文|中国信息通信研究院 胡正坤 高琦 林梓翰

互联网名称与数字地址分配机构(ICANN)作为全球互联网IP地址和域名资源的分配和管理机构,是国际多利益攸关方共同参与互联网域名系统根区管理、互联网协议(IP)地址空间分配、协议标识符指派及与域名和IP地址管理相关政策制定的核心平台。我国作为互联网大国,域名行业从业主体众多,ICANN域名政策变化对国内从业机构在提供域名注册服务和开展国际业务合作等方面具有重要影响,应当密切关注。

一、背景介绍

欧盟的《通用数据保护条例》(GDPR)于2018年5月正式实施。GDPR自出台以来在世界范围掀起了个人数据保护的浪潮,并成为全球个人信息保护的事实标杆。GDPR明确提出,欧盟公民拥有对自身数据的知情权、访问权、更正权、被遗忘权、限制处理权、反对权等数据权利;同时,沿袭欧盟1995年颁布的《个人数据保护指令》中关于“处理者”和“控制者”的区分,强调在处理个人数据时,例如涉及欧盟公民或数据处理相关方在欧盟境内设有实体,均须遵守GDPR有关个人数据保护的要求。

(一)GDPR要求保护域名注册相关的个人信息,与ICANN域名政策产生冲突

GDPR关于保护欧盟公民个人数据权利的要求与ICANN过去长期实施的全球域名政策存在冲突,涉及的主要环节包括域名注册、域名转移、后台托管、数据托管、数据报送、注册数据查询服务等。根据GDPR要求,各相关主体在开展上述环节活动时,如涉及对欧盟地区域名注册人(自然人,含管理/技术联系人)隐私数据的收集、存储、转移、公布等,应明确获得其同意。GDPR虽为欧盟区域性法规,但是,其中有关“域外治权”的条款不仅对欧盟区域内域名行业从业机构具备效力,也对欧盟区域外的从业机构具有广泛影响,因此,迫使ICANN对其国际域名政策进行调整。

(二)ICANN作出临时政策调整应对GDPR生效并加速推进合规政策制定

ICANN于2017年下半年成立专门工作组,开展GDPR合规相关问题研究工作,并于2018年2月提出注册数据分层访问的创新机制。该创新机制的核心是通过建立数据访问“认证机制”,分类、分层进行访问授权(目前这一授权机制仍在制定当中),而在通过认证之前,用户可通过使用在线信息申请表、匿名邮件地址等方式与域名注册人或联络人取得联系,获取非公开的注册信息。然而,经过多番尝试,ICANN社群未能在GDPR生效前就合规政策和非公开注册数据(即受GDPR保护的个人相关注册数据)访问机制达成共识。

因此,ICANN于2018年5月在GDPR正式生效前,宣布实施《通用顶级域(gTLD)注册数据暂定细则》。《暂定细则》纳入注册数据分层访问机制,并遵循GDPR在保障域名注册人的知情权以及维持数据处理记录等方面严格要求。同时, ICANN根据《暂定细则》对《域名注册管理机构协议(RA)》与《域名注册服务机构认证协议(RAA)》中的相关条款进行了修订和更新,主要变动包括:一是减少公开注册数据对域名注册人个人信息的展示;二是域名注册管理机构和域名注册服务机构仍需完整收集相关的域名注册信息;三是对非公开的注册数据采取分层访问机制,只有各国执法部门、知识产权机构等合法权益主体才可向域名从业机构申请访问完整数据,且需通过必要的认证机制获取访问权限等。

为加速推动合规政策的形成,ICANN于2018年7月启动“gTLD注册数据暂定细则加速政策制定流程”(Expedited Policy Development Process on the Temporary Specification for gTLD Registration Data, EPDP)工作组,要求工作组分两个阶段开展工作,首先考虑在GDPR以及其他隐私和数据保护法律法规合规的情况下,暂定细则是否可以直接升级为ICANN的正式政策并提出建议,而后,制定非公开注册数据标准化访问机制。

(三)ICANN启动WHOIS替代协议部署和访问非公开注册数据的技术研究

WHOIS协议源于阿帕网(ARPANET)时期研制的目录服务协议,其存在的安全性等问题在GDPR之前便引起了ICANN社群广泛关注和讨论,并最终推动在互联网工程任务组(IETF)框架内形成注册数据访问协议(RDAP)。与WHOIS协议相比,RDAP在注册数据查询的准确性、规范性、安全性、一致性等方面具有显著优势,同时提供分层访问机制,与GDPR合规需求相契合。基于RDAP协议,ICANN机构于2018年8月发布用于指导各域名从业机构实施RDAP服务的配置文件,并接受公众评议。

为与欧盟数据保护机构就数据处理合规问题开展沟通提供参考,ICANN总裁于2018年10月任命全球第二大域名注册机构Afilias的首席技术官Ram Mohan牵头成立技术支持工作组(TSG),负责研究ICANN协调第三方访问非公开注册数据的技术实施路径,同时,也为EPDP制定非公开注册数据标准化访问机制提供参考。

二、相关进展

ICANN宣布实施《暂定细则》之后,域名从业机构纷纷调整做法确保合规。然而,《暂定细则》终究为应急之举,国际多利益攸关方仍需通过细致研讨、多方咨询、统筹各方诉求形成共识性解决方案。作为ICANN推进合规政策制定进程的主要抓手,加速政策制定流程(EPDP)工作组受到国际各利益攸关方尤其是从业机构和政府的广泛参与,相关进展也是各方密切关注的重点。

(一)ICANN最终合规政策框架基本成形

EPDP工作组于2019年2月正式发布第一阶段最终工作报告,并于2019年3月,经通用名称支持组织(GNSO)理事会审议通过提交ICANN董事会审议;至此,EPDP第一阶段工作正式结束。EPDP第一阶段工作报告针对合规政策提出了共计29条建议,涉及政策、流程、合约三个方面,基本形成了合规政策的整体框架。ICANN董事会于2019年5月审议并接受了报告中除第1条建议中第二项数据处理意图和第12条建议之外的其他27条建议。第二项数据处理意图建议为第三方合理请求提供非公开数据访问,存在将提供数据访问这一数据处理行为混淆为数据处理意图的问题;而第12条建议提出将“机构信息”一栏在域名注册信息查询显示界面中删除。ICANN董事会在决议中指示工作组就第二项数据处理意图咨询欧盟数据保护机构并进行修订。对于第12条建议,ICANN董事会要求工作组在第二阶段工作中考虑如何确保信息删除符合公共利益和ICANN使命。同时,ICANN董事会在决议中要求ICANN总裁和机构与EPDP第二阶段工作组讨论地理区分的可行性和对公共利益的影响,并要求对自然人和法人进行区分会带来的成本和风险开展研究。

此外,依第一阶段工作报告建议,ICANN于2019年5月正式成立第一阶段工作建议实施工作组,并发布《gTLD注册数据管理临时政策》(Interim Registration Data Policy for gTLDs)。《临时政策》要求,在《gTLD注册数据管理政策》发布之前,合约方(即域名注册管理机构和域名注册服务机构)应继续执行《暂定细则》;而在《gTLD注册数据管理政策》发布之后,合约方可以选择继续执行《暂定细则》或者转向执行已发布但未正式生效的《gTLD注册数据管理政策》,直至后者正式生效。

(二)非公开数据标准化访问系统研制工作正式启动

EPDP第二阶段工作在第一阶段工作结束之后便立即启动, 主要涉及三项重点任务:一是非公开注册数据的标准化访问系统;二是ICANN社群关心的重要问题(如自然人法人区分问题);三是EPDP第一阶段遗留的若干问题(如第二项数据处理意图问题)。EPDP第二阶段工作组将主要工作分为两大类:非公开注册数据标准化访问系统相关问题和其他问题(包括自然人法人区分、地理区分问题)。EPDP第二阶段工作组由工作组主席拉脱维亚驻联合国大使Janis Karklins和30名正式成员以及19名候补成员组成。目前,工作组正在就标准化访问系统相关的认证、授权、意图、群组区分等问题进行讨论,地理区分等其他问题的法律咨询工作由工作组下属法律小组同步推进。工作组预计将于2020年1月底发布工作报告初稿,并征求公众意见。整个第二阶段工作预计将于2020年4月结束。

(三)TSG完成非公开数据访问模型设计,RDAP正式上线

非公开域名注册信息准入技术研究小组(TSG)于2019年4月30日结合社群反馈意见完成对技术模型草案的修改,并提交ICANN总裁。此模型以ICANN为中心,定义了4种不同非公开数据访问处理流程。ICANN也正依托此模型与欧盟数据保护机构沟通类似流程是否可最小化合约方在处理欧盟个人数据过程中需负担的法律责任。同时,这一模型也为EPDP第二阶段工作组研究制定非公开注册数据标准化访问系统提供有益参考。

ICANN于2019年2月27日向合约方发出通知,明确要求各通用顶级域名注册管理机构和注册服务机构于2019年8月26起执行RDAP协议,RDAP正式落地实施。RDAP协议依托于IETF技术标准RFC7480-7484,采用标准化的形式显示申请、回复和错误信息,可为用户提供较之于WHOIS协议更为安全、便捷和个性化的注册数据访问体验。

三、 影响分析

自GDPR生效以来,我国域名从业机构高度重视合规问题,学习领会GDPR政策要求、认真落实《临时政策》,部分机构甚至从制度调整、系统建设等多方面提升机构合规水平,主动规避因境外政策合规问题为自身业务发展带来不利影响。

(一)合规政策框架成型对域名行业机构具有指向作用

经调研了解,我国域名从业机构在政策落实和业务开展方面也面临一些问题。主要体现在:一是绝大多数机构采取“一刀切”的做法,将注册数据保护范围延伸至法人类注册人及非欧盟地区自然人类注册人,远超GDPR的适用范围,导致公众及有需求的利益攸关方对相关的注册信息查询受限;二是部分顶级域的注册数据直接调用于相应域名注册管理机构的注册信息接口,因此,域名注册管理机构与域名注册服务机构的GDPR合规责任难以界定。ICANN合规政策虽然仍未出台,但是,EPDP第一阶段工作报告中涉及最终合规政策以及ICANN与合约方协议的建议,可为我国域名从业机构在合约方各自的合规责任和义务、政策方向,以及注册数据搜集和公开具体内容等方面提供一个相对清晰的轮廓。

(二)EPDP第二阶段工作对行业机构改进“一刀切”的做法和明晰合规责任具有积极作用

EPDP第二阶段的工作重心是非公开数据的标准化访问机制,ICANN层面的总体思路是通过标准化、自动化数据访问流程最大程度降低ICANN、域名从业机构在处理非公开注册数据访问过程中的法律责任;ICANN机构也在积极利用TSG提供的技术模型与欧盟数据保护机构进行沟通,以求进一步明晰个人注册数据的处理流程中相关主体在GDPR框架下应尽的法律义务,相关进展将有助于解决合规责任难以界定的问题。此外,EPDP第二阶段有关自然人和法人以及地理区分问题的解决方案,将有利于我国域名从业机构调整“一刀切”的做法,相关进展值得关注。

(本文刊登于《中国信息安全》杂志2020年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。