EPDP Phase 2A推出結案報告,EPDP終於結束?

背景介紹

「通用頂級域名註冊資料臨時條款加速版政策制定流程」(Expedited Policy Development Procedure on the Temporary Specification for gTLD Registration Data,簡稱EPDP)於2018年6月成立,第一和第二階段分別於2019年2月及2020年7月結束。

EPDP第一階段的任務是建立新的註冊資料目錄服務(Registration Data Directory Service,RDDS)政策,也就是「如何管理註冊人資料」及「可以公開哪些註冊人資料」。根據結案報告建議,註冊人姓名、電話、地址、郵遞區號等個人資料應遮罩,電子郵件則由電子表格或匿名電子郵件取代。

EPDP第二階段的工作範圍則包括:(1)非公開註冊資料標準化存取/揭露系統(System for Standardized Access/Disclosure to Non-Public Registration Data,SSAD)、(2)臨時條款附錄中的議題,以及(3)第一階段推遲的議題。

所謂的SSAD,是一個供第三方申請驗證並提出資料要求的管道,此機制的用意是讓具合法目的之第三方,取得所要求的非公開註冊資料。EPDP第二階段結案報告最終提出的SSAD是一個「混合模型」(hybrid model):以集中管理方式接受揭露請求,但審核請求及揭露與否的最終決策由受理註冊機構(registrar)各自負責。

由於時程限制,EPDP第二階段依舊未能徹底研議所有預定討論的議題。有鑑於此,若干EPDP工作小組成員要求通用域名支援組織(Generic Names Supporting Organization,GNSO)理事會延伸第二階段,啟動第二階段A(EPDP P2A)流程。

EPDP P2A結案報告重點

EPDP P2A僅探討兩個議題:(1)是否應區分註冊人資料屬於法人或自然人,並揭露法人資料;(2)同一註冊人的多筆註冊資料採用同一筆匿名電子郵件信箱的可能性,以及相關政策建議。

EPDP P2A 工作小組已於今(2021)年9月2日完成結案報告並提交GNSO理事會。報告中提出四項建議,所有建議都獲得工作小組的共識支持[1]。以下簡要說明四項建議的重點:

  1. 必須(MUST)建立一個用以區分註冊人為法人或自然人,以及/或是顯示該筆註冊資料是否含有個人資料或非個人資料的欄位。ICANN ORG必須與技術社群協調合作,建立在RDDS中使用此欄位的必要標準。如合約方(Contracted Parties)[2]欲區分註冊人為法人或自然人,可以(MAY)使用此欄位。未來SSAD必須支援此欄位的應用。
  2. 欲區分註冊人為法人或自然人的合約方應(SHOULD)遵守下列原則:
    1. 註冊人應可自行選擇自然人或法人身分。
    2. 除非註冊人知情同意公開,或基於GDPR其他合法依據得以公開,否則必須確保公開RDDS中遮罩自然人資料。
    3. 建議受理註冊機構在RDDS、SSAD或內部資料庫,使用建議1中的欄位處理相關資料。
    4. 受理註冊機構須清楚說明法人與自然人的定義,確保註冊人了解自稱法人的代表意義及後果。
    5. 若註冊人自稱法人且確認輸入資料中不含個人資料,則受理註冊機構應在RDDS中公開此資料。
    6. 註冊人(資料主體)應能輕易修正任何可能錯誤。
  3. 未來ICANN內相關資料控制方(controller)與處理方(processor)在根據GDPR第40章建立行為守則(Code of Conduct)時,應將上述原則納入考量。
  4. 如合約方欲於公開RDDS中揭露假名化(registrant-based)或匿名化(registration-based)[3]的電子郵件信箱,應參考EPDP就此議題取得的法律諮詢建議,以及資料保護當局的相關指南。

EPDP P2A工作歷程

筆者身為EPDP P2A工作小組成員,認為結案報告執行摘要中〈主席的話〉不僅完整描述小組的工作歷程,也充分呈現小組在過程中遇到的挑戰。以下段落以〈主席的話〉為骨,筆者的參與心得為肉,希望讀者可藉此一窺自今年1月開始,為期8個月的EPDP P2A工作小組旅程。

EPDP第一、第二階段工作都極度勞心勞力,其中工作小組也面對無數挑戰與艱難的協商過程。鑑於前兩年的經驗,不免令人憂慮在這之後啟動的P2A,成員也難以達成任何共識。然而,隨著本工作劃下句點,我們還是成功就報告中的所有建議達成共識,雖然結果並非大家都完全認同的「全體共識」[4],但在小組成員立場迥異,以及缺乏實體會議、時程限制等諸多挑戰下,這樣的結果已足以感到驕傲。

如前所述,主席最終判斷報告中所有建議皆獲小組共識支持,此判斷也未受小組成員的強烈反對。然而,多方妥協的結果總是「最完美的不完美」,沒有任何一方會對結果完全滿意。有些成員仍堅持報告中建議的強度不夠,另一派則認為部分建議毫無必要。在最後一場會議中,也有成員主張他們只支持某些建議中的特定部分,對主席視所有建議為一體,直接判定整份報告具小組共識支持的決定頗有微詞。

也因此,若希望深入了解所有參與利害關係團體的完整立場,屆時報告發布後,請務必閱讀報告中來自各團體的〈少數意見聲明〉。

EPDP P2A是EPDP所有階段中,唯一因為全球疫情而無法舉辦實體會議的工作階段。缺少了面對面討論、協商的機會,對上這個不同團體立場涇渭分明、難以找到共同點的議題,對P2A的工作無疑是極大挑戰。主席在報告中也建議GNSO理事會未來規劃任何PDP時,必須審慎考慮缺少實體會議對政策工作的具體影響。

在P2A中,主席、副主席與ICANN ORG支援職員想到的補救方案,是在正式工作會議之外,另外舉行小型、僅限部分團體代表參與的私下討論會議。這些小型討論針對成員提出的痛點,或認為有折衷可能的議題,分別邀約團體僅一名代表出席發言(可另派一位代表列席旁聽),由具溝通協調專業的ICANN ORG職員主持,希望這些不錄音、不留存紀錄的私下小會議,可以多少彌補缺少實體會議中,休息時間閒聊或走廊上交流的遺憾。

在〈主席的話〉中,主席也解釋他最後做出「所有建議皆獲共識支持」判斷的原因。P2A接近尾聲時,小組成員的任務是審閱ICANN支援職員撰成的結案報告內容,並指出報告中「完全無法接受」的部分。最後兩週的4場工作會議中,我們逐一檢視並調整、修正這些段落,依序化解了所有「完全無法接受」的部分。雖然主席曾考慮過判斷為「全體共識支持」,但由於多數團體都已表示會提出〈少數意見聲明〉,而這也代表成員並不全然同意報告所有內容,因此主席最後仍判斷為「共識支持」。

RDDS爭議就此結束?

隨著P2A完成結案報告,這個因GDPR而起,雖名為「加速版」,卻連綿不斷持續了4年的政策發展流程,似乎也終將告一段落。然而,註冊資料目錄服務自過去便是充滿爭議的議題,主張應公開越多資料越好的一方,反覆強調註冊資料對執法、網路安全及保護使用者至關緊要;反對公開的合約方不願觸法;非營利團體則希望捍衛註冊人隱私。目標如此截然相反的對立,似乎永遠不可能取得各方皆滿意的折衷結果。

事實上,P2A就是部分團體不滿意第一、第二階段結果,爭取繼續討論特定建議的產物。而P2A的最終建議與原本建議本質上相去不遠,可想而知,原本要求啟動P2A的團體仍不會滿足。在P2A的多次工作會議中,部分團體就不斷提出「未來若特定法案通過應立即重啟EPDP」,或甚至直接建議繼續「第三階段」。另一方面,經GNSO理事會判定非屬EPDP工作範疇的註冊資料準確度議題,也已另外成立議題範圍界定小組,隱隱有下一個PDP出現的態勢。

EPDP P2A的結束,究竟是否代表ICANN內對註冊資料目錄服務的爭議及辯論就此結束?答案似乎不言而喻。

[1] 這裡的「共識支持」指「Consensus」。根據GNSO工作小組指導原則(Working Group Guidelines)第3.6節,Consensus的定義為「大部分同意,僅少數人不同意」。

[2] 指與ICANN ORG簽有合約的註冊管理機構(registry)及受理註冊機構。

[3] 工作小組在EPDP P2A中,使用「同一註冊人」(registrant-based)取代過去使用的「假名化」(pseudonymized),並以「同一註冊」(registration-based)取代「匿名化」(anonymized)。唯本文為方便中文讀者理解,仍使用「匿名化」及「假名化」。

[4] Full Consensus,意指「沒有任何人在最終檢視階段提出反對」。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

回到頂端