互聯(lián)網(wǎng)資源管理機構ICANN 2018年第一次會議, 本周在波多黎各召開. 重頭戲是ICANN社群如何能在 5/25 之前, 搞定歐盟 GDPR 政策, 對域名注冊人信息揭露(簡稱 WHOIS)方式在商業(yè), 合規(guī)以及技術層面的影響。

GDPR 是歐盟針對個人隱私所制定的法案, 嚴格規(guī)定全球企業(yè)只要發(fā)生收集或處理歐洲個人信息時, 必須有一套高標準的保護與揭露方案, 不合規(guī)者歐盟將處以高達兩千萬歐元(或企業(yè)全球年營業(yè)額4%)的罰款。

域名WHOIS查詢系統(tǒng)的下一步

預料 WHOIS 的公布方式, 將遮蓋域名申請人的電郵, 街道地址等字段. 對于需要看到完整WHOIS 內(nèi)容的單位, 如各國公安, 律師, 互聯(lián)網(wǎng)安全服務業(yè)者, ICANN 將公布一個認證計劃(Certification Program)。只有通過認證計劃的單位能獲得完整WHOIS數(shù)據(jù)。

互聯(lián)網(wǎng)安全黑暗期

前述的認證計劃, 勢必無法于 5/25 成形, 許多非歐盟利益團體, 包含美國政府, 互聯(lián)網(wǎng)安全業(yè)者, 網(wǎng)絡品牌保護業(yè)者 (如 Brandma 中域國際), 認為這將導致權益所有者, 喪失了有效追蹤與聯(lián)系相關侵權人或犯罪嫌疑人, 導致維權工作更加困難。

營運與合規(guī)風險

ICANN并沒有說清楚其簽約方(注冊局Registry 和 注冊商Registrar)要怎么與認證計劃中的Clearinghouse 對接, 更沒有任何技術方面的討論或文檔. ICANN建議注冊商使用匿名郵件或在線窗體, 作為處理一般公眾對WHOIS信息請求的方式, 這將大幅提高的注冊商的營運與合規(guī)風險, 譬如: 1) 零售型注冊商如何處理一天可能上百萬次的請求? 2) 注冊商如何衡量請求者的理由是否正當 (legitimate purpose), 并合乎 ICANN合規(guī)組的要求?

搞定了歐盟, 接下來呢?

中國, 印度, 日本, 俄羅斯, 還有歐盟會員國各自的內(nèi)規(guī), 基本上是連環(huán)引爆的狀態(tài)。

擴展閱讀：滿足歐盟GDPR及域名WHOIS合規(guī)的三種模式。

gTLD vs. ccTLD

歐洲的ccTLD 都受到 GDPR 規(guī)范, 但不受 ICANN 限制. 德國的DENIC (.de) 已率先把公眾WHOIS關了, 而且大部份的歐洲ccTLD早已不揭露注冊人電郵. 歐洲的gTLD受 ICANN以及GDPR 雙重規(guī)范, 新規(guī)可能導致 gTLD 原來統(tǒng)一的 WHOIS 格式因地而異。 對于歐洲的域名注冊商, 可能反而因為新規(guī), 變成全球網(wǎng)絡犯罪者的避風港。

為域名WHOIS系統(tǒng)加油

在互聯(lián)網(wǎng)域名世界里, WHOIS域名查詢系統(tǒng)好比是一個二十歲的多病老人, ICANN想醫(yī)治, 想升級, 卻一直沒下定決心。 GDPR 沒讓WHOIS哥一了白了, 反而變成了加重病情的橋段. 連ICANN CEO馬躍然在周一的GDPR專題會上都開了個玩笑, 說GDPR是一只不針對ICANN / WHOIS, 但還是發(fā)病的病毒。

相關閱讀：

域名whois信息錯誤投訴流程

來源：譽名網(wǎng) http://www./news/viewnews-1991.html