全球首例GDPR案件分析

APUS研究院     2018-06-22

上周,德国波恩州法院公开了一个关于数据采集纠纷案件的禁令决定。在决定书中,法院援引GDPR“数据最小化”等原则,驳回申请人(ICANN)要求被申请人(EPAG)继续按原协议(RAA)采集数据的请求。这是迄今为止,在有效的司法程序中,GDPR作为裁判依据的首次实践与落地。向一直在观望的众多新兴数字经济企业证明了,GDPR并不是纸老虎,而是切切实实悬在我们头顶的达摩克利斯之剑。

 

APUS作为始终关注GDPR动态并在实践中不断研究和学习这一法规的互联网出海企业,第一时间完成了对这一案例决定书全文的翻译,并从互联网企业的角度为大家带来更切实的解读。


为了方便阅读,我们简要介绍一下涉及的主体和术语。


1

什么是ICANN和EPAG?


我们访问网站,实际上是在访问网站所在服务器中的数据。那么网站所在服务器的位置,我们就可以用域名或者IP地址来表示。而ICANN(TheInternet Corporation for Assigned Names and Numbers),全称互联网名称与数字地址分配机构,就是负责管理域名系统、分配IP地址的非营利性国际组织。EPAG则是经过ICANN认证的域名注册商,提供域名注册等服务。

2

什么是“WHOIS”数据、管理联系信息和技术联系信息?


简单说,“WHOIS”数据类似于备案信息。“WHOIS”就是“Who is”,反映域名所有者及其关联信息。这是注册域名时必须要填写的信息。而本案中争议的两个重要的数据,管理联系信息(Administrative contact information, 以下简称“Admin-C”)和技术联系信息(Technical contact information,以下简称“Tech-C”),分别指管理和维护某域名网站的管理人员和技术人员的联系信息,包括上述人员的名称,还有地址、电子邮件、电话号码及传真信息,是“WHOIS”数据库中的一部分。



基本案情

EPAG是ICANN认证的域名注册商,与ICANN签订了《注册服务机构认证协议》(Registrar AccreditationAgreement,以下简称“RAA”),有权向用户提供域名注册服务。上述协议约定,在用户注册域名时,EPAG不但要收集注册人的联系信息(也就是之后域名所有人的联系信息),还要收集所谓的Admin-C和Tech-C。

 

EPAG认为,依照GDPR,RAA中数据采集的要求不但违反了数据最小化原则,也缺乏合法的依据,尤其是对Admin-C和Tech-C的采集。正如EPAG网站博客中所说,“更有甚者,RAA还要求我们处理一些和我们没有直接关联的自然人的个人信息,也就是Admin-C和Tech-C。”

 

2018年5月25日前,EPAG通知ICANN,按照“自设计开始和默认的数据保护”(PbD)的数据保护理念,其新的域名注册系统将不再收集Admin-C和Tech-C。经双方讨论,EPAG和ICANN就“数据最小化”等原则的理解上存在分歧,在采集Admin-C和Tech-C的问题上未达成一致。

 

2018年5月25日,ICANN向德国波恩州法院申请初步禁令,要求法院强制EPAG履行RAA,继续收集Admin-C和Tech-C等数据。ICANN在其网站上说明,“启动本次司法程序的目的是明确对GDPR理解的差异。”


法庭意见

根据目前的决定结果,波恩州法院驳回ICANN的禁令申请。

 

法庭认为,

 

首先,履行合同不能作为排除法律适用的依据。RAA也规定了,EPAG作为提供域名注册的注册商,应当遵守相应的法律法规。因此GDPR作为生效的法律,适用于本案的争议解决。

 

其次,根据GDPR的“目的限制原则”和“数据最小化原则”,处理个人数据,必须有特定、明确和合法的目的;数据的处理,也应该限制在为了实现该目的所需的最小限度内。从本案事实上看:


1.    ICANN并没有充分说明Admin-C和Tech-C是其营运的必要数据;

2.    从责任上看,只有域名的所有人需要对该域名下网站的经营负责,其他主体并非当然责任人,并不需要在收集信息中明确区分Admin-C和Tech-C;

3.    仅收集域名所有人信息足以满足ICANN保障的刑事、侵权和安全等一般利益;

4.    从过去的注册行为上看,域名所有人信息、Admin-C和Tech-C可以填写同样的内容。这就说明Admin-C和Tech-C并非完成注册的必要信息。


因此法庭认为,ICANN主张Admin-C和Tech-C对于其业务运营是必要的数据,缺乏合理依据。上述信息的采集,不符合“目的限制原则”和“数据最小化原则”。

 

最后,法庭否定了ICANN提出的,包含Admin-C和Tech-C的“WHOIS”数据系统是履行国际商标注册管理协议所必要的主张。法庭认为二者缺乏关联性,不能作为采集数据的依据。


实务解读

从我们的理解上看,本案为企业的GDPR合规提供了非常重要的参考。

 

第一,法庭直接引用GDPR第五条和第六条的条款,说明GDPR并非流于观念上的“纸老虎”。如果还有企业在观望,犹豫是否要进行GDPR合规或者调整地域上的经营策略,我们的建议是,尽快、尽早决定

 

第二,企业需要重新认识和思考GDPR对自证的要求。我们认为,法庭驳回ICANN禁令申请,根本原因是ICANN没有自证说明Admin-C和Tech-C对其业务和运营的必要意义。如果把ICANN的角色换成企业C,把Admin-C和Tech-C换成数据D,那么C企业如何在法庭证明D为其业务的必要数据就是本次案例给我们带来最有价值的命题。

 

我们的建议是:

 

  • 必要性评估是核心工作。参考我们之前提出的Pu-D-C-Pr模型(请阅读前作《“同意”,没那么简单》,企业至少要评估采集数据的目的(Pu)、所需数据的类别(D)以及处理该数据的方式(Pr)是否必要;

 

  • 同时需要注意评估必要性的场景。我们把Pu-D-C-Pr模型改造为Pu-D-?-Pr。“?”取代了C(“同意”),表示企业在GDPR第六条(处理的合法性)所使用的合法性依据,比如合同、比如法定义务或合法利益。数据的必要性评估,一定要结合“?”所指向的场景,比如为了履行合同是否必要,为了满足法定义务是否必要,为了企业合法利益是否必要。

 

当然,如果有人认为用“举证责任”去对映GDPR要求的自证义务过于严格,我们可以进一步讨论其中有关“度”的问题。

 

第三,GDPR合规工作一定要和业务结合。本案最有意思的部分莫过于法庭发现,注册域名时,域名所有人信息、Admin-C和Tech-C可以填写同样的内容。先不谈是否足以说明Admin-C和Tech-C是非必要信息的“证明力”问题,这点从一定程度上提醒企业GDPR合规工作和业务不能脱节。就本案而言,必要性需要体现在企业日常的业务中,缺少这样的数据,我们的特定的目的就无法达成。

 

以上是我们对ICANN案的初步解读。

 

本案虽不复杂,但它在GDPR的实务适用和规则构建上留下重要的一笔,向全世界正在观望GDPR的人们一定程度上诠释了这些规则的内涵。但我们也要认识到,这一案例仅仅是GDPR实践链条上第一块多米诺骨牌,所有受到GDPR管辖的企业都要作好适应新挑战并在新规则范围内重构产品设计乃至商业模式的准备,


为了方便读者参考,请参考下文链接阅读本案决定书原文。另外我们对原决定书做了简单的翻译,希望可以帮助各位还原本案的更多细节。

https://www.icann.org/de/system/files/files/litigation-icann-v-epag-request-court-order-prelim-injunction-redacted-30may18-de.pdf



公证副本

10 O 171/18

波恩州法院

 

决定书

 

关于初步禁令程序

 

申请人:

 

互联网名称与数字地址分配机构(ICANN),由总裁 Göran Marby 先生代表,地址:美国加利福尼亚州洛杉矶海滨大道 12025 号 300 室,邮政编码:CA 90094-2536

 

 

诉讼全权代表:律师 J.ones Day,地址:Breite Str. 69,邮政编码:40213,所在城市:杜塞尔多夫

 

被申请人:

 

EPAG 域名服务有限公司(EPAG)

 

 

波恩州法院第 10 民事庭

2018 年 05 月 29 日

 

决定结果:

 

驳回申请人于2018年05月25日提出的初步禁令,相关费用由申请人承担。

 

本案争议金额为50,000.00欧元 。


I.

 

申请人希望通过初步禁令,要求被申请人在互联网域名分配时,继续收集技术或管理联系信息(以下简称Tech-C和Admin-C)。

 

申请人为非营利性机构,负责协调互联网唯一标识和地址的分配,以保证互联网唯一标识符系统运行的稳定和安全。这其中便包括管理域名系统(DNS)。为履行该职能,申请人会与其他机构签订协议,分配通用顶级域(gTLD),以及本案所涉及的,顶级域名之下的二级域名。详细顶级域名信息,请参阅本决定书附录AS1。

 

通过被称为“WHOIS”的服务,与域名注册相关的数据将公布在公开的网站上,以表明注册人的身份。

 

被申请人,作为申请人认证的域名注册服务商,被授权向合法登记的顶级域名所有者分配二级域名。

 

根据申请人提供的原始英文合同的译文为基础,双方签订的注册服务机构认证协议(以下简称为“RAA”,详见附件AS4,编号22/04/2014)3.4条规定:

 

“3.4.1 任何注册服务商,就其提供的,在gTLD内的注册域名,都应就以下数据,建立、保护并实时更新其电子数据库:

3.4.1.2  在 3.3.1.1 至 3.3.1.8 中列出的数据;”

 

上述引用条款内容为:

 

“3.3.1.1 注册域名的名称

 

3.3.1.2 用于域名的第一个名称服务器和第二个名称服务器名称;

 

3.3.1.3 注册服务商的身份(该项内容可以在注册管理机构的网站上查询);

 

3.3.1.4 初始注册日期;

 

3.3.1.5 注册结束日期;

 

3.3.1.6 注册服务商的名称和地址;

 

3.3.1.7 Tech-C: 注册域名技术联系人的姓名,地址,电子邮件地址,电话号码和(如果可用)传真号码

 

 

3.3.1.8 Admin-C: 注册域名管理联系人的姓名,地址,电子邮件地址,电话号码和(如果可用)传真号码

 

同时,RAA第3.7.2条规定,注册服务商应当遵守对其适用的法律和法规

 

经RAA授权,被申请人作为注册服务商,将互联网域名分配给希望注册的第三方,包括自然人和法人。到目前为止,根据以上义务,被申请人除注册域名的所有人(也就是注册域名的主体)的联系信息以外,还要存储其他个人数据,既Tech-C和Admin-C。

 

根据最近生效的《通用数据保护条例》(以下简称“GDPR”),被申请人已告知申请人,在未来的域名分配中,仅会收集注册域名的所有人的相关数据,并放弃收集Tech-C和Admin-C等其他信息

 

申请人认为,收集Tech-C和Admin-C是被申请人的合同义务。此外,Tech-C和Admin-C是保证申请人运营的必要数据。收集上述信息,并不违反GDPR。被申请人宣布其将改变合同的履行方式,是申请人需要及时处理的紧急情况。

 

申请人主张,

 

鉴于本案的紧迫性,院长应在预审前代表审判法院批准初步禁令,要求被申请人停止违约,并处以250,000.00欧元的罚金,

 

被申请人作为ICANN认证的,并在在附录AS1中列出的注册服务商,在其提供的二级域名服务中,按照RAA约定收集以下数据:

 

Tech-C: 注册域名技术联系人的姓名,地址,电子邮件地址,电话号码和(如果可用)传真号码

 

 

Admin-C: 注册域名管理联系人的姓名,地址,电子邮件地址,电话号码和(如果可用)传真号码。

 

被申请人主张 ,

 

驳回申请人提出的初步禁令。

 

被申请人认为,收集(和存储)Tech-C和Admin-C违反了2015年5月25日生效的GDPR。具体来说,违反了GDPR第5条,第1款,第(c)项(数据最小化原则)和第25 条(自设计开始和默认的数据保护,PbD)的规定,因此不属于合法要求。另外,双方签署的RAA还特别规定了被申请人应当遵守对其适用的法律。

 

有关案件和争议的细节,请参阅申请人提交的申请书、附件和被告的答辩。

 

II.

 

1.

波恩州法院有权决定是否批准初步禁令。尽管RAA第5.8条的仲裁条款规定:

 

“为了协助仲裁和/或维护当事人在仲裁期间的权利,当事人有权要求美国加利福尼亚州洛杉矶的法院或总裁庭提供临时法律救济。行使上述权利不意味放弃此仲裁条款。”

 

根据相应条款,州法院对临时法律救济仍然具有管辖权(参见科隆州高级法院案件编号GRUR-RR 2002,309)。

 

2.

因为缺乏合理依据,法庭驳回申请人提出的初步禁令。

 

尽管申请人援引与被申请人所签订合同的内容,特别RAA的3.4.1条、3.3.1.7条和3.3.18条,要求被申请人按照过去的方式履行合同,即除域名注册者本人的数据外,还需收集或存储Tech-C和Admin-C。

 

但RAA也包含通用性的条款,即被告作为注册服务商必须要遵守适用于其的法律和法规。因此,申请人只能在符合适用法律的范围内,向被申请人就合同条款提出相应主张(民法法典第242条规定)。

 

毫无疑问,根据GDPR第5条,第1款,(b)和(c)项(“目的限制原则”和“数据最小化原则”)的规定,处理个人数据“仅可为特定、明确和合法的目的”(目的限制原则),并且“充分、相关并且应限制于为实现该个人数据处理目的的所需的最小限度内”(数据最小化原则)。同时,考虑GDPR第6条,第1款(处理的合法性)的规定,上述人的主张并不成立。

 

申请人主张,除注册域名的所有人外,收集或存储其他信息是其运营不可缺少的部分。这种观点并不成立。显然,更多的数据有利于对实际控制、经营域名的主体进行更可靠的识别和联系。然而,只有注册域名的所有人才对该域名下的网站内容负责,技术和管理职责均可以归于注册域名的所有人,并不需要专门区分Tech-C和Admin-C。

 

申请人所提及的,需要要保障的一般利益,主要涉及申请人所监控的刑事或其他侵权及安全问题。本庭认为,通过收集和存储注册域名的所有人的数据,已可以满足这种需求(本庭不确定为什么会收集Tech-C和Admin-C等其他信息)。无需收集其他数据。根据数据最小化原则,本庭无法支持申请者的主张。进一步说,收集并使用Tech-C,申请人自身也仅能沟通技术问题而非其提及的一般利益。

 

更为重要的是,就上述采集或存储的三种数据,即注册域名的所有人的信息、Tech-C和Admin-C,可以填写同样的内容(这可以说是仅收集或保存一个数据而非三个全部)。而且这种只需要填写注册域名的所有人信息的操作并没有导致无法注册域名。如果上述情况存在并可持续进行,就证明了,对申请人的运营而言,除注册域名的所有人的数据外,都是非必需的数据。如果Tech-C和Admin-C是必要数据,那么以前就不会出现上述情形;相反,如果注册人不提供该信息就无法注册域名。

 

事实上,过去注册域名的所有人提供Tech-C和Admin-C也完全出于自愿(该信息并非被申请人提供域名的必要条件)。根据GDPR第6条,第1款,第(a)项或RAA第7.2.2条,将来域名注册者也有权同意或拒绝对个人数据的采集和存储。

 

甚至,域名注册者未提供正确的联系信息,也不妨碍对域名的注册。

 

就申请人提出的另一项依据,即被称为“WHOIS”的系统是国际商标注册管理协议所要求的,本庭不予支持。国际商标注册管理协议的要求与申请人提出的“WHOIS”服务缺乏关联性,不能作为影响数据保护的合法依据。

 

3.

本程序费用根据相应民事诉讼规则确定。

 

III.

 

本案争议金额为50,000.00 欧元。申请人主张其为非营利性机构,并未在本案中提出明确的经济损失。在没有其他事实支持的情况下,本法庭将减少对争议金额的认定。

 

 

 

对本决定的上诉:

 

如果争议标的的价值超过200.00欧元,当事人有权针对该决定提起即时上诉。即时上诉可以使用德文书面形式提交至:

 

波恩州法院,

地址:Wilhelmstr.21,

邮政编码:53111,

所在城市:波恩,

 

 

科隆高等法院,

地址:Relchenspergerplatz 1,

邮政编码:50670,

所在城市:科隆,

 

 

前述法院的分支机构。

 

上诉状也可以递交到指明的各地方法院分支机构。

 

即时上诉必须指出涉及该决定的相关信息(决定日期、案件编号和当事人),以及上诉理由。即时上诉应经过签名和认证。

 

即时上诉状必须在两周内送达波恩州法院或科隆高等法院。该规定也适用于上诉状递交到分支机构或其他地方法院的情形。期限从书面公布决定后开始,最迟在决定发布后五个月结束。

 

 

 

特此证明

办事处文员

波恩州法院

北莱茵 - 威斯特法伦州法院(盖章)