GDPR将在2018年5月25日生效实施域名注册受影响

欧盟的GDPR被大家称为是目前这个星球上最先进和最严格的隐私保护制度，但却有高达96%的公司承认他们并不理解GDPR的规定。对于GDPR您又了解多少了？在阿布扎比召开的ICANN 60会议上，一个专有名词突然闯入与会者的眼帘，并被多次提出和讨论，这个专有名词叫做“GDPR”。 ICANN甚至为此发出官方合规声明，表明其进行多项努力以评估GDPR对ICANN合规方面的影响。

GDPR，全称为General DataProtection Regulation，通用数据保护条例，此条例在2016年4月被欧盟通过，实际上是1995年欧盟「EU法规95/46/c」法规（数据保护指令）的更新版本，该法规将于2018年5月25日开始正式生效并实施。

据有关调查显示，欧盟的GDPR被大家称为是目前这个星球上最先进和最严格的隐私保护制度，但却有高达96%的公司承认他们并不理解GDPR的规定。对于GDPR，您又了解多少？

适用主体：

GDPR要求：

1、在欧盟成员国有法人实体的公司；

2、在欧盟没有设立实体公司，但因为业务关系而持有欧盟居民个人资料的公司。

也就是说，全世界各地的公司，在欧盟成员国境内开展业务时，必须保护欧盟成员国民众的个人资料与隐私，即使您的公司不在欧盟境内做生意，但只要您的公司有任何来自欧盟成员国的客户，你就受到GDPR的管辖。

对数据保护方面的主要规定：

GDPR要求：

1、公司必须设立一个数据保护官(Data Protection Officer，DPO)。数据保护官必须直接汇报给最高管理层，其职责是监管和规范数据负责人和数据处理者的数据活动。

2、公司需要保留用户数据监管信息，并定期删除无关数据。

3、公司必须部署合适的工具用以保护数据，以防数据丢失、损坏或泄露。当发生任何数据泄露相关事件，数据管控者与数据处理者需要在72小时内进行报告。

4、公司处理个人数据必须要有合法理由，包括数据主体的同意、为了签订或履行合同需要、遵守法定义务的需要、为公共利益或行事政府授权以及为追求数据控制者的合法利益等；

5、当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据，用户有权要求删除数据。

6、用户有权并可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者处。

7、公司禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、工会组织成员的数据、个人基因识别数据、生物数据、涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据，如已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要在法律允许的范围内已采取了适当的保护手段等。

8、公司处理16岁以下儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整，但是不得低于13岁。

9、公司需要实现数据的“缺省保护隐私”，即这种数据保护的隐私设计需要有默认的两个原则，一是数据采集与数据使用目的的一一对应原则；二是数据采集的最小化原则。

GDPR的处罚规则：

对于违反GDPR的行为，严重违规者罚金将会是上限2000万欧元或该企业全球年营业额的4%（以两者较高者为准）；一般违规者罚金将会是上限1000万欧元或该企业全球年营业额的2%（以两者较高者为准）。举个例子，苹果公司最近两年的年收入都超过了2000亿美元，如果苹果公司严重违反了GDPR的规定，那么罚金就有可能高达80亿美元。

与其形成对比的是，如果在美国触犯了隐私保护条例，那通常情况下罚金的大概范围是几十万到几百万美金。而在中国，至今依然没有专门的《个人信息保护法》。2017年6月1日正式实施的《中华人民共和国网络安全法》首次在法律层面确立了一般意义上“个人信息”的概念，根据网络安全法，侵害个人信息相关权利时，对直接责任人员的罚款数额上限为10万元人民币，对网络运营者的罚款数额上限为100万元人民币。

域名注册相关领域在GDPR正式执行后对国内的影响：

主要影响 ICANN 实施 WHOIS 政策的方式。域名WHOIS资料的收集，展示，以及 ICANN 可能产生新的合规要求，导致域名注册局 (Registry)，域名注册商 (Registrar)，域名注册人 (Registrant) 在提供域名WHOIS信息，使用WHOIS信息上，有了本质性的改变。

具体的影响以及其牵动的域名注册流程改变，目前正由ICANN 与社群研议中，各ICANN 签约单位也须将调整方案提交给 ICANN 合规组备案审查。原本 ICANN 针对老旧 WHOIS 结构(如.com域名 / .net域名)的更新工作，也将暂停六个月；目前已有位于欧洲的顶级域名停止提供公众 WHOIS 查询服务。

对于未来不符合 GDPR 规范的域名服务商，欧盟将对其提出高达两千万欧元或年营收 4% 的罚金制裁。

对于合规工作会产生的业务信息改变，流程改变，服务价格调整以及各项合规需求等，中域将随时发函通知客户与合作伙伴的合规法律部门。目前所知，可能产生的影响包括但不限于：

中国企业以：

- 欧洲自然人名义注册任何 gTLD(顶级域名) / ccTLD 域名(国别域名)；

- 中国公司或中国自然人注册任何欧洲ccTLD；

* 以中国为司法管辖地，对欧洲自然人提供域名注册服务的注册局与注册商

* 因 ICANN 实施新的合规政策，导致各 gTLD 注册局，注册商的 WHOIS 信息结构在短期间的不一致 (目前预估为 2019.5 之前) ，造成域名管理，移转，回购，监控，UDRP 业务处理方式的改变；

* 其他衍伸商业问题（如企业投资或并购时需要对域名持有人进行查核）

需要特别提醒的是，GDPR所牵涉的范围极广，域名注册仅是其中的一小部分。