ICANN的難題:WHOIS與GDPR (上集)

隨著網路成為現代人日常生活的一部分,無論是企業或個人似乎都已習慣了「個人資料」與「免費服務/產品」的「以物易物」,如Facebook透過提供使用者免費的社群平台,獲得追蹤並記錄使用者網路活動、點閱偏好,並將這些資料售予廣告商,藉此營利。這種商業模式又被稱為「監視資本主義」(surveillance capitalism),也是我們生活的新現實。

難道消費者只能被動接受這個現實,以「被監視」換取商品或服務嗎?一向重視人權、個人隱私的歐洲並不同意。也因此,歐盟在兩年前推出了歐洲資料保護條例(General Data Protection Regulations,GDPR);這部全球最保護個人資料隱私的法律自去年5月25日正式實施,其嚴謹規則及高額罰金讓跨國企業叫苦不迭。

負責協調管理全球域名系統的ICANN,也在GDPR的威力之下,被迫正視拖延多年、被前任ICANN執行長Fadi Chehadé戲稱為「ICANN以巴衝突」的難題──註冊資料目錄服務(Registration Directory Service,RDS),也就是所謂的「WHOIS」改革。

在進入正題之前,讓我們先釐清幾個名詞。剛開始接觸ICANN的人,往往會被這個社群裡各式各樣、無所不在的英文縮寫搞得頭昏腦脹。光是目前為止我們就已經看到三個縮寫,分別是GDPR(歐洲資料保護條例)、ICANN(網際網路名稱與號碼指派機構)、RDS(註冊資料目錄服務)。接下來還會出現的各種名詞和縮寫包括:

  • WHOIS:用來提供RDS的技術協定(protocol),在ICANN社群中常用來代稱RDS。
  • RDAP:Registration Data Access Protocol,即將取代WHOIS的新技術協定。所有註冊管理機構與受理註冊機構都必須於今年8月26日前改用RDAP。
  • GNSO:通用域名支援組織(Generic Names Supporting Organization),ICANN社群內負責制定通用域名相關政策的團體。
  • GAC:政府諮詢委員會(Government Advisory Committee),代表國家政府對ICANN政策提出建議。
  • SSAC:安全與穩定諮詢委員會(Security and Stability Advisory Committee),負責就網路域名系統的安全與穩定,提出政策建議。
  • ALAC:一般會員諮詢委員會(At-Large Advisory Committee),代表ICANN社群內的一般人及個人使用者對ICANN政策提出建議。
  • PDP:政策制定流程(Policy Development Procedure),ICANN社群中的支援組織(SO)欲制定新政策時,須經歷「由下而上、多方利害關係模式」的政策制定流程。
  • EPDP:加速版政策制定流程(Expedited Policy Development Procedure)。顧名思義是PDP加速版,省略一般GNSO發起PDP時的「議題報告」(Issue Report)流程。
  • DPA:資料保護機關(Data Protection Authority),泛指歐洲經濟區境內所有GDPR執法機關。
  • EDPB:歐洲資料保護委員會(European Data Protection Board),由各國DPA所組成的獨立委員會,負責監察各國GDPR實施狀況及推廣GDPR法遵。

為什麼GDPR實施會迫使ICANN進行WHOIS/RDS改革?WHOIS是網路草創時期的產物,類似網路上的電話簿。任何人若想知道某個網站的註冊資料,只要去WHOIS搜尋頁面輸入網站域名,就可以得到域名註冊人的姓名、電話、地址等資料。看到這裡,你應該知道為什麼GDPR會跟WHOIS有關了──古早未改革的WHOIS等於把註冊人個資全都露,無論從哪個角度來看,都嚴重違反GDPR。

礙於篇幅有限,這裡就不多加描述ICANN過去一年來的各種掙扎,如何亡羊補牢地趕在GDPR生效前發布了臨時條款,雖然勉強修正了過去嚴重違反GDPR的WHOIS規定,但又因倉促推出的臨時條款仍有許多未竟之處,更嚴重的是缺乏ICANN社群最重視的由下而上、多方利害關係人參與的政策制定流程,而招致社群不滿。

讓我們把時間快轉,直接跳到EPDP工作小組已完成第一階段結案報告,並通過GNSO理事會的現在。EPDP乃因應史無前例的臨時條款成立,除了第一階段的檢視並修正臨時條款,未來在第二階段也將處理部分社群最專注的議題:具有合理目的的第三方,未來如何透過標準化管道,要求受理註冊機構提供非公開的註冊資料。

趁著第二階段仍未開始的現在,讓我們先了解一下EPDP第一階段的重要成果;換句話說,新的WHOIS(以下統稱RDS)是什麼模樣?

首先,ICANN若想繼續提供RDS(並規定合約方也繼續提供RDS),必須證明自己有持續蒐集註冊人資料的合法目的。以下是EPDP小組訂出,ICANN有權蒐集註冊人資料的7個目的(簡化版):

  1. 開通、指派註冊名稱,確保域名註冊人對此註冊名稱的權利;
  2. 根據ICANN使命,為維護域名系統的安全、穩定,與靈活性,回應合法的資料揭露要求。
  3. 就註冊域名的相關問題,聯絡註冊域名持有人。
  4. 提供域名註冊人在發生商業或技術問題時,保護自身註冊資料的機制。
  5. 保障稽核及履約監察等需求;
  6. 執行域名註冊(而非域名使用)爭議的相關政策;
  7. 供受理註冊機構確認註冊人符合資格。

除了定義上述目的,最重要的改革是公開RDS資料的顯示方式。原本嚴重違反GDPR的公開RDS資料頁面,究竟必須經歷怎樣的改革才會符合GDPR,改革過程又有什麼難關必須跨越呢?請待下集分曉。

Photo created by macrovector_official

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *