歐盟《通用資料保護規則》(General Data Protection Regulation,GDPR)於2018年5月25日開始實施。ICANN亦於同日納用通用域名(generic top-level domain,gTLD)註冊資料臨時條款(Temporary Specification for gTLD Registration Data,簡稱TempSpec)並實施gTLD註冊資料過渡政策(Interim Registration Data Policy for gTLDs,Interim Policy)。ICANN近期發布履約報告,說明GDPR對ICANN ORG針對受理註冊機構「gTLD註冊資料準確度義務」的履約執行情形。本文僅節錄重點,報告全文可參考此處。
ICANN履約團隊負責執行ICANN政策及協議中明列之gTLD受理註冊機構義務。基於ICANN的受理註冊機構認證協議(2013 Registrar Accreditation Agreement),受理註冊機構必須採取一定步驟,確保旗下註冊通用域名的註冊資料準確。相關步驟包括調查遭舉報不正確的註冊資料、驗證聯絡資訊,以及資料格式驗證等。
上述註冊資料準確性的相關合約規定,以及ICANN ORG的履約執行,都沒有因GDPR而改變。然而,GDPR實施後,為符合資料保護規範,大部分的註冊資料內容都不再公開,ICANN收到的相關投訴因此驟減。
2017年1月至2018年5月期間,ICANN履約部門每月平均收到2,774筆關於註冊資料準確度的投訴,並展開共20,834次調查。詳情可參考報告全文。
2018年6月至2020年12月期間,履約部門收到的投訴降至每月1,003筆。數字在GDPR實施後立即下降,主要是因為ICANN收到的外部投訴減少,而且ICANN不再發布WHOIS準確度通報系統(Accuracy Reporting System,ARS)報告。除此之外,缺乏違約證據的投訴比例也增加。本期間履約部門共執行4,417次調查,相關詳情一樣可參考報告全文。
雖然調查案件數隨著投訴數量下降,但GDPR後的調查案件結果和GDPR前執行的調查結果大同小異。大部分投訴都導致域名中止,也有大筆註冊資料因此更正。GDPR實施後,ICANN尚未因為註冊資料準確度相關違規行為,發布任何違約通知。
ICANN ORG了解,對諸如執法機關、智財權所有人、網路安全研究人員等網路使用者而言,取得準確註冊資料相當重要。ICANN ORG也將持續執行既有的註冊資料準確度相關協議和政策。然而,由於GDPR,潛在投訴者和ICANN自身的履約執行團隊都無法直接取得註冊資料,也因此難以發現註冊資料不正確並修正相關資料。
相關連結:
Jamie Hedlund (2021). Enforcement of Registration Data Accuracy Obligations Before and After GDPR. ICANN Blog.
檢自:
https://www.icann.org/en/blogs/details/enforcement-of-registration-data-accuracy-obligations-before-and-after-gdpr-14-6-2021-en (Jul. 2, 2021)
