ICANN的EPDP(Expedited Policy Development Procedure)工作小組終於在今(2020)年7月底發布第二階段結案報告。去年EPDP工作小組完成第一階段結案報告時,本部落格也特地撰文(ICANN的難題:WHOIS與GDPR 上、下)向讀者介紹EPDP的來龍去脈。
在進入本文前,先進行簡短的前情提要。ICANN在2018年5月25日,與歐盟「通用資料保護規則」(General Data Protection Regulation,GDPR)正式實行同一天,啟動「通用頂級域名(gTLD)註冊資料臨時條款」(以下簡稱臨時條款),主要是為了調整當時ICANN提供的註冊目錄查詢服務(通稱WHOIS),遮罩註冊人的個人資料以免違反GDPR。
根據ICANN組織章程細則,臨時條款的效力僅能持續一年,將於2019年5月25日失效。在此同時,由於臨時條款乃由ICANN ORG制定發布,並不符合ICANN由下而上、共識決的多方利害關係政策制定流程,因此ICANN社群也加速建立EPDP工作小組。小組第一階段任務是確認臨時條款的內容是否須調整或修正,以合法並符合ICANN社群共識;第二階段的任務則是為具合法、合理目的,需要取得非公開註冊資料的第三方,探討建立標準化流程的需求與必要。
如上所述,EPDP第一階段已於2019年初完成,第二階段緊接著於同年4月展開。工作小組經歷一年的超高強度工作後,終於在今年7月底完成結案報告,並提交通用域名支援組織(Generic Names Supporting Organization,GNSO)理事會。依照GNSO的政策制訂流程(Policy Development Process,PDP)規範,PDP結案報告需待理事會決議通過後並遞交ICANN董事會時,才會同步開始公共意見徵詢流程。
根據EPDP第二階段章程,結案報告中應包含 (1) 揭露/存取非公開註冊資料的標準化系統(System for Standardized Access/Disclosure to Non-Public Registration Data,簡稱SSAD )討論、(2) 臨時條款中「需社群進一步行動的重要議題」,以及 (3) 第一階段推遲的議題,包括是否應區分註冊人為法人或自然人、是否遮罩註冊資料中的「城市」欄位等。
在第二階段工作中,EPDP小組將待辦事項分成兩大類,第一大類的重點工作(priority 1)聚焦於SSAD與所有相關議題,第二大類(priority 2)則包含以下議題:
- 揭露附屬或認證隱私代理伺服器服務供應業者的資料;
- 區別註冊人為法人或自然人;
- 遮罩註冊人資料中的城市欄位;
- 資料保留期限;
- 新增「ICANN技術長辦公室研究用途」之合理目的;
- 同一註冊人註冊多筆域名時,每筆註冊資料的聯絡方式皆使用同一筆匿名電子郵件信箱的可能;
- 註冊資料準確度相關議題。
EPDP小組也達成共識,以priority 1為主要工作目標,唯行有餘力時,才著手處理priority 2項目。EPDP小組於今年2月發布了初步報告,說明小組針對SSAD的核心論述和初步建議。3月時,小組發布初步報告附錄,其中列出小組對priority 2議題的初步結論與建議。
結案報告共列出22項建議與2項結論,其中前18項建議聚焦於SSAD及相關議題,重點包括:
- 如何驗證提出SSAD要求,包括身分為政府單位的使用者;
- SSAD要求的必要條件和內容規定;
- 針對SSAD要求的回應需求;
- 服務層級協議(Service Level Agreements,SLA)需求;
- SSAD處理環節的自動化;
- SSAD的條件與條款;
- 紀錄、稽核及通報要求;
- 建立GNSO常設委員會,負責評估SSAD運作問題並向GNSO理事會提出改善建議。
最後4項建議及2項結論則是針對priority 2議題。如前所述,EPDP小組只在時間精力允許的前提下,才會研議此項下的工作項目。也因此,針對「是否應區分註冊人為法人或自然人」和「同一註冊人的多筆註冊資料顯示同一匿名電子信箱」2項議題,結案報告中並沒有提出建議或結論。
值得注意的是,雖然報告中總共列出22項建議,但其中僅11項建議獲EPDP工作小組全員共識支持,剛好占建議總數的一半。另一半建議中,3項有多數共識支持,6項則是「獲強烈支持但具明顯反對意見」,代表小組中至少有三個團體不支持此建議。最後,報告2項建議呈分歧結果,意即小組成員對此建議的支持與反對意見各半。
比起EPDP第一階段結案報告提出29項建議中,僅2項呈現分歧,其他建議皆獲小組全員共識或多數共識支持的成果,第二階段結案報告相較之下雖可能不盡理想,但也並非全然出乎意料之外。
第一階段中許多真正棘手、難以取得社群共識的議題其實已推遲到第二階段,相較於第一階段僅需逐條確認臨時條款,第二階段中,小組成員須從無到有,設想並建立一個合法又滿足極端衝突的多方利害關係,未來將供全球社群使用的SSAD。即使小組成員用盡一切手段與能力,恐怕也難以完美達成這等艱困任務。
然而,EPDP第二階段結案報告中已表明,由於SSAD相關18項建議互相牽連,GNSO理事會在研議報告時,應以通盤接受或否決為原則,而非逐條採納或否決建議,以免牽一髮而動全身。根據GNSO的PDP守則,若工作小組在結案報告中明確提出此類要求,GNSO理事會則應依要求行事。
換句話說,雖然報告中有一半的建議並未獲EPDP小組成員全員共識支持,但由於小組仍同意在報告中要求GNSO理事會整體考慮全部建議,最終可能的結果,無論每項建議的支持程度為何,仍是GNSO理事會決議通過EPDP第二階段報告及其中的所有建議,並將這份報告提交給ICANN董事會。
EPDP第二階段進入尾聲時,在EPDP mailing list的信件往來中,若干小組成員對彼此難以達成共識的情形表達遺憾,認為某些團體在最後仍堅持提出反對意見,是無視過去一年來小組辛勤工作的成果。但或許就真如其中一位小組成員所說:不管小組在mailing list上再怎麼爭執不休、某些團體再如何頑固的堅守立場,最終大家面對的,仍是非A即B的終極抉擇:一個標準化的非公開註冊資料存取/揭露系統──即使未臻完美、即使不盡人意──你要,還是不要?
圖片來源:freepik
