作者：許    斌 博士

審閱：葉奇鑫 律師

王慕民 律師

 

全文約1700字，閱讀約需6分鐘

 

近日，比利時資料保護署（Data Protection Authority, DPA）宣布，其已與比利時域名管理機構DNS Belgium簽訂協議（註1），就.be域名網站之個資法遵展開執法合作。

 

DNS Belgium為非營利組織，負責比利時國家頂級域名.be之登記、分發、使用監督及受理濫用投訴。DNS Belgium無權判定網站之特定行為是否構成違法，但可依法院或執法部門已作出之違法判定，對網站採取管理措施，包含暫停網站域名使用，乃至收回網站之域名。

 

●    二階層合作制度

依該合作協議，比利時DPA將與DNS Belgium建立二階層（two-tier）合作制度，在以下兩個層面展開合作：

第一層：配合比利時DPA調查處（Inspection Service）之違法調查。比利時DPA調查處依法對網站實施調查時，得要求DNS Belgium提供與該網站有關之資訊。

第二層：對於故意嚴重違法的網站，採取「通知—遮罩」（Notice & Action）程序。依比利時DPA組織法，其調查處或訴願處（Litigation Chamber）如認定特定網站之個資處理活動違反GDPR，得要求相關資料控管者或處理者限期改正。若該控管者或處理者逾期未改正，則可請求DNS Belgium採取通知—遮罩程序。

 

●    通知—遮罩程序之運作方式

網站控管者逾期未改正違法處理個資之行為時，比利時DPA得向DNS Belgium寄出Email通知，載明違法網站相關資訊，發起通知—遮罩程序。

DNS Belgium收到該通知後，須於1個工作日內Email通知域名註冊人，要求域名註冊人於14日內改正違法行為。該14日期間內，對該網站之訪問將被導向警示頁面，提醒訪問者該網站存在個資違法風險。在通知—遮罩程序執行期間，比利時DPA或DNS Belgium須保持資訊暢通，任一方如收到域名註冊人之訊息，皆須於2個工作日內通知另一方。

 

通知—遮罩程序發起後，可能有兩種結果：

其一，若域名註冊人於14日期間內未改正違法行為，且經比利時DPA確認仍有必要繼續執行通知—遮罩程序，DNS Belgium將繼續執行6個月。此後，網站將被移除，其域名將進入40日保管期（quarantine period）。保管期結束後，該域名將重新開放註冊。

其二，若（1）域名註冊人於14日期間內改正違法行為並獲得比利時DPA認可，（2）域名註冊人於14日期間內通知DNS Belgium其已改正違法行為，而比利時DPA未於期限內對此主張作出回應，或（3）該14日期間屆滿後，比利時DPA未向DNS Belgium確認須繼續執行通知—遮罩程序，DNS Belgium將停止通知—遮罩程序、移除警示頁面，網站將回復正常訪問。

 

●    觀察與展望

熟悉網路的讀者大概瞭解，網站之域名並非由政府機關管理，而是由網際網路名稱與號碼指配組織（Internet Corporation for Assigned Names and Numbers, ICANN）等非營利組織負責。在普遍不具備執法權力的情況下，這些域名管理機構發展出通知—遮罩程序，以因應域名濫用行為。通知—遮罩程序最初主要針對網站的著作權侵權內容，之後逐步發展到其他違法內容（註2），乃至詐欺等違法行為。

 

DNS Belgium對於濫用行為亦遵循此策略，並嘗試將其發展為與政府機關合作機制。在與比利時DPA簽訂合作協議前，DNS Belgium於2018年12月與比利時聯邦公共服務經濟部（Federal Public Service Economy, FPS Economy）簽訂合作協議（註3），透過通知—遮罩程序共同應對線上購物所涉詐欺問題。DNS Belgium還有意向與FPS財政部（FPS Finance）、FPS 公共衛生部（FPS Public Health）等展開合作（註4）。

 

在類似執法合作中，責任分擔是作為非營利組織的DNS Belgium最關注的問題之一。DNS Belgium與比利時DPA在合作協議中約定，與判定網站違法、發起通知—遮罩程序相關之一切責任，由比利時DPA承擔。而因未依該合作協議執行通知—遮罩程序而引發之責任，由DNS Belgium承擔。如DNS Belgium因執行通知—遮罩程序而面對第三方索賠，比利時DPA將主動介入並承擔相應責任。在DNS Belgium與FPS Economy的合作協議中，也有類似條款。這些約定在相當程度上為DNS Belgium提供了「免責保障」，在遵守合作協議的情況下，DNS Belgium將不必因通知—遮罩程序承擔責任。

 

比利時DPA與DNS Belgium透過其合作協議，將通知—遮罩程序之適用範圍擴展到個資法遵領域，不失為一項創新。該協議約定，比利時DPA和DNS Belgium有意將合作擴展到DNS Belgium管理的其他域名，並將就此展開談判。通知—遮罩程序對於GDPR執法成效如何？未來是否將擴展到其他執法領域？都是值得關注的問題。

 

______________________________

 

註1：該合作協議原文請見：https://www.autoriteprotectiondonnees.be/publications/protocole-de-cooperation-entre-dns-belgium-et-l-autorite-de-protection-des-donnees.pdf。

註2：Annemarie Bridy, Notice and Takedown in the Domain Name System: ICANN’s Ambivalent Drift into Online Content Regulation, 74 Wash. & Lee L. Rev. 1343, 1360-67 (2017). 

註3：DNS Belgium相關新聞稿請見：https://www.dnsbelgium.be/en/news/block-fraudulent-websites。

註4：DNS Belgium相關資料請見：https://static.ptbl.co/static/attachments/200987/1552452240.pdf?1552452240。

 

※歡迎註明出處後轉載。

 

延伸閱讀：

• 個資週報18｜美國聯邦統一個資法輪廓初現？：https://www.davinci.idv.tw/news/832。
• CCPA甫上路，CPRA又公投？—加州民間團體發起隱私權保護新提案：https://www.davinci.idv.tw/news/759。
• CCPA或將面臨大改？ —美國加州消費者隱私保護法規最新動向：https://www.davinci.idv.tw/news/787。
• 比特幣交易記錄居然不是隱私資訊？—淺談美國法判定合理隱私期待之「第三人法則」：https://www.davinci.idv.tw/news/811。
• 安全港早已潰堤，隱私盾竟也遭歐盟法院擊破！ —歐盟法院判決Schrems II案：https://www.davinci.idv.tw/news/803。