網際網路名稱與號碼指配組織(Internet Corporation for Assigned Names and Numbers, ICANN)3月9日至14日於日本神戶(Kobe, Japan)召開會議,這是ICANN第64次會議, 於11日上午舉行的開幕式中,大會特別宣布這是在近20年後,ICANN會議第二度在日本舉辦,第一次為2000年的ICANN6橫濱會議。據 ICANN預估本次會議共有約2,000至2,500人參加,其中約有8成是來自國外與會者。在整體議程安排上,9日及10日除了舉行以初階技術人員為對象的DNS基礎講座之外,10日有專為首次參加ICANN會議者舉辦的「Newcomers Day」介紹本次會議的總覽,11日開始的議程著重在技術性與相關政策制定之討論會議,由來自世界各地的專家產業等stakeholders共同交換意見。
ICANN董事會主席Cherine Chalab於ICANN 64 Kobe Meeting開幕致詞時,又再重申其於ICANN 61 San Juan Meeting所宣布的從戰略性的目標來談ICANN 2021至2025年的長期計畫。Chalab表示:「我將會以二個部分來發佈這個計畫尋求公眾意見,到6月將會有一個高階版本,然後於2019年12月前完成發展計劃。作為成功的條件,我們必須確保我們有領導管理實施該計劃制定的五年全覽圖所需的技術知識和財務實力。」 (I can or will release the plan for public comment in two parts there will be a high-level version by June followed by the fully developed plan by December 2019. As a condition for success, we must make sure that collectively we have the leadership management technical know-how and financial strength required to implement the five-year roadmap laid out by this plan.)
Chalab強調在協同合作中,包括區域網路註冊機構,根服務器營運商,網路工程任務組等,是成功與否的最大要素,例如在解決安全威脅以及為此協作發展之網路中唯一標識別碼系統(Internet’s Unique Identifier Systems)時,都必須保持靈活性,並認知到彼此協同合作之重要性。對此,Chalab以ICANN社群以多方利害關係人之治理模式所完成之EPDP為例,除了贊同此治理機制之成功,但也同時又提出了此機制所應保有的基本精神,Chalab表示:「隨著我們的環境變得更加複雜和風險更高,我們的治理的面向也同時要避免任何妥協,而應保有我們深受重視自下而上和包容性的決策過程。您可能會同意我的觀點,這個目標並不是新的,因為多年來我們一再的表達需要提高我們治理的效率和效果,也就是說我們的治理不能以隨意的方式發展,我們需要一個計畫,以逐步和謹慎地方式來進行」(However, as ICANN continues to evolve as our environment becomes more complex and higher in risk. Aspects of our governance must also evolve whilst avoiding any compromise of our deeply valued bottom-up and inclusive decision-making process. You would agree with me that this objective is not new as over the years we have often expressed the need to improve both the efficiency and effectiveness of our governance that said evolving our governance cannot happen in a haphazard way we need a plan and we need all of us to be engaged in developing it gradually and carefully.)
Chalab表示,為此ICANN董事會提出了一個兩步驟方法,第一步驟確定問題並逐步確定解決問題的責任和時間表,第二步驟以範圍確認工作計劃,並尋找解決方案或實施方案。
ICANN 執行長Göran Marby在開幕致詞中強調:「在過去網路的30年中,有400多億左右的人上網,我們總是在談論著網際網路改變了我們做事的方式:從銀行業務、我們美好所愛的生活,並著實的對我們的生活方式產生了深遠的影響,而這種技術令人驚奇並不是僅由電信公司或其他產品公司所能做到,但卻是因為人們所決定,這使得網路這項技術更加地獨特。」(I usually say over the last 30 years 4 million 4 billion people more or less has come online. I mean the internet we always talk about this that the Internet has changed the way we do things everything from our banking to our love life; it has a real profound effect on the way we live, and one of the amazing thing with this technology it wasn’t really done in it from a telco or a product company of anything else. That people got connected to the Internet was something that people decided to do that makes this technology very very unique.)
正如Marby經常所說的,多方利害關係人之模式所彰顯的價值,將不會讓任何政府、任何公司或任何組織或個人控制或劫持我們所做的事情。(The multistakeholder model shows, as I always say(s), we will not let any government, any company or any organization or private person take control or hijack what we do.)
Marby又表示,「網路的治理方式是要以一個純粹的多方利害關係人之模式,我認為成功的一部分是源於由人們本身出發,而我們也達到了這一個境地;然而,卻也因其對社會所造成之影響並不是讓每個人都盡滿意,所以我們可以看到全世界各地出現了許多立法提案。我(們)以作為一個技術組織,我們不參與政治,但我們所保有的技術時而可能會因這些政策制定而產生影響;讓人們上網或是無法連網。如此的政策與網路脫節,我們看到的其中一件事,似乎就出現了對網際網路的誤解,網路實際上是什麼?在網路上的平台或許有很多關於仇恨言論,但那不是網路本身,是網路連結了那些不是網路本身的平台,所以我們必須要告知和教育全世界的立法者關於這種差異,以便能以更善意的方式讓他們不使用政策之手段來阻止人們上網。」 (This is the fact that the way the Internet governance of the governance of will be doing is a pure multi-stakeholder model and I think that’s a part of its success from the people to the people. But we’re also reached a point where because of the impact of society not everybody’s happy with it, we see many legislative proposals around the world and I can as a technical organization we don’t go into politics but we see technical we see sometimes that can have an impact on your ability to make policies or to have people disconnecting from the internet, and one of the things we see there seems to be misunderstanding what the internet actually is platforms on top of the Internet many of the discussions about hate speech and other things is actually on platforms on the Internet you use the Internet to reach that platform that’s not the Internet one of the things we need to be better at is to inform and educate legislators around the world about that difference so with good intent they don’t block people coming on to the Internet.)
本次會議高度關注的議題為因應GDPR對Domain Name註冊資料及The Registration Data Access Protocol (RDAP)之相關因應。ICANN以及全球網路社群在尋求符合歐盟通用資料保護規範(General Data Protection Regulation, GDPR),因為它適用於全球域名系統,特別是對WHOIS這個全球公開的分佈式目錄服務,其中即包含至少超過1.87億個域名的註冊記錄的資訊。ICANN通過私人合約的方式與超過2,500個域名註冊管理機構和註冊服務商,從中協調分散式的WHOIS;因此,其中每個機構與ICANN一樣,皆受GDPR的影響。因此,ICANN和域名註冊管理機構和註冊服務商正處於關鍵時刻。
據此,ICANN社群需要來自歐洲資料保護當局的指導,以滿足包括政府、隱私權執法機構,智慧產權持有人、網絡安全專家、註冊管理機構、受理註冊機構及網路使用者等主要的全球網際網路利益相關社群的需求。經過關於GDPR影響的廣泛公開辯論和資訊交流,有一個非常重要的問題依然存在,即在於保有及維護全球性的WHOIS系統,但又符合與GDPR規範的一致。
同時,政府及執法當局也深感關切,如果因GDPR阻止訪問全球WHOIS時,此舉將嚴重損害公眾利益;因為以往通過WHOIS查詢,使他們能夠執行相關法律行動,以保護消費者、關鍵基礎設施和智慧財產。因此,ICANN呼籲歐盟暫停執法或其他相關行動,並在此同時除釐清GDPR或相關行動舉措外,直到修訂後的WHOIS政策完成,以平衡GDPR與全球WHOIS目前的形式所代表的公眾利益。
為了幫助鑑別新法律引起的任何合約合規性影響,ICANN除進行對GDPR進行廣泛的法律審查和分析,另在協調工作中,ICANN與社群合作發展過渡性的WHOIS調整。ICANN於2018年5月25日出版了「過渡性合規模式」(Interim Model for Compliance with ICANN Agreements and Policies in Relation to the European Union’s General Data Protection Regulation)。「過渡性合規模式」指南主要內容包括:WHOIS的分層層訪問;制定獲取認證查詢受限資料的計劃。WHOIS資料將與GAC、數據保護當局和簽約方全面進行磋商,識別WHOIS資料元素應該只能通過授權核可的使用者訪問。這項過渡性條款將僅為期一年之效期,為符合gNSO之PDP之政策制定程序,以快速EPDP之方式結合ICANN社群之多方利害關係人模式,於此次ICANN64 Kobe會議前完成EPDP第一階段結案報告,根據結案報告建立的政策應於2020年2月29日正式生效。在2019年5月25日臨時條款到期,至2020年2月29月新政策生效前之期間內,合約方可選擇繼續符合臨時條款,抑或以新發布之政策為合規性之遵守。
gTLD註冊資料政策應於2020年2月29日正式生效,自即日起所有gTLD註冊管理機構及ICANN驗證受理註冊機構都必須遵守gTLD註冊資料政策。(“The effective date of the gTLD Registration Data Policy shall be [February 29, 2020]. All gTLD Registry Operators and ICANN-accredited registrars will be required to comply with the gTLD Registration Data Policy as of that date.”)
2020年2月29日前,ICANN要求合約方必須遵守「根據結案報告建立的政策」或「繼續遵守臨時條款中的規定」。至2020年2月29日為止,持續遵守已過期之臨時條款的註冊管理機構與受理註冊機構不視為違約。(“Until such date [February 29, 2020], ICANN directs Contracted Parties that registries and registrars are required EITHER to comply with the [policy resulting from] the recommendations contained in the Final Report OR continue to implement measures consistent with the Temporary Specification (as adopted by the ICANN Board on 17 May 2018, and expired on 25 May 2019). Registries and registrars who continue to implement measures compliant with the expired Temporary Specification will not be subject to Compliance penalty specifically related to those measures until February 29, 2020.”)
依ICANN規定,在PDP工作小組完成結案報告後,ICANN ORG應成立執行專案小組(Implementation Project Team,IPT),負責將結案報告中的建議事項轉換成政策語言,因ICANN社群亟需EPDP所產出之政策情況下,目前ICANN已建立EPDP第一階段結案報告的執行專案小組。並依照以下程序和主要日期執行EPDP之建議結果。
ICANN政策正式生效前之主要程序:公布政策→開放徵求社群意見→宣布政策正式生效。而目前在會議中也確認三個日期,分別為:
- 2019年5月25日:臨時條款到期
- 2019年8月25日:公布gTLD註冊資料新政策
- 2020年2月29日:gTLD註冊資料新政策正式生效
EPDP第二階段工作是以由技術專家建立「第三方存取非公開註冊資料」的可能技術方案為目標。
目前TSG已發布初步技術模型(Draft Technical Model for Access to Non-Public Registration Data version dated 7 March 2019),預計於4月23日發布最終模型。TSG目前完成的初步模型有12條假設前提,其中最重要的幾項包括:RDAP為此模型的技術協定、ICANN作為第三方與Registry/registrar之間的唯一中介者、RDAP會回應未經驗證的要求(但接受或拒絕及處置方式將由ICANN共識政策決定)、ICANN將負責擔保「驗證/認證」可靠。
在初步模型中,TSG也列出若干仍待ICANN及社群共同面對待解決之關鍵議題:
- 資料儲存:初版模型中所述及之所有資料皆應依ICANN之所達成之共識政策進行管理與稽核。
- 服務水平協議(Service Level Agreement,SLA):Registry/Registrar應自行與配合的RDAP服務供應商訂定SLA。但身為RDAP Gateway營運方ICANN、Identity Providers及第三方驗證服務供應方也應受到SLA約束。(請參考下圖之registration data flow of data controller and processor)
- ICANN義務:ICANN ORG應檢視此初版模型的可執行性及財務上之考量。
- ICANN作為中介者:ICANN若負責「驗證/認證存取要求」,可能面臨法律上及執行上的相當風險。ICANN應確認、評估並設法減緩相關風險。但ICANN在Data Flow及註冊流程中及資料擁有之法律性角色亦應考量。
- 合約方的風險:此技術初版模型將降低或提高合約方的風險。合約方應自行尋求法律建議,以判定風險指數。
- 透明度:ICANN應發布定期報告,提供其經手之資料存取要求的詳細數據。
- 投訴機制:使用者有權透過投訴機制重提存取要求。ICANN應建有可依GDPR第17條(Right to be forgotten 被遺忘權)刪除使用者資料的機制。
