Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...Άρθρο 20 Βάση δεδομένων καταχώρισης ονομάτων τομέα (άρθρο 28 της Οδηγίας (EE) 2022/2555)Σχόλιο του χρήστη MOTION PICTURE ASSOCIATION-EUROPE, MIDDLE EAST & AFRICA | 1 Νοεμβρίου 2024, 16:18
|
Υπουργείο Ψηφιακής Διακυβέρνησης Δικτυακός Τόπος Διαβουλεύσεων OpenGov.gr Ανοικτή Διακυβέρνηση |
Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πολιτική Ασφαλείας και Πολιτική Cookies Όροι Χρήσης Πλαίσιο Διαλόγου |
Creative Commons License Με Χρήση του ΕΛ/ΛΑΚ λογισμικού Wordpress. |
Ενσωμάτωση της οδηγίας NIS2: επίτευξη του στόχου του άρθρου 28 για την εξασφάλιση πρόσβασης του κοινού σε αξιόπιστες πληροφορίες WHOIS. Η Motion Picture Association (MPA) λειτουργεί ως παγκόσμια φωνή και παγκόσμιος υποστηρικτής της διεθνούς βιομηχανίας κινηματογράφου, τηλεόρασης και υπηρεσιών streaming. Τα μέλη μας είναι οι Walt Disney Studios Pictures, Netflix Studios LLC, Paramount Pictures Corporation, Sony Pictures Entertainment Inc., Universal City Studios LLC, Warner Bros. Discovery και Prime Video & Amazon MGM Studies. Οι εταιρείες-μέλη της MPA παράγουν και επενδύουν σημαντικά στην παραγωγή ευρωπαϊκού οπτικοακουστικού περιεχομένου, το οποίο μέσω της διανομής του απευθύνεται σε ένα κοινό παγκόσμιο. Η MPA διαδραματίζει ηγετικό ρόλο σε όλα τα ζητήματα σχετιζόμενα με την αντιμετώπιση της παράνομης διάδοσης περιεχομένου που προστατεύεται από πνευματικά δικαιώματα, η οποία και βλάπτει το ακμάζον στις μέρες μας ψηφιακό οικοσύστημα. Στόχος της MPA είναι η μείωση της πειρατείας μέσω αποτελεσματικών μέτρων που στοχεύουν στους φορείς εκμετάλλευσης παράνομων ιστότοπων και υπηρεσιών, καθώς και στους ενδιαμέσους που τους επιτρέπουν να λειτουργούν. Χαιρετίσαμε θερμά την αναθεωρημένη οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (Οδηγία (ΕΕ) 2022/2555-NIS2), και ιδίως τις διατάξεις που αφορούν τους πάρoχους υπηρεσιών DNS στο άρθρο 28 και τις αιτιολογικές σκέψεις 109 έως 112. Η παροχή πρόσβασης σε αξιόπιστα δεδομένα WHOIS είναι απαραίτητη για την καταπολέμηση του παράνομου και επιβλαβούς περιεχομένου στο διαδίκτυο, συμπεριλαμβανομένου σε αυτού και του περιεχομένου που παραβιάζει τα δικαιώματα πνευματικής ιδιοκτησίας, καθώς και για την προστασία της υγείας και της ασφάλειας των πολιτών. Πράγματι, η μελέτη της Ευρωπαϊκής Επιτροπής του 2022 για την καταχρηστική άσκηση των DNS (European Commission: Directorate-General for Communications Networks, Content and Technology, Paulovics, I., Duda, A. and Korczynski, M., Study on Domain Name System (DNS) abuse, Publications Office of the European Union, 2022) συμπεριλαμβάνει την επαλήθευση των δεδομένων WHOIS ως μία από τις κύριες συστάσεις της για την πρόληψη, τον εντοπισμό και τον μετριασμό της κατάχρησης DNS. Η Ευρωπαϊκή Επιτροπή αναγνώρισε επίσης πρόσφατα στη Σύσταση (ΕΕ)2024/915 για την καταπολέμηση της παραποίησης/απομίμησης και την καλύτερη προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας ότι "η ακρίβεια και η πληρότητα των δεδομένων WHOIS μπορεί επίσης να διαδραματίσει κεντρικό ρόλο στην προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας", τονίζοντας περαιτέρω την ανάγκη τα παρεχόμενα δεδομένα WHOIS να είναι ακριβή, να επαληθεύονται και να αφορούν τον πραγματικό δικαιούχο χρήστη και όχι απλώς έναν πληρεξούσιο ή πάροχο υπηρεσιών δεδομένων προσωπικού χαρακτήρα. Ως εκ τούτου, η MPA χαιρετίζει το γεγονός ότι η Ελλάδα βρίσκεται στη διαδικασία μεταφοράς της οδηγίας NIS2 στην εθνική της έννομη τάξη και επισημαίνει τις ακόλουθες προτεραιότητες κατά τρόπο ώστε να διασφαλιστεί ότι το άρθρο 28 και οι αιτιολογικές σκέψεις 109-112 της Οδηγίας θα εφαρμοστούν αποτελεσματικά και θα αυξήσουν σημαντικά την προσβασιμότητα και την ακρίβεια των δεδομένων WHOIS: • Νομίμως αιτούντες πρόσβαση σε δεδομένα: Η αιτιολογική σκέψη 110 της Οδηγίας NIS2 περιγράφει τους "νόμιμους αιτούντες πρόσβαση" των δεδομένων WHOIS, όπως εκείνοι αναφέρονται στο άρθρο 28 παράγραφος 5 της Οδηγίας, ως "τα φυσικά ή νομικά πρόσωπα που υποβάλλουν αίτηση βάσει του ενωσιακού ή του εθνικού δικαίου". Χαιρετίζουμε την επί λέξει και χωρίς αποκλεισμούς προσέγγιση που υιοθετήθηκε στο ελληνικό σχέδιο νόμου, το οποίο αναφέρεται στην παροχή πρόσβασης σε "συγκεκριμένα δεδομένα καταχώρισης ονομάτων τομέα κατόπιν νόμιμων και δεόντως αιτιολογημένων αιτημάτων από αιτούντες πρόσβαση". Θα ήταν χρήσιμο να προστεθεί μια διευκρίνιση που να αναφέρει ρητά ότι οι "νομίμως αιτούντες πρόσβαση σε δεδομένα" περιλαμβάνουν κάθε φυσικό ή νομικό πρόσωπο που υποβάλλει αίτημα πρόσβασης σε δεδομένα WHOIS για τη διερεύνηση παρανομιών, συμπεριλαμβανομένων, χωρίς περιορισμό, της θέσπισης, άσκησης ή υπεράσπισης ασφάλειας στον κυβερνοχώρο, προστασίας της πνευματικής ιδιοκτησίας, προστασίας των καταναλωτών ή άλλων νομικών αξιώσεων. Αυτό είναι σύμφωνο με τις συστάσεις του NIS Cooperation Group για την εφαρμογή του άρθρου 28 της Οδηγίας NIS 2, οι οποίες αναφέρουν ότι: "Προαιρετικά, τα κράτη μέλη θα μπορούσαν επίσης να ορίσουν άλλες δημόσιες αρχές και ιδιωτικούς φορείς, οι τελευταίοι για αιτιολογημένες περιπτώσεις στο πλαίσιο της ιδιωτικής επιβολής δικαιωμάτων, οι οποίοι καταπολεμούν άλλες παραβάσεις που σχετίζονται με τα DNS, όπως π.χ. παραβάσεις των δικαιωμάτων διανοητικής ιδιοκτησίας (ΔI)."(NIS Cooperation Group, Recommendations for the implementation of NIS2 Directive Article 28 – Database of domain name registration data, Final Version, September 2024). Αυτό είναι επίσης σύμφωνο με τη σύσταση της Ευρωπαϊκής Επιτροπής για την καταπολέμηση της παραποίησης/απομίμησης και την καλύτερη προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας, η οποία ενθαρρύνει τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα στην ΕΕ να αναγνωρίζουν ως νόμιμους αιτούντες πρόσβασης σε δεδομένα κάθε φυσικό ή νομικό πρόσωπο που υποβάλλει αίτημα για δικαίωμα πληροφόρησης (ROI) σύμφωνα με την Οδηγία 2004/48/ΕΚ για την επιβολή των δικαιωμάτων διανοητικής ιδιοκτησίας (IPRED) (Και Σύσταση της Ευρωπαϊκής Επιτροπής (ΕΕ) 2024/915 για την καταπολέμηση της παραποίησης/απομίμησης και την καλύτερη προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας, παράγραφος 15 σχετικά). Επιπλέον, η πρόσβαση στα δεδομένα WHOIS, σύμφωνα με την αιτιολογική σκέψη 112, πρέπει να είναι δωρεάν και τα δεδομένα αυτά πρέπει να παρέχονται κατόπιν αιτήματος του νόμιμου αιτούντος πρόσβασης δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Θα θέλαμε να επιστήσουμε την προσοχή σας στην βελγική μεταφορά/ενσωμάτωση της εν λόγω έννοιας στο βελγικό δίκαιο (διαθέσιμο σε Banque de données Justel (fgov.be)-Άρθρο 94 προστίθεται ως άρθρο 164/3.§), η οποία περιλαμβάνει "κάθε πρόσωπο στο πλαίσιο παραβιάσεων των δικαιωμάτων διανοητικής ιδιοκτησίας ή συγγενικών δικαιωμάτων" στον κατάλογο των προσώπων που θεωρούνται νομίμως αιτούντες την παροχή πρόσβασης σε δεδομένα καταχώρισης ονομάτων τομέα. Ενθαρρύνουμε τις ελληνικές αρχές, με ιδιαίτερο σεβασμό στο έργο τους, να εφαρμόσουν μια παρόμοια προσέγγιση, ώστε να καταστεί δυνατή η αποτελεσματική παρακολούθηση και καταπολέμηση των παράνομων διαδικτυακών δραστηριοτήτων. • Αντιμετώπιση του φαινομένου της χρήσης πληρεξούσιων/υπηρεσιών προστασίας δεδομένων προσωπικού χαρακτήρα: Μελέτη του 2021 του Γραφείου Διανοητικής Ιδιοκτησίας της ΕΕ (EUIPO) κατέδειξε ότι «ένα σημαντικό ποσοστό των ονομάτων τομέα που χρησιμοποιούνται για τη διεξαγωγή παράνομων ή επιβλαβών δραστηριοτήτων στο Διαδίκτυο καταχωρίζεται μέσω παρόχων υπηρεσιών καταχώρισης δεδομένων προσωπικού χαρακτήρα ή πληρεξούσιων στην καταχώριση υπηρεσιών» και ότι από την έναρξη ισχύος του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων-GDPR), η λογική σχετικά με την νόμιμη χρήση τέτοιων υπηρεσιών προστασίας των δεδομένων προσωπικού χαρακτήρα ή πληρεξούσιων «έχει τεθεί υπό αμφισβήτηση». (EUIPO "Domain Names-Discussion Paper. Challenges and good practices from registrars and registries to prevent the misuse of domain names for IP infringement activities”, 2021.) Συνεπώς, η εθνική μεταφορά της οδηγίας NIS2 πρέπει να λάβει υπόψη τη δημοτικότητα των πληρεξούσιων ή υπηρεσιών προστασίας δεδομένων προσωπικού χαρακτήρα μεταξύ όσων ασκούν παράνομες και επιβλαβείς δραστηριότητες στο διαδίκτυο. Όταν υποβάλλεται νόμιμο αίτημα πρόσβασης, πρέπει να αποκαλύπτονται τα υποκείμενα δεδομένα του πραγματικού πελάτη/χρήστη που επωφελείται του ονόματος τομέα και όχι μόνο τα δεδομένα του παρόχου υπηρεσιών προστασίας των δεδομένων προσωπικού χαρακτήρα ή του πληρεξούσιου, εάν η εν λόγω υπηρεσία προστασίας των δεδομένων προσωπικού χαρακτήρα ή ο εν λόγω πληρεξούσιος χρησιμοποιήθηκαν κατά τη διαδικασία καταχώρισης. Ως εκ τούτου, υποστηρίζουμε σθεναρά ότι το ελληνικό σχέδιο νόμου θα πρέπει να διευκρινίσει ότι η "οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα" θα πρέπει να θεωρείται ότι συμπεριλαμβάνει τους παρόχους και μεταπωλητές υπηρεσιών προστασίας των δεδομένων προσωπικού χαρακτήρα και τους πληρεξούσιους. Ωστόσο, για να αποφευχθεί η καταστρατήγηση των απαιτήσεων διαφάνειας της Οδηγίας, θα συνιστούσαμε επίσης να συμπεριληφθεί στο σχέδιο νόμου ρητά η ακόλουθη διατύπωση κατά την μεταφορά του άρθρου 28 της Οδηγίας NIS2 σε εθνικό δίκαιο: "Κατά την παροχή δεδομένων σε απάντηση σε νόμιμα αιτήματα πρόσβασης, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα παρέχουν τα δεδομένα του πραγματικού χρήστη του ονόματος τομέα και δεν μπορούν να παρέχουν αντ' αυτού τα δεδομένα του παρόχου υπηρεσιών καταχώρισης δεδομένων προσωπικού χαρακτήρα ή πληρεξουσίου (privacy or proxy service provider) που ενδέχεται να έχουν χρησιμοποιηθεί κατά τη διαδικασία καταχώρισης ονομάτων τομέα." • Αντιμετώπιση και πρόληψη της κατάχρησης DNS σε κλίμακα: Συχνά οι εγκληματίες του κυβερνοχώρου κατοχυρώνουν πολλά, μερικές φορές ακόμη και χιλιάδες, ονόματα τομέα σε σύντομο χρονικό διάστημα. Αυτό συμβαίνει ιδιαίτερα όταν πρόκειται για δραστηριότητες phishing, διανομής κακόβουλου λογισμικού και διάδοσης περιεχομένου που παραβιάζει πνευματικά δικαιώματα. Η διασφάλιση ότι ένας νομίμως αιτών πρόσβαση σε δεδομένα είναι σε θέση να αποκτήσει έναν κατάλογο όλων των ονομάτων τομέα που έχουν καταχωρηθεί χρησιμοποιώντας τα ίδια δεδομένα καταχωρητή (αντίστροφη αναζήτηση WHOIS) είναι απαραίτητη όταν υπάρχουν υποψίες για εξελιγμένες και διασκορπισμένες παράνομες δραστηριότητες τέτοιας κλίμακας. Ως εκ τούτου, συνιστούμε να μεταφερθεί το άρθρο 28 ώστε να επιτρέπει το εξής "όταν ένα όνομα τομέα συνδέεται με καταχρηστική ή παράνομη δραστηριότητα, όπως ισχυρίζεται νόμιμος αναζητών πρόσβαση σε δεδομένα, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα πρέπει, κατόπιν αιτήματος, να παρέχουν στον εν λόγω νομίμως αιτούντα πρόσβαση κατάλογο όλων των ονομάτων τομέα που διαχειρίζονται ή έχουν καταχωρίσει με τα ίδια δεδομένα καταχωρίζοντος". • Νομικά πρόσωπα: Τα δεδομένα WHOIS των νομικών προσώπων (τουλάχιστον επωνυμία και λειτουργών/επαληθευμένος αριθμός τηλεφώνου και λειτουργούσα/επαληθευμένη διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας) πρέπει να διατίθενται στο κοινό σύμφωνα με το άρθρο 28 παράγραφος 4 με παραπομπή στην αιτιολογική σκέψη 112. • Επαλήθευση: Οι διαδικασίες επαλήθευσης των δεδομένων WHOIS θα πρέπει να είναι ισχυρές και να ενημερώνονται συνεχώς ώστε να αντικατοπτρίζουν τις βελτιώσεις στις τεχνολογίες και τις διαδικασίες. Όπως ορίζεται στην αιτιολογική σκέψη 111, οι διαδικασίες αυτές θα κατατείνουν στην "πρόληψη και διόρθωση ανακριβών δεδομένων καταχώρισης" και θα πρέπει να "αντικατοπτρίζουν τις βέλτιστες πρακτικές που χρησιμοποιούνται στον κλάδο [. . .] και την πρόοδο που έχει σημειωθεί στον τομέα της ηλεκτρονικής ταυτοποίησης" και θα πρέπει να περιλαμβάνουν τόσο ελέγχους που "προληπτικοί (και) διενεργούνται κατά την καταχώριση και (ελέγχους που είναι) κατασταλτικοί έλεγχοι (και) διενεργούνται μετά την καταχώριση". Ενώ τα μητρώα ονομάτων TLD μπορεί να μην είναι σε θέση να επαληθεύουν τα δεδομένα WHOIS κατά τη στιγμή της καταχώρισης, δεδομένου ότι η αρχική συλλογή των δεδομένων γίνεται συνήθως από τους καταχωρητές ή/και τις υπηρεσίες πληρεξούσιων ή υπηρεσίες προστασίας δεδομένων προσωπικού χαρακτήρα, μπορούν σίγουρα να αναλάβουν εκ των υστέρων διαδικασίες για την επαλήθευση των δεδομένων WHOIS. Συνιστούμε η ελληνική εφαρμογή να καταστήσει τις διαδικασίες εκ των προτέρων και εκ των υστέρων επαλήθευσης, όπως αυτές, υποχρεωτικές για τα μητρώα ονομάτων TLD. Επιπλέον, θα πρέπει να υπάρχουν συνέπειες για την υποβολή εσφαλμένων, ανακριβών ή ελλιπών στοιχείων εγγραφής. Υποστηρίζουμε σθεναρά ως προς αυτό το σημείο την βελγική ενσωμάτωση (διαθέσιμο σε Banque de données Justel (fgov.be)-Άρθρο 94 (προστίθεται ως άρθρο 164/3.§) στη μεταφορά του άρθρου 28 ως εξής: "Εάν τα δεδομένα καταχώρισης ονόματος τομέα που αναφέρονται στην παράγραφο 1 παράγραφος 2 ενός ονόματος τομέα είναι εσφαλμένα, ανακριβή ή ελλιπή, τα μητρώα ονομάτων τομέα ανωτάτου επιπέδου και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα μπλοκάρουν αμέσως τη λειτουργία του εν λόγω ονόματος τομέα έως ότου ο κάτοχος του ονόματος τομέα διορθώσει τα δεδομένα καταχώρισης ώστε να καταστούν ορθά, ακριβή και πλήρη. Εάν ο καταχωρίζων το όνομα τομέα δεν το πράξει εντός της προθεσμίας που ορίζει το μητρώο ονομάτων τομέα ανωτάτου επιπέδου ή η οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, το όνομα τομέα ακυρώνεται. Απαγορεύεται η μεταβίβαση ενός αποκλεισμένου ονόματος τομέα σε άλλη οντότητα που παρέχει υπηρεσίες καταχώρισης ονόματος τομέα." • Thick WHOIS: Το ενιαίο μητρώο ονομάτων TLD για .com και .net, αντιπροσωπεύει περισσότερα από τα μισά από τα συνολικά καταχωρημένα ονόματα τομέα παγκοσμίως και έχει συμβάσεις με περισσότερους από 2.000 καταχωρητές σε όλο τον κόσμο. Οι κυβερνητικές υπηρεσίες και άλλοι νόμιμοι αιτούντες πρόσβαση σε δεδομένα αναγκάζονται επί του παρόντος να εντοπίσουν τον αρμόδιο καταχωρητή για να υποβάλουν αίτημα για δεδομένα WHOIS. Η επίπονη διαδικασία που συνεπάγεται αυτό, καθώς και η πραγματικότητα ότι ο καταχωρητής μπορεί να βρίσκεται σε χώρα που δεν είναι συνεργάσιμη όσον αφορά τέτοια αιτήματα, υπονομεύει πλήρως τον στόχο της αύξησης της ασφάλειας στον κυβερνοχώρο και, αντίθετα, παρέχει κάλυψη και προστασία σε παράνομους φορείς. Ως εκ τούτου, είναι σημαντικό το εν λόγω μητρώο, καθώς και όλα τα άλλα μητρώα ονομάτων TLD, να διατηρούν μια πλήρη, ακριβή και ανεξάρτητη βάση δεδομένων WHOIS για όλα τα ονόματα τομέα που διαχειρίζονται (αναφέρεται ως "Thick WHOIS") και τα δεδομένα αυτά πρέπει να περιλαμβάνουν τα δεδομένα του πραγματικού χρήστη του ονόματος τομέα και όχι απλώς τα δεδομένα ενός παρόχου υπηρεσιών προστασίας της ιδιωτικής ζωής ή μεσολάβησης που μπορεί να έχουν χρησιμοποιηθεί κατά τη διαδικασία καταχώρισης (βλ. ανωτέρω). Αυτή η κρίσιμη απαίτηση θα διασφαλίσει ότι οι αρχές επιβολής του νόμου και άλλοι νόμιμοι αιτούντες πρόσβαση θα έχουν μια κεντρική και ενιαία πηγή από την οποία θα μπορούν να αναζητούν πλήρη και ακριβή δεδομένα για κάθε όνομα τομέα που διαχειρίζεται το μητρώο ονομάτων TLD. Stanford McCoy ΠΡΌΕΔΡΟΣ ΚΑΙ ΔΙΕΥΘΎΝΩΝ ΣΎΜΒΟΥΛΟΣ MPA EMEA