去年12月底,歐盟通過第二版網路與資訊系統安全指令(Directive on Security of Network and Information Systems,NIS 2 Directive),為提高網路和資訊系统的安全性。
指令中包含,所有註冊商和註冊機構都需蒐集和保存完整的域名註冊者的詳細資料,也就是「thick WHOIS」,NIS2要求ICANN盡快完成拖延已久的「thick WHOIS」政策實施。
「Thick WHOIS」是由ICANN社群制定的共識政策,ICANN董事會於2014年採納。不過,ICANN 董事會通過了決議,允許推遲五次執行.COM、.NET和.JOBS 有關的「thick WHOIS」,而這決議沒有具體的延期結束時間。
ICANN於2018年通過了《WHOIS臨時規範》,並啟動了加速政策制定流程(Expedited Policy Development Procedure,EPDP)。當EPDP第一階段結束時,ICANN董事會基於通用資料保護規則(General Data Protection Regulation,GDPR),要求EPDP第二階段應確定該政策是否需修改。EPDP第二階段結果表示“thick WHOIS”不是需要修改的政策。
雖然結果表明「thick WHOIS」不需要修改,但仍有一些人試圖通過非正當手段取消「thick WHOIS」。
這些陰謀以及無限期的延期,讓歐盟政策制定者透過政府法令進行干預以完成「thick WHOIS」,這就是NIS2的目的。為了促進DNS的安全、穩定和彈性,歐盟成員國應要求頂級域名註冊管理機構和提供域名註冊服務的機構,完整的蒐集註冊人資料,並基於GDPR維護域名註冊資料庫。
NIS 2第28條明確表示,關於域名註冊資料隱私與GDPR相關疑問。強制要求機構使用「thick WHOIS」且需更加準確完整,並且要求公開資料庫的存取權限,允許第三方合法存取。ICANN應認識到「thick WHOIS」政策的重要性、承認沒有任何障礙會阻止其實施,並立即採取行動,對所有通用頂級域名註冊機構實施和要求「thick WHOIS」,以免違反具有法律效力的NIS 2。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Dean Marks(2023). NIS2, ICANN and “Thick” WHOIS: A Mandate to Move Forward. CircleID. 檢自: https://circleid.com/posts/20230111-nis2-icann-and-thick-whois-a-mandate-to-move-forward (Jan. 23, 2023)
