難以跨越的目的門檻? — 談WHOIS 資訊蒐集目的如何符合GDPR
本文作者為 Henry Tsai,原文刊登於 TWIGF 於 Facebook 社群。
ICANN為使網際網路向來提供的WHOIS查詢服務,能夠符合GDPR規範,於今年(2018年)3月8日提出關於GDPR之ICANN契約及政策合規過渡方案(下稱「合規方案」)。合規方案在標題就註明只是工作草稿、有待後續討論,意思是往後仍有可能調整變動,但其實也在測試歐盟對於合規方案的態度。歐盟W29個資保護工作小組(下稱W29小組)主席Andrea Jelinek 就於今年4月11日致函ICANN執行長Marby ,表達工作小組對於合規方案的意見。信中雖然對於合規方案,改採部分WHOIS資訊不公開模式表示歡迎,但也另外提出附件,詳列GDPR合規方案的諸多適法性疑慮。附件開頭就對於WHOIS資訊的蒐集目的,提出了質疑。
GDPR第5條1.(b)節規定:個人資料之蒐集應基於特定、明確、正當之目的。為此合規方案努力地於7.2.1.2節洋洋灑灑地列出WHOIS系統的十大建置目的,包括:1) 讓域名註冊資訊,可供正確、可信及統一之正當利用;2) 對於辨別並聯繫域名註冊人,提供可信賴機制;3) 在域名註冊人請求下,公開域名的技術及行政連絡窗口;4)提供合理精確及時之域名技術及行政連絡窗口;5)支持處理域名註冊衍生爭議之架構,其有關爭議包括但不限於:消費者保護、網路犯罪調查、域名系統濫用及智慧財產權保護;6) 提供處理適當執法需求之架構;7) 促進網際網路使用者利用有關通用頂域之根域檔案;8)在發生相關企業、技術問題或域名註冊商、域名註冊管理機構無法提供服務時,提供保全域名註冊人註冊資料之機制;9)整合協調有關域名之特定爭議的紛爭解決服務;10)處理域名註冊商、註冊管理機構、註冊人及其他網際網路使用者所提出的履行契約請求。
然而,合規方案的努力,W29小組並不滿意。在前述的附件中,W29小組特別指出:「個資控管者對於個資處理目的的設定,必須要詳細到足以判斷何種個資處理可以納入或不能納入,而且要讓合規性可以被評估,以及個資保護機制可以適用。」、「並非合規方案中所列舉的目的都符合以上要求。例如:『讓域名註冊資訊,可供正確、可信及統一之正當利用』,就不符合GDPR的明確性要求。因為從此項目的根本看不出來甚麼樣的個資可以被納入或不能納入,也無法就其利用時究竟有無合乎目的進行相容評估。」此外,W29小組對於合規方案所列之目的中,使用「包括」一詞,也認為有違明確性規定。最後,恐怕也有相當爭議的是,W29小組認為ICANN還應該確定WHOIS的設置目的是否符合ICANN自己的組織設立目的及權限,至於其他第三方所追求的目的,不應當做ICANN自己追求的目的。
W29小組雖然沒有明說「到底什麼是其他第三方追求的目的」,但W29小組所引述有關ICANN的組織目的與權限為:「協調整合網際網網路單一指示系統之穩定運作」;言下之意,似乎對於十大建置目的中有關網路犯罪調查、智慧財產權保護等涉及第三人利益之事項,有所質疑。然而,ICANN從本身建置開始,就以多方利益參與為其目標承諾,其中商業參與者、公民社會、技術社群,依ICANN Bylaw1.2(a)(iv) 均明列於其多方利益參與者之一,這使得ICANN自始就以兼顧多方利益需求平衡為其運作模式。這樣是否還必須將ICANN的組織目的狹隘地限定在網際網路指示互連事宜,而不能擴及其他公益事項,實不無疑問。尤其是WHOIS資訊蒐集目的,如果一開始就被認定不符合GDPR規定,可能導致後續的所有處理都難以合法。其影響所及,非同小可。ICANN轄下的智慧財產團體(Intellectual Property Constituency)即對此表達強烈的不同意見。ICANN也罕見地在獲得W29小組意見的隔日(2018年4月12日)就發布回應新聞稿表示:不排除在歐盟採取法律訴訟,以釐清其對於全球重要資訊資源的整合協調權責。
GDPR的生效實施在即,究竟ICANN有沒有辦法在此之前,成功跨越目的門檻,提出歐盟可以接受的合規解決方案,全球網民都在屏息以待。
