GDPR生效之日，作為法律人士處理網(wǎng)絡(luò)侵權(quán)盡職調(diào)查的利器域名查詢WHOIS已經(jīng)悄然做出改版。如圖，現(xiàn)在的WHOIS域名查詢結(jié)果已經(jīng)不再披露任何“所有者”的個人聯(lián)系信息，失去了了解域名背后“WHOIS”之初衷。

有人說，GDPR、WHOIS和ICANN已經(jīng)構(gòu)成了一個地獄組合，盡管ICANN近期一直把遵守GDPR作為主要議題，在各次大會上對ICANN協(xié)議和政策不斷地提出各種改進(jìn)的模型或臨時規(guī)范，向各國數(shù)據(jù)保護(hù)機(jī)構(gòu)DPA甚至歐盟數(shù)據(jù)保護(hù)委員會進(jìn)行提議，甚至不惜在德國發(fā)起一場禁令訴訟以期從司法層面認(rèn)可WHOIS的“公共利益價值”，但似乎都長路漫漫。

幾個基礎(chǔ)知識點(diǎn)

1、什么是ICANN？

ICANN全稱“互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（The Internet Corporation for Assigned Names and \r\nNumbers）”是一個非營利性的國際組織，負(fù)責(zé)在全球范圍內(nèi)對互聯(lián)網(wǎng)唯一標(biāo)識符系統(tǒng)及其安全穩(wěn)定的運(yùn)營進(jìn)行協(xié)調(diào)。簡言之，ICANN管理Internet域名及地址資源的分配。

2、什么是WHOIS？

WHOIS是ICANN提供的有關(guān)域名系統(tǒng)不可或缺的信息服務(wù)，是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。GDPR實(shí)施前，WHOIS就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細(xì)信息的數(shù)據(jù)庫(如域名注冊商、注冊機(jī)構(gòu)、注冊人姓名、地址、注冊郵箱、電話號碼、注冊日期、更新日期、過期日期等)。打個比方，WHOIS就像是一個對公眾公開的互聯(lián)網(wǎng)電話簿。但是受限于GDPR，這個電話薄的影響和價值將發(fā)生重大改變。

3、什么是GDPR？

GDPR即《通用數(shù)據(jù)保護(hù)條例》(General Data Protection \r\nRegulation)，是歐盟于2018年5月25日正式實(shí)施的個人信息保護(hù)的具有歐盟成員國普遍適用性的規(guī)則。要求適用企業(yè)有關(guān)個人信息的數(shù)據(jù)收集和處理行為應(yīng)符合GDPR的要求，否則將面臨最高全球營業(yè)收入4%或2000萬歐元的處罰。

4、GDPR對域名注冊的影響

GDPR 實(shí)施后，主要影響 ICANN 實(shí)施 WHOIS 政策的方式。域名WHOIS 資料的收集、展示，以及 ICANN \r\n可能產(chǎn)生新的合規(guī)要求，都將導(dǎo)致域名注冊局 (Registry)，域名注冊商 (Registrar)和注冊人 (Registrant) 在提供 WHOIS 信息和 \r\n使用 WHOIS 信息上有了本質(zhì)改變。具體的影響以及其導(dǎo)致的域名注冊流程改變，目前正由ICANN \r\n與社群研議中，最新成果體現(xiàn)在《框架要素：繼續(xù)訪問完整WHOIS數(shù)據(jù)庫的統(tǒng)一模型》（詳見本文第三部分）。

ICANN實(shí)施 WHOIS 政策應(yīng)對GDPR合規(guī)主要進(jìn)展

早在GDPR正式實(shí)施前，2017年10月，荷蘭的域名注冊機(jī)構(gòu)的代表律師書面回應(yīng)ICANN的法律警告，盡管ICANN認(rèn)為該注冊機(jī)構(gòu)不向ICANN提供注冊者的個人聯(lián)系信息違反注冊協(xié)議，但該機(jī)構(gòu)認(rèn)為由于注冊協(xié)議有關(guān)WHOIS條款與GDPR以及根據(jù)GDPR在荷蘭當(dāng)?shù)仡C布的個人信息保護(hù)的法律沖突，注冊協(xié)議中WHOIS條款無效。

2017年12月11日，GDPR第29條數(shù)據(jù)保護(hù)小組（WP29）在信函中明確認(rèn)為ICANN公開發(fā)布WHOIS數(shù)據(jù)，沒有任何合法利益。

2018年1月12日，ICANN發(fā)布為符合GDPR的ICANN協(xié)議和政策的臨時模型建議（討論稿），2月歐洲委員會對于ICANN的臨時模型提供回應(yīng)，包括一系列的技術(shù)性建議，特別是需要把這些抽象的模型變得更實(shí)際。隨后在2月28日和3月8日，有關(guān)臨時模型的兩個版本Calzone \r\nMode和Cookbook被提出。

2018年3月ICANN \r\nCEO向歐洲28個數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)函，請求GDPR對于WHOIS的暫停。但是4月WP29對此要求予以拒絕，說明對于Cookbook和Calzone的擔(dān)憂，包括Cookbook里的訪問原因并不合規(guī)GDPR的“合法理由 \r\n（legitimate \r\npurposes）”，和訪問非公開WHOIS數(shù)據(jù)需要具體和確切的合法理由才能訪問。WP29歡迎一種分層形式的訪問，但需要更具體的描述在什么情況下將授予訪問權(quán)，并且會有什么保護(hù)和訪問條件。ICANN也需要提供足夠理由才能保留數(shù)據(jù)高達(dá)他們提議的2年的時間。另外的考慮包括如何為執(zhí)法部門提供訪問權(quán)。

ICANN于2018年5月17日公布《通用頂級域名注冊數(shù)據(jù)臨時政策細(xì)則(Temporary Specification for gTLD \r\nRegistration \r\nData)》，要求注冊局和注冊商對WHOIS查詢服務(wù)的公開顯示信息進(jìn)行必要調(diào)整。具體變化體現(xiàn)在默認(rèn)先全部隱藏個人信息，即存量模板與新建模板將根據(jù)ICANN臨時規(guī)范中附錄A里的第2.3條要求進(jìn)行顯示W(wǎng)HOIS字段。此目的是為確保盡可能持續(xù)提供WHOIS，同時保持互聯(lián)網(wǎng)唯一標(biāo)識符系統(tǒng)的安全性和穩(wěn)定性。

2018年6月，ICANN推出Framework Elements for a Unified Access Model for Continued \r\nAccess to Full WHOIS Data – For Discussion (框架要素：繼續(xù)訪問完整WHOIS數(shù)據(jù)庫的統(tǒng)一模型 - \r\n討論稿，簡稱“統(tǒng)一模型”)，該討論稿成為目前ICANN主要推動內(nèi)容。但新聞報道顯示，2018年7月5日，ICANN向歐洲數(shù)據(jù)委員會發(fā)起的各種提議，尤其是上述統(tǒng)一模型被拒絕。

ICANN有關(guān)WHOIS政策符合GDPR要求的最新成果簡介

ICANN最新成果即上文提到的統(tǒng)一模型。該模型是一個大概框架，為促進(jìn)一個統(tǒng)一模型以便按照GDPR的要求讓擁有合法用途的認(rèn)證用戶可持續(xù)訪問非公開的全部WHOIS數(shù)據(jù)。該模型包括：獲得數(shù)據(jù)的資格，提供訪問的過程，界定訪問的范圍，透明度如何保證，是否收費(fèi)，模型定期審查，技術(shù)細(xì)節(jié)，行為準(zhǔn)則，以及如何執(zhí)行這些角度形成一些規(guī)則。

上述統(tǒng)一模型是由ICANN開發(fā)，作為一種允許長期訪問WHOIS數(shù)據(jù)的潛在解決方案，但我們?nèi)圆淮_定這將如何與目前正在實(shí)施的包含訪問WHOIS數(shù)據(jù)的臨時規(guī)范（Temporary \r\nSpecification）的加快政策制定流程（EPDP）如何協(xié)同工作 - EPDP是否包含該模型？ EPDP會暫停嗎？ \r\n這完全取決于各國政府?dāng)?shù)據(jù)保護(hù)機(jī)構(gòu)的反應(yīng)，以及模型是否通過。

WHOIS僅僅不公開個人信息就足夠了嗎？

其實(shí)不然。

歐盟所在國的注冊機(jī)構(gòu)根據(jù)GDPR的要求，認(rèn)為缺少收集個人信息的合法事由，不再收集域名管理聯(lián)系人和技術(shù)聯(lián)系人的信息。

在GDPR實(shí)施的當(dāng)天，ICANN對德國的注冊機(jī)構(gòu)EPAG提起禁令訴訟,認(rèn)為注冊商有義務(wù)根據(jù)與ICANN的合同繼續(xù)收集信息。ICANN尋求法院支持，要求EPAG繼續(xù)收集新域名注冊的管理聯(lián)系人和技術(shù)聯(lián)系人數(shù)據(jù)。德國Bonn地區(qū)法院拒絕ICANN的禁令訴訟。

ICANN在高等地區(qū)法院上訴BONN地區(qū)法院的決定 \r\n，ICANN要求高等地區(qū)法院發(fā)布禁令，要求EPAG恢復(fù)收集EPAG與ICANN注冊商委任協(xié)議所要求的所有WHOIS數(shù)據(jù)。如果高等法院不與ICANN一致或者不確定GDPR的范圍，ICANN希望高等法院將問題交給歐洲法院。

ICANN的總顧問兼秘書John \r\nJeffrey說：“我們已經(jīng)向德國政府提交訴訟，來包括WHOIS數(shù)據(jù)的收集，以及明確ICANN在未來可能繼續(xù)要進(jìn)行收集。ICANN的公共利益角色是為通用頂級域名系統(tǒng)提供去中心化的全球WHOIS服務(wù)。ICANN需要2500家注冊企業(yè)和機(jī)構(gòu)繼續(xù)收集這些數(shù)據(jù)，以便于幫助ICANN管理全球信息資源?！?/p>

“公共利益”及“合法理由”

EPAG案例在司法層面上的進(jìn)展我們將拭目以待，對于ICANN主張的概括性的“公共利益”是否足以使得注冊機(jī)構(gòu)有合理“收集”基礎(chǔ)要求域名注冊人必須提供聯(lián)系信息，或認(rèn)可該等信息收集的必要性呢？我想可能還需要ICANN將收集信息的范圍縮?。ū热缡欠裥枰芾砺?lián)系人和技術(shù)聯(lián)系人的分別信息）以及提供更詳細(xì)的需要收集這些個人信息的說明。

在收集之后的階段，雖然有合法理由的人士可以向注冊管理機(jī)構(gòu)和注冊服務(wù)機(jī)構(gòu)提出訪問請求，這些請求可以被拒絕如果數(shù)據(jù)主體的權(quán)利更重要。在早期階段，注冊管理機(jī)構(gòu)和注冊服務(wù)機(jī)構(gòu)很難在沒有法律判例和建議的情況下作出該決定。目前，對這種請求的默認(rèn)回應(yīng)就是否定請求，這阻礙了品牌方調(diào)查不當(dāng)使用的能力。例如，在ICANN62大會上報道，F(xiàn)acebook自從GDPR實(shí)施已經(jīng)向167個不同的注冊管理機(jī)構(gòu)和注冊服務(wù)機(jī)構(gòu)提交了1736項(xiàng)合法WHOIS請求，但是只有3個被回應(yīng)了。AT＆T歐盟事務(wù)總監(jiān)兼ICANN商業(yè)社群主席Claudia \r\nSelli指出，這種回應(yīng)以及缺乏可用數(shù)據(jù)正在影響公司的調(diào)查。她補(bǔ)充說，“在網(wǎng)絡(luò)安全風(fēng)險的情況下，調(diào)查中丟失的每分鐘可能對全球用戶產(chǎn)生重大影響。”

另外，從網(wǎng)絡(luò)安全的角度考慮，域名注冊信息在網(wǎng)絡(luò)安全研究人員在檢測DNS濫用、惡意軟件，僵尸網(wǎng)絡(luò)攻擊等方面是很重要的，網(wǎng)絡(luò)安全調(diào)查人員依靠所有這些信息來檢測趨勢和模式，并經(jīng)常與執(zhí)法部門聯(lián)合制止這種惡意行為并協(xié)助調(diào)查。所以，限制WHOIS域名信息的收集與公開查詢，在多大程度上會對網(wǎng)絡(luò)安全造成影響，或者如何在個人隱私保護(hù)與公共安全利益上尋求平衡，我想還需要一些事件來討論和形成最后的結(jié)論。

結(jié)語

GDPR與ICANN在WHOIS政策上的矛盾和對抗，讓我們看到了GDPR的強(qiáng)大影響力，直接影響一個行業(yè)領(lǐng)域的國際政策。這個漫長的過程是個人隱私保護(hù)與公共利益尋求適當(dāng)?shù)钠胶恻c(diǎn)，也是不同當(dāng)事人，如域名所有人、注冊代理商，注冊管理機(jī)構(gòu)和ICANN組織等從不同出發(fā)點(diǎn)考慮的對抗過程。不管怎樣，在GDPR之下，重新審視域名注冊系統(tǒng)中收集和公布的個人信息是否在最小必要范圍內(nèi)保護(hù)個人主體，重新制定更完善和小心翼翼的收集和使用制度，都是值得期待的！

相關(guān)閱讀：

域名行業(yè)要為GDPR做哪些準(zhǔn)備

GDPR后WHOIS找不到域名持有人怎么辦？