gTLD註冊資料臨時條款快速政策制定流程(EPDP階段一)
■ EPDP階段一背景與目的
有鑑於TempSpec是迫於GDPR施行的時間壓力下快速通過的暫時性條款,因此需要討論出更完善的政策,以便在TempSpec生效後盡速解決問題。討論將朝以下七個面向進行:
1. 繼續就制定符合GDPR的認證和存取模式展開社群工作,同時注意到仍需從WP29/歐洲資料保護委員會獲得更多指導;
2. 處理唯一聯絡人在網域名稱註冊中有統一匿名化之可行性;
3. 制定可行方法,為申訴人提供註冊資料存取權;
4. 提供統一架構,讓具合法目的之使用者可持續取得註冊資料(含非公開資料)訪問權;
5. 區分自然人與法人,允許大眾可取得非GDPR規範的法人註冊資料;
6. 認證計畫所預設的查詢數量限制應符合實際調查需求;
7. 對執法單位查詢註冊資料保密。
在董事會批准通過TempSpec沒多久後,2018年7月19日GNSO理事會啟動「gTLD註冊資料臨時條款快速政策制定流程」(Expedited Policy Development Process on the Temporary Specification for gTLD Registration Data,簡稱「EPDP」),以取代TempSpec。
■ 《EPDP階段一終版報告》概述
經過社群陳述意見後,EPDP團隊在2019年2月20日提交《EPDP階段一終版報告》予以GNSO理事會,後經GNSO理事會批准後,進入公眾評議並交由ICANN董事會批准。為遵守GDPR的相關規範,EPDP的建議重點如下:
《EPDP階段一終版報告》建議重點 |
對應的GDPR相關規範 |
根據ICANN的使命,透過回應合法資料揭露請求,以維護網域名稱系統的安全性、穩定性與靈活性。此特定目的不應排除智慧財產權侵權調查過程中所需的資料揭露。 |
§5 1.(b) 蒐集目的須特定、明確及合法,且不得為該等目的以外之進階處理;依照第89 條第1 項規定,為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理,不應視為不符合原始目的(「目的限制」); |
如受理註冊機構取得註冊人明確同意,得公開「組織」欄位,同時允許受理註冊機構遮蔽「組織」欄位之內容。 |
|
「城市」欄位應遮蔽,但仍待進一步法律分析,預計於第2工作階段分析,是否修改此建議。 |
|
受理註冊機構應提供無法識別出個人資料的電子郵件地址,或聯繫人本身之匿名化電子郵件位址,或網路表格,做為與相關聯繫人通信之用。 |
|
新政策應定為「合法揭露非公開註冊資料之合理請求」或「合法揭露之合理請求」,而非「合理存取」,且受理註冊機構與註冊管理機構應處理並回復合法揭露的合理請求。 |
|
EPDP團隊承諾,針對非公開註冊資料合法揭露之標準化模式提出建議。 |
|
註冊人資料蒐集處理流程仍將技術人員欄位訂為「非必要欄位」。 |
§5 1.(c) 適當、相關且限於處理目的所必要者(「資料最少蒐集原則」); |
根據目前ICANN契約與共識性政策,涉及註冊資料正確性的相關要求,不受TempSpec影響。 |
§5 1.(d) 正確且必要時應隨時更新;考慮個人資料處理之目的,應採取一切合理措施,確保不正確之個人資料立即被刪除或更正(「正確性」); |
|
§5 1.(e) 資料主體之識別資料保存於一定形式,不長於處理目的所必要之期間;個人資料處理係單獨為達成公共利益之目的、科學或歷史研究目的或統計目的,且符合第89 條第1 項規定,實施適當之技術上及組織上之措施以確保資料主體權利及自由之要求者,該個人資料得被儲存較長時間(「儲存限制」); |
建議允許受理註冊機構與註冊管理機構,根據註冊人的自然人或法人身分予以區分適用。 |
§1 2. 本規則保護個人基本權與自由,尤其是保護個人資料之權利。
§4 (1) 「個人資料」係指有關識別或可得識別自然人(「資料主體」)之任何資訊;可得識別自然人係指得以直接或間接地識別該自然人,特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別工具。 |
■ EPDP階段一後續發展與現況
2019年3月4日,GNSO理事會通過《EPDP階段一終版報告》,經過公眾評議後,2019年5月15日ICANN董事批准報告中29項建議的其中27項建議,並交由註冊資料政策 (Registration Data Policy)施行報告小組(Implementation Report Team,簡稱IRT)進行後續執行規劃。惟目前IRT仍在分析與規劃階段,無任何實施進度。
圖1 註冊資料政策IRT目前工作階段