gTLD註冊資料的臨時規範 (TempSpec)
■ 臨時規範背景與目的
歐盟於2016年4月通過「通用資料保護規則」(General Data Protection Regulation,簡稱GDPR),並於2018年後在歐盟境內正式實施GDPR。ICANN因GDPR的相關規範,ICANN組織向締約方、歐盟資料保護機構、法律專家、相關政府單位和其他利益相關方諮詢,以了解GDPR對註冊管理機構以及受理註冊機構處理註冊人資料的潛在影響,進而制訂「臨時政策」,即Temporary Specification for gTLD Registration Data(簡稱TempSpec),讓註冊管理機構與受理註冊機構在遵守GDPR規範的同時,也能夠履行與ICANN簽訂的契約。
■ TempSpec的影響
TempSpec在2018年5月正式生效後,最主要受到影響的即為WHOIS查詢系統。WHOIS查詢系統是一個公開資料庫,任何人皆可自由查詢,確認該筆網域名稱是否可以註冊、該網站的營運企業真實身分,或是出於合法目的聯繫網域名稱註冊人。在TempSpec通過並施行後,WHOIS系統仍提供查詢服務,僅做部分調整。註冊管理機構與受理註冊機構依然保有蒐集完整註冊資料的權利,但當查詢者上WHOIS系統查詢該筆網域名稱註冊資料時,WHOIS僅會提供「簡略」資料,只能看到該筆網域名稱的受理註冊機構為何、網域名稱的註冊狀態,以及網域名稱的註冊日和到期日,但無法辨識出個人資料。
如查詢者為第三方團體,且具有合法利益目的,可以向該筆網域名稱的註冊管理局或受理註冊機構要求取得非公開資料;如查詢者未於合理時間內取得註冊管理機構或受理註冊機構的回應,或發現該註冊管理機構或受理註冊機構未遵守TempSpec或違反與ICANN的契約,可透過申訴機制或向ICANN履約部門提出申訴。
■ 網域名稱持有人的權利
由於過往WHOIS上公開的資料皆為網域名稱持有人的相關個人資料,因此在GDPR施行的情況下,除了WHOIS系統做出調整外,各家註冊管理機構如Verisign(.com)、Afilias(.info等)、受理註冊機構如網路中文皆紛紛做出相對應之調整,只是調整方式不一:以註冊管理機構Afilias為例,Afilias在2018年4月時發信通知所有受理註冊機構,WHOIS資料將以揭露資料最小化的模式顯示,僅提供技術人員資料,以協助排解網域名稱技術相關問題;而受理註冊機構以網路中文為例,則是直接遮蔽所有與個資相關的欄位,或提供WHOIS隱私保護選擇,註冊人可根據其需求選擇不同程度的隱私保護服務。
圖1 Afilias因應GDPR的WHOIS調整措施通知信函
圖2 網路中文WHOIS揭露資料遮蔽圖