持續進化的ICANN線上會議
2021年第一場ICANN會議,原訂於墨西哥坎昆舉行的ICANN70,囿於疫情,在今年3月22至25日,依墨西哥坎昆時區以線上形式舉行。這也是自COVID-19全球疫情爆發後,ICANN第四次舉行的線上會議。
累積去年的經驗,本次ICANN70線上會議亦再次圖新,除了持續改善線上會議功能,也新增其他會議工具。自去年起,社群便不斷反映虛擬形式大幅阻礙會議期間的社交及私下互動機會,為回應社群需求,ICANN ORG會議規劃團隊積極開發新工具,本次ICANN70會議期間,與會者可以利用會議網站,在議程之外,自行安排與其他與會者的會議,從一對一到多人會議都沒有問題。
以往的ICANN實體會議皆會提供聯合國六個官方語言的即時口譯,去年ICANN會議皆轉為線上形式,雖自ICANN68起提供即時口譯服務,但與會者須另外下載軟體才能使用服務。本次會議開始,與會者無須另外下載軟體,直接使用Zoom內建的翻譯功能就能享受即時口譯服務。雖然僅限定議程有即時口譯及專業逐字稿服務,但ICANN70期間所有議程都開啟Zoom即時逐字稿功能。雖可能未盡準確,但亦不無小補。
另一方面,所有高關注議題及大會議程也都會同時於YouTube轉播,如此一來,受限網路頻寬難以使用Zoom的與會者,仍可即時參與相關議程。
多國代表分享境內資料保護法規
ICANN70期間原預定舉辦兩場大會議程,分別是「政府規範提案討論」及「註冊管理機構自願承諾」。「政府規範提案討論」場次本預計由歐盟及美國代表分享境內規劃中的網路規範法案,可惜最終因與談人時間難以配合而取消。
不過,DNS Women在ICANN70期間舉行了類似的議程,邀請多國代表分享境內的資料保護法規。議程中分別請到來自澳洲、美國、阿根廷、墨西哥、巴西的代表,在顧及ICANN70做為拉丁美洲地區會議初衷的同時,亦充分展現ICANN社群的多元性。
議程首先由來自澳洲的Holly Raiche,分享澳洲的網路平臺競爭規範經驗。澳洲競爭及消費者保護委員會(Australian Competition and Consumer Commission,ACCC)於2019年發布《數位平臺調查》結案報告,其中針對隱私保護提出的建議包括:強化澳洲隱私法中的個資保障、大幅改革現有的澳洲隱私法、制定數位平臺隱私法規,以及對嚴重的侵犯隱私行為訂定罰則。
來自阿根廷的Romina Cabrera則分享阿根廷的隱私法制現況。他表示疫情導致電子貿易蓬勃發展,亦間接帶動人們對個資保護、隱私法規的重視。他強調,數位發展會帶動人們對資料、隱私、線上交易的理解持續進化,這也表示隱私法規應與時俱進,在制定法規的同時,應保障人權、加強意識教育、並確保過程的開放透明。
Karla Valente則介紹美國現況。美國並沒有聯邦規格的統一資料保護法,資料保護的相關法條散見於消費保護、兒童保護、公平交易,或各州內部的資料保護法規。但美國政府已意識到聯邦層級資料保護規範的重要,可以期待2021年出現相關法規。
他也分享資料保護法規的全球趨勢,包括資料保護官的設置、針對違法行為的罰則加重、企業組織開始重視隱私保護、「知情同意」的概念成為原則,以及越來越多針對資安事件因應對策最佳做法的討論等。
墨西哥代表Fatima Cambronero分享該國的資料保護法規現況。在2010年前,墨西哥的資料保護法規情境與當今美國相同,缺乏由中央政府統一頒布的資料保護規範,僅有各州自行設立的法規。2017年墨西哥頒布全國通用的個人資料保護法。
此法將個人資料分成三種類型,包括基本個資、特殊個資,以及敏感個資。法中對資料控管者的規範雷同GDPR,雖然墨西哥法律沒有GDPR著名的「被遺忘權」,但有類似的「被刪除權」:資料主體可主張自己權益因資料控管者疏失受損,資料控管者將因此挨罰。另一方面,該法也禁止WHOIS揭露註冊人的個人資料。
來自巴西的Vanda Scartezini分享巴西情形。巴西的資料保護法(Lei Geral de Proteção de Dados,LGPD)自2020年9月開始實施,罰則將於今年8月生效。LGPD的原則大致與GDPR相同,但仍有幾處重要差異。首先,由於巴西憲法禁止「匿名」,LGPD沒有GDPR的「被遺忘權」。除此之外,LGPD中也缺乏如「資料主體有權限制資料控管者的資料處理範圍」及「資料主體有權拒絕資料自動處理」等規範。
另一方面,在法律適用範圍(全球適用)、要求企業組織設置資料保護負責人,以及高額罰金(2%年度收入,最高可罰至5千萬里約)等規範,則與GDPR非常類似。
大會議程:註冊管理機構自願承諾
由於另一場大會議程因故取消,ICANN70僅剩一場大會議程,討論主題是new gTLD申請流程中的「註冊管理機構自願承諾」(Registry Voluntary Commitments,RVC)。
有別於2013年更新的基本註冊管理機構協議(Base Registry Agreement)中,規定所有new gTLD註冊管理機構在發放特別管制TLD前,須查核申請人身分的「強制公共利益承諾」(Public Interest Commitment,PIC)條款;2012年申請流程中的「自願性公共利益承諾」(Voluntary PIC),供註冊管理機構任意列出「自願遵守」的承諾。
這種自願性的PIC非出自於ICANN社群正規的政策制定流程,ICANN ORG在新增此條款前,也從未徵詢社群意見。也因此,自願PIC缺乏相關規範與稽核程序,常被註冊管理機構用來不合理的擴權,藉此傷害註冊人權益,甚至當成賺錢的工具。
負責檢視2012年New gTLD申請指南、檢討申請流程的New gTLD申請政策制定流程(New Generic Top-Level Domain (gTLD) Subsequent Procedures Policy Development Process,SubPro PDP)工作小組今年初終於提交結案報告,報告中建議將「自願性PIC」改為「註冊管理機構自願承諾」RVC,並新增相關規範條件,避免重蹈2012年覆轍。
然而,仍有意見質疑自願性PIC的價值,事實上,ICANN董事會去年也曾提醒SubPro工作小組,ICANN在強制註冊管理機構履行合約時不能超過ICANN使命範圍。舉例而言,若註冊管理機構在RVC中提出關於網站內容的承諾,則由於ICANN無權干涉內容,可能導致履約執行上的困難。
即使SubPro結案報告已通過GNSO理事會並抵達董事會,社群對RVC仍有強烈的不同意見。最主要的爭議在於:註冊管理機構雖有權提出RVC,若ICANN ORG作為簽訂合約的甲方無法執行RVC條款,則RVC將僅是紙上談兵。究竟應如何確保RVC確實執行?有意見認為ICANN不應該執行超出ICANN使命的RVC。如何在確保RVC符合公共利益、滿足反對者顧慮的前提下,仍能充分執行?議程請到董事會、註冊管理機構、一般使用者、非企業團體、ICANN履約部門及智慧財產權團體代表,分別就各自立場發言。由於議程安排方式,發言者皆僅重申立場,可惜未能激發不同立場之前的互動對話。
董事會公開會議重要決議
如同每次ICANN會議,ICANN70亦以公共論壇(Public Forum)後緊接著公開董事會議作結。公共論壇中的發言大致集中於幾個議題,政策議題如剛結束的SubPro、註冊資料服務、熱門議題DNS濫用,其他社群關心的則是何時重啟實體會議,如何避免社群倦怠疲乏,以及在缺乏實體會面機會下,怎麼持續吸引新血加入ICANN等議題。
ICANN70的ICANN董事會公開會議中,通過以下三項重要決議:
- 接受安全及穩定諮詢委員會(Security and Stability Advisory Committee,SSAC)第二次組織審核執行結案報告。
- 接受域名衝突分析專案(Name Collision Analysis Project,NCAP)研究一(Study 1)報告,繼續進行研究二(Study 2)
- 啟動「非公開註冊資料標準化存取/揭露系統」(System for Standardized Access/Disclosure to Non-Public Registration Data,SSAD)執行設計流程(Operational Design Phase,ODP)
詳細決議內容及緣由說明可參考董事會決議網頁。
