WHOIS 資料揭露與 GDPR
Whois 是一個類似目錄結構,內容包含了網域名稱的聯絡人與技術設定的資料。由域名管理局 (管理頂級域名的機構,例如 .com 的域名管理局是 Verisign) 與域名註冊商 (例如 Gandi)。
查詢 WHOIS 的資料,可以讓您找到網域名稱的相關聯絡人資訊,特別是所有權人 (或稱為 “持有者”),與 “管理聯絡人”、”技術聯絡人” 與 “帳務聯絡人”,這四種類型的聯絡人都通稱為域名聯絡人。
在過去,Whois 上的所包含的公開資訊有電子信箱、電話號碼、真實地址等,所有權人可以購買其他服務來隱藏這些 Whois 上的公開資料。但在歐盟的使用者資料保護條款 (GDPR) 生效後,這些隱藏服務就成為過去。
GDPR 實施時所造成不同類型的 WHOIS 資料公開程序
域名管理局與註冊商在公開 WHOIS 資料上,根據兩種不同類型的頂級域名,有不同的作法:
- 國家或地區代碼的頂級域名 (ccTLD) 對於要公開哪些資料有各自的規範
- 由 ICANN 所管理的通用頂級域名 (gTLD),則必須公開域名聯絡人的姓名、地址、電話號碼、電子信箱。
我們對於 GDPR 對於通用頂級域名 (gTLD) 的影響更感興趣。
實際上,在 2018 年 5 月 25 號之後所實施的 GDPR 引起大家對於 WHOIS 公開資料的疑問。由於域名管理局與註冊商必須遵守 GDPR 的規定,因此 ICANN 反過來調整了政策,將域名聯絡人資料從公開變成預設為隱藏。
但是,卻變成一般的義務性質,由域名管理局或註冊商自己定義 Whois 公開的方法。最後,始終都沒有一個明確的規定來說明 WHOIS 公開的方法與欄位。
因此,在隱私權遮蔽倡導者與合法數據取得者之間展開了激烈的辯論,支持遮蔽者、要求合法存取的人、宣稱保護公眾利益的人,或是智慧財產權保護者。
Gandi 的立場:在隱私保護的同時兼顧合理的透明度
在 GDPR 生效多年以前,Gandi 就已經提供免費的服務來遮蔽網域名稱聯絡人的資料,避免垃圾郵件的濫用與騷擾。Gandi 只是用我們的資料覆蓋了客戶的資料,並且不需要支付任何費用。
GDPR 證明了我們當初沒有做錯。但是,域名所有權人依舊可以自己選擇是否要公開自己的 Whois 資料。
透過設定,Gandi 可以確保域名所有權人的同意之下,才會在 Whois 中看到個人資料。
此資料公開程序同時符合個人資料保護的全力與尊重要求資料的第三方。
資料公開程序
Gandi 還建立了資料公開程序,在資料申請人與被保護人之將找到了平衡點。
在這項政策中,有兩個區別:
- 關於域名所有權人,通常是請求資料的主要對象:如果所有權人的身份是法人 (例如,公司、組織或是協會),則公開這些資料沒有什麼問題,但是,根據 GDPR,在公開自然人的資料時,有更嚴格的規定。
- 關於請求者:我們將會驗證請求人的身份,以驗證合法性。我們還區分了所謂 “可性任” 的第三方,例如可以推測是在歐洲 (亞洲) 區合法的官方機構,以及 “傳統” 第三方,例如爭議的一方。所有要求人都必須符合當地法律的規範,還必須符合 GDPR 的規範。
因此,我們對於個人的客戶資料有嚴格的保護程序。為了評估請求者,我們會按照特定的程序並且嚴格的審核所有資料。
若您想了解更多,請閱讀我們的線上文件。
我們也應該一同注意的是,ICANN 目前也正在規劃下一代的 WHOIS 系統,稱為 註冊資料存取協定 (RDAP),此版本將會允許某些通過驗證的人可以取得註冊人的 (部份) 資料。我們將會在有更多消息時通知您,記得訂閱我們的網站內容。
專家訪問 – Oriana Labruyère
為了符合 GDPR 的規範,ICANN 在 2018 年 5 月 17 號公佈了臨時的註冊人資料規範。
根據此臨時規範,確定了在特定的情況下由域名管理局與註冊商決定是否為 “合法權益”。根據 GDPR,這符合要求,並且與其他法律不衝突。
因此,在以下三種情況下,我們可以傳遞域名所有權人的資料:
- 沒有任何方法可辨識雙方時
- 在基於公眾利益的請況下 (特別是調查過程中),必須要傳遞資料時,或是
- 在基於商標保護之下,必須提供辨識的時候
但是,如果所有者的基本權力高於請求者自由要求的權力,我們會拒絕任何要求資料的請求。
Oriana Labruyère,Labruyère&Co 的共同創辦人,能提供客戶法律諮詢,特別是 GDPR 的問題。