ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

构建更加安全的域名系统 (DNS) 生态系统

2020 年 12 月 23 日
作者: Göran Marby

一年将尽,我要借此机会给大家介绍一下 ICANN 在欧盟 (European Union, EU) 颁布的《通用数据保护条例 (General Data Protection Regulation, GDPR)》方面所做的努力,以及 2021 年我们有什么期待。

快速政策制定流程 (EPDP) 第 2 阶段工作建议

本人已在 10 月撰文中提到,快速政策制定流程 (Expedited Policy Development Process, EPDP) 第 2 阶段工作团队已向通用名称支持组织 (Generic Names Supporting Organization, GNSO) 理事会提交了其《最终报告》,理事会也接受了这份报告并将其呈交给了 ICANN 董事会供其考量。当 GNSO 针对一项政策做出决定时,ICANN 董事会将指示我们执行这项政策,这也是 ICANN 组织的职责所在。

EPDP 第 2 阶段工作《最终报告》提出了 22 条建议,其中 18 条建议涉及用于通用顶级域 (gTLD) 非公开注册数据的标准化访问/披露系统 (System for Standardized Access/Disclosure, SSAD)。董事会在回复中指出有意在 2021 年初启用一个运营设计阶段 (ODP),用于评估这 18 条 SSAD 建议所带来的运营影响。正如在董事会考量政策建议之前 ICANN 组织此前呈交给董事会的可行性评估一样,本轮 ODP 旨在通过密切审视实施过程中的潜在风险、成本费用、资源要求和时间进度,为董事会提供更多信息。我已请求支持组织和咨询委员会针对拟定 ODP 一题在 2021 年 1 月 22 日前提交评论。

余下四条建议则涉及 EPDP 在第 1 工作阶段中的未决事项,例如:注册数据的留存期限、隐私和代理信息的显示。针对“第 2 批重点事务”的四条建议现已公开发布以征询公众意见,我鼓励大家在 2021 年 1 月 22 日公共评议期关闭之前,提交您的想法和反馈。

在 ICANN 董事会考量 EPDP 第 2 阶段工作《最终报告》之时,EPDP 将进入 2A 阶段的工作,旨在解决两大未决事务。第一项未决事务是注册人数据政策是否应当区分法人和自然人的数据,在这方面团队需要考量 ICANN 组织进行的一项研究法律指导意见和在公共评议期启动期间获得的反馈意见。第二项未决事务涉及唯一联系人的可行性,即针对所有注册提供一个统一的匿名电子邮件地址。本团队将审核针对每个主题收到的法律指导意见,深入评估这些问题,以确定针对这些主题是否需要进一步编制政策指导或要求。

多亏了 ICANN 社群的努力,这项工作才得以完成。我要借此机会感谢所有参与了这一极其重要的流程的每位人员,感谢大家不断坚持找寻解决方案,使得注册数据目录服务能够符合 GDPR 的规定。

欧洲的合作和发展

与此同时,ICANN 组织还与欧盟委员会 (European Commission, EC)、欧洲数据保护机构、欧洲数据保护理事会 (European Data Protection Board, EDPB) 持续开展合作。2020 年 12 月 15 日和 16 日,与域名系统 (Domain Name System, DNS) 相关的一系列重要欧盟倡议(包括涉及域名注册数据和 DNS 服务提供商的倡议)得以出台。我们鼓励您从政府合作团队撰写的这篇博文中深入了解这些倡议的内容。

这些倡议中特别值得注意的是《网络和信息系统安全指令 (Directive on Security of Network and Information Systems)》修订版提案(即 NIS2 指令)。本提案要求欧盟成员国确保域名注册管理机构和注册服务机构“搜集和维护准确和完整的域名注册数据”,并“为合法合理的正当访问请求者提供具体域名注册数据的访问权限”,这两条都遵守了欧盟数据保护法的规定。欧盟委员会在致 ICANN 组织的一封近期信函中强调了 NIS2 指令的相关性,指出这份提案“为使用一套界面、端口或其他技术工具敞开了大门,为注册数据的请求和访问提供了一套有效系统。”

在 GDPR 如何适用于注册数据的准确性一题上,NIS2 指令为社群的讨论提供了素材。欧盟委员会还多次重申其对现有 GDPR 的义务所持的看法,即要求数据控制者采取合理措施,确保他们处理的个人资料的准确性;且他们认为该义务在执行过程中,若所用措施不当,就已经给注册数据的 GDPR 合规带来了一层风险。鉴于此,欧盟委员会提议的 NIS2 指令是否对注册数据的准确性进行了明确澄清,仍旧是个耐人寻味的议题。

尽管 NIS2 指令目前还只是一套立法提案,但当该提案获得通过并得到最终采纳时,则各欧盟成员国将在 18 个月的时间内将该提案纳入到其国家法律之中。然而,当前适用的欧盟数据保护法给 SSAD 的及时实施带来了一系列挑战。这包括:根据欧盟法院 (Court of Justice of the European Union, CJEU) 对 Schrems II 案件的判决,从欧盟和欧洲经济区 (European Economic Area, EEA) 向第三方国家传输数据的合法性尚不清晰;特别是针对如 SSAD 这样的技术复杂的多利益相关方模型中的数据控制者和数据处理者的概念解释尚不清晰。

ICANN 组织已经向欧盟权威机构表达了我们的担忧,包括 EDPB 和 EC。本组织近期还针对以下事项提交了评论:EDPB 为了确保符合欧盟的个人资料保护程度而提出的拟定转移工具补充措施;EC 确立的向非欧盟国家转移个人资料的最新版标准合同条款;以及 EDPB 关于数据控制者和数据处理者概念的指导方针开展的公共协商

相关欧盟权威机构还需提供进一步澄清和指导,从而使得 ICANN 组织有能力开发并推行一套可行的访问模型。他们持续给予的建议是极其关键的,可决定最终报告中的解决方案是否能够遵守 GDPR 的规定而进行实施。EC 在最近的一封信函中向 ICANN 确保将继续致力于促进欧盟数据保护机构之间的交流,并将与这些机构进行探讨,正式与 EDPB 展开协商以获得明确意见。ICANN 作为一家技术性组织能够获得这类指导意见是至关重要的,这使得我们能够开发并实施一套可行的系统,为请求访问非公开 gTLD 注册数据的、具有合法利益的请求者提供一种可靠、可测和可用的方式。当前仍旧面临的挑战包括:通过实现域名注册数据的访问和保护域名持有人的隐私来实现全球公共利益的平衡。这是一个公共政策问题。当一项保护公民资料的法律无意间妨碍了保护公民不受网络诈骗或网络袭击的努力时,立法者就应当对此加以解决。

如需获取更多信息、了解最新动态、阅读相关文件,请访问我们的专属网页:数据保护/隐私性问题页面。我要衷心祝愿全球的朋友们幸福安康、佳节愉快!我期待着与大家在来年一起合作共事。

Authors

Göran Marby

Göran Marby

前任 President & CEO