zh

欧盟委员会针对域名系统 (DNS) 和 DNS 服务提供商推出重要倡议

2020 年 12 月 16 日

Elena PlexidaElena Plexida, VP, Government and IGO Engagement

本州,欧盟委员会发布了针对域名系统 (Domain Name System, DNS)(包括域名注册数据和 DNS 服务提供商)的多个重要倡议。ICANN 组织希望向社群通告这一重大事件。

数字服务一揽子法案

2020 年 12 月 15 日星期二,"数字服务一揽子法案"得以发布,由数字服务法案 (Digital Services Act, DSA) 和数字市场法案 (Digital Markets Act, DMA) 构成。

DSA 涉及在线中介服务的规定。不同网络参与人在网络生态系统中的职责、规模和影响将与其义务相匹配。中介服务提供网络基础设施,例如:互联网接入提供商、DNS 服务提供商和托管服务(例如云技术、网络托管服务和在线平台),这些服务不论规模大小都属于 DSA 的管辖范围。网络平台将需要加大力度,限制违法内容和产品的传播。

DSA 还澄清了 DNS 服务提供商也在其范畴之内。此举消除了现有立法框架(包括《指令 2015/153516》和《电子商务指令 (eCommerce Directive)》)中含糊不清的部分。该立法框架中针对以下事务的表述十分含糊,例如:DNS 运营商是否可被视为"信息社会服务";现有的"电子商务指令"针对这类服务的责任豁免制度可达到怎样的程度。

DSA 则将适用于在欧洲单一市场中提供服务的任何中介机构,不论它们是否在欧盟境内设立。DMA 将要求符合所谓网关标准的大型在线平台强制履行新的义务。这类平台不仅具有重要的影响,还享有长期稳固的地位。不遵守 DMA 的规定的企业可能面临可高达公司全球盈利 10% 的大额罚款;在最坏的情形下,多次违反新规定的企业则可能被迫解散。

欧洲议会和欧盟成员国将讨论欧盟委员会提出的拟定法案。一旦通过,这些法案将直接适用于整个欧盟地区。

新版欧盟网络安全全套计划

2020 年 12 月 16 日,欧盟委员会宣布针对网络安全领域推出一系列倡议。首先,委员会宣布发布"数字十年间对欧盟网络安全战略的沟通",概括了在网络安全和技术主权领域内的主要欧盟政策目标。其次,欧盟委员会提出了一项提议,即"网络和信息系统安全指令修订版"(NIS 2)。第三,委员会拟定了"关键实体的适应力指令"。

新版欧盟网络安全战略 (EU Cybersecurity Strategy)旨在促进欧洲应对网络威胁的整体适应力,其中一节的标题就是"加大全球互联网的安全"。本战略第 1.6 节针对 DNS 提出了一系列相关措施。"在欧盟的资金支持下,欧盟委员会意欲编制一套应变计划,来应对影响全球 DNS 根系统的完整性和可用性的极端情景。[...]为了减少与市场集中度相关的安全问题,委员会将鼓励欧盟境内的企业、互联网服务提供商 (ISP) 和浏览器供应商推行一套 DNS 解析多样化战略。 [...] 委员会还意欲通过支持开发一套欧洲公共 DNS 解析器服务,来促进安全的互联网连接。这项名为'服务于欧盟的域名系统 (DNS4EU)'的倡议将为本地居民访问全球互联网提供一套面向欧洲地区的替代性服务。 [...] 委员会还将与成员国和这个行业开展合作,加速推广主要互联网标准,包括针对 DNS 路由和电子邮件安全一题来推广部署 IPv6、编制完善的互联网安全标准、采纳优秀实践。[...]最后,委员会还将考虑是否需要构建一套机制,用于更加系统化地监督和搜集互联网流量累积数据,并用于针对潜在干扰提供信息。

题为《网络和信息系统安全指令 (Directive on Security of Network and Information Systems)》修订版 (NIS2 Directive) 的提案是对欧盟现有的 NIS 指令的更新,并将针对重点领域的"关键"和"重要"服务提供商强制推行新的要求,这包括:报告网络攻击、执行安全政策、严格审查供应商的安全性,以及使用加密技术。

现有的 NIS 指令实体清单中被认定为关键服务运营商的 DNS 提供商应当得到认定。在这方面,有些欧盟国家已经认定了域名系统 (DNS) 行业中的关键服务提供商,而有些国家则没有加以认定。NIS2 指令指出"鉴于数字经济和社会发展需要依赖互联网,因此创建和维护一个可靠、安全且具有弹性的域名系统 (DNS) 是维持互联网完整性的一个重要因素,对于互联网的持续和稳定运营至关重要。因此,本指令应适用于 DNS 服务行业和 DNS 解析链内的所有提供商,包括:域名服务器运营商、顶级域 (TLD) 域名服务器、权威域名服务器和递归解析器。"鉴于此,DNS 服务提供商将被自动纳入到 NIS2 的管理范畴之中,而无需欧盟的成员国认定 DNS 行业中的关键服务运营商。

若一家 DNS 服务提供商并非设立在欧盟境内,但在欧盟境内提供服务,则该提供商必须按照 NIS2 的规定指定一名代表机构。该代表机构应在提供这类服务的一个欧盟成员国境内设立。则上述实体应被视作处在这家代表机构所在成员国的司法管辖区内。

NIS2 指令还认识到"维护域名和注册数据的准确完整的数据库(又称'WHOIS 数据')和针对这类数据提供合法访问权限对于确保 DNS 的安全、稳定与弹性是至关重要的",并囊括了有关域名注册数据的相关条款。具体来说,NIS2 中第 23 条要求欧盟成员国确保域名注册管理机构和注册服务机构针对注册数据需要采取多项措施。

第 23 条

域名和注册数据的数据库

1.为了维护 DNS 的安全、稳定与弹性,成员国应确保 TLD 注册管理机构和为该 TLD 提供域名注册服务的各实体应在一家专属数据库设施中搜集和维护准确和完整的域名注册数据;且该设施的尽职调查需谨遵欧盟的数据保护法的规定,妥善处理个人数据。

2.成员国应确保第 1 段中提及的域名注册数据的数据库包含的相关信息为:域名持有人的识别和联系信息;TLD 旗下域名的管理联系人的信息。

3.成员国应确保 TLD 注册管理机构和为该 TLD 提供域名注册服务的各实体已有既定政策和规程,以确保该数据库包含准确和完整的信息。成员国应确保公众可以查看这类政策和规程。

4.成员国应确保 TLD 注册管理机构和为该 TLD 提供域名注册服务的各实体在一个域名注册后立即发布(不得无故拖延)非个人数据的域名注册数据。

5.成员国应确保 TLD 注册管理机构和为该 TLD 提供域名注册服务的各实体在遵守欧盟的数据保护法律时,为合法合理的正当访问请求者提供具体域名注册数据的访问权限。成员国应确保 TLD 注册管理机构和为该 TLD 提供域名注册服务的各实体针对所有访问请求给予回复,不得无故拖延。成员国应确保公开发布涉及披露这类数据的政策和规程。

拟定 NIS2 指令现已公开发布,在 2021 年 3 月 15 日前征询公众意见欧盟委员会将针对所有反馈意见加以总结,并呈交给欧洲议会和理事会,旨在为立法辩论提供信息。一旦 NIS2 指令提案得到欧洲议会和理事会的赞同和采纳,则欧盟成员国将把该指令纳入到各自的国家法律之中。

同样地流程也将适用于拟定的《关键实体的适应力 (Critical Entities Resilience, CER) 指令》。该指令对 2008 年版《欧洲关键基础设施指令 (European Critical Infrastructure Directive)》的深度和广度进行了延伸。这份指令此前主要针对能源和运输行业提供实体保护要求,而如今该指令将延伸至十大行业,即:能源、运输、银行、金融市场基础设施、卫生、饮用水、废水、数字基础设施、公共行政管理和航空。CER 指令针对保护实体资产、网络和电网施以强制规定,从而防止破坏。

政府合作团队将编制一份详尽全面的论文,考察这些倡议和它们对 DNS 产生的影响。一旦这份论文得以发表,我们将面向整个 ICANN 社群进行发布。

VP, Government and IGO Engagement

Elena Plexida

Read biographyRead biography