台灣網民Whois查詢受GDPR之可能影響

“Coin operated tower viewer at the pier overlooking sand beach coastline at Balboa Beach” by Kyle Popineau on Unsplash

一、 何謂whois資料庫?

Whois是Internet創立時就有的產物，歷經1998年ICANN成立後持續要求提供whois資料庫供註冊人、執法單位、智財及商標權人、企業及個人使用者查詢服務。Whois 資料庫分為兩類，一為 IP 位址註冊資料庫，一為網域名稱註冊資料庫。Whois 資料庫係由各網域名稱及 IP 位址管理及發放機構，要求註冊人註冊時所提供建置，其蒐集方式通常是透過與申請註冊者簽訂契約書，同意使用者對於特定網域名稱之申請使用時，要求註冊者須先提供相關註冊資訊，同意各該網域名稱註冊管理及發放機構將其註冊資料納入其Whois 資料庫中，並且公開於網際網路上，供公眾以網域名稱或 IP位址等方式查詢各該網域名稱及 IP 位址註冊者之相關註冊資料。

因此公眾查詢註冊者之相關註冊資料時，只要至各該註冊管理機構之Whois 資料庫鍵入一定之相關文字或數字，Whois 資料庫即會提供於該註冊管理機構註冊者中，與該筆查詢相對應之註冊者資訊，該等資訊可能包含網域名稱、IP 位址、聯絡電話、聯絡地址及電子郵件地址等資訊。

Whois 資料庫之建置原始目的可分為三個部分，第一部份為網域名稱及 IP 位址註冊之管理目的，第二部分則為對網路犯罪之打擊、消弭及預防。第三部份則為網路上發生爭端之解決。當然ICANN對nGTLD合約、及對ccTLD有實務共識政策之相關要求，亦會影響whois訊息之揭露政策與方式。目前一般查詢whois之公開顯示資料如下:

Nokia.com.tw 的whois查詢資料

2018.05.25 GDPR實施後，可能就無法公開上述如此完整的whois資訊了。

二、受歐盟GDPR影響，ICANN發布 GDPR/Whois過渡方案

2018年3月8日 ICANN 發布GDPR/WHOIS過渡方案（cookbook），大致上的方案如下(本部分主要參考NII內部研究分析資料):

1. 資料蒐集、處理，及儲存

Registrar 向註冊人蒐集資料 → 完整WHOIS資料。

自 Registrar 至 Registry間資料移轉 → 蒐集WHOIS資料完整移轉。

資料移轉至資料代管方 → 蒐集WHOIS資料完整移轉。

資料保存時限 → 註冊終止後保留2年(但歐盟境內Registrar可選擇不履約)。

2. 適用範圍

歐盟內適用 vs. 全球適用 → 歐盟內適用。非歐盟內且未蒐集、處理、儲存歐洲經濟區公民/ 境內居留人個資之Registry/Registrar，可於與ICANN簽約時，決定是否適用此條款。

僅限自然人 vs.自然人與法人皆適用 →自然人與法人將一律適用過渡方案。

3. 分層權限：公開 WHOIS

註冊人姓名是否公開？ → 僅公開註冊人的組織名稱。

註冊人地址是否公開？ →僅公開註冊人所在國家省分或州別。

註冊人電子郵件是否公開？ →以匿名信箱或網路表格取代。

註冊人電話、傳真否公開？ →否

管理者及技術聯絡人的姓名、地址、電話否公開？ →否

管理者及技術聯絡人的電子郵件是否公開？ →以匿名信箱或網路表格取代。

受理註冊機構須提供註冊人自願提供上述非公開資訊的選項 →是

4. 分層權限：非公開 WHOIS

是否採「自我認證」存取非公開WHOIS？ →否

是否採「認證機制」存取非公開WHOIS？ → 政府機關：由各國提供GAC可擁有存取權限的執法機關或其他政府機關之清單。非政府機關：ICANN org 諮詢GAC及article 29小組後，制定相關認證標準及行為守則。

ICANN過渡方案仍再與負責歐盟的DPA(Data Protection Agency)的Article 29小組協商，尚未最後定案。不過大致上上述公開whois、非公開whois之分層權限概念應該是無法避免，未來在whois的顯示方面會更為受限，並會提供資料主體(註冊人)更多選擇開放那些欄位之自主權。

三、ICANN 社群中各利害關係團體的不同意見

從網路歷史觀之，各不同社群對whois資料的開放，就都持有不同意見。現在各不同社群對GDPR受Whois政策影響，到底要何去何從的因應上，亦有不同的看法:

1. Registries / Registrars

GDPR直接關係者：若違法，可依GDPR 判罰。保守作法是寧可違約，不願違法（如：Afilias自5月25 日起將全面遮罩註冊人資料）。

2. 政府諮詢委員會 (GAC)

強調公開WHOIS資料對犯罪防治/消費者保護的重要性。反對遮罩註冊人個人e-mail；建議區分自然人/法人；應盡可能保留現行WHOIS。

3. 非商業使用者團體 (NCSG)

強調保護個資與保護使用者人權的重要性（例：維權團體個資若透過WHIOS被暴露，可能遭致殺身危機），贊成遮罩註冊人個人e-mail； 反對區分自然人/法人；應修正WHOIS以符合個資保護法規。

4. 智財團體、商業團體

強調公開WHOIS資料對智財保護/網路安全的重要性。反對遮罩註冊人個人e-mail； 建議區分自然人/法人；應盡可能保留現行WHOIS

四、各Registries/Registrars已經有諸多分岐作法

1. GodaddyGoDaddy : 提供網域隱私保護之選擇，包括若他人在 WHOIS 中搜尋您的網域時，可將您的個人資訊以 Proxy 資訊取代 。在這種情況下，您的網域名稱依然為自己所有，但是其他人將不能透過簡單的 WHOIS 查閱來探索您的個人資訊。

2. Aflias: 將最小會whois顯示資料，Afilias 於 4月3日寄給 registrars
的訊息內容如下:

3. 奧地利.AT 域名的 WHOIS 政策變動

身為歐盟會員國，奧地利的 ccTLD 註冊管理機構（.AT）宣佈了 WHOIS 政策變動。「雖然註冊人在註冊域名時仍須提供相關資料，但若註冊人為 自然人，其資訊將不會再顯示於公開 WHOIS」。5 月 GDPR 正式生效後，自然人註冊人的公開 WHOIS 資訊中將只會顯示受理註冊機構的聯絡方式，及其他技術性資訊。未來，若有任何第三方想要取得非公開的 WHOIS 資訊，都必須證明自己有合法的合理事由。關於域 名可使用性的搜尋及資訊，則不會有任何變更。

五、我國whois目前作法

負責.tw域名註冊的TWNIC，其網域名稱註冊管理業務規章第九條: 「本中心為業務之需要，得依電腦處理個人資料保護法及相關法令規定使用客戶在本中心登記之資料。 客戶同意依本中心所定規則，將客戶於申請書所載資料加入WHOIS資料庫中，供網路上之查詢」。3月29日TWNIC公告 因應歐盟General Data Protection Regulation (英文簡稱: GDPR，中譯: 個人資料保護規則)之施行，自2018年4月25日起針對歐盟地區註冊人之WHOIS查詢結果顯示將進行可能之必要遮罩處理。 必要遮罩到底遮了哪些訊息，TWNIC並未更進一步公開或說明。

TWNIC網站中顯示Whois資料公開設定選項，說明中指出註冊人有權選擇部分資料是否提供外界查詢。而這只是指在TWNIC註冊域名的才算，不包括在其他.tw的registrars的註冊人。再前往HiNet的註冊畫面中查看，僅顯示同意或不同意顯示中文資料，再也無其他選項了。顯然TWNIC在Whois上可能缺乏政策或與各registrars缺乏政策一致性。

TWNIC提供Whois資料公開設定圖示

HiNet 網域名稱註冊資訊圖示

六、結論與建議

以前Whois全面開放公開查詢，全球開放政策幾乎一致。ICANN因應GDPR之過渡方案中，公開查詢部分已預設需要遮罩諸多欄位資料。如造成歐盟與其他各國之Whois開放政策混亂(不一致)，致使對whois的資訊查詢完整性、查詢時效及公信力造成影響，其衍生的可能相關影響非常巨大的。

(1) 受Whois查詢項目多寡而影響者要預為因應

雖然具公權力的法務機關過去及未來皆仍可發文函索完整whois資料，但不知有多少過去仍大量依公開的whois查詢，完成初步查詢需求之作業(包括網路犯罪、智財權保護、消費者保護等)，在遮罩後即無法第一時間進行，必須仰賴後續之發文取得，在時效上會有很大影響。非政府機關如人權保護社群、NGO防範網路霸凌及private sectors之網路詐騙、假新聞自律規範等，甚至無法發文取得比較完整的whois資料，其相關影響將更為巨大。而且從一般使用者持查詢觀點來看，不只.tw/.taipei的whois，而是全球所有ccTLD、gTLD的whois查詢項目，近期都會逐漸有被遮罩的傾向，甚至可能會呈現混亂的不一致現象。

(2)TWNIC whois政策在完整性、一致性、透明性方面可再加強

受GDPR影響，Whois之政策包括whois資料項目分層權限之顯示或提供，究竟該如何實施，是遵循GDPR或僅遵循各國個資法，其中所收集跨國知這冊人資料，例如TWNIC收集歐盟成員國之註冊資料，雖然TWNIC已公告對歐盟註冊人資料，將作必要遮罩處理，但是否僅作遮罩處理即符合GDPR規範仍有進一步研究之必要。另本國人如TWNIC網站上所宣示，註冊人有權選擇部分資料是否提供外界查詢，亦有遮罩之同樣功能(各registrars做法不一)，TWNIC在Whois政策方面，過去尚無完整地對外公布與說明，其 whois政策在完整性、一致性、透明性方面，建議可依社群多方利害關係人參與模式予以強化。

參考資料:

1. ICANN whois過度方案，Interim Model for Compliance with ICANN Agreements and Policies in Relation to the European Union’s General Data Protection Regulation — WORKING DRAFT FOR CONTINUED DISCUSSION，https://www.icann.org/en/system/files/files/gdpr-compliance-interim-model-08mar18-en.pdf
2. nic.at announces changes in public WHOIS system for .at domains，https://www.nic.at/en/news/press/nicat-announces-changes-in-public-whois-system-for-at-domains
3. Godaddy public whois與Private whois差異，https://www.domainsbyproxy.com/PublicVsPrivate.aspx
4. 財團法人台灣網路資訊中心因應GDPR之WHOIS服務調整公告，https://blog.twnic.net.tw/2018/03/29/749/