2013 RAA 中对数据保留的要求
在最近发表于 ICANN 博客的一篇文章中,我重点阐述了 2013 RAA 以及其中一些旨在保护注册人和互联网公众用户的显著改进。除此之外,2013 RAA 中还包含一项额外的更新:数据保留规范。
该《数据保留规范》对 2009 RAA(和之前版本的 RAA)中关于数据保留义务的规定进行了更新和澄清。总体而言,2013 RAA 要求注册服务商保留的数据要素较以往更多,并根据保留时间对这些数据要素进行了分组,即注册期过后 2 年为一组,180 天为一组,这两个时间都比之前版本的 RAA 规定的时间短。
法律合规性
2013 RAA 中的数据保留要求是基于各国政府通过 ICANN 政府咨询委员会表示强烈支持的建议而制定的。然而,有些注册服务商也表达了他们的顾虑,即由于当地数据保护法和其他隐私法的原因,他们可能难以遵守这些新规定。ICANN 认识到由于不同国家或地区的法律不尽相同,2013 RAA 中有些新规定的数据保留要求可能会与欧洲某些数据保护法和隐私条例之间存在冲突。故特此澄清,若 RAA 中规定的条款与适用法律冲突,以适用法律为准。
2013 RAA 中新增了一条"可分割"条款,为在适用法律下不可强制执行协议规定的情况提供了一种变通机制。此外,该《数据保留规范》中还纳入了一条关于豁免的明确规定,旨在处理某些数据收集和/或保留要求为适用法律所禁止的情况。
2013 RAA 中对合规豁免申请资格的规定
首份新的 2013 RAA 自 2013 年 8 月开始生效。2013 年 9 月,ICANN 发布了"注册服务商数据保留豁免申请处理流程"。为了符合数据保留要求合规豁免的资格,注册服务商必须向 ICANN 提交一份由律师事务所出具的意见函或由具有合法管辖权的政府机构出具的裁决函或指导函,证明按照保留规范的要求收集或保留一个或多个数据要素将违反适用法律规定。只是提供声称数据收集和《数据保留规范》要求不合法这样宽泛的说法是不够的,因为它无法具体说明是哪一条 2013 RAA 规定存在问题。更确切地说,豁免申请中必须明确说明违反了哪条适用法律、哪些数据收集和/或保留要求涉嫌违法以及这些收集和/或保留要求如何违反法律规定。只有明确说明这些问题,才有助于 ICANN 在授予豁免时确定适当的数据收集和保留要求的范围及持续时间限制。
根据 2013 RAA 的规定,ICANN 和注册服务商必须本着真诚善意的态度对豁免申请进行讨论,力求达成一个双方都能接受的解决方案。如果 ICANN 赞同注册服务商关于收集或保留任何数据要素将违反适用法律规定的说法,则 ICANN 可以暂停遵守和执行受影响的协议条款,并在首次在线公布其初步决定 30 日后授予豁免。ICANN 认为,为符合当地法律,必要时应根据具体情况定制豁免,以限制数据收集和保留的适用范围及/或持续时间,但不会完全撤销对数据收集和保留的所有要求。
允许数据保留的隐私法
在针对注册服务商制定了数据隐私法的国家或地区,ICANN 发现,法律中规定的限制条件通常都允许对注册数据进行保留,但仅限用于合法目的,且保留时间不得超过出于数据收集目的所需或对已收集数据进行进一步处理所需的时间。至于具体何为合法目的以及数据可以保留多长时间,这些都是非常复杂的问题,各个国家或地区对此的规定可能大不相同,即使在所有成员国都受相同数据隐私条例约束的欧盟 (EU) 也不例外。
ICANN 对此的观点是,出于极其重要的公众和注册人保护目的,注册服务商有必要遵守这些要求,保留域名注册记录,并且保留时间甚至应该超出域名的有效期。例如,即使注册服务商可能认为注册协议在(未经授权)转移时便已终止,但对于破解域名劫持而言,注册数据仍是必要条件。1 同样,身份被盗的受害者可能会质疑用信用卡支付注册费用的要求,该注册已经因违反其服务协议使用域名从事网络钓鱼或散布恶意软件而被注册服务商删除;这种情况下,为了促进事情的解决,便需要基本的注册备案信息。除此之外,注册服务商可能还需要注册数据来解决账单出错或争议问题,例如在转移或删除域名后征收注册续约费用等。这些都是现实生活中的真实例子,在这些案例中,注册服务商均有合法理由在删除或转移注册后的一段时间保留注册和交易记录。
已提交豁免申请的状态
鉴于各国隐私法的复杂性和多样性因素,ICANN 以及注册服务商等已在这方面投入了大量的时间和资源。截至目前,欧盟范围内的注册服务商已经提交了 15 份豁免申请。欧盟第 29 条工作组亦通过书面形式向 ICANN 表达了其对 2013 RAA 数据保留要求在欧盟内的合法性的担忧。由于各个国家或地区对数据隐私要求的解读不同,ICANN 现在必须按国家或地区逐一对所提交申请进行审核。
2014 年 1 月 24 日,ICANN 向法国注册服务商 OVH SAS 发布了首个"同意注册服务商数据保留豁免申请的初步决定通知"。此豁免提案将允许 OVH SAS 保留《数据保留规范》中规定的特定信息,保留时间为 OVH SAS 为各个注册域名提供服务的时间加上此后的 1 年(而不是此后的 2 年)。目前,ICANN 及其外部法律顾问正在继续与其他几位注册服务商讨论他们的豁免申请。我们相信,通过这些讨论 ICANN 将在不久后授予更多豁免。
WHOIS 与法律的冲突解决程序
在 2013 RAA 下寻求数据保留义务豁免的程序不同于在 WHOIS 与法律的冲突解决程序下的申请豁免程序,该解决程序由 ICANN 机构群体制定并获得理事会的采纳。我们意识到现有的双程序模式可能带来的挑战,并听取了部分注册服务商提出的建议,即启动 Whois 冲突解决程序的门槛可能过高。在尝试解决这些问题的工作中,ICANN 不久后将宣布对 Whois 冲突解决程序进行公开审核,并在审核过程中将纳入大量机构群体的意见。更多有关此次审核的详细信息将在未来几周发布。
一直以来,ICANN 始终致力于保护注册人和公众的利益,同时确保注册服务商遵守适用的法律规定。我们非常期待与众多注册服务商、政府和其他利益主体就这些问题展开进一步讨论,包括在即将于 2014 年 3 月 23-27 日在新加坡举行的 ICANN 会议上。