WHOIS 资料揭露与 GDPR
Whois 是一个类似目录结构,内容包含了网域名称的联络人与技术设定的资料。由域名管理局 (管理顶级域名的机构,例如 .com 的域名管理局是 Verisign) 与域名注册商 (例如 Gandi)。
查询 WHOIS 的资料,可以让您找到网域名称的相关联络人资讯,特别是所有权人 (或称为 “持有者”),与 “管理联络人”、”技术联络人” 与 “帐务联络人”,这四种类型的联络人都通称为域名联络人。
在过去,Whois 上的所包含的公开资讯有电子信箱、电话号码、真实地址等,所有权人可以购买其他服务来隐藏这些 Whois 上的公开资料。但在欧盟的使用者资料保护条款 (GDPR) 生效后,这些隐藏服务就成为过去。
GDPR 实施时所造成不同类型的 WHOIS 资料公开程序
域名管理局与注册商在公开 WHOIS 资料上,根据两种不同类型的顶级域名,有不同的作法:
- 国家或地区代码的顶级域名 (ccTLD) 对于要公开哪些资料有各自的规范。
- 由 ICANN 所管理的通用顶级域名 (gTLD),则必须公开域名联络人的姓名、地址、电话号码、电子信箱。
我们对于 GDPR 对于通用顶级域名 (gTLD) 的影响更感兴趣。
实际上,在 2018 年 5 月 25 号之后所实施的 GDPR 引起大家对于 WHOIS 公开资料的疑问。由于域名管理局与注册商必须遵守 GDPR 的规定,因此 ICANN 反过来调整了政策,将域名联络人资料从公开变成预设为隐藏。
但是,却变成一般的义务性质,由域名管理局或注册商自己定义 Whois 公开的方法。最后,始终都没有一个明确的规定来说明 WHOIS 公开的方法与栏位。
因此,在隐私权遮蔽倡导者与合法数据取得者之间展开了激烈的辩论,支持遮蔽者、要求合法存取的人、宣称保护公众利益的人,或是智慧财产权保护者。
Gandi 的立场:在隐私保护的同时兼顾合理的透明度
在 GDPR 生效多年以前,Gandi 就已经提供免费的服务来遮蔽网域名称联络人的资料,避免垃圾邮件的滥用与骚扰。Gandi 只是用我们的资料覆盖了客户的资料,并且不需要支付任何费用。
GDPR 证明了我们当初没有做错。但是,域名所有权人依旧可以自己选择是否要公开自己的 Whois 资料。
透过设定,Gandi 可以确保域名所有权人的同意之下,才会在 Whois 中看到个人资料。
此资料公开程序同时符合个人资料保护的全力与尊重要求资料的第三方。
资料公开程序
Gandi 还建立了资料公开程序,在资料申请人与被保护人之将找到了平衡点。
在这项政策中,有两个区别:
- 关于域名所有权人,通常是请求资料的主要对象:如果所有权人的身份是法人 (例如,公司、组织或是协会),则公开这些资料没有什麽问题,但是,根据 GDPR,在公开自然人的资料时,有更严格的规定。
- 关于请求者:我们将会验证请求人的身份,以验证合法性。我们还区分了所谓 “可性任” 的第三方,例如可以推测是在欧洲 (亚洲) 区合法的官方机构,以及 “传统” 第三方,例如争议的一方。所有要求人都必须符合当地法律的规范,还必须符合 GDPR 的规范。
因此,我们对于个人的客户资料有严格的保护程序。为了评估请求者,我们会按照特定的程序并且严格的审核所有资料。
若您想了解更多,请阅读我们的线上文件。
我们也应该一同注意的是,ICANN 目前也正在规划下一代的 WHOIS 系统,称为 注册资料存取协定 (RDAP),此版本将会允许某些通过验证的人可以取得注册人的 (部份) 资料。我们将会在有更多消息时通知您,记得订阅我们的网站内容。
专家访问 – Oriana Labruyère
为了符合 GDPR 的规范,ICANN 在 2018 年 5 月 17 号公佈了临时的注册人资料规范。
根据此临时规范,确定了在特定的情况下由域名管理局与注册商决定是否为 “合法权益”。根据 GDPR,这符合要求,并且与其他法律不冲突。
因此,在以下三种情况下,我们可以传递域名所有权人的资料:
- 没有任何方法可辨识双方时
- 在基于公众利益的请况下 (特别是调查过程中),必须要传递资料时,或是
- 在基于商标保护之下,必须提供辨识的时候
但是,如果所有者的基本权力高于请求者自由要求的权力,我们会拒绝任何要求资料的请求。
Oriana Labruyère,Labruyère&Co 的共同创办人,能提供客户法律谘询,特别是 GDPR 的问题。