上次說到ICANN若想繼續提供RDS(並規定合約方也繼續提供RDS),必須證明自己有持續蒐集註冊人資料的合法目的。
現在ICANN有了蒐集註冊人資料的合法目的,但哪些資料可以公開,哪些資料又必須遮罩才能保障註冊人隱私並避免觸法呢?EPDP小組在第一階段結案報告中,提供了他們認為的最佳答案。
根據EPDP第一階段結案報告,未來公開、可搜尋的RDS資料中,將不再顯示註冊人的姓名、電話、地址、電子郵件信箱等資訊(但仍會顯示註冊人所在國家、州/省)。
在繼續往下之前,先概要說明EPDP小組中,也是ICANN社群內,各利害關係團體對此議題的不同立場。簡略而言,ICANN社群對RDS的態度大致可分為兩派:主張比起遮罩註冊資料,公開更有益網路安全及公共利益的「維持原狀」派,以及強調保護個人資料的「改革」派。
若以ICANN內既有團體區分,GAC、GNSO的智財權(IPC)及商業團體(BC)是主張「維持原狀」派,而SSAC及ALAC雖因網路安全的理由傾向維持原狀,但並不如GAC、IPC及BC強烈。GNSO的非商業團體(NCSG)是主張「改革」派代表,而最有直接風險的註冊管理機構(RySG)、受理註冊機構(RrSG)及網路服務供應商團體(ISPCP)為避免觸法,亦積極支持改革。
EPDP第一階段結案報告中規定特別複雜的「註冊人公司/組織」欄位,或可視為兩派激烈角力,最終在多方利害關係人模式下達到妥協的最佳範例。結案報告中規定,受理註冊機構應先遮罩註冊人的組織欄位,同時發信詢問註冊人是否願意公開該欄位。若是,受理註冊機構必須應註冊人意願公開;若註冊人不願意或沒有回應,則持續遮罩該欄位。
討論「註冊人公司/組織」的處置方式時,改革派認為應遮罩此欄位,維持現狀派則以「此欄位不算個人資料」為由,主張公開。NCSG解釋,很多中小企業的公司名稱即個人姓名,這時公司名稱便等同個人資料;RySG及RrSG亦分享實務經驗,表示很多個人註冊人遇到「公司/組織」欄位時,常填上自身姓名或隨意亂填。但維持現狀派仍堅持GDPR只保護自然人(一般個人),不保護法人(公司團體),堅決不肯讓步。結案報告中的階段式作法因此誕生:最大程度避免了RySG及RrSG的觸法風險,也滿足維持現狀派的堅持。
EPDP第一階段名義上雖為期一年,但工作小組從去年8月1日召開第一次工作會議,直至今年2月20日交出結案報告,實際工作時間僅不到8個月。過去ICANN最常遭詬病的便是PDP耗時長久,短則1、2年,長則3到5年的PDP都屢見不鮮。許多人也質疑,ICANN堅持由下而上、共識決的多方利害關係治理模式,或許僅限於理想,不易於實行。
然而,EPDP證明以共識決為基礎,由下而上、多方利害關係人參與的PDP,是可以兼顧效率與成果的。但另一方面,ICANN社群參與皆為自願、無償,成員不只需投入正職工作外的時間、精力,尚需配合分布全球的成員時差,凌晨、半夜的會議在所難免。事實上,3月的ICANN64會議中,眾多EPDP成員便表示過去8個月來耗損太大,堅持第二階段應放慢腳步,避免過度消磨成員的參與能量。
EPDP小組(前)主席Kurt Pritz已於2月21日請辭,GNSO理事會預計4月底前公布新主席人選,EPDP小組第二階段也將隨之開始。另一方面,ICANN董事會預計於5月3日決議是否通過EPDP第一階段結案報告,一旦通過,後續實施流程也將正式開跑。
GDPR實施即將屆滿一年,ICANN期間雖時左右支絀,目前也算是達到中繼里程碑。依EPDP第一階段結案報告建議,新的RDS政策最遲須於2020年2月29日正式全面實施。ICANN ORG是否能及時趕上此期限,EPDP第二階段又將如何發展,值得持續關注。
Photo created by freepik with moderation
