenta, czyli Whois Privacy Protection Service, Inc. z Bellevue, w stanie Washington, USA.
Warto dodać, że z punktu widzenia ICANN, serwisy typu Whois privacy znajdują się w szarej strefie. Z jednej strony bezwględnym wymaganiem dla serwisu WHOIS jest udostępnianie prawdziwych informacji o Abonencie, a z drugiej strony – praktycznej – jakoś funkcjonuje udostępnianie prawdziwych danych Abonentów po zapytaniach ze stronów sądów, policji, czy arbitrażu przez serwisy Whois privacy. Jak już wspominaliśmy, sposób funkcjonowania serwisów typu Whois privacy był i jest przedmiotem dyskusji w ramach ICANN a także samych społeczności skupionych wokół poszczególnych domen. Typowa interpretacją jest taka, że serwis privacy protection jest Abonentem domeny, która jest wynajmowana prawdziwemu Abonentowi. To oczywiście komplikuje sprawy i naraża Abonentów na niepewną sytuację prawną. A w niepewnej sytuacji, nie można przewidzieć wyników postępowań, szczególnie jeśli będą toczone przed sądami powszechnymi.
Sprawa Conforma jest o tyle istotna, że pokazuje bezpośrednio, jak niebezpieczne może być bezgraniczne ufanie Whois privacy.
Whois privacy może być pomocne, ale jeśli ktoś taką usługę traktuje jako zabezpieczenie przed ewentualnymi roszczeniami osób trzecich, to chociażby ostatni pozew pokazuje, że jest to założenie bardzo ryzykowne.
Ale wracając do sprawy: Conforma pozwała Abonenta, czyli Whois Privacy Protection Service, Inc., WIPO zwróciło się do rejestratora (eNom) o podanie prawdziwych danch Abonenta. eNom zweryfikował, kto kryje się pod privacy protection, i przekazał te dane WIPO, a WIPO przekazało Powodowi, z prośbą o uzupełnienie pozwu. W efekcie Abonent oraz Whois Privacy Protection Service, Inc. są współpozwanymi.
Warto zwrócić uwagę, że WIPO nie miało obowiązku korygować nazwy Abonenta (http://www.icann.org/en/dndr/udrp/uniform-rules.htm), a powód nie musiał uwzględniać oczekiwania WIPO. Zasady UDRP mówią jedynie, że pozew ma być przesłany na adresy uwidocznione w danych rejestracyjnych w bazie WHOIS prowadzonej przez Rejestratora.
W tej konkretnej sprawie wykorzystanie serwisu typu Whois privacy nie zostało podniesione przez Powoda ani przez Panel jako argument za działanie w złej wierze, ale już w sprawie bme.com z 2008, wykorzystanie Whois privacy (a dokładniej transfer z jednej firmy typu Whois privacy do innej) został potraktowany jako argument za działaniem w złej wierze pozwanego.
W innej sprawie, z roku 2009, doszło do sytuacji, kiedy NameCheap, dostarczający serwis typu Whois privacy został pozwany właśnie z tego powodu, że to jego dane zostały umieszczone w WHOIS jako dane Abonenta. Sprawa toczyła się w przed sądem powszechnym w Kalifornii (http://www.domainnamenews.com/images/solidhostnamecheap.pdf), i zakończyła się uznaniem winy właśnie NameCheap. Możemy sobie wyobrazić, że gdyby obecnie doszło do podobnej sprawy, zapewne każdy z serwisów typu privacy protection starałby się bronić własnego interesu, poświęcając interes (prawdziwego) Abonenta. Trudno oczekiwać, że serwis typu Whois privacy za równowartość kilku dolarów płaconych za usługę pozwoli sobie na wielokrotnie większe straty finansowe, przegrywając walkę przed sądem powszechnym.
Warto więc sobie uświadomić, że wykorzystanie serwisów typu Whois privacy może ochronić naszą prywatność, szczególnie jeśli np. wykorzystujemy stronę na prywatny użytek, ale w sytuacji wykorzystania strony zarobkowo i możliwości narażenia się na pozew, „Whois privacy” nie pomoże nam, a dodatkowo naraża nas na niepotrzebne ryzyko.
Ryzyka związane z serwisami typu Whois privacy:
1.Może się zdarzyć, że rejestrator (szczególnie w sytuacji kiedy rejestrujemy domenę i wykupujemy privacy protection u pośrednika, a nie u bezpośrednio akredytowanego rejestratora ICANN) nie dostarczy naszych danych do centrum arbitrażu.
2.Centrum arbitrażu lub sąd powszechny może nie zwrócić się o udostępnienie danych do Rejestratora (Centrum obowiązkowo zwraca się jedynie o zablokowanie możliwości transferu domeny).
3.Centrum arbitrażu może potraktować podanie przez Registrara lub operatora Whois privacy danych kontaktowych abonenta jako dodatkowego adresu, na który ma być kierowana korespondencja (Either Party may update its contact details by notifying the Provider and the Registrar), ale nie musi potraktować informacji od Rejestratora jako zmiany podmiotowej pozwanego.
4.Paneliści (arbitrzy) jak i sędziowie sądów powszechnych mogą potraktować wykorzystanie Whois privacy protection jako dodatkowy argument za działaniem w złej wierze.
5.Serwis Whois privacy prawdopodobnie będzie starał się zminimalizować swoje ryzyko, nawet kosztem interesu Abonenta, który powierzył mu swoje dane pod ochronę.
Pamiętajmy też, że takie serwisy, zazwyczaj w przypadku dowolnego zawiadomienia np. o naruszeniu praw osób trzecich, bez weryfikacji, dobrowolnie podają prawdziwe dane Abonenta.
Opiszmy więc sytuacje, kiedy stosowanie serwisu proxy nie jest wskazane:
Jeśli prowadzisz legalny biznes (brak Twoich danych w Whois obniża Twoją wiarygodność)
Jeśli chcesz wykupić certyfikat SSL dla swojej strony.
Jeśli traktujesz proxy jako ochronę przed ewentualnymi procesami sądowymi.
Jako chęć ukrycia się przed światem (zawsze można uzyskać Twoje dane od operatora serwisu – wystarczy wysłać odpowiednie zapytanie).
Jeśli chcesz sprzedać swoje domeny (jak udowodnisz, że jesteś Abonentem?)
Na koniec warto dodać, że usługi proxy dotyczą jedynie domen globalnych oraz niektórych domen narodowych. W przypadku domeny .PL nie można stosować serwisów Whois privacy, a wykorzystanie takiego serwisu jest prostą drogą prowadzącą do utraty domeny w sporze arbitrażowym lub sądowym w Polsce.