RDRS与中国大陆法律的简单研究-广东国晖律师事务所

RDRS与中国大陆法律的简单研究

2024/2/27 10:18:46 117

RDRS与中国大陆法律的简单研究

作者：广东国晖律师事务所周立国

2023年11月28日ICANN推出“注册数据请求服务”(Registration Data Request Service)，简称RDRS, 这项新服务旨在为处理与通用顶级域 (gTLD) 相关的非公开注册数据访问请求提供更加一致和标准化的格式。RDRS系统可供执法人员、知识产权专业人士、消费者保护维权人士、网络安全专业人士和政府官员等更方便的获取域名注册人的注册信息，为后GDPR时代域名信息的准确获取带来一丝曙光。 2024年1月，ICANN发布《RDRS使用情况指标》，报告显示截至2023年12月31日，全球有72家域名注册商（以下简称“注册商”）已经加入RDRS，包括1API和Godaddy等，这些注册商管理着全球53%的通用顶级域名，目前参与RDRS的中国注册商极少。

本文内所说的“域名”，均指通用顶级域（gTLD），不含国别域（ccTLD），因为RDRS只覆盖通用顶级域。本文暂不讨论GDPR等的域外法律管辖问题。

《互联网域名管理办法》要求“域名注册服务机构应当……提供域名注册信息的公共查询服务”，同步参考其他法律法规，我国注册商参与RDRS是没有基础法律障碍的，但在处理数据请求时应留意法律法规的细节要求。其实，RDRS算是一个测试系统，并没有强制要求注册商必须向数据请求者披露域名注册信息，即如果注册商认为披露该域名注册信息可能违反当地法律或有其他合理理由，可拒绝请求者的请求。

提供域名注册信息与国内的数据安全法律法规

如果数据请求者来自境外，按照目前的数据安全法律法规，有两点需要先明确，其一是注册商是否属于“关键信息基础设施运营者”，如果答案是肯定的，则根据《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》等可能会触发相应的安全评估、安全保护规则。其二是域名注册信息是否属于《数据安全法》里描述的“重要数据”，如果答案是肯定的，则根据《数据出境安全评估办法》应进行安全评估；如果答案是否定的，参考目前还在讨论阶段的《规范和促进数据跨境流动规定（征求意见稿）》，未来可能不会有太大的数据跨境流动问题。

我国数据安全法律法规还在健全之中，仅以目前生效的法律法规来评判，注册商提供域名注册服务（不包括域名解析服务和数据中心服务等）并不必然属于关键信息基础设施运营者，未来可能会有更细的政策来规范。而为实现域名注册而采集的信息，目前笔者也无法找到依据将其归类为“重要数据”。因此，如果来自境外的数据请求具有合理理由，向其反馈一些域名基础信息（自然人信息另议）并未违反目前国内数据安全方面的法律法规。

目前一些城市发布了与数据分类有关的政策，相关城市的注册商应予以留意，比如天津市的《中国（天津）自由贸易试验区企业数据分类分级标准规范》、上海市的《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》。

提供域名注册信息与国内个人信息保护法律法规

域名注册人是个人（自然人）的场景下，除了要考虑上述的数据安全问题，还要考虑到我国个人信息保护相关的法律法规。

我国实行域名注册实名制和网站ICP备案制。ICP备案信息应与域名实名信息一致。因此，如果通过公开的ICP查询可以查到某个网站主办者备案信息，很明显该网站对应的域名注册者名称也合法公开了，注册商通过RDRS披露此类域名注册者名称，不会违反国内法律法规，其实这也属于RDRS注册商回复中的“数据公开可用”（Data publicly available）的场景，也是《个人信息保护法》第十三条中“其他已经合法公开的个人信息”。《个人信息保护法》第十三条一共规范了七种场景下可处理（包括提供）个人信息。

域名注册信息是否包含“敏感个人信息”？依据《个人信息保护法》规定，“敏感个人信息”是指：“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。目前通用域名注册中，一般不会采集上述信息，因此留意涉及“不满十四周岁未成年人”这点即可。另，向境外提供涉及党政军和涉密单位敏感信息，应保持注意。

鼓励参与RDRS，积极参与全球域名治理

我国注册商群体参与ICANN事宜一向算不上积极，对于RDRS这种比较简单的事务可以参与和体验，甚至参与下一代WHOIS机制的策划。从《RDRS使用情况指标》看，已经收到的数据请求中，与安全、执法、知识产权保护有关的请求比较多，注册商作为全球网络平稳运行的重要一环，应对此类请求保持关注。面对各种可能的数据请求，基于目前法律法规，如果参与RDRS，一个最最保险的数据处理规则可参考下表：

域名注册信息	来自境外的数据请求	来自境内的数据请求
域名注册信息	来自境外的数据请求	执法机关	其他请求者
个人注册	如有ICP备案，可提供域名注册人名称，或告知其查询路径。如果注册商的个人信息保护协议（政策）中依法依规有效约定了什么场景下可以提供，则可以提供。如果涉及犯罪、网络安全等，也可通过中国执法机构对外合作部门居中协调。如果涉及消费者权益、知识产权侵权等，可告知数据请求人，依据《中华人民共和国民法典》第1195、1196条，由注册商进行转通知。	应提供请求的域名注册信息。	如有ICP备案，可提供域名注册人名称，或告知其查询路径。如满足《个人信息保护法》第十三条的规定的，可以提供。如果注册商的个人信息保护协议（政策）中依法依规有效约定了什么场景下可以提供，则可以提供。
企业注册	如有ICP备案，可提供域名注册人名称，或告知其查询路径。如涉及犯罪、网络安全等，可评估后适当提供。但应留意信息中是否含有雇员的个人信息。	应提供请求的域名注册信息。	现行法律法规并没有禁止向境内第三方提供。但应留意信息中是否含有雇员的个人信息。

注册商应留意服务协议的适时更新

无论是否参与RDRS，随着我国网络安全、数据安全、个人信息保护、跨境数据传送等法律法规的不断健全完善，域名注册商均应对最新的法律法规保持关注，并及时更新各自的服务协议、制作独立的个人信息保护协议（政策）。有些场景比如域名争议、DNS滥用、网络安全等，可能需要提供（自然人）域名注册者信息的，临时征得其同意肯定是不现实的，因此，强烈建议注册商在相关协议（政策）中对此进行有效约定，一方面可以确保注册商能及时处理问题、协助净化网络环境，一方面又不至于违反相关法律法规。同样，内部的数据安全制度、流程也应予以重视。

注册商参与RDRS的好处

法律要为现实服务，为保护个人数据、规范数据控制者行为，必须要有相应规范的法律制度。笔者估计，一些大的注册商肯定在后GDPR时代疲于奔命的处理来自世界各地、各种身份、各种语言、各种渠道发来的要求提供域名注册信息的请求，消耗大量人力，而有了RDRS后，用ICANN的话：“该服务提供了一套集中管理和跟踪所有非公开数据访问请求的机制。注册服务机构在收到一份请求后，即可随时收到自动提醒。使用标准申请表也使得人们能够更容易提供正确信息和支持文件，以便相关方对该请求进行评估” —— 即：注册商节约了沟通和处理成本，因此一些大型注册商应该是会积极加入的。

或者，有些注册商的某些业务经常需要域名注册信息来支撑，因此其本身积极参与RDRS，也希望由此带动其他注册商参与，进而实现注册商之间对域名数据的有效互通，笔者暂时能想到的业务可能包括促成域名交易或为客户处理投诉、个人数据侵权的行为救济等。

作为一个域名法律服务工作者，希望在未来的社会实践中能有越来越多的注册商能参与到RDRS项目中来。《信息安全技术网络数据分类分级要求（征求意见稿）》、《规范和促进数据跨境流动规定（征求意见稿）》将对我国注册商参与RDRS产生较大影响，大家请留意此规定的最终发布。

周立国律师

Email：lawyerjjj@qq.com

参考链接：

《RDRS使用情况指标》

https://www.icann.org/en/system/files/files/rdrs-usage-metrics-17jan24-en.pdf

RDRS User Guide for Requestors（RDRS数据请求者用户指南）

https://www.icann.org/zh/system/files/files/rdrs-user-guide-requestors-07nov23-zh.pdf

Frequently Asked Questions (FAQs) for Requestors （数据请求者常见问题）

https://www.icann.org/zh/system/files/files/rdrs-requestors-faqs-07nov23-zh.pdf

RDRS TERMS OF SERVICE（RDRS服务条款）