ICANN vs Epag:全球首例GDPR法院裁决诞生

时间 : 2018-06-21 编辑 : DNS智能解析专家 来源 : DNS.COM
分享 : 

本想着GDPR首例诉讼案应当迟早会产生,但却没曾想却会来得这么快。就在GDPR生效当日,即2018年5月25日,原告互联网名称与数字地址分配机构(ICANN)向德国某法院提出了要求法院颁布初步禁令的动议,目的是为了禁止和其签署协议的德国域名注册服务机构EPAG拒绝根据协议收集域名注册人的个人数据。作为抗辩,被告EPAG在2018年5月28日迅速向法院提出了“对收集个人资料合同义务的初步禁令”《保护令》。两天后,即2018年5月30日,该德国法院就发布了《关于申请初步禁令的法院命令》法院裁决,驳回了原告互联网名称与数字地址分配机构(ICANN)的禁令申请。2018年6月13日,原告提出了上诉,目前该案正处上诉阶段。



1


原告ICANN认为,ICANN的使命是帮助确保稳定、安全和统一的全球互联网,帮助协调和支持全球用户对域名注册人的个人注册数据进行公开查询。而开放准确的whois系统,就能让网络世界用户找到域名所有者信息。


1


所谓whois,顾名思义即“Who is”,是“用来查询域名的IP以及所有者等信息的传输协议,我们平时查询域名时都会用到。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库”。ICANN要求WHOIS信息在域名的整个注册期间必须是准确无误的。2014年初,ICANN要求像EPAG这样的德国域名注册服务机构签署了新的《2013注册商授权协议(RAA)》,注册商需要对某些WHOIS数据进行验证与核实。其实,这不仅只是信息查询的需求,在当年美国商务部将域名分发系统转移给互联网名称与数字地址分配机构(ICANN)时,ICANN就向美国政府承诺“保证公众及时和不受限制地获取准确和完整的WHOIS信息,包括注册人、技术信息、收费信息和行政联络信息。


1


所以,基于此,原告ICANN会通过协议安排,要求被告履行协议对注册人个人信息的收集的合同义务,即收集域名管理联系人(Admin-C)和技术联系人(Tech-C)的个人数据,其中包括注册名称、注册的主名称服务器和辅助名称服务器的名称、注册服务商的身份、注册的原始创建日期、注册到期日期,以及注册人姓名名称、 邮寄地址、电子邮件地址、语音电话号码以及传真号码(如果有)等。


原告认为,原告要求被告收集个人数据的行为符合GDPR的要求,如根据GDPR第6条1(a),数据的收集获得了数据主体的同意,根据GDPR第6条1(b),原告认为数据处理的合法性在于其处理数据是履行合同的必要条件,同时,根据根据GDPR第6条1(f),数据处理是为实现控制者或者第三方所追求的合法利益所必需的,因为原告要求收集的“这些数据是消费者保护,网络犯罪调查,DNS滥用,知识产权保护和执法的合法目的所需要的”。


但被告,德国域名注册服务机构EPAG却要求在GDPR正式实施后拒绝根据合同继续收集,甚至意图为用户提供个人数据删除服务。被告认为,原告通过签署的合同要求其收集该类个人数据显然已经违反了欧盟的“通用数据保护条例”(GDPR),例如GDPR第5条第1(c)规定了个人数据收集的最小化原则,收集的个人数据必须是充分、相关并且应限制于为实现该个人数据处理目的所需的最小限度内,而原告却要求被告尽可能多的收集了信息,不符合最小化收集原则;同时,被告认为,GDPR第25条要求服务和产品按照“隐私默认”和PbD原则设计,这些原则都受到了申请人合同义务的侵犯。


在本案中,原告试图通过提出禁令来告诉被告不要害怕GDPR,因为原告要求收集个人数据的行为本身就是符合GDPR的,但被告显示不愿上当,EPAG坚信这种收集行为早就违反了GDPR,其担心在执法行动中获得巨额罚单。最终,初审法院德国波恩法院驳回了原告的请求,同意EPAG收集此类数据将违反GDPR的理由。


从本案可以看出,GDPR在全球范围内将引发诸多的争议和理解偏差,就连域名注册世界也受到了巨大的冲击,不同主体对同样的条款出现了不同的判断。


当然,ICANN也一直在GDPR的合规道路上作了很多工作,这些工作都值得域名服务商借鉴,包括:

1.发布新的《隐私政策》、《服务条款》以及《Cookie 政策》;

2.并通过弹窗消息、标语等形式通知用户,在《新 GTLD 项目个人资料隐私声明》中,其条款明确“参与本项目通常会涉及收集和使用您的个人信息。ICANN 组织收集的个人信息包括全名、邮政地址、电话号码、电子邮箱。此个人信息会被用于本项目的最初处理和管理。此信息还将由 ICANN 组织、其服务提供商和代理使用,以便为本项目提供一般支持服务”;

3.在域名服务领域,经过认证的域名注册商仍然要继续收集信息,但不应在WHOIS中进行公开并不应将个人信息对外披露展示;

4.对个人资料的处理方式也进行内部调整,包括与供应商签订数据处理协议和推出各种人事政策。


来源:文/麻策律师

提示

根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《DNS.COM账号实名认证公告
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。

去实名