2018年GDPR实施时,whois数据库的屏蔽引起了对互联网安全的很多担忧。为了解决在不违反隐私法的情况下获取非公开注册数据的问题,EPDP小组提出了一个复杂的系统,称为标准化非公开注册数据访问系统(SSAD)。但这个系统过于昂贵和复杂。因此,ICANN正在测试一个更简单的系统,称为注册数据请求服务(RDRS),它将用户与ICANN认证的注册商连接起来。
2018年5月17日,ICANN在GDPR生效前仅仅8天,通过了(不那么)临时规范,这引起了强烈抗议,认为whois数据库的屏蔽会使互联网变成无法管控的空间。虽然犯罪分子没有占领这个领域,但获取注册者详细信息的确是一项黑暗的艺术。每个注册商都按照自己的程序进行操作,并根据其自定义标准进行平衡测试,其谨慎程度各不相同。
为了解决这个问题,负责将临时规范转化为持久规则的EPDP小组试图设计一个标准化的非公开注册数据访问系统(SSAD)。该小组最初考虑了两种SSAD模型:
由于两种模型似乎都无法满足一个可信任系统的所有需求,因此小组提出了一个混合模型,其中请求被发送到一个集中的清算中心,然后由每个受托方根据适用情况采取行动、决策和披露所请求的信息。
这个提议在纸上看起来很令人满意,但是再次证明了Moltke the Elder的正确:“没有一项作战计划能够在第一次与敌人主力相遇后绝对确定。” 在这种情况下,敌人是开发和维护这样一个系统的成本。运营设计阶段的结果不言自明。
考虑到该系统的潜在用户(和成本承担者)的反应,ICANN明智地启动了一个测试阶段,使用一个被削减了的系统,称为注册数据请求服务(RDRS)。整个认证系统、用户类型、专用政策、注册商的SLA等都已经消失,如ICANN董事会在2023年2月27日的决议中所描述的那样;ICANN现在正在开发和推出一个“票务系统”。
该系统将把寻求非公开注册数据的请求者与相关的ICANN认证注册商连接起来。该系统不会向请求者提供注册数据、链接或访问注册数据的指令;所有请求者与注册商之间的通信和数据披露都将在系统外进行。参与的注册商将完全负责根据当地法律评估请求并决定是否披露所请求的数据。
ICANN计划在2023年11月推出该系统,并收集相关使用数据,以评估是否需要这样一个系统,更重要的是,是否需要将其扩展为一个更复杂、更繁琐的系统,正如2018年所设想的那样。
关于SSAD过于复杂和过度工程化的不确定性是不存在的;在全球范围内平衡保护个人数据和执法机构以及权利所有者识别域名注册者的需求,不是25个人 - 无论他们的资质如何 - 能够通过ICANN政策实现的。
但这并不意味着在披露程序方面存在一定程度的一致性和一些指导,以帮助合法的访问请求者识别适当的方发送披露请求是无用的。经过一些调整,这样的一个系统可能足以填补由于仓促屏蔽而产生的一些空缺 - 这就是为什么EuroDNS将参与这个测试阶段的原因。
总之,在2018年GDPR引发关注后,EPDP小组决定直面这个问题。他们计划设计一个标准化的非公开注册数据访问系统(SSAD)。他们尝试了几种不同的模型,但它们都非常复杂和昂贵。因此,ICANN决定测试一个简化的系统,称为注册数据请求服务(RDRS)。RDRS将连接需要注册数据的人和ICANN认证的注册商,然后由注册商根据本地法律决定是否披露信息。这有点像一个票务系统 - ICANN实际上不会提供数据,但他们会帮助你联系到合适的人。
ICANN计划于2023年11月推出RDRS并观察其是否值得扩展。域风网实际上正在参与测试阶段,所以我们很期待看看它的发展情况。总的来说,这是向使注册数据更易于访问同时仍保护个人数据的正确方向迈出的一步。
