周 恒

(湖南省社會科學院 長沙 410003)

我國《個人信息保護法(草案)》第40條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者有義務(wù)將在中華人民共和國境內(nèi)收集與產(chǎn)生的個人信息存儲在國內(nèi)；如需向境外傳輸，有義務(wù)接受國家網(wǎng)信部門組織的安全評估或管理。這一條延續(xù)了《網(wǎng)絡(luò)安全法》第37條的文本表述。目前，我國尚未公布“關(guān)鍵信息基礎(chǔ)設(shè)施”的界定標準，但學界通常將關(guān)鍵互聯(lián)網(wǎng)資源(IP編碼、域名系統(tǒng)和根區(qū))作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施之一[1]?；ヂ?lián)網(wǎng)號碼分配機構(gòu)(Internet Assigned Numbers Authority,常見簡稱IANA)掌握著全球互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)資源以及根服務(wù)器系統(tǒng)，與互聯(lián)網(wǎng)基本功能的運轉(zhuǎn)息息相關(guān)，是互聯(lián)網(wǎng)與萬維網(wǎng)賴以存在的基本元素，理應(yīng)屬于《個人信息保護法(草案)》與《網(wǎng)絡(luò)安全法》中“關(guān)鍵信息基礎(chǔ)設(shè)施”概念的涵攝范圍。

國內(nèi)早有學者呼吁對以互聯(lián)網(wǎng)號碼分配機構(gòu)為代表的關(guān)鍵互聯(lián)網(wǎng)資源進行治理的主張[2-4]，但過往國內(nèi)學者關(guān)于互聯(lián)網(wǎng)號碼分配機構(gòu)的探討大多局限于互聯(lián)網(wǎng)號碼分配機構(gòu)整體治理進行討論，很少有針對其中存在的具體政策議題展開討論[5-7]，不多的討論也大多停留在簡單的功能介紹[8]。事實上，由于互聯(lián)網(wǎng)發(fā)展歷史與國際政治等因素，互聯(lián)網(wǎng)號碼分配機構(gòu)長期被美國所控制，我國并不能對此展開有效規(guī)制。

2016年4月14日，歐洲議會正式通過《通用數(shù)據(jù)保護條例》(GeneralDataProtectionRegulation，GDPR)。歐盟以此為依據(jù)，自2017年起對互聯(lián)網(wǎng)號碼分配機構(gòu)進行規(guī)制，取得良好效果，國外有部分學者已經(jīng)對歐盟的有關(guān)規(guī)制活動有所介紹[9-10]。對歐盟有關(guān)規(guī)制實踐的考察，或可為我國未來《個人信息保護法(草案)》以及《網(wǎng)絡(luò)安全法》在相關(guān)領(lǐng)域的規(guī)制提供參考。

1 當前IANA治理中的個人信息保護隱患與成因

1.1 IANA治理現(xiàn)狀中的個人信息保護隱患互聯(lián)網(wǎng)號碼分配機構(gòu)控制著兩大互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)信息設(shè)施，一是最頂層的IP地址分配系統(tǒng)；二是整個國際域名系統(tǒng)。這意味著國際互聯(lián)網(wǎng)最核心的根區(qū)與根服務(wù)器也同時受到互聯(lián)網(wǎng)號碼分配機構(gòu)的控制。根區(qū)中存儲著國際域名系統(tǒng)中所有頂級域的名稱和IP地址的列表?；ヂ?lián)網(wǎng)名稱和數(shù)字地址分配機構(gòu)(Internet Corporation for Assigned Names and Numbers，以下簡稱ICANN)目前是互聯(lián)網(wǎng)號碼分配機構(gòu)的實際運營者[11]。

正因為ICANN掌握著互聯(lián)網(wǎng)號碼分配機構(gòu)的控制權(quán)，無論ICANN有意或是無意，都已成為全球互聯(lián)網(wǎng)治理的核心與焦點[12]?；诨ヂ?lián)網(wǎng)服務(wù)可持續(xù)性的理由，ICANN要求全球所有通用頂級域的注冊管理機構(gòu)、注冊服務(wù)機構(gòu)將域名的注冊信息傳輸至ICANN所指定的數(shù)據(jù)托管服務(wù)機構(gòu)[13]。

出于知識產(chǎn)權(quán)等法定權(quán)益保護的考慮，ICANN在其官方網(wǎng)站上提供域名注冊信息的查詢服務(wù)。在2018年5月25日前，任何人都可以在ICANN的WHOIS查詢系統(tǒng)中，獲得關(guān)于某個域名的共計22種信息，即：域名、域名賬戶(域名ID)、WHOIS 服務(wù)器、參考網(wǎng)址(URL)、更新日期、創(chuàng)建日期、注冊管理機構(gòu)到期日期、所屬注冊服務(wù)機構(gòu)、所屬注冊服務(wù)機構(gòu) IANA賬戶(IANA ID)、域名狀態(tài)、注冊人賬號(ID)、注冊人名稱、注冊人組織、注冊人地址(國籍、省、市、街道及郵編)、電話、傳真、郵箱、注冊人管理聯(lián)系人的上述信息、注冊技術(shù)聯(lián)系人的上述信息、域名服務(wù)器信息、域名系統(tǒng)安全擴展(DNSSec)信息、WHOIS數(shù)據(jù)庫更新信息?！?/p>

關(guān)于域名的最常見應(yīng)用之一就是網(wǎng)站，而ICANN全面提供22種關(guān)于域名的信息的查詢，就意味著全球通用頂級域上網(wǎng)站的實際控制人的有關(guān)信息均處于公開披露狀態(tài)。其中，注冊人名稱、組織、地址、電話、傳真、郵箱在傳統(tǒng)上都被認為屬于個人信息。這些信息的收集、處理與存儲也就應(yīng)當遵循我國《網(wǎng)絡(luò)安全法》以及未來《個人信息保護法》的有關(guān)規(guī)定。

1.2《個人信息保護法(草案)》與IANA治理的潛在沖突目前，我國現(xiàn)行法在個人信息保護議題上與當前互聯(lián)網(wǎng)號碼分配機構(gòu)的運行現(xiàn)狀可能存在兩大沖突之處：一是個人信息數(shù)據(jù)境外傳輸?shù)膯栴}；二是互聯(lián)網(wǎng)號碼分配機構(gòu)運營者對個人信息使用的問題。

首先，關(guān)于個人信息數(shù)據(jù)向境外互聯(lián)網(wǎng)號碼分配機構(gòu)運營者傳輸?shù)膯栴}，我們還存在立法空白。目前《個人信息保護法(草案)》第40條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者有義務(wù)將中國境內(nèi)收集的個人信息存儲在境內(nèi)，確需向境外提供的應(yīng)遵準網(wǎng)信部門的安全評估，或者遵循法律和行政法規(guī)規(guī)定的例外。這一條延續(xù)了我國《網(wǎng)絡(luò)安全法》第37條的有關(guān)規(guī)定。然而事實上，我國尚未公布與互聯(lián)網(wǎng)號碼分配機構(gòu)有關(guān)的個人信息和重要數(shù)據(jù)向境外提供的具體指引規(guī)則。目前，《中國互聯(lián)網(wǎng)域名管理辦法》第21條僅要求中國境內(nèi)的域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)在中國境內(nèi)設(shè)置相應(yīng)的應(yīng)急備份系統(tǒng)并定期備份域名注冊數(shù)據(jù)，并沒有提及相關(guān)數(shù)據(jù)向境外傳輸?shù)膯栴}。

其次，目前我國《個人信息保護法(草案)》中確立的個人信息保護標準還相對粗糙，缺乏對互聯(lián)網(wǎng)號碼分配機構(gòu)運營者進行規(guī)制的準確指引。我國《個人信息保護法(草案)》第38條規(guī)定了個人信息處理者因業(yè)務(wù)需要向境外提供個人信息所需滿足的三種情形。目前互聯(lián)網(wǎng)號碼分配機構(gòu)的治理模式是一種基于私法“合同”關(guān)系的多利益主體模式[14]。換言之，互聯(lián)網(wǎng)號碼分配機構(gòu)運營者是通過與域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)簽訂合同的方式來運轉(zhuǎn)整個域名系統(tǒng)的治理。前文已經(jīng)提及，在相關(guān)合同中ICANN要求中國的域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)向其傳輸有關(guān)域名數(shù)據(jù)。因此，對互聯(lián)網(wǎng)號碼分配機構(gòu)運營者的規(guī)制可能應(yīng)按照《個人信息保護法(草案)》第38條中第3款的范式展開。

按照這一范式，則ICANN有義務(wù)在其制定的“注冊管理機構(gòu)協(xié)議”(Registry Agreement)、“注冊服務(wù)機構(gòu)委任協(xié)議”(Registry Accreditation Agreement)的合同模版中確保有關(guān)機構(gòu)在處理個人信息時達到我國《個人信息保護法(草案)》的標準。具體而言，其處理行為的正當性基礎(chǔ)需達到我國《個人信息保護法(草案)》第13條的標準。在沒有法律法規(guī)作出進一步明確指引之前，互聯(lián)網(wǎng)號碼分配機構(gòu)運營者目前合法處理有關(guān)個人信息可能適用的情形是第1項，也即“取得個人的同意”。依照《個人信息保護法(草案)》第16、17條的規(guī)定，個人有權(quán)撤回其同意；且個人撤回其同意的行為不得影響其繼續(xù)獲得有關(guān)產(chǎn)品或服務(wù)。易言之，參照我國《個人信息保護法(草案)》，ICANN提供WHOIS查詢的正當性基礎(chǔ)僅僅是域名注冊人在域名注冊協(xié)議中的同意；且域名注冊人有權(quán)隨時撤銷其同意，撤銷同意的行為并不影響其繼續(xù)使用域名提供網(wǎng)絡(luò)服務(wù)。這意味著按照目前的《個人信息保護法(草案)》，ICANN提供有關(guān)域名注冊數(shù)據(jù)查詢存在很高的合規(guī)風險。

因此，我國《個人信息保護法(草案)》第13條的保護標準可能比歐盟《通用數(shù)據(jù)保護條例》更高。歐盟《通用數(shù)據(jù)保護條例》第6條f項中尚存在一般性地，在不違反歐盟保護基本權(quán)利的前提下，為了第三方合法利益而利用個人信息的情形，我國《個人信息保護法(草案)》中不存在有關(guān)條款。

由于過去互聯(lián)網(wǎng)號碼分配機構(gòu)制定、修訂有關(guān)格式合同模版時，我國尚未制定《個人信息保護法(草案)》。因此目前ICANN與中國管轄范圍下的注冊管理機構(gòu)、注冊服務(wù)機構(gòu)所簽訂的有關(guān)協(xié)議，可能距離我國《個人信息保護法(草案)》的要求存在距離。因此，有必要研究互聯(lián)網(wǎng)號碼分配機構(gòu)運營者使用有關(guān)個人信息的目的，并根據(jù)我國國情制定更細致的指引規(guī)則。

1.3我國對上述問題展開規(guī)制的困難之處與轉(zhuǎn)機我國長期以來之所以一直難以展開對互聯(lián)網(wǎng)號碼分配機構(gòu)的規(guī)制，這有其歷史原因。

現(xiàn)代互聯(lián)網(wǎng)雛形APRAnet項目在1969年的研發(fā)與美國國防部存在密不可分的關(guān)系。因此，我們可以說互聯(lián)網(wǎng)自誕生之日起，就天然地被美國所控制。隨著互聯(lián)網(wǎng)的近一步國際化發(fā)展，國際社會對美國政府單邊控制全球互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)資源的不滿情緒越發(fā)高漲。1998年，美國商務(wù)部發(fā)布白皮書，建議讓私營部門來管理互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)資源[15]。同年，以喬恩·波斯特爾博士為代表的一些科學家創(chuàng)立了ICANN來向美國商務(wù)部進行投標，以獲得管理互聯(lián)網(wǎng)號碼分配機構(gòu)的資格，而相應(yīng)地美國商務(wù)部則通過協(xié)議來控制ICANN[16]。

2001年，聯(lián)合國組織召開信息社會世界峰會(World Summit on Information Society，以下簡稱WSIS)，旨在就“全球信息社會達成共識”。 2003年末，在WSIS第一階段日內(nèi)瓦議程中，除了美國之外的各國政府達成“日內(nèi)瓦原則”(Geneva Declaration of Principles)，提出“互聯(lián)網(wǎng)有關(guān)政策議題應(yīng)交由主權(quán)國家解決，私營機構(gòu)可在技術(shù)、業(yè)務(wù)發(fā)展方面扮演重要角色”[17]，顯然ICANN體系下的互聯(lián)網(wǎng)號碼分配機構(gòu)管理架構(gòu)于此不符。2005年6月20日，美國商務(wù)部國家通訊和信息管理局發(fā)布《就互聯(lián)網(wǎng)域名與地址系統(tǒng)的美國聲明》，表示“美國政府有意維持其在對互聯(lián)網(wǎng)根服務(wù)器管理中進行授權(quán)的歷史角色?！盵15]2005年11月16日，美國國會以“423票贊成，0票反對，10票棄權(quán)”的表決方式通過決議，要求“對互聯(lián)網(wǎng)根區(qū)服務(wù)器的管理必須物理上繼續(xù)位于美國，且美國商務(wù)部應(yīng)繼續(xù)保持對ICANN的監(jiān)督”[18]。在這樣的形勢下，WSIS峰會同樣在該年度11月16日發(fā)布《信息社會突尼斯日程》，表示對現(xiàn)行國際互聯(lián)網(wǎng)治理狀態(tài)的贊賞，也即“通過私營單位負責對互聯(lián)網(wǎng)的日常運營”[19]，正如當初以不點名的方式批評ICANN模式之后，同樣以不點名的方式默認了ICANN的存在。在這種形勢下，我國自然難以依據(jù)國內(nèi)法對互聯(lián)網(wǎng)號碼分配機構(gòu)展開治理。

斯諾登事件后，國際上對美國單邊控制互聯(lián)網(wǎng)號碼分配機構(gòu)的狀態(tài)存在頗多詬病[20]。受此影響，2014年3月14日，美國商務(wù)部國家通訊和信息管理局(National Telecommunication and Information Administration，以下簡稱NTIA)發(fā)布公告表態(tài)，將互聯(lián)網(wǎng)號碼分配機構(gòu)的管理權(quán)限移交給全球互聯(lián)網(wǎng)社群[21]，其實質(zhì)即是移交給ICANN。2016年10月1日，最后一次美國商務(wù)部與ICANN續(xù)簽的互聯(lián)網(wǎng)號碼分配機構(gòu)合同到期，從理論上而言這標志著ICANN對互聯(lián)網(wǎng)號碼分配機構(gòu)的管理的授權(quán)不再源自美國政府[22]。或許，這一事件昭示著美國全球互聯(lián)網(wǎng)治理方面所擁有的超越權(quán)限與歷史角色的終結(jié)。正因如此，有學者認為互聯(lián)網(wǎng)號碼分配機構(gòu)職能的移交預(yù)示著：“互聯(lián)網(wǎng)治理的舊時代終將結(jié)束，新的篇章正在開啟。”[6]

在這樣的背景下，我國依據(jù)國內(nèi)法展開對互聯(lián)網(wǎng)號碼分配機構(gòu)的規(guī)制就變得可能，不再存在過多政治上的阻礙。

2 歐盟對互聯(lián)網(wǎng)號碼分配機構(gòu)個人信息保護議題的規(guī)制實踐

2.1 ICANN對有關(guān)個人信息收集與處理的正當性依據(jù)正如前文所提及，在2018年之前，ICANN廣泛地向全球域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)收集22種與域名注冊人有關(guān)的信息，并對上述信息在互聯(lián)網(wǎng)中提供公開查詢，而這些信息中可能包含大量個人信息。

1998年11月25日，ICANN與美國商務(wù)部所共同簽訂的界定ICANN管理國際互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)資源管理權(quán)限的《諒解備忘錄》(MemorandumofUnderstanding)中，美國商務(wù)部要求ICANN維持互聯(lián)網(wǎng)的統(tǒng)一聯(lián)結(jié)(universal connectivity)[23]。根區(qū)文件的內(nèi)容就是關(guān)于域名解析所有頂級域的名稱和IP地址的列表，因此從維護互聯(lián)網(wǎng)統(tǒng)一聯(lián)結(jié)的技術(shù)角度而言，ICANN要求域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)收集有關(guān)數(shù)據(jù)并進行必要的第三方托管備份或在一定程度上具備天然正當性。

但是，ICANN對于上述信息的公開行為是出于非技術(shù)因素考量的。在美國政府正式授權(quán)ICANN進行私營化的互聯(lián)網(wǎng)號碼分配機構(gòu)運營之前，美國商務(wù)部曾于1997年7月2日向公眾發(fā)布《關(guān)于互聯(lián)網(wǎng)域名管理與注冊的征詢意見書》[24]。在公眾評議的意見當中，商標保護問題成為了關(guān)注的焦點之一：大量商標權(quán)利人認為他們所擁有的商標可能被注冊為域名，從而對消費者產(chǎn)生誤導，因此對相關(guān)域名爭議訴訟的管轄存在憂慮。而美國商務(wù)部的回應(yīng)是，將與世界知識產(chǎn)權(quán)組織一起制定相關(guān)解決辦法[15]。世界知識產(chǎn)權(quán)組織在1999年4月30日發(fā)布《互聯(lián)網(wǎng)名稱與地址管理：知識產(chǎn)權(quán)問題》研究報告，指出：“為在天然匿名與無國界的環(huán)境中保護知識產(chǎn)權(quán)權(quán)利人的利益，應(yīng)確保域名持有人的聯(lián)系信息應(yīng)得到準確以及可靠的收集，并且能夠被權(quán)利人所接觸……如果第三方發(fā)現(xiàn)聯(lián)系信息不準確且不可靠，則可通知域名注冊服務(wù)機構(gòu)要求注銷相關(guān)域名。”[25]

在這一指引下，ICANN建立起了一系列的域名領(lǐng)域知識產(chǎn)權(quán)保護機制，這些機制的共同特點是成本相對較高。而免費、開放的WHOIS查詢，可以幫助有關(guān)知識產(chǎn)權(quán)權(quán)利人盡早確定涉嫌侵權(quán)網(wǎng)站域名注冊人的身份，便于他們就是否付諸后續(xù)相對昂貴的域名爭議解決流程做出決策。由此可見，互聯(lián)網(wǎng)號碼分配機構(gòu)運營者公開有關(guān)信息的依據(jù)主要是關(guān)于知識產(chǎn)權(quán)保護的，整個機制的設(shè)立過程并沒有考慮個人信息保護的因素。

2.2早期歐盟對有關(guān)議題的規(guī)制困難自德國黑森州在1970年通過世界首部確認個人對其信息享有控制的法律起，歐洲一直在個人信息保護問題上走在了世界前列[25]。歐盟在1995年通過《關(guān)于個人數(shù)據(jù)處理以及相關(guān)數(shù)據(jù)自由流動的保護個人指令》(下文簡稱為《1995數(shù)據(jù)保護指令》)，其中第6條要求，歐盟成員國應(yīng)確保個人數(shù)據(jù)的處理應(yīng)符合合法性與公平性要求；同時，對個人信息的處理應(yīng)符合收集這些信息的目的，不得超出收集目的處理有關(guān)個人信息[26]。同時，依據(jù)《1995數(shù)據(jù)保護指令》第29條，歐盟成立了 “第29條工作組”這一獨立咨詢機構(gòu)，以展開針對歐盟境內(nèi)侵犯個人信息行為的規(guī)制，第29條工作組的人員主要由各歐盟成員國的個人數(shù)據(jù)保護管理機關(guān)選派的代表組成。

ICANN向全球域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)所收集的22種與域名注冊人有關(guān)的信息中可能包含大量個人信息。這里面，也當然涉及到歐洲地區(qū)的域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)以及注冊人。因此，互聯(lián)網(wǎng)號碼分配機構(gòu)的實際運行狀態(tài)就與《1995數(shù)據(jù)保護指令》的要求存在沖突。對此，歐洲學術(shù)界存在廣泛的批評意見[27]。

2003年，第29條工作組發(fā)表《關(guān)于數(shù)據(jù)保護原則在WHOIS目錄服務(wù)中進行適用的意見》[28](以下簡稱《2003數(shù)據(jù)保護意見》)，正面提出在當時的歐盟《1995數(shù)據(jù)保護指令》框架下對WHOIS查詢機制進行合規(guī)審查的六點要求：

(1)要求ICANN明確WHOIS的宗旨，且該宗旨必須符合各國法律規(guī)定；

(2)WHOIS信息收集數(shù)據(jù)、公布數(shù)據(jù)應(yīng)具有合理性，即收集和公布的個人信息應(yīng)根據(jù)域名注冊人的具體情形進行區(qū)別對待，并特別強調(diào)指出對于個人的域名注冊人不應(yīng)在互聯(lián)網(wǎng)上進行普遍的WHOIS信息查詢；

(3)要求ICANN與各國互聯(lián)網(wǎng)服務(wù)提供商合作建立符合安全原則的篩選機制，以便于各國政府通過對各國互聯(lián)網(wǎng)服務(wù)提供商進行規(guī)制的方式規(guī)制WHOIS查詢；

(4)重申WHOIS查詢中涉及的個人數(shù)據(jù)適用于《數(shù)據(jù)保護指令》的管轄；

(5)反對ICANN提供高級WHOIS模糊查詢，這種查詢方式可以讓查詢?nèi)艘灶愃朴陉P(guān)鍵詞檢索的方式，快速查詢出所有與該關(guān)鍵詞有關(guān)的網(wǎng)站的WHOIS信息，這進一步加大個人信息泄露的風險；

(6)支持提升WHOIS查詢準確性，但反對ICANN提供批量WHOIS查詢的服務(wù)。

ICANN并沒有積極響應(yīng)第29條工作組的規(guī)制要求。在隨后的幾年中，第29條工作組多次以公開信的方式要求ICANN考慮歐盟國家的數(shù)據(jù)保護法律法規(guī)，但ICANN基本沒有做出什么有效回應(yīng)[29]。

ICANN體系下，主要是通用名稱支持組織(Generic Name Supporting Organization，常見簡稱GNSO)負責通用頂級域(gTLD)中的政策問題的協(xié)調(diào)解決，WHOIS查詢中的個人信息保護議題也自然成為通用名稱支持組織需要考量的政策議題之一。2016年之前，當ICANN收到第29條工作組的合規(guī)要求后，ICANN理事會通常只是簡單地將第29條工作組的合規(guī)要求轉(zhuǎn)送至ICANN體系下的通用名稱支持組織要求他們進行后續(xù)討論。

通用名稱組織內(nèi)部包含有六大選區(qū)，分別代表著注冊管理機構(gòu)、注冊服務(wù)機構(gòu)、知識產(chǎn)權(quán)權(quán)利人、非營利用戶、商業(yè)用戶、互聯(lián)網(wǎng)服務(wù)提供商的利益。這些不同利益團體對WHOIS查詢存在不同的利益訴求。譬如，知識產(chǎn)權(quán)權(quán)利人總是希望WHOIS查詢所能提供的信息越豐富越好；而對域名的非營利性用戶來說，他們往往是利用域名建立小微網(wǎng)站，因此規(guī)模不大，對個人信息保護就相對敏感；注冊管理機構(gòu)、注冊服務(wù)機構(gòu)希望WHOIS查詢機制盡量簡化，以減少WHOIS查詢系統(tǒng)的維護成本，同時他們不希望成為有關(guān)網(wǎng)絡(luò)糾紛的焦點[30]。因此，通用名稱組織內(nèi)紛雜的利益對立使得ICANN總是有理由擱置各國關(guān)于個人信息保護的合規(guī)訴求。

一次通用名稱組織安排的抽樣調(diào)研結(jié)果顯示，多數(shù)受訪者認為公開可及的WHOIS查詢是必要的[31]。當時的通用名稱支持組織主席布魯斯·托金在2004年的一次ICANN會議中將WHOIS查詢比喻成汽車，認為如同汽車可能會造成交通事故一樣，WHOIS查詢可能也會有個人信息保護方面的負面因素，就像我們不會禁用汽車一樣我們也不能禁止WHOIS查詢的公開可及。這大體上可以代表ICANN對于來自于歐盟以及其他的個人信息保護國內(nèi)法相對嚴格的國家的合規(guī)意見的態(tài)度[32]。因此，早期歐盟對互聯(lián)網(wǎng)號碼分配機構(gòu)的個人信息保護規(guī)制努力，大多在ICANN體系內(nèi)不同利益群體間的無休止爭議中被擱置。

2.3 2016年后歐盟對有關(guān)議題的規(guī)制成果2016年，歐盟對互聯(lián)網(wǎng)號碼分配機構(gòu)的規(guī)制僵局終于被打破。這里面有兩個方面的原因：

一方面，美國商務(wù)部在2016年放棄對于互聯(lián)網(wǎng)號碼分配機構(gòu)的控制，這使得互聯(lián)網(wǎng)號碼分配機構(gòu)的運營者ICANN變成一家單純的總部位于美國加利福利亞州的非營利機構(gòu)，這使得歐盟可以像規(guī)制普通民間機構(gòu)的方式一樣對ICANN進行規(guī)制。

另一方面，歐盟《通用數(shù)據(jù)保護指令》將個人信息保護的力度推向了前所未有的新高度。相比于其前身《1995數(shù)據(jù)保護指令》，《通用數(shù)據(jù)保護指令》在多個領(lǐng)域有了新的進展。而其中最容易引起人們注意的是，相比于第95/46號指令中單純的屬地管轄原則，《通用數(shù)據(jù)保護指令》呈現(xiàn)出了明顯的長臂管轄特征[33]，這導致物理上位于美國境內(nèi)的ICANN也落入到了《通用數(shù)據(jù)保護指令》的管轄范圍之內(nèi)。

受這雙重因素影響，一些歐盟當?shù)氐挠蛎怨芾頇C構(gòu)、注冊服務(wù)機構(gòu)開始拒絕履行它們與ICANN簽署的協(xié)議，拒絕收集并傳輸相關(guān)域名注冊人的注冊信息。ICANN在德國針對有關(guān)注冊管理機構(gòu)、注冊服務(wù)機構(gòu)提出的禁令申請直接被德國波恩地方法院駁回[34]。這種治理體系解體的風險，推動ICANN盡快展開基于《通用數(shù)據(jù)保護條例》展開相關(guān)WHOIS合規(guī)工作。

2018年1月16日，ICANN發(fā)布《ICANN框架下合同與政策的〈通用數(shù)據(jù)保護條例〉合規(guī)臨時方案》以供公開討論，這一方案在2003年第29條工作組提出的6項原則基礎(chǔ)上，明確了WHOIS查詢的宗旨和正當性，大幅縮小了公開WHOIS查詢所能查詢的WHOIS信息范圍[35]。

此時，第29條工作組已經(jīng)被《通用數(shù)據(jù)保護條例》調(diào)整為歐盟數(shù)據(jù)保護委員會(European Data Protection Board)。歐盟數(shù)據(jù)保護委員會在認可ICANN已有努力的基礎(chǔ)上，在2018年4月11日的公開信中仍認為ICANN所提議的臨時方案在頗多方面距離GDPR的要求存在距離[37]。由于《通用數(shù)據(jù)保護條例》即將生效，ICANN沒有對這一方案做出大的修改，而是在這一方案基礎(chǔ)上于2018年5月17日以理事會決議的形式通過《通用頂級域(gTLD)注冊數(shù)據(jù)臨時規(guī)范》(以下簡稱《臨時規(guī)范》)。這一規(guī)范是目前全球互聯(lián)網(wǎng)通行的臨時性WHOIS查詢規(guī)范，目前ICANN的通用名稱支持組織啟動了快速政策啟動流程(Expedited Policy Development Process，簡稱EPDP)，以推動正式的WHOIS查詢機制全面符合歐盟的要求[38]。在這樣的背景下，歐盟表示愿意指導ICANN的EPDP工作組進一步完成GDPR的合規(guī)要求[37]。

2.3.1 《臨時規(guī)范》明確了ICANN收集和公開相關(guān)信息的宗旨 第29條工作組在《2003數(shù)據(jù)保護意見》中批評認為，“WHOIS查詢機制在宗旨界定方面較為模糊，導致不恰當而片面的強調(diào)了為保護包括知識產(chǎn)權(quán)權(quán)利人在內(nèi)的有關(guān)利益相關(guān)方而破壞了域名注冊人的作為基本人權(quán)組成部門的個人信息權(quán)益?！痹?018年之前ICANN與全球域名注冊管理機構(gòu)的注冊管理機構(gòu)協(xié)議中，僅僅從技術(shù)層面對注冊管理機構(gòu)應(yīng)履行怎樣的WHOIS服務(wù)進行了說明，但沒有進行宗旨性的說明，而這長期以來受到歐盟數(shù)據(jù)保護領(lǐng)域的學者所詬病[27-28，37]。

在《WHOIS臨時規(guī)范》中，ICANN首次羅列了WHOIS查詢的13項宗旨，其中非技術(shù)性的宗旨包括三大方面：基于合法利益提供域名注冊數(shù)據(jù)檢索方式；支持解決與域名注冊相關(guān)的法律問題的解決與執(zhí)法活動，包括但不限于：消費者權(quán)益保護、調(diào)查網(wǎng)絡(luò)犯罪、DNS濫用以及知識產(chǎn)權(quán)保護；為域名中的有關(guān)爭議解決機制提供支持[36]。

這種宗旨的羅列在內(nèi)在邏輯上存在一定缺陷，因此并沒有完全被歐盟數(shù)據(jù)保護理事會所接受。譬如所謂支持與域名注冊相關(guān)的法律問題解決機制，并不能責成ICANN廣泛、全面的對用戶數(shù)據(jù)的收集的正當性；同時歐盟數(shù)據(jù)保護委員會認為，類似于知識產(chǎn)權(quán)保護這樣的與ICANN基本運營無關(guān)的問題應(yīng)該由各國立法部門通過法律設(shè)定的方式予以解決[37]。但毫無疑問，這相比于之前無宗旨說明的情況至少是一種進步。

2.3.2 《臨時規(guī)范》限縮了WHOIS查詢的內(nèi)容 正如前文所提及，在2018年5月25日前，在ICANN的WHOIS查詢系統(tǒng)中，有多達22種信息可供公開查詢。但在《WHOIS臨時規(guī)范》中，這22項WHOIS信息被限縮為6種[35]，即：所注冊的域名、被注冊域名的首要和次要服務(wù)器信息、注冊商信息、域名的首次注冊日期、域名的擬定到期日期、其他最低程度的信息。

對于域名注冊人而言，除了上述6種數(shù)據(jù)之外其余數(shù)據(jù)均將被隱藏。如需獲得包括聯(lián)系方式之內(nèi)的其他個人信息，則他們需要前往注冊服務(wù)機構(gòu)、注冊管理機構(gòu)的網(wǎng)站，通過一個被匿名化處理的郵箱來聯(lián)系域名注冊人以獲得有關(guān)信息，而ICANN、域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)均不承諾相關(guān)郵件一定會得到注冊人的回復[35]。從個人信息保護角度而言，域名所有人的個人信息得到了良好保護；但另一方面，通過相關(guān)個人信息查證網(wǎng)站實際控制人也變得困難重重。

3 歐盟有關(guān)規(guī)制活動對我們的啟示

縱觀前文所提及的歐盟所主導的個人信息自決權(quán)與ICANN所主導的WHOIS沖突的歷史，我們可以觀察到兩種極端：一是在美國商務(wù)部主動放棄對互聯(lián)網(wǎng)號碼分配機構(gòu)的管理之前，ICANN對第29條工作組在《2003數(shù)據(jù)保護意見》中所提出的各項保護個人信息自決權(quán)的意見幾乎采取了不聞不問的態(tài)度，甚至在知識產(chǎn)權(quán)權(quán)利人的策動下不斷嘗試將WHOIS信息的公開范圍推向更高、更廣的范圍[39]；二是ICANN在GDPR即將生效時匆匆頒布《WHOIS臨時規(guī)范》中，徹底摒棄了低成本、公開獲得WHOIS數(shù)據(jù)的方法，目前第三方想要通過ICANN或ICANN體系下的域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)獲得相關(guān)個人信息變得十分困難。

從法律位階而言，無論是歐盟的《通用數(shù)據(jù)保護條例》，還是中國《網(wǎng)絡(luò)安全法》《個人信息保護法》，在地位上都是平等的。因此，我們也可借鑒歐盟在互聯(lián)網(wǎng)號碼分配機構(gòu)規(guī)制上的成功經(jīng)驗，積極在未來互聯(lián)網(wǎng)號碼分配機構(gòu)規(guī)制中實現(xiàn)我國的相關(guān)訴求。

3.1對個人數(shù)據(jù)的有關(guān)境外傳輸提出中國標準歐盟法院在Facebook案中，判決歐盟國家可以通過國內(nèi)法限制個人數(shù)據(jù)的境外傳輸。但整體上，歐盟還沒有形成關(guān)于個人數(shù)據(jù)境外傳輸規(guī)制的共識。我國則一貫在對外交往中強調(diào)數(shù)據(jù)主權(quán)[40]，在《網(wǎng)絡(luò)安全法》《個人信息保護法(草案)》中對個人信息境外傳輸有著明確的規(guī)定。

ICANN在其制定的注冊管理機構(gòu)協(xié)議模版、注冊服務(wù)機構(gòu)委任協(xié)議模版中明確要求，域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)有義務(wù)收集多項域名注冊數(shù)據(jù)，并傳輸至ICANN指定的數(shù)據(jù)托管服務(wù)機構(gòu)。目前，我國《互聯(lián)網(wǎng)域名管理辦法》并沒有限制國內(nèi)的域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)向境外ICANN指定的數(shù)據(jù)托管服務(wù)機構(gòu)傳輸有關(guān)域名注冊數(shù)據(jù)。這可能是考慮到，早期我國沒有符合ICANN資質(zhì)的境內(nèi)域名注冊數(shù)據(jù)托管服務(wù)機構(gòu)而做的妥協(xié)。但隨著《網(wǎng)絡(luò)安全法》以及未來《個人信息保護法》的制定，以及國內(nèi)的有關(guān)單位已經(jīng)正式獲得ICANN域名注冊數(shù)據(jù)托管服務(wù)資質(zhì)的實際情況，我國應(yīng)盡早修訂《互聯(lián)網(wǎng)域名管理辦法》第21條，明確限制境內(nèi)域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)向境外域名注冊數(shù)據(jù)托管服務(wù)機構(gòu)傳輸域名數(shù)據(jù)。

3.2對個人數(shù)據(jù)的有關(guān)境外利用提出中國標準前文已經(jīng)指出，我國目前《個人信息保護法(草案)》關(guān)于個人數(shù)據(jù)之利用的保護標準實際上比歐盟更嚴格。對于這一點，可能值得我們慎重考慮我國是否應(yīng)采用如此之高的保護標準。歐盟對互聯(lián)網(wǎng)號碼分配機構(gòu)的規(guī)制經(jīng)驗或許可以提供一個例證。

我們已經(jīng)指出，互聯(lián)網(wǎng)號碼分配機構(gòu)運營者提供有關(guān)域名注冊數(shù)據(jù)的查詢主要是基于知識產(chǎn)權(quán)保護因素考量的。在歐盟對互聯(lián)網(wǎng)號碼分配機構(gòu)基于個人信息保護的規(guī)制中，有關(guān)域名注冊管理機構(gòu)、注冊服務(wù)機構(gòu)的態(tài)度是，希望WHOIS查詢機制盡量簡化，以減少WHOIS查詢系統(tǒng)的維護成本，同時他們不希望成為有關(guān)網(wǎng)絡(luò)糾紛的焦點。惡意域名、釣魚網(wǎng)站的增加并不會影響他們收取域名注冊費用，因此，他們樂見于提供盡可能少的WHOIS查詢信息。因此，《WHOIS臨時規(guī)范》的合規(guī)要求很快被全球域名注冊管理機構(gòu)、域名注冊服務(wù)機構(gòu)所接受，目前我們已經(jīng)很難通過WHOIS查詢獲得相關(guān)網(wǎng)站的注冊信息?？梢哉f，歐盟的規(guī)制活動一方面提高了域名注冊人個人信息保護水平；但另一方面也在很大程度上提高了知識產(chǎn)權(quán)權(quán)利人的后續(xù)維權(quán)成本。

相比于歐盟，中國是發(fā)展中國家，因此取消公開可及的WHOIS查詢帶來的維權(quán)成本問題對中國知識產(chǎn)權(quán)權(quán)利人的影響可能更大；同時，中國是世界第一大商標注冊國、第二大域名注冊國，惡意域名規(guī)模相對較大，對我國公共互聯(lián)網(wǎng)安全的威脅也相對較大[41]；最后，在我國的有關(guān)域名爭議中，絕大部分爭議域名也都是以個人名義進行注冊的。以上情況充分說明，我國個人信息保護與有關(guān)法定權(quán)利保護的平衡點與歐盟是不同的。

因此，我們有必要對互聯(lián)網(wǎng)號碼分配機構(gòu)的個人數(shù)據(jù)境外利用問題上提出中國標準：首先，我們要反思目前《個人信息保護法(草案)》第13條第5項中過于嚴格的個人信息利用標準，建議參考歐盟《通用數(shù)據(jù)保護條例》第6條第f項，將有關(guān)條款的表述修改為“為公共利益或第三人合法利益的實現(xiàn)，在合理范圍內(nèi)處理有關(guān)個人信息”；此外，無論最終《個人信息保護法》采取何種表述，我們都應(yīng)制定關(guān)于互聯(lián)網(wǎng)號碼分配機構(gòu)個人信息保護的細化指引，強調(diào)互聯(lián)網(wǎng)號碼分配機構(gòu)運營者有義務(wù)確保我國有關(guān)部門以及相關(guān)法定權(quán)利人能夠及時準確地獲取域名注冊數(shù)據(jù)。

4 結(jié) 語

每當人類文明涉足一個新的空間時，我們都會面臨一個自然狀態(tài)。讓我們回顧歷史，大航海時代努涅斯·巴爾博亞以卡斯提爾國王的名義站在海邊上宣布占有了南太平洋和整個南美洲，就能剝奪那里所有居民的土地[43]。這種方式與美國在互聯(lián)網(wǎng)發(fā)展早期單邊控制國際互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)資源分配機制的舉動何其相似。正如學者的表述，通過私法治理國際互聯(lián)網(wǎng)的多利益主體模式，本質(zhì)上“依賴于某個大國的全球霸權(quán)”[12]，其正當性完全來自于美國在互聯(lián)網(wǎng)技術(shù)領(lǐng)域的先發(fā)優(yōu)勢。

然而，當今世界格局正處于從“一超多強”向多極化轉(zhuǎn)變的歷史時期[45]，網(wǎng)絡(luò)空間治理的主導地位變遷同樣反映了這一趨勢。ICANN體制確立前夕的1997年，接入國際互聯(lián)網(wǎng)的中國計算機僅有19 739臺左右[44]，而至2019年中國互聯(lián)網(wǎng)社群已經(jīng)成長為一個擁有8億網(wǎng)民的世界互聯(lián)網(wǎng)發(fā)展指數(shù)排名全球第二的互聯(lián)網(wǎng)大國[45]。斯諾登事件后，美國單邊控制國際互聯(lián)網(wǎng)的行動已不合時宜，NTIA最終在2016年正式放棄了對互聯(lián)網(wǎng)號碼分配機構(gòu)的管理。此時的網(wǎng)絡(luò)空間實際上重新處于一種無權(quán)力支撐的自然狀態(tài)，這種狀態(tài)誠如霍布斯所言，“在沒有一個共同權(quán)力使大家懾服的時候，人們便處在所謂的戰(zhàn)爭狀態(tài)下”[46]。網(wǎng)絡(luò)空間已經(jīng)重新成為大國之間的角力決斗場。

歐盟率先對這一自然狀態(tài)下的治理規(guī)則輸入了符合《通用數(shù)據(jù)保護條例》規(guī)制思路的規(guī)制意見，已然被互聯(lián)網(wǎng)號碼分配機構(gòu)的運營者ICANN全盤采納。我們可以效仿歐盟，在互聯(lián)網(wǎng)號碼分配機構(gòu)治理中實現(xiàn)我國關(guān)于數(shù)據(jù)主權(quán)的訴求；同時，我們也要警惕歐盟的有關(guān)規(guī)制主張中不符合我國利益的部分，積極出臺更細化的指引規(guī)則，并引導互聯(lián)網(wǎng)號碼分配機構(gòu)的治理朝向有利于我們的方向前進。