互联网编码分配权限治理研究

2021-01-02周恒

情报杂志 2021年7期

周恒

(湖南省社会科学院长沙 410003)

我国《个人信息保护法(草案)》第40条规定，关键信息基础设施的运营者有义务将在中华人民共和国境内收集与产生的个人信息存储在国内；如需向境外传输，有义务接受国家网信部门组织的安全评估或管理。这一条延续了《网络安全法》第37条的文本表述。目前，我国尚未公布“关键信息基础设施”的界定标准，但学界通常将关键互联网资源(IP编码、域名系统和根区)作为互联网基础设施之一[1]。互联网号码分配机构(Internet Assigned Numbers Authority,常见简称IANA)掌握着全球互联网关键基础资源以及根服务器系统，与互联网基本功能的运转息息相关，是互联网与万维网赖以存在的基本元素，理应属于《个人信息保护法(草案)》与《网络安全法》中“关键信息基础设施”概念的涵摄范围。

国内早有学者呼吁对以互联网号码分配机构为代表的关键互联网资源进行治理的主张[2-4]，但过往国内学者关于互联网号码分配机构的探讨大多局限于互联网号码分配机构整体治理进行讨论，很少有针对其中存在的具体政策议题展开讨论[5-7]，不多的讨论也大多停留在简单的功能介绍[8]。事实上，由于互联网发展历史与国际政治等因素，互联网号码分配机构长期被美国所控制，我国并不能对此展开有效规制。

2016年4月14日，欧洲议会正式通过《通用数据保护条例》(GeneralDataProtectionRegulation，GDPR)。欧盟以此为依据，自2017年起对互联网号码分配机构进行规制，取得良好效果，国外有部分学者已经对欧盟的有关规制活动有所介绍[9-10]。对欧盟有关规制实践的考察，或可为我国未来《个人信息保护法(草案)》以及《网络安全法》在相关领域的规制提供参考。

1 当前IANA治理中的个人信息保护隐患与成因

1.1 IANA治理现状中的个人信息保护隐患互联网号码分配机构控制着两大互联网关键基础信息设施，一是最顶层的IP地址分配系统；二是整个国际域名系统。这意味着国际互联网最核心的根区与根服务器也同时受到互联网号码分配机构的控制。根区中存储着国际域名系统中所有顶级域的名称和IP地址的列表。互联网名称和数字地址分配机构(Internet Corporation for Assigned Names and Numbers，以下简称ICANN)目前是互联网号码分配机构的实际运营者[11]。

正因为ICANN掌握着互联网号码分配机构的控制权，无论ICANN有意或是无意，都已成为全球互联网治理的核心与焦点[12]。基于互联网服务可持续性的理由，ICANN要求全球所有通用顶级域的注册管理机构、注册服务机构将域名的注册信息传输至ICANN所指定的数据托管服务机构[13]。

出于知识产权等法定权益保护的考虑，ICANN在其官方网站上提供域名注册信息的查询服务。在2018年5月25日前，任何人都可以在ICANN的WHOIS查询系统中，获得关于某个域名的共计22种信息，即：域名、域名账户(域名ID)、WHOIS 服务器、参考网址(URL)、更新日期、创建日期、注册管理机构到期日期、所属注册服务机构、所属注册服务机构 IANA账户(IANA ID)、域名状态、注册人账号(ID)、注册人名称、注册人组织、注册人地址(国籍、省、市、街道及邮编)、电话、传真、邮箱、注册人管理联系人的上述信息、注册技术联系人的上述信息、域名服务器信息、域名系统安全扩展(DNSSec)信息、WHOIS数据库更新信息。”

关于域名的最常见应用之一就是网站，而ICANN全面提供22种关于域名的信息的查询，就意味着全球通用顶级域上网站的实际控制人的有关信息均处于公开披露状态。其中，注册人名称、组织、地址、电话、传真、邮箱在传统上都被认为属于个人信息。这些信息的收集、处理与存储也就应当遵循我国《网络安全法》以及未来《个人信息保护法》的有关规定。

1.2《个人信息保护法(草案)》与IANA治理的潜在冲突目前，我国现行法在个人信息保护议题上与当前互联网号码分配机构的运行现状可能存在两大冲突之处：一是个人信息数据境外传输的问题；二是互联网号码分配机构运营者对个人信息使用的问题。

首先，关于个人信息数据向境外互联网号码分配机构运营者传输的问题，我们还存在立法空白。目前《个人信息保护法(草案)》第40条规定，关键信息基础设施运营者有义务将中国境内收集的个人信息存储在境内，确需向境外提供的应遵准网信部门的安全评估，或者遵循法律和行政法规规定的例外。这一条延续了我国《网络安全法》第37条的有关规定。然而事实上，我国尚未公布与互联网号码分配机构有关的个人信息和重要数据向境外提供的具体指引规则。目前，《中国互联网域名管理办法》第21条仅要求中国境内的域名注册管理机构、注册服务机构在中国境内设置相应的应急备份系统并定期备份域名注册数据，并没有提及相关数据向境外传输的问题。

其次，目前我国《个人信息保护法(草案)》中确立的个人信息保护标准还相对粗糙，缺乏对互联网号码分配机构运营者进行规制的准确指引。我国《个人信息保护法(草案)》第38条规定了个人信息处理者因业务需要向境外提供个人信息所需满足的三种情形。目前互联网号码分配机构的治理模式是一种基于私法“合同”关系的多利益主体模式[14]。换言之，互联网号码分配机构运营者是通过与域名注册管理机构、注册服务机构签订合同的方式来运转整个域名系统的治理。前文已经提及，在相关合同中ICANN要求中国的域名注册管理机构、域名注册服务机构向其传输有关域名数据。因此，对互联网号码分配机构运营者的规制可能应按照《个人信息保护法(草案)》第38条中第3款的范式展开。

按照这一范式，则ICANN有义务在其制定的“注册管理机构协议”(Registry Agreement)、“注册服务机构委任协议”(Registry Accreditation Agreement)的合同模版中确保有关机构在处理个人信息时达到我国《个人信息保护法(草案)》的标准。具体而言，其处理行为的正当性基础需达到我国《个人信息保护法(草案)》第13条的标准。在没有法律法规作出进一步明确指引之前，互联网号码分配机构运营者目前合法处理有关个人信息可能适用的情形是第1项，也即“取得个人的同意”。依照《个人信息保护法(草案)》第16、17条的规定，个人有权撤回其同意；且个人撤回其同意的行为不得影响其继续获得有关产品或服务。易言之，参照我国《个人信息保护法(草案)》，ICANN提供WHOIS查询的正当性基础仅仅是域名注册人在域名注册协议中的同意；且域名注册人有权随时撤销其同意，撤销同意的行为并不影响其继续使用域名提供网络服务。这意味着按照目前的《个人信息保护法(草案)》，ICANN提供有关域名注册数据查询存在很高的合规风险。

因此，我国《个人信息保护法(草案)》第13条的保护标准可能比欧盟《通用数据保护条例》更高。欧盟《通用数据保护条例》第6条f项中尚存在一般性地，在不违反欧盟保护基本权利的前提下，为了第三方合法利益而利用个人信息的情形，我国《个人信息保护法(草案)》中不存在有关条款。

由于过去互联网号码分配机构制定、修订有关格式合同模版时，我国尚未制定《个人信息保护法(草案)》。因此目前ICANN与中国管辖范围下的注册管理机构、注册服务机构所签订的有关协议，可能距离我国《个人信息保护法(草案)》的要求存在距离。因此，有必要研究互联网号码分配机构运营者使用有关个人信息的目的，并根据我国国情制定更细致的指引规则。

1.3我国对上述问题展开规制的困难之处与转机我国长期以来之所以一直难以展开对互联网号码分配机构的规制，这有其历史原因。

现代互联网雏形APRAnet项目在1969年的研发与美国国防部存在密不可分的关系。因此，我们可以说互联网自诞生之日起，就天然地被美国所控制。随着互联网的近一步国际化发展，国际社会对美国政府单边控制全球互联网关键基础资源的不满情绪越发高涨。1998年，美国商务部发布白皮书，建议让私营部门来管理互联网关键基础资源[15]。同年，以乔恩·波斯特尔博士为代表的一些科学家创立了ICANN来向美国商务部进行投标，以获得管理互联网号码分配机构的资格，而相应地美国商务部则通过协议来控制ICANN[16]。

2001年，联合国组织召开信息社会世界峰会(World Summit on Information Society，以下简称WSIS)，旨在就“全球信息社会达成共识”。 2003年末，在WSIS第一阶段日内瓦议程中，除了美国之外的各国政府达成“日内瓦原则”(Geneva Declaration of Principles)，提出“互联网有关政策议题应交由主权国家解决，私营机构可在技术、业务发展方面扮演重要角色”[17]，显然ICANN体系下的互联网号码分配机构管理架构于此不符。2005年6月20日，美国商务部国家通讯和信息管理局发布《就互联网域名与地址系统的美国声明》，表示“美国政府有意维持其在对互联网根服务器管理中进行授权的历史角色。”[15]2005年11月16日，美国国会以“423票赞成，0票反对，10票弃权”的表决方式通过决议，要求“对互联网根区服务器的管理必须物理上继续位于美国，且美国商务部应继续保持对ICANN的监督”[18]。在这样的形势下，WSIS峰会同样在该年度11月16日发布《信息社会突尼斯日程》，表示对现行国际互联网治理状态的赞赏，也即“通过私营单位负责对互联网的日常运营”[19]，正如当初以不点名的方式批评ICANN模式之后，同样以不点名的方式默认了ICANN的存在。在这种形势下，我国自然难以依据国内法对互联网号码分配机构展开治理。

斯诺登事件后，国际上对美国单边控制互联网号码分配机构的状态存在颇多诟病[20]。受此影响，2014年3月14日，美国商务部国家通讯和信息管理局(National Telecommunication and Information Administration，以下简称NTIA)发布公告表态，将互联网号码分配机构的管理权限移交给全球互联网社群[21]，其实质即是移交给ICANN。2016年10月1日，最后一次美国商务部与ICANN续签的互联网号码分配机构合同到期，从理论上而言这标志着ICANN对互联网号码分配机构的管理的授权不再源自美国政府[22]。或许，这一事件昭示着美国全球互联网治理方面所拥有的超越权限与历史角色的终结。正因如此，有学者认为互联网号码分配机构职能的移交预示着：“互联网治理的旧时代终将结束，新的篇章正在开启。”[6]

在这样的背景下，我国依据国内法展开对互联网号码分配机构的规制就变得可能，不再存在过多政治上的阻碍。

2 欧盟对互联网号码分配机构个人信息保护议题的规制实践

2.1 ICANN对有关个人信息收集与处理的正当性依据正如前文所提及，在2018年之前，ICANN广泛地向全球域名注册管理机构、域名注册服务机构收集22种与域名注册人有关的信息，并对上述信息在互联网中提供公开查询，而这些信息中可能包含大量个人信息。

1998年11月25日，ICANN与美国商务部所共同签订的界定ICANN管理国际互联网关键基础资源管理权限的《谅解备忘录》(MemorandumofUnderstanding)中，美国商务部要求ICANN维持互联网的统一联结(universal connectivity)[23]。根区文件的内容就是关于域名解析所有顶级域的名称和IP地址的列表，因此从维护互联网统一联结的技术角度而言，ICANN要求域名注册管理机构、注册服务机构收集有关数据并进行必要的第三方托管备份或在一定程度上具备天然正当性。

但是，ICANN对于上述信息的公开行为是出于非技术因素考量的。在美国政府正式授权ICANN进行私营化的互联网号码分配机构运营之前，美国商务部曾于1997年7月2日向公众发布《关于互联网域名管理与注册的征询意见书》[24]。在公众评议的意见当中，商标保护问题成为了关注的焦点之一：大量商标权利人认为他们所拥有的商标可能被注册为域名，从而对消费者产生误导，因此对相关域名争议诉讼的管辖存在忧虑。而美国商务部的回应是，将与世界知识产权组织一起制定相关解决办法[15]。世界知识产权组织在1999年4月30日发布《互联网名称与地址管理：知识产权问题》研究报告，指出：“为在天然匿名与无国界的环境中保护知识产权权利人的利益，应确保域名持有人的联系信息应得到准确以及可靠的收集，并且能够被权利人所接触……如果第三方发现联系信息不准确且不可靠，则可通知域名注册服务机构要求注销相关域名。”[25]

在这一指引下，ICANN建立起了一系列的域名领域知识产权保护机制，这些机制的共同特点是成本相对较高。而免费、开放的WHOIS查询，可以帮助有关知识产权权利人尽早确定涉嫌侵权网站域名注册人的身份，便于他们就是否付诸后续相对昂贵的域名争议解决流程做出决策。由此可见，互联网号码分配机构运营者公开有关信息的依据主要是关于知识产权保护的，整个机制的设立过程并没有考虑个人信息保护的因素。

2.2早期欧盟对有关议题的规制困难自德国黑森州在1970年通过世界首部确认个人对其信息享有控制的法律起，欧洲一直在个人信息保护问题上走在了世界前列[25]。欧盟在1995年通过《关于个人数据处理以及相关数据自由流动的保护个人指令》(下文简称为《1995数据保护指令》)，其中第6条要求，欧盟成员国应确保个人数据的处理应符合合法性与公平性要求；同时，对个人信息的处理应符合收集这些信息的目的，不得超出收集目的处理有关个人信息[26]。同时，依据《1995数据保护指令》第29条，欧盟成立了 “第29条工作组”这一独立咨询机构，以展开针对欧盟境内侵犯个人信息行为的规制，第29条工作组的人员主要由各欧盟成员国的个人数据保护管理机关选派的代表组成。

ICANN向全球域名注册管理机构、域名注册服务机构所收集的22种与域名注册人有关的信息中可能包含大量个人信息。这里面，也当然涉及到欧洲地区的域名注册管理机构、注册服务机构以及注册人。因此，互联网号码分配机构的实际运行状态就与《1995数据保护指令》的要求存在冲突。对此，欧洲学术界存在广泛的批评意见[27]。

2003年，第29条工作组发表《关于数据保护原则在WHOIS目录服务中进行适用的意见》[28](以下简称《2003数据保护意见》)，正面提出在当时的欧盟《1995数据保护指令》框架下对WHOIS查询机制进行合规审查的六点要求：

(1)要求ICANN明确WHOIS的宗旨，且该宗旨必须符合各国法律规定；

(2)WHOIS信息收集数据、公布数据应具有合理性，即收集和公布的个人信息应根据域名注册人的具体情形进行区别对待，并特别强调指出对于个人的域名注册人不应在互联网上进行普遍的WHOIS信息查询；

(3)要求ICANN与各国互联网服务提供商合作建立符合安全原则的筛选机制，以便于各国政府通过对各国互联网服务提供商进行规制的方式规制WHOIS查询；

(4)重申WHOIS查询中涉及的个人数据适用于《数据保护指令》的管辖；

(5)反对ICANN提供高级WHOIS模糊查询，这种查询方式可以让查询人以类似于关键词检索的方式，快速查询出所有与该关键词有关的网站的WHOIS信息，这进一步加大个人信息泄露的风险；

(6)支持提升WHOIS查询准确性，但反对ICANN提供批量WHOIS查询的服务。

ICANN并没有积极响应第29条工作组的规制要求。在随后的几年中，第29条工作组多次以公开信的方式要求ICANN考虑欧盟国家的数据保护法律法规，但ICANN基本没有做出什么有效回应[29]。

ICANN体系下，主要是通用名称支持组织(Generic Name Supporting Organization，常见简称GNSO)负责通用顶级域(gTLD)中的政策问题的协调解决，WHOIS查询中的个人信息保护议题也自然成为通用名称支持组织需要考量的政策议题之一。2016年之前，当ICANN收到第29条工作组的合规要求后，ICANN理事会通常只是简单地将第29条工作组的合规要求转送至ICANN体系下的通用名称支持组织要求他们进行后续讨论。

通用名称组织内部包含有六大选区，分别代表着注册管理机构、注册服务机构、知识产权权利人、非营利用户、商业用户、互联网服务提供商的利益。这些不同利益团体对WHOIS查询存在不同的利益诉求。譬如，知识产权权利人总是希望WHOIS查询所能提供的信息越丰富越好；而对域名的非营利性用户来说，他们往往是利用域名建立小微网站，因此规模不大，对个人信息保护就相对敏感；注册管理机构、注册服务机构希望WHOIS查询机制尽量简化，以减少WHOIS查询系统的维护成本，同时他们不希望成为有关网络纠纷的焦点[30]。因此，通用名称组织内纷杂的利益对立使得ICANN总是有理由搁置各国关于个人信息保护的合规诉求。

一次通用名称组织安排的抽样调研结果显示，多数受访者认为公开可及的WHOIS查询是必要的[31]。当时的通用名称支持组织主席布鲁斯·托金在2004年的一次ICANN会议中将WHOIS查询比喻成汽车，认为如同汽车可能会造成交通事故一样，WHOIS查询可能也会有个人信息保护方面的负面因素，就像我们不会禁用汽车一样我们也不能禁止WHOIS查询的公开可及。这大体上可以代表ICANN对于来自于欧盟以及其他的个人信息保护国内法相对严格的国家的合规意见的态度[32]。因此，早期欧盟对互联网号码分配机构的个人信息保护规制努力，大多在ICANN体系内不同利益群体间的无休止争议中被搁置。

2.3 2016年后欧盟对有关议题的规制成果2016年，欧盟对互联网号码分配机构的规制僵局终于被打破。这里面有两个方面的原因：

一方面，美国商务部在2016年放弃对于互联网号码分配机构的控制，这使得互联网号码分配机构的运营者ICANN变成一家单纯的总部位于美国加利福利亚州的非营利机构，这使得欧盟可以像规制普通民间机构的方式一样对ICANN进行规制。

另一方面，欧盟《通用数据保护指令》将个人信息保护的力度推向了前所未有的新高度。相比于其前身《1995数据保护指令》，《通用数据保护指令》在多个领域有了新的进展。而其中最容易引起人们注意的是，相比于第95/46号指令中单纯的属地管辖原则，《通用数据保护指令》呈现出了明显的长臂管辖特征[33]，这导致物理上位于美国境内的ICANN也落入到了《通用数据保护指令》的管辖范围之内。

受这双重因素影响，一些欧盟当地的域名注册管理机构、注册服务机构开始拒绝履行它们与ICANN签署的协议，拒绝收集并传输相关域名注册人的注册信息。ICANN在德国针对有关注册管理机构、注册服务机构提出的禁令申请直接被德国波恩地方法院驳回[34]。这种治理体系解体的风险，推动ICANN尽快展开基于《通用数据保护条例》展开相关WHOIS合规工作。

2018年1月16日，ICANN发布《ICANN框架下合同与政策的〈通用数据保护条例〉合规临时方案》以供公开讨论，这一方案在2003年第29条工作组提出的6项原则基础上，明确了WHOIS查询的宗旨和正当性，大幅缩小了公开WHOIS查询所能查询的WHOIS信息范围[35]。

此时，第29条工作组已经被《通用数据保护条例》调整为欧盟数据保护委员会(European Data Protection Board)。欧盟数据保护委员会在认可ICANN已有努力的基础上，在2018年4月11日的公开信中仍认为ICANN所提议的临时方案在颇多方面距离GDPR的要求存在距离[37]。由于《通用数据保护条例》即将生效，ICANN没有对这一方案做出大的修改，而是在这一方案基础上于2018年5月17日以理事会决议的形式通过《通用顶级域(gTLD)注册数据临时规范》(以下简称《临时规范》)。这一规范是目前全球互联网通行的临时性WHOIS查询规范，目前ICANN的通用名称支持组织启动了快速政策启动流程(Expedited Policy Development Process，简称EPDP)，以推动正式的WHOIS查询机制全面符合欧盟的要求[38]。在这样的背景下，欧盟表示愿意指导ICANN的EPDP工作组进一步完成GDPR的合规要求[37]。

2.3.1 《临时规范》明确了ICANN收集和公开相关信息的宗旨第29条工作组在《2003数据保护意见》中批评认为，“WHOIS查询机制在宗旨界定方面较为模糊，导致不恰当而片面的强调了为保护包括知识产权权利人在内的有关利益相关方而破坏了域名注册人的作为基本人权组成部门的个人信息权益。”在2018年之前ICANN与全球域名注册管理机构的注册管理机构协议中，仅仅从技术层面对注册管理机构应履行怎样的WHOIS服务进行了说明，但没有进行宗旨性的说明，而这长期以来受到欧盟数据保护领域的学者所诟病[27-28，37]。

在《WHOIS临时规范》中，ICANN首次罗列了WHOIS查询的13项宗旨，其中非技术性的宗旨包括三大方面：基于合法利益提供域名注册数据检索方式；支持解决与域名注册相关的法律问题的解决与执法活动，包括但不限于：消费者权益保护、调查网络犯罪、DNS滥用以及知识产权保护；为域名中的有关争议解决机制提供支持[36]。

这种宗旨的罗列在内在逻辑上存在一定缺陷，因此并没有完全被欧盟数据保护理事会所接受。譬如所谓支持与域名注册相关的法律问题解决机制，并不能责成ICANN广泛、全面的对用户数据的收集的正当性；同时欧盟数据保护委员会认为，类似于知识产权保护这样的与ICANN基本运营无关的问题应该由各国立法部门通过法律设定的方式予以解决[37]。但毫无疑问，这相比于之前无宗旨说明的情况至少是一种进步。

2.3.2 《临时规范》限缩了WHOIS查询的内容正如前文所提及，在2018年5月25日前，在ICANN的WHOIS查询系统中，有多达22种信息可供公开查询。但在《WHOIS临时规范》中，这22项WHOIS信息被限缩为6种[35]，即：所注册的域名、被注册域名的首要和次要服务器信息、注册商信息、域名的首次注册日期、域名的拟定到期日期、其他最低程度的信息。

对于域名注册人而言，除了上述6种数据之外其余数据均将被隐藏。如需获得包括联系方式之内的其他个人信息，则他们需要前往注册服务机构、注册管理机构的网站，通过一个被匿名化处理的邮箱来联系域名注册人以获得有关信息，而ICANN、域名注册管理机构、域名注册服务机构均不承诺相关邮件一定会得到注册人的回复[35]。从个人信息保护角度而言，域名所有人的个人信息得到了良好保护；但另一方面，通过相关个人信息查证网站实际控制人也变得困难重重。

3 欧盟有关规制活动对我们的启示

纵观前文所提及的欧盟所主导的个人信息自决权与ICANN所主导的WHOIS冲突的历史，我们可以观察到两种极端：一是在美国商务部主动放弃对互联网号码分配机构的管理之前，ICANN对第29条工作组在《2003数据保护意见》中所提出的各项保护个人信息自决权的意见几乎采取了不闻不问的态度，甚至在知识产权权利人的策动下不断尝试将WHOIS信息的公开范围推向更高、更广的范围[39]；二是ICANN在GDPR即将生效时匆匆颁布《WHOIS临时规范》中，彻底摒弃了低成本、公开获得WHOIS数据的方法，目前第三方想要通过ICANN或ICANN体系下的域名注册管理机构、注册服务机构获得相关个人信息变得十分困难。

从法律位阶而言，无论是欧盟的《通用数据保护条例》，还是中国《网络安全法》《个人信息保护法》，在地位上都是平等的。因此，我们也可借鉴欧盟在互联网号码分配机构规制上的成功经验，积极在未来互联网号码分配机构规制中实现我国的相关诉求。

3.1对个人数据的有关境外传输提出中国标准欧盟法院在Facebook案中，判决欧盟国家可以通过国内法限制个人数据的境外传输。但整体上，欧盟还没有形成关于个人数据境外传输规制的共识。我国则一贯在对外交往中强调数据主权[40]，在《网络安全法》《个人信息保护法(草案)》中对个人信息境外传输有着明确的规定。

ICANN在其制定的注册管理机构协议模版、注册服务机构委任协议模版中明确要求，域名注册管理机构、注册服务机构有义务收集多项域名注册数据，并传输至ICANN指定的数据托管服务机构。目前，我国《互联网域名管理办法》并没有限制国内的域名注册管理机构、域名注册服务机构向境外ICANN指定的数据托管服务机构传输有关域名注册数据。这可能是考虑到，早期我国没有符合ICANN资质的境内域名注册数据托管服务机构而做的妥协。但随着《网络安全法》以及未来《个人信息保护法》的制定，以及国内的有关单位已经正式获得ICANN域名注册数据托管服务资质的实际情况，我国应尽早修订《互联网域名管理办法》第21条，明确限制境内域名注册管理机构、域名注册服务机构向境外域名注册数据托管服务机构传输域名数据。

3.2对个人数据的有关境外利用提出中国标准前文已经指出，我国目前《个人信息保护法(草案)》关于个人数据之利用的保护标准实际上比欧盟更严格。对于这一点，可能值得我们慎重考虑我国是否应采用如此之高的保护标准。欧盟对互联网号码分配机构的规制经验或许可以提供一个例证。

我们已经指出，互联网号码分配机构运营者提供有关域名注册数据的查询主要是基于知识产权保护因素考量的。在欧盟对互联网号码分配机构基于个人信息保护的规制中，有关域名注册管理机构、注册服务机构的态度是，希望WHOIS查询机制尽量简化，以减少WHOIS查询系统的维护成本，同时他们不希望成为有关网络纠纷的焦点。恶意域名、钓鱼网站的增加并不会影响他们收取域名注册费用，因此，他们乐见于提供尽可能少的WHOIS查询信息。因此，《WHOIS临时规范》的合规要求很快被全球域名注册管理机构、域名注册服务机构所接受，目前我们已经很难通过WHOIS查询获得相关网站的注册信息。可以说，欧盟的规制活动一方面提高了域名注册人个人信息保护水平；但另一方面也在很大程度上提高了知识产权权利人的后续维权成本。

相比于欧盟，中国是发展中国家，因此取消公开可及的WHOIS查询带来的维权成本问题对中国知识产权权利人的影响可能更大；同时，中国是世界第一大商标注册国、第二大域名注册国，恶意域名规模相对较大，对我国公共互联网安全的威胁也相对较大[41]；最后，在我国的有关域名争议中，绝大部分争议域名也都是以个人名义进行注册的。以上情况充分说明，我国个人信息保护与有关法定权利保护的平衡点与欧盟是不同的。

因此，我们有必要对互联网号码分配机构的个人数据境外利用问题上提出中国标准：首先，我们要反思目前《个人信息保护法(草案)》第13条第5项中过于严格的个人信息利用标准，建议参考欧盟《通用数据保护条例》第6条第f项，将有关条款的表述修改为“为公共利益或第三人合法利益的实现，在合理范围内处理有关个人信息”；此外，无论最终《个人信息保护法》采取何种表述，我们都应制定关于互联网号码分配机构个人信息保护的细化指引，强调互联网号码分配机构运营者有义务确保我国有关部门以及相关法定权利人能够及时准确地获取域名注册数据。

4 结语

每当人类文明涉足一个新的空间时，我们都会面临一个自然状态。让我们回顾历史，大航海时代努涅斯·巴尔博亚以卡斯提尔国王的名义站在海边上宣布占有了南太平洋和整个南美洲，就能剥夺那里所有居民的土地[43]。这种方式与美国在互联网发展早期单边控制国际互联网关键基础资源分配机制的举动何其相似。正如学者的表述，通过私法治理国际互联网的多利益主体模式，本质上“依赖于某个大国的全球霸权”[12]，其正当性完全来自于美国在互联网技术领域的先发优势。

然而，当今世界格局正处于从“一超多强”向多极化转变的历史时期[45]，网络空间治理的主导地位变迁同样反映了这一趋势。ICANN体制确立前夕的1997年，接入国际互联网的中国计算机仅有19 739台左右[44]，而至2019年中国互联网社群已经成长为一个拥有8亿网民的世界互联网发展指数排名全球第二的互联网大国[45]。斯诺登事件后，美国单边控制国际互联网的行动已不合时宜，NTIA最终在2016年正式放弃了对互联网号码分配机构的管理。此时的网络空间实际上重新处于一种无权力支撑的自然状态，这种状态诚如霍布斯所言，“在没有一个共同权力使大家慑服的时候，人们便处在所谓的战争状态下”[46]。网络空间已经重新成为大国之间的角力决斗场。

欧盟率先对这一自然状态下的治理规则输入了符合《通用数据保护条例》规制思路的规制意见，已然被互联网号码分配机构的运营者ICANN全盘采纳。我们可以效仿欧盟，在互联网号码分配机构治理中实现我国关于数据主权的诉求；同时，我们也要警惕欧盟的有关规制主张中不符合我国利益的部分，积极出台更细化的指引规则，并引导互联网号码分配机构的治理朝向有利于我们的方向前进。