域名注册WHOIS信息收集与使用合规争议的现实与价值
adminGDPR生效之日,作为法律人士处理网络侵权尽职调查的利器域名查询WHOIS已经悄然做出改版。如图,现在的WHOIS域名查询结果已经不再披露任何“所有者”的个人联系信息,失去了了解域名背后“WHOIS”之初衷。
有人说,GDPR、WHOIS和ICANN已经构成了一个地狱组合,尽管ICANN近期一直把遵守GDPR作为主要议题,在各次大会上对ICANN协议和政策不断地提出各种改进的模型或临时规范,向各国数据保护机构DPA甚至欧盟数据保护委员会进行提议,甚至不惜在德国发起一场禁令诉讼以期从司法层面认可WHOIS的“公共利益价值”,但似乎都长路漫漫。
几个基础知识点
1、什么是ICANN?
ICANN全称“互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and \r\nNumbers)”是一个非营利性的国际组织,负责在全球范围内对互联网唯一标识符系统及其安全稳定的运营进行协调。简言之,ICANN管理Internet域名及地址资源的分配。
2、什么是WHOIS?
WHOIS是ICANN提供的有关域名系统不可或缺的信息服务,是用来查询域名的IP以及所有者等信息的传输协议。GDPR实施前,WHOIS就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名注册商、注册机构、注册人姓名、地址、注册邮箱、电话号码、注册日期、更新日期、过期日期等)。打个比方,WHOIS就像是一个对公众公开的互联网电话簿。但是受限于GDPR,这个电话薄的影响和价值将发生重大改变。
3、什么是GDPR?
GDPR即《通用数据保护条例》(General Data Protection \r\nRegulation),是欧盟于2018年5月25日正式实施的个人信息保护的具有欧盟成员国普遍适用性的规则。要求适用企业有关个人信息的数据收集和处理行为应符合GDPR的要求,否则将面临最高全球营业收入4%或2000万欧元的处罚。
4、GDPR对域名注册的影响
GDPR 实施后,主要影响 ICANN 实施 WHOIS 政策的方式。域名WHOIS 资料的收集、展示,以及 ICANN \r\n可能产生新的合规要求,都将导致域名注册局 (Registry),域名注册商 (Registrar)和注册人 (Registrant) 在提供 WHOIS 信息和 \r\n使用 WHOIS 信息上有了本质改变。具体的影响以及其导致的域名注册流程改变,目前正由ICANN \r\n与社群研议中,最新成果体现在《框架要素:继续访问完整WHOIS数据库的统一模型》(详见本文第三部分)。
ICANN实施 WHOIS 政策应对GDPR合规主要进展
早在GDPR正式实施前,2017年10月,荷兰的域名注册机构的代表律师书面回应ICANN的法律警告,尽管ICANN认为该注册机构不向ICANN提供注册者的个人联系信息违反注册协议,但该机构认为由于注册协议有关WHOIS条款与GDPR以及根据GDPR在荷兰当地颁布的个人信息保护的法律冲突,注册协议中WHOIS条款无效。
2017年12月11日,GDPR第29条数据保护小组(WP29)在信函中明确认为ICANN公开发布WHOIS数据,没有任何合法利益。
2018年1月12日,ICANN发布为符合GDPR的ICANN协议和政策的临时模型建议(讨论稿),2月欧洲委员会对于ICANN的临时模型提供回应,包括一系列的技术性建议,特别是需要把这些抽象的模型变得更实际。随后在2月28日和3月8日,有关临时模型的两个版本Calzone \r\nMode和Cookbook被提出。
2018年3月ICANN \r\nCEO向欧洲28个数据保护机构发函,请求GDPR对于WHOIS的暂停。但是4月WP29对此要求予以拒绝,说明对于Cookbook和Calzone的担忧,包括Cookbook里的访问原因并不合规GDPR的“合法理由 \r\n(legitimate \r\npurposes)”,和访问非公开WHOIS数据需要具体和确切的合法理由才能访问。WP29欢迎一种分层形式的访问,但需要更具体的描述在什么情况下将授予访问权,并且会有什么保护和访问条件。ICANN也需要提供足够理由才能保留数据高达他们提议的2年的时间。另外的考虑包括如何为执法部门提供访问权。
ICANN于2018年5月17日公布《通用顶级域名注册数据临时政策细则(Temporary Specification for gTLD \r\nRegistration \r\nData)》,要求注册局和注册商对WHOIS查询服务的公开显示信息进行必要调整。具体变化体现在默认先全部隐藏个人信息,即存量模板与新建模板将根据ICANN临时规范中附录A里的第2.3条要求进行显示WHOIS字段。此目的是为确保尽可能持续提供WHOIS,同时保持互联网唯一标识符系统的安全性和稳定性。
2018年6月,ICANN推出Framework Elements for a Unified Access Model for Continued \r\nAccess to Full WHOIS Data – For Discussion (框架要素:继续访问完整WHOIS数据库的统一模型 - \r\n讨论稿,简称“统一模型”),该讨论稿成为目前ICANN主要推动内容。但新闻报道显示,2018年7月5日,ICANN向欧洲数据委员会发起的各种提议,尤其是上述统一模型被拒绝。
ICANN有关WHOIS政策符合GDPR要求的最新成果简介
ICANN最新成果即上文提到的统一模型。该模型是一个大概框架,为促进一个统一模型以便按照GDPR的要求让拥有合法用途的认证用户可持续访问非公开的全部WHOIS数据。该模型包括:获得数据的资格,提供访问的过程,界定访问的范围,透明度如何保证,是否收费,模型定期审查,技术细节,行为准则,以及如何执行这些角度形成一些规则。
上述统一模型是由ICANN开发,作为一种允许长期访问WHOIS数据的潜在解决方案,但我们仍不确定这将如何与目前正在实施的包含访问WHOIS数据的临时规范(Temporary \r\nSpecification)的加快政策制定流程(EPDP)如何协同工作 - EPDP是否包含该模型? EPDP会暂停吗? \r\n这完全取决于各国政府数据保护机构的反应,以及模型是否通过。
WHOIS仅仅不公开个人信息就足够了吗?
其实不然。
欧盟所在国的注册机构根据GDPR的要求,认为缺少收集个人信息的合法事由,不再收集域名管理联系人和技术联系人的信息。
在GDPR实施的当天,ICANN对德国的注册机构EPAG提起禁令诉讼,认为注册商有义务根据与ICANN的合同继续收集信息。ICANN寻求法院支持,要求EPAG继续收集新域名注册的管理联系人和技术联系人数据。德国Bonn地区法院拒绝ICANN的禁令诉讼。
ICANN在高等地区法院上诉BONN地区法院的决定 \r\n,ICANN要求高等地区法院发布禁令,要求EPAG恢复收集EPAG与ICANN注册商委任协议所要求的所有WHOIS数据。如果高等法院不与ICANN一致或者不确定GDPR的范围,ICANN希望高等法院将问题交给欧洲法院。
ICANN的总顾问兼秘书John \r\nJeffrey说:“我们已经向德国政府提交诉讼,来包括WHOIS数据的收集,以及明确ICANN在未来可能继续要进行收集。ICANN的公共利益角色是为通用顶级域名系统提供去中心化的全球WHOIS服务。ICANN需要2500家注册企业和机构继续收集这些数据,以便于帮助ICANN管理全球信息资源。”
“公共利益”及“合法理由”
EPAG案例在司法层面上的进展我们将拭目以待,对于ICANN主张的概括性的“公共利益”是否足以使得注册机构有合理“收集”基础要求域名注册人必须提供联系信息,或认可该等信息收集的必要性呢?我想可能还需要ICANN将收集信息的范围缩小(比如是否需要管理联系人和技术联系人的分别信息)以及提供更详细的需要收集这些个人信息的说明。
在收集之后的阶段,虽然有合法理由的人士可以向注册管理机构和注册服务机构提出访问请求,这些请求可以被拒绝如果数据主体的权利更重要。在早期阶段,注册管理机构和注册服务机构很难在没有法律判例和建议的情况下作出该决定。目前,对这种请求的默认回应就是否定请求,这阻碍了品牌方调查不当使用的能力。例如,在ICANN62大会上报道,Facebook自从GDPR实施已经向167个不同的注册管理机构和注册服务机构提交了1736项合法WHOIS请求,但是只有3个被回应了。AT&T欧盟事务总监兼ICANN商业社群主席Claudia \r\nSelli指出,这种回应以及缺乏可用数据正在影响公司的调查。她补充说,“在网络安全风险的情况下,调查中丢失的每分钟可能对全球用户产生重大影响。”
另外,从网络安全的角度考虑,域名注册信息在网络安全研究人员在检测DNS滥用、恶意软件,僵尸网络攻击等方面是很重要的,网络安全调查人员依靠所有这些信息来检测趋势和模式,并经常与执法部门联合制止这种恶意行为并协助调查。所以,限制WHOIS域名信息的收集与公开查询,在多大程度上会对网络安全造成影响,或者如何在个人隐私保护与公共安全利益上寻求平衡,我想还需要一些事件来讨论和形成最后的结论。
结语
GDPR与ICANN在WHOIS政策上的矛盾和对抗,让我们看到了GDPR的强大影响力,直接影响一个行业领域的国际政策。这个漫长的过程是个人隐私保护与公共利益寻求适当的平衡点,也是不同当事人,如域名所有人、注册代理商,注册管理机构和ICANN组织等从不同出发点考虑的对抗过程。不管怎样,在GDPR之下,重新审视域名注册系统中收集和公布的个人信息是否在最小必要范围内保护个人主体,重新制定更完善和小心翼翼的收集和使用制度,都是值得期待的!
相关阅读:
域名行业要为GDPR做哪些准备
GDPR后WHOIS找不到域名持有人怎么办?
