互聯(lián)網(wǎng)資源管理機(jī)構(gòu)ICANN 2018年第一次會(huì)議, 本周在波多黎各召開. 重頭戲是ICANN社群如何能在 5/25 之前, 搞定歐盟 GDPR 政策, \r\n對(duì)域名注冊(cè)人信息揭露(簡(jiǎn)稱 WHOIS)方式在商業(yè), 合規(guī)以及技術(shù)層面的影響����。
GDPR 是歐盟針對(duì)個(gè)人隱私所制定的法案, 嚴(yán)格規(guī)定全球企業(yè)只要發(fā)生收集或處理歐洲個(gè)人信息時(shí), 必須有一套高標(biāo)準(zhǔn)的保護(hù)與揭露方案, \r\n不合規(guī)者歐盟將處以高達(dá)兩千萬歐元(或企業(yè)全球年?duì)I業(yè)額4%)的罰款。
域名WHOIS查詢系統(tǒng)的下一步
預(yù)料 WHOIS 的公布方式, 將遮蓋域名申請(qǐng)人的電郵, 街道地址等字段. 對(duì)于需要看到完整WHOIS 內(nèi)容的單位, 如各國(guó)公安, 律師, \r\n互聯(lián)網(wǎng)安全服務(wù)業(yè)者, ICANN 將公布一個(gè)認(rèn)證計(jì)劃(Certification Program)�����。只有通過認(rèn)證計(jì)劃的單位能獲得完整WHOIS數(shù)據(jù)����。
互聯(lián)網(wǎng)安全黑暗期
前述的認(rèn)證計(jì)劃, 勢(shì)必?zé)o法于 5/25 成形, 許多非歐盟利益團(tuán)體, 包含美國(guó)政府, 互聯(lián)網(wǎng)安全業(yè)者, 網(wǎng)絡(luò)品牌保護(hù)業(yè)者 (如 Brandma \r\n中域國(guó)際), 認(rèn)為這將導(dǎo)致權(quán)益所有者, 喪失了有效追蹤與聯(lián)系相關(guān)侵權(quán)人或犯罪嫌疑人, 導(dǎo)致維權(quán)工作更加困難。
營(yíng)運(yùn)與合規(guī)風(fēng)險(xiǎn)
ICANN并沒有說清楚其簽約方(注冊(cè)局Registry 和 注冊(cè)商Registrar)要怎么與認(rèn)證計(jì)劃中的Clearinghouse 對(duì)接, \r\n更沒有任何技術(shù)方面的討論或文檔. ICANN建議注冊(cè)商使用匿名郵件或在線窗體, 作為處理一般公眾對(duì)WHOIS信息請(qǐng)求的方式, \r\n這將大幅提高的注冊(cè)商的營(yíng)運(yùn)與合規(guī)風(fēng)險(xiǎn), 譬如: 1) 零售型注冊(cè)商如何處理一天可能上百萬次的請(qǐng)求? 2) 注冊(cè)商如何衡量請(qǐng)求者的理由是否正當(dāng) \r\n(legitimate purpose), 并合乎 ICANN合規(guī)組的要求?
搞定了歐盟, 接下來呢?
中國(guó), 印度, 日本, 俄羅斯, 還有歐盟會(huì)員國(guó)各自的內(nèi)規(guī), 基本上是連環(huán)引爆的狀態(tài)���。
擴(kuò)展閱讀:滿足歐盟GDPR及域名WHOIS合規(guī)的三種模式����。
gTLD vs. ccTLD
歐洲的ccTLD 都受到 GDPR 規(guī)范, 但不受 ICANN 限制. 德國(guó)的DENIC (.de) 已率先把公眾WHOIS關(guān)了, \r\n而且大部份的歐洲ccTLD早已不揭露注冊(cè)人電郵. 歐洲的gTLD受 ICANN以及GDPR 雙重規(guī)范, 新規(guī)可能導(dǎo)致 gTLD 原來統(tǒng)一的 WHOIS \r\n格式因地而異��。 對(duì)于歐洲的域名注冊(cè)商, 可能反而因?yàn)樾乱?guī), 變成全球網(wǎng)絡(luò)犯罪者的避風(fēng)港���。
為域名WHOIS系統(tǒng)加油
在互聯(lián)網(wǎng)域名世界里, WHOIS域名查詢系統(tǒng)好比是一個(gè)二十歲的多病老人, ICANN想醫(yī)治, 想升級(jí), 卻一直沒下定決心����。 GDPR 沒讓W(xué)HOIS哥一了白了, \r\n反而變成了加重病情的橋段. 連ICANN CEO馬躍然在周一的GDPR專題會(huì)上都開了個(gè)玩笑, 說GDPR是一只不針對(duì)ICANN / WHOIS, \r\n但還是發(fā)病的病毒�����。
相關(guān)閱讀:
域名whois信息錯(cuò)誤投訴流程
