ICANN域名政策进展及对我国域名行业影响.docx

? ? ICANN域名政策进展及对我国域名行业影响 ? ? 互联网名称与数字地址分配机构（ICANN）作为全球互联网IP地址和域名资源的分配和管理机构，是国际多利益攸关方共同参与互联网域名系统根区管理、互联网协议（IP）地址空间分配、协议标识符指派及与域名和IP地址管理相关政策制定的核心平台。我国作为互联网大国，域名行业从业主体众多，ICANN域名政策变化对国内从业机构在提供域名注册服务和开展国际业务合作等方面具有重要影响，应当密切关注。 一、背景介绍 欧盟的《通用数据保护条例》（GDPR）于2018年5月正式实施。GDPR自出台以来在世界范围掀起了个人数据保护的浪潮，并成为全球个人信息保护的事实标杆。GDPR明确提出，欧盟公民拥有对自身数据的知情权、访问权、更正权、被遗忘权、限制处理权、反对权等数据权利；同时，沿袭欧盟1995年颁布的《个人数据保护指令》中关于“处理者”和“控制者”的区分，强调在处理个人数据时，例如涉及欧盟公民或数据处理相关方在欧盟境内设有实体，均须遵守GDPR有关个人数据保护的要求。 （一）GDPR要求保护域名注册相关的个人信息，与ICANN域名政策产生冲突 GDPR关于保护欧盟公民个人数据权利的要求与ICANN过去长期实施的全球域名政策存在冲突，涉及的主要环节包括域名注册、域名转移、后台托管、数据托管、数据报送、注册数据查询服务等。根据GDPR要求，各相关主体在开展上述环节活动时，如涉及对欧盟地区域名注册人（自然人，含管理/技术联系人）隐私数据的收集、存储、转移、公布等，应明确获得其同意。GDPR虽为欧盟区域性法规，但是，其中有关“域外治权”的条款不仅对欧盟区域内域名行业从业机构具备效力，也对欧盟区域外的从业机构具有广泛影响，因此，迫使ICANN对其国际域名政策进行调整。 （二）ICANN作出临时政策调整应对GDPR生效并加速推进合规政策制定 ICANN于2017年下半年成立专门工作组，开展GDPR合规相关问题研究工作，并于2018年2月提出注册数据分层访问的创新机制。该创新机制的核心是通过建立数据访问“认证机制”，分类、分层进行访问授权（目前这一授权机制仍在制定当中），而在通过认证之前，用户可通过使用在线信息申请表、匿名邮件地址等方式与域名注册人或联络人取得联系，获取非公开的注册信息。然而，经过多番尝试，ICANN社群未能在GDPR生效前就合规政策和非公开注册数据（即受GDPR保护的个人相关注册数据）访问机制达成共识。 因此，ICANN于2018年5月在GDPR正式生效前，宣布实施《通用顶级域（gTLD）注册数据暂定细则》。《暂定细则》纳入注册数据分层访问机制，并遵循GDPR在保障域名注册人的知情权以及维持数据处理记录等方面严格要求。同时，ICANN根据《暂定细则》对《域名注册管理机构协议（RA）》与《域名注册服务机构认证协议（RAA）》中的相关条款进行了修订和更新，主要变动包括：一是减少公开注册数据对域名注册人个人信息的展示；二是域名注册管理机构和域名注册服务机构仍需完整收集相关的域名注册信息；三是对非公开的注册数据采取分层访问机制，只有各国执法部门、知识产权机构等合法权益主体才可向域名从业机构申请访问完整数据，且需通过必要的认证机制获取访问权限等。 为加速推动合规政策的形成，ICANN于2018年7月启动“gTLD注册数据暂定细则加速政策制定流程”（Expedited Policy Development Process on the Temporary Specification for gTLD Registration Data，EPDP）工作组，要求工作组分两个阶段开展工作，首先考虑在GDPR以及其他隐私和数据保护法律法规合规的情况下，暂定细则是否可以直接升级为ICANN的正式政策并提出建议，而后，制定非公开注册数据标准化访问机制。 （三）ICANN启动WHOIS替代协议部署和访问非公开注册数据的技术研究 WHOIS协议源于阿帕网（ARPANET）时期研制的目录服务协议，其存在的安全性等问题在GDPR之前便引起了ICANN社群广泛关注和讨论，并最终推动在互联网工程任务组（IETF）框架内形成注册数据访问协议（RDAP）。与WHOIS协议相比，RDAP在注册数据查询的准确性、规范性、安全性、一致性等方面具有显著优势，同时提供分层访问机制，与GDPR合规需求相契合。基于RDAP协议，ICANN机构于2018年8月发布用于指导各域名从业机构实施RDAP服务的配置文件，并接受公众评议。 为与欧盟数据保护机构就数据处理合规问题开展沟通提供参考，ICANN总裁于2018年10月任命全球第二大域名注册机构Afilias的首席技术官Ram Mohan牵头成立技术支持工作组（TSG），负责研究ICAN