網域名稱註冊人資料隱私與安全難兩全?

作者:NII產業發展協進會
(本文為數位發展部委託計畫之產出)

自2018年歐盟一般資料保護規則(GDPR)施行後,為保護網域名稱註冊人個資以符合法律,完全公開任人自由查詢的註冊人資料(WHOIS)已成歷史。所謂的WHOIS其實就是註冊目錄服務(Registration Directory Service,RDS)資料的別稱。在GDPR實施前,任何人都可以透過公開查詢RDS內的資料,包括域名註冊人的姓名、電話、電子郵件和地址等個人資料。但是,這個公開註冊資料明顯違反 GDPR的規定,倘若提供公眾域名註冊服務的業者仍依過去方式揭露註冊人資料,恐將面臨高額罰款。

不過,問題不是只要將RDS關閉起來不讓公眾查詢就可以解決的,因為過去多年以來,包括警政機關、商標權擁有者等不同組織,都將RDS資料庫視為尋找網路詐騙/犯罪或侵權等違法行為可能來源者的管道,目的為提高網路安全及消費者/企業的信心與信任度。也因此,如何在確保註冊資料滿足網路安全、執法需求或智財保護等合法事由的同時,保護註冊人資料並避免觸法,也成為ICANN社群持續關注的議題。

在此挑戰下,負責全球網域名稱系統技術協調與管理的ICANN 組織在2018年發布《臨時條款》,規定與其簽約的域名註冊商,以及域名註冊管理機構(統稱「合約方」)必須遮罩大部分註冊人資料;與此同時,ICANN社群啟動政策發展流程,第一階段先針對臨時條款內容是否符合社群需求和期望,第二階段則希望建立一個「標準化資料存取/揭露模型(SSAD)」,來讓具合法事由的第三方要求取得註冊資料。

目前進展是,第一階段已開始實施,而第二階段的SSAD實施的前期評估工作已完成。原本許多人對SSAD的期望,是可以透過此模型驗證身份、證明自身合法目的,並取得需要的註冊資料。然而, SSAD實施前期評估的結果卻是,SSAD結構過於龐大複雜,涉及變數又太多,且難以預估未來使用人數,因此無法推算實際營運成本及預訂收費;此外,即便SSAD通過ICANN董事會決議,建置SSAD系統也預估還要額外的5至6年才可能完成,也加深了部分ICANN社群對SSAD提案可行性與未來發展的質疑。

不過,催生SSAD建立利害關係方之一的警政機關,是否真的會因為SSAD無法如期運作受到嚴重衝擊?內政部警政署刑事警察局的黃禎慶股長認為域名註冊資料對於犯罪偵察幫助有限,沒有決定性的影響,且還有其他管道可取得這些註冊資料。不過,警方蒐證當然都希望能取得越多證據越好,但網路犯罪的蒐證並不容易,就算取得犯案人電子郵件地址,也難以確認犯案人真實身分。在GDPR實施前的年代,即便當時的RDS(即WHOIS)全面公開,也是非常少的幸運機會才會發現多筆惡意域名來自同一人或集團的狀況。考量到目前RDS內註冊資料的正確性,其實有些警察機關已經不會把註冊資料作為搜集對象,更不要說未來ICANN建立的SSAD在使用上還要收取費用的情況下。

另一個可能受到衝擊的是侵權行為的追蹤。例如,從內容業者智財權保護的角度出發,可透過RDS查詢到侵權網站的註冊人聯絡方式,作為採取近一步措施的對象。不過,因為跨境網路侵權行為十分常見,取得註冊人資料也不見得能進一步採取行動。

也因此,社群中也有意見認為,雖然使用者付費為合理原則,不過未來SSAD資料查詢費用若都轉嫁使用者,恐怕也會變成花大把資源投入建置的系統乏人問津的結果。此外,未來SSAD使用者須先通過身分驗證才能使用的運作模式,在實踐上也會需要更長的時間來提前準備,因為每個國家的個資主管機關不同,也可能涉及多個機關,當各國政府要指定與ICANN溝通的單位時,也會需要在其國內先建立起自己的身分驗證流程並指定驗證負責機構。

不過,倘若複雜且看似不易實施的SSAD若真的能夠成功推行,或許可以讓全球的域名註冊商有統一可遵循的揭露個資指標。惟個資的跨境傳輸涉及法規繁雜,士林地方法院蔡志宏庭長則認為,ICANN未來提供SSAD仍有許多跨境個資跨境傳輸的相關法規要滿足,ICANN也無法藉此完全免除合約方在資料揭露上的法律責任,這些都是未來持續要面對的挑戰。

作者:NII產業發展協進會
(本文為數位發展部委託計畫之產出)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

回到頂端