上周,德国波恩州法院地下了一个关于数据采集纠纷案件的禁令决议。在决议书中,法院征引GDPR“数据最小化”等准绳,采纳请求人(ICANN)要求被请求人(EPAG)持续按原协议(RAA)采集数据的恳求。这是迄今为止,在无效的司法顺序中,GDPR作为裁判根据的初次理论与落地。向不断在张望的众多新兴数字经济企业证明了,GDPR并不是纸老虎,而是切实在实悬在我们头顶的达摩克利斯之剑。
APUS作为一直关注GDPR静态并在理论中不时研讨和学习这一法规的互联网出海企业,第一工夫完成了对这一案例决议书全文的翻译,并从互联网企业的角度为大家带来更实在的解读。
为了方便阅读,我们扼要引见一下触及的主体和术语。
我们拜访网站,实践上是在拜访网站所在效劳器中的数据。那么网站所在效劳器的地位,我们就可以用域名或许IP地址来表示。而ICANN(TheInternet Corporation for Assigned Names and Numbers),全称互联网称号与数字地址分配机构,就是担任管理域名零碎、分配IP地址的非营利性国际组织。EPAG则是经过ICANN认证的域名注册商,提供域名注册等效劳。
复杂说,“WHOIS”数据相似于备案信息。“WHOIS”就是“Who is”,反映域名一切者及其关联信息。这是注册域名时必需要填写的信息。而本案中争议的两个重要的数据,管理联络信息(Administrative contact information, 以下简称“Admin-C”)和技术联络信息(Technical contact information,以下简称“Tech-C”),辨别指管理和维护某域名网站的管理人员和技术人员的联络信息,包括上述人员的称号,还有地址、电子邮件、电话号码及传真信息,是“WHOIS”数据库中的一局部。
根本案情
EPAG是ICANN认证的域名注册商,与ICANN签署了《注册效劳机构认证协议》(Registrar AccreditationAgreement,以下简称“RAA”),有权向用户提供域名注册效劳。上述协议商定,在用户注册域名时,EPAG不但要搜集注册人的联络信息(也就是之后域名一切人的联络信息),还要搜集所谓的Admin-C和Tech-C。
EPAG以为,按照GDPR,RAA中数据采集的要求不但违背了数据最小化准绳,也缺乏合法的根据,尤其是对Admin-C和Tech-C的采集。正如EPAG网站博客中所说,“更有甚者,RAA还要求我们处置一些和我们没有直接关联的自然人的团体信息,也就是Admin-C和Tech-C。”
2018年5月25日前,EPAG告诉ICANN,依照“自设计开端和默许的数据维护”(PbD)的数据维护理念,其新的域名注册零碎将不再搜集Admin-C和Tech-C。经单方讨论,EPAG和ICANN就“数据最小化”等准绳的了解上存在分歧,在采集Admin-C和Tech-C的成绩上未达成分歧。
2018年5月25日,ICANN向德国波恩州法院请求初步禁令,要求法院强迫EPAG实行RAA,持续搜集Admin-C和Tech-C等数据。ICANN在其网站上阐明,“启动本次司法顺序的目的是明白对GDPR了解的差别。”
法庭意见
依据目前的决议后果,波恩州法院采纳ICANN的禁令请求。
法庭以为,
RAA也规则了,EPAG作为提供域名注册的注册商,该当恪守相应的法律法规。因而GDPR作为失效的法律,适用于本案的争议处理。
从本案现实上看:
1.ICANN并没有充沛阐明Admin-C和Tech-C是其营运的必要数据;
2.从责任上看,只要域名的一切人需求对该域名下网站的运营担任,其他主体并非当然责任人,并不需求在搜集信息中明白区分Admin-C和Tech-C;
3.仅搜集域名一切人信息足以满足ICANN保证的刑事、侵权和平安等普通利益;
4.从过来的注册行为上看,域名一切人信息、Admin-C和Tech-C可以填写异样的内容。这就阐明Admin-C和Tech-C并非完成注册的必要信息。
因而法庭以为,ICANN主张Admin-C和Tech-C关于其业务运营是必要的数据,缺乏合理根据。上述信息的采集,不契合“目的限制准绳”和“数据最小化准绳”。
最初,法庭否认了ICANN提出的,包括Admin-C和Tech-C的“WHOIS”数据零碎是实行国际商标注册管理协议所必要的主张。法庭以为二者缺乏关联性,不能作为采集数据的根据。
实务解读
从我们的了解上看,本案为企业的GDPR合规提供了十分重要的参考。
第一,法庭直接援用GDPR第五条和第六条的条款,阐明GDPR并非流于观念上的“纸老虎”。假如还有企业在张望,犹疑能否要停止GDPR合规或许调整地域上的运营战略,我们的建议是,尽快、尽早决议。
第二,企业需求重新看法和考虑GDPR对自证的要求。我们以为,法庭采纳ICANN禁令请求,基本缘由是ICANN没有自证阐明Admin-C和Tech-C对其业务和运营的必要意义。假如把ICANN的角色换成企业C,把Admin-C和Tech-C换成数据D,那么C企业如何在法庭证明D为其业务的必要数据就是本次案例给我们带来最有价值的命题。
我们的建议是:
参考我们之前提出的Pu-D-C-Pr模型(请阅读前作《“赞同”,没那么复杂》),企业至多要评价采集数据的目的(Pu)、所需数据的类别(D)以及处置该数据的方式(Pr)能否必要;
我们把Pu-D-C-Pr模型改造为Pu-D-?-Pr。“?”取代了C(“赞同”),表示企业在GDPR第六条(处置的合法性)所运用的合法性根据,比方合同、比方法定义务或合法利益。数据的必要性评价,一定要结合“?”所指向的场景,比方为了实行合同能否必要,为了满足法定义务能否必要,为了企业合法利益能否必要。
当然,假如有人以为用“举证责任”去对映GDPR要求的自证义务过于严厉,我们可以进一步讨论其中有关“度”的成绩。
本案最有意思的局部莫过于法庭发现,注册域名时,域名一切人信息、Admin-C和Tech-C可以填写异样的内容。先不谈能否足以阐明Admin-C和Tech-C是非必要信息的“证明力”成绩,这点从一定水平上提示企业GDPR合规任务和业务不能脱节。就本案而言,必要性需求表现在企业日常的业务中,短少这样的数据,我们的特定的目的就无法达成。
以上是我们对ICANN案的初步解读。
本案虽不复杂,但它在GDPR的实务适用和规则构建上留下重要的一笔,向全世界正在张望GDPR的人们一定水平上诠释了这些规则的外延。但我们也要看法到,这一案例仅仅是GDPR理论链条上第一块多米诺骨牌,一切遭到GDPR管辖的企业都要作好顺应新应战并在新规则范围内重构产品设计乃至商业形式的预备,
APUS研讨院|GDPR实战指南(一)写给出海的同伴:GDPR,一个可以讨论的话题。
APUS研讨院|GDPR实战指南(二)“赞同”,没那么复杂。
APUS研讨院|GDPR实战指南(四)浅谈企业GDPR合规中的项目管理。
引见:APUS研讨院,努力于研讨数据合规的前沿成绩,继续跟进高新行业的合规热点和静态。