■ 簡介
2018年5月25日GDPR正式實施當日,ICANN針對註冊商EPAG提出告訴,向德國伯恩法院申請強制令,企圖透過法院命令EPAG持續蒐集管理與技術聯絡人資料。
訴訟類型:民事
審理法院:德國伯恩法院
結果:駁回
- ■ 事實
-
因應GDPR施行,EPAG向註冊人宣布,未來進行域名註冊時,將不再收集註冊人以外的管理人與技術聯絡人資料。2018年5月25日,ICANN向德國法院申請強制令,禁止EPAG註冊網域名稱時,放棄收集管理和技術聯絡人資料。
- ■ 兩造主張
-
ICANN主張:EPAG有義務收集註冊人以外的管理與技術聯繫人資料,請求核發強制令,並請求違約損害賠償EUR 250,000.00。
EPAG主張:蒐集與儲存管理與技術聯繫人資料,與GDPR牴觸,且RAA規定註冊商必須遵守法律規範。
- ■ 理由
-
- RAA規定註冊商必須遵守法律規範。
- ICANN並未說明資料蒐集之合法性、透明度、目的,以及說明是否符合最少蒐集原則。
- 最少蒐集原則之爭:
- RA與RAA容許註冊人在三個欄位中都使用相同的資料。如管理與技術聯繫人資料係不可或缺之部分,則ICANN合約中應明定三個欄位不可通用資料。故認定有註冊人資料即足矣。
- ICANN所謂為確保網路安全與權利保護為資料蒐集之目的,法院認為,蒐集註冊人資料即得達成該目的。
- ICANN並未證明其經濟損失,尤其當ICANN聲明自己為非營利組織(即ICANN聲明WHOIS系統與商標系統相等,故損害依據為internal trademark agreement,法院表示缺乏關聯性)。
