GDPR與WHOIS：域名註冊信息收集與使用合規爭議的現實與價值

GDPR生效之日，作為法律人士處理網路侵權盡職調查的查詢利器WHOIS已經悄然做出改版。如圖，現在的WHOIS域名查詢結果已經不再披露任何「所有者」的個人聯繫信息，失去了了解域名背後「WHO IS」之初衷。

有人說，GDPR、WHOIS和ICANN已經構成了一個地獄組合，儘管ICANN近期一直把遵守GDPR作為主要議題，在各次大會上對ICANN協議和政策不斷地提出各種改進的模型或臨時規範，向各國數據保護機構DPA甚至歐盟數據保護委員會進行提議，甚至不惜在德國發起一場禁令訴訟以期從司法層面認可WHOIS的「公共利益價值」，但似乎都長路漫漫。

幾個基礎知識點

1、什麼是ICANN？

2、什麼是WHOIS？

3、什麼是GDPR？

4、GDPR對域名註冊的影響

1、什麼是ICANN？

ICANN全稱「互聯網名稱與數字地址分配機構（The Internet Corporation for Assigned Names and Numbers）」是一個非營利性的國際組織，負責在全球範圍內對互聯網唯一標識符系統及其安全穩定的運營進行協調。簡言之，ICANN管理Internet域名及地址資源的分配。

2、什麼是WHOIS？

WHOIS是ICANN提供的有關域名系統不可或缺的信息服務，是用來查詢域名的IP以及所有者等信息的傳輸協議。GDPR實施前，WHOIS就是一個用來查詢域名是否已經被註冊，以及註冊域名的詳細信息的資料庫(如域名註冊商、註冊機構、註冊人姓名、地址、註冊郵箱、電話號碼、註冊日期、更新日期、過期日期等)。打個比方，WHOIS就像是一個對公眾公開的互聯網電話簿。但是受限於GDPR，這個電話薄的影響和價值將發生重大改變。

3、什麼是GDPR？

GDPR即《通用數據保護條例》(General Data Protection Regulation)，是歐盟於2018年5月25日正式實施的個人信息保護的具有歐盟成員國普遍適用性的規則。要求適用企業有關個人信息的數據收集和處理行為應符合GDPR的要求，否則將面臨最高全球營業收入4%或2000萬歐元的處罰。

4、GDPR對域名註冊的影響

GDPR 實施後，主要影響 ICANN 實施 WHOIS 政策的方式。域名WHOIS 資料的收集、展示，以及 ICANN 可能產生新的合規要求，都將導致域名註冊局 (Registry)，域名註冊商 (Registrar)和註冊人 (Registrant) 在提供 WHOIS 信息和 使用 WHOIS 信息上有了本質改變。具體的影響以及其導致的域名註冊流程改變，目前正由ICANN 與社群研議中，最新成果體現在《框架要素：繼續訪問完整WHOIS資料庫的統一模型》（詳見本文第三部分）。

ICANN實施 WHOIS 政策應對GDPR合規主要進展

?早在GDPR正式實施前，2017年10月，荷蘭的域名註冊機構的代表律師書面回應ICANN的法律警告，儘管ICANN認為該註冊機構不向ICANN提供註冊者的個人聯繫信息違反註冊協議，但該機構認為由於註冊協議有關WHOIS條款與GDPR以及根據GDPR在荷蘭當地頒布的個人信息保護的法律衝突，註冊協議中WHOIS條款無效。

?2017年12月11日，GDPR第29條數據保護小組（WP29）在信函中明確認為ICANN公開發布WHOIS數據，沒有任何合法利益。

?2018年1月12日，ICANN發布為符合GDPR的ICANN協議和政策的臨時模型建議（討論稿），2月歐洲委員會對於ICANN的臨時模型提供回應，包括一系列的技術性建議，特別是需要把這些抽象的模型變得更實際。隨後在2月28日和3月8日，有關臨時模型的兩個版本Calzone Mode和Cookbook被提出。

?2018年3月ICANN CEO向歐洲28個數據保護機構發函，請求GDPR對於WHOIS的暫停。但是4月WP29對此要求予以拒絕，說明對於Cookbook和Calzone的擔憂，包括Cookbook里的訪問原因並不合規GDPR的「合法理由 （legitimate purposes）」，和訪問非公開WHOIS數據需要具體和確切的合法理由才能訪問。WP29歡迎一種分層形式的訪問，但需要更具體的描述在什麼情況下將授予訪問權，並且會有什麼保護和訪問條件。ICANN也需要提供足夠理由才能保留數據高達他們提議的2年的時間。另外的考慮包括如何為執法部門提供訪問權。

?ICANN於2018年5月17日公布《通用頂級域名註冊數據臨時政策細則(Temporary Specification for gTLD Registration Data)》，要求註冊局和註冊商對WHOIS查詢服務的公開顯示信息進行必要調整。具體變化體現在默認先全部隱藏個人信息，即存量模板與新建模板將根據ICANN臨時規範中附錄A里的第2.3條要求進行顯示WHOIS欄位。此目的是為確保儘可能持續提供WHOIS，同時保持互聯網唯一標識符系統的安全性和穩定性。

?2018年6月，ICANN推出Framework Elements for a Unified Access Model for Continued Access to Full WHOIS Data – For Discussion (框架要素：繼續訪問完整WHOIS資料庫的統一模型 - 討論稿，簡稱「統一模型」)，該討論稿成為目前ICANN主要推動內容。但新聞報道顯示，2018年7月5日，ICANN向歐洲數據委員會發起的各種提議，尤其是上述統一模型被拒絕。

ICANN有關WHOIS政策符合GDPR要求的最新成果簡介

ICANN最新成果即上文提到的統一模型。該模型是一個大概框架，為促進一個統一模型以便按照GDPR的要求讓擁有合法用途的認證用戶可持續訪問非公開的全部WHOIS數據。該模型包括：獲得數據的資格，提供訪問的過程，界定訪問的範圍，透明度如何保證，是否收費，模型定期審查，技術細節，行為準則，以及如何執行這些角度形成一些規則。

上述統一模型是由ICANN開發，作為一種允許長期訪問WHOIS數據的潛在解決方案，但我們仍不確定這將如何與目前正在實施的包含訪問WHOIS數據的臨時規範（Temporary Specification）的加快政策制定流程（EPDP）如何協同工作 - EPDP是否包含該模型？ EPDP會暫停嗎？ 這完全取決於各國政府數據保護機構的反應，以及模型是否通過。

WHOIS僅僅不公開個人信息就足夠了嗎？

其實不然。

歐盟所在國的註冊機構根據GDPR的要求，認為缺少收集個人信息的合法事由，不再收集域名管理聯繫人和技術聯繫人的信息。

在GDPR實施的當天，ICANN對德國的註冊機構EPAG提起禁令訴訟,認為註冊商有義務根據與ICANN的合同繼續收集信息。ICANN尋求法院支持，要求EPAG繼續收集新域名註冊的管理聯繫人和技術聯繫人數據。德國Bonn地區法院拒絕ICANN的禁令訴訟。

ICANN在高等地區法院上訴BONN地區法院的決定 ，ICANN要求高等地區法院發布禁令，要求EPAG恢復收集EPAG與ICANN註冊商委任協議所要求的所有WHOIS數據。如果高等法院不與ICANN一致或者不確定GDPR的範圍，ICANN希望高等法院將問題交給歐洲法院。

ICANN的總顧問兼秘書John Jeffrey說：「我們已經向德國政府提交訴訟，來包括WHOIS數據的收集，以及明確ICANN在未來可能繼續要進行收集。ICANN的公共利益角色是為通用頂級域名系統提供去中心化的全球WHOIS服務。ICANN需要2500家註冊企業和機構繼續收集這些數據，以便於幫助ICANN管理全球信息資源。」

「公共利益」及「合法理由」

EPAG案例在司法層面上的進展我們將拭目以待，對於ICANN主張的概括性的「公共利益」是否足以使得註冊機構有合理「收集」基礎要求域名註冊人必須提供聯繫信息，或認可該等信息收集的必要性呢？我想可能還需要ICANN將收集信息的範圍縮小（比如是否需要管理聯繫人和技術聯繫人的分別信息）以及提供更詳細的需要收集這些個人信息的說明。

在收集之後的階段，雖然有合法理由的人士可以向註冊管理機構和註冊服務機構提出訪問請求，這些請求可以被拒絕如果數據主體的權利更重要。在早期階段，註冊管理機構和註冊服務機構很難在沒有法律判例和建議的情況下作出該決定。目前，對這種請求的默認回應就是否定請求，這阻礙了品牌方調查不當使用的能力。例如，在ICANN62大會上報道，Facebook自從GDPR實施已經向167個不同的註冊管理機構和註冊服務機構提交了1736項合法WHOIS請求，但是只有3個被回應了。AT＆T歐盟事務總監兼ICANN商業社群主席Claudia Selli指出，這種回應以及缺乏可用數據正在影響公司的調查。她補充說，「在網路安全風險的情況下，調查中丟失的每分鐘可能對全球用戶產生重大影響。」

另外，從網路安全的角度考慮，域名註冊信息在網路安全研究人員在檢測DNS濫用、惡意軟體，殭屍網路攻擊等方面是很重要的，網路安全調查人員依靠所有這些信息來檢測趨勢和模式，並經常與執法部門聯合制止這種惡意行為並協助調查。所以，限制WHOIS域名信息的收集與公開查詢，在多大程度上會對網路安全造成影響，或者如何在個人隱私保護與公共安全利益上尋求平衡，我想還需要一些事件來討論和形成最後的結論。

結語

GDPR與ICANN在WHOIS政策上的矛盾和對抗，讓我們看到了GDPR的強大影響力，直接影響一個行業領域的國際政策。這個漫長的過程是個人隱私保護與公共利益尋求適當的平衡點，也是不同當事人，如域名所有人、註冊代理商，註冊管理機構和ICANN組織等從不同出發點考慮的對抗過程。不管怎樣，在GDPR之下，重新審視域名註冊系統中收集和公布的個人信息是否在最小必要範圍內保護個人主體，重新制定更完善和小心翼翼的收集和使用制度，都是值得期待的！

GIF

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！