实施欧洲隐私法的几天前,关于即将出台的条例是否会对网络安全产生负面影响的争论仍在继续。争论的焦点是所谓的“互联网地址簿”或“WHOIS目录”,到目前为止,它一直是一个用来识别网站和域名的所有者的公开数据库。
根据将于5月25日生效的《通用数据保护条例》(General Data protection Regulation,缩写GDPR),该数据库因为包含了受保护的个人信息,开放度将被大大降低。
WHOIS目录的锁定在欧盟当局与ICANN(管理数据库和线域系统的非营利实体)之间多年谈判之后达成。互联网名称与数字地址分配机构(ICANN)上周批准了一项临时计划,允许用户在“合法”目的前提下获得访问权,解释权则被留给互联网域名注册商——即出售域名和网站的公司。这意味着包括像GoDaddy这样的注册商,需要获得访问权,否则将面临来自欧盟的巨额罚款。
正方观点
美国政府官员和一些网络安全专业人士担心,如果没有通过WHOIS轻松查找黑客和其他恶意行为者的能力,新规则可能会导致网络犯罪,垃圾邮件和欺诈行为激增。批评者说,GDPR可能会夺走执法人员、安全研究人员、记者和其他人使用的重要工具。
美国互联网管理部门负责人、美国商务部部长助理戴维•雷德(David Redl)上周呼吁欧盟推迟对“世卫组织”目录实施GDPR。Redl说:“失去对WHOIS信息的访问权将会对网络犯罪、网络安全以及全球知识产权保护活动的执法产生负面影响。”
曾担任白宫网络安全协调员的罗伯•乔伊斯(Rob Joyce)则认为“GDPR将削弱在互联网上识别恶意域名的关键工具,网络罪犯正在为GDPR的到来弹冠相庆”。
关键基础设施技术研究所(Institute for Critical Infrastructure Technology)的高级研究员詹姆斯•斯科特(James Scott)承认,GDPR规则“可能会妨碍安全研究人员和执法人员”。这些信息可能仍然可以通过搜查令或者执法的要求得到,但添加的匿名化层将严重延迟“恶意行为者的识别”。
反方观点
在另一方看来,对网络犯罪的担忧被夸大了,狡猾的网络犯罪分子可以很容易地将自己的踪迹从WHOIS中隐藏起来。
佐治亚理工学院教授兼独立研究人员互联网治理项目创始人米尔顿穆勒说,网络犯罪高涨的原因“完全虚假”。“没有证据表明世界上大多数的网络犯罪都是由WHOIS阻止或减轻。”Mueller告诉记者,“事实上,一些网络犯罪正是由WHOIS促成的,因为坏人也可以追踪这些信息。”穆勒表示,该目录已经被商业实体“利用”了多年,其中一些实体对数据进行二次销售,而权威的政权则被广泛监视。“从根本上说,这是一个正当程序的问题,”他说。“我们都同意,当执法部门有合理的理由时,他们可以获得某些文件,但谁允许不受限制的访问,而不需要任何正当程序检查。”
据ICANN全球域名部门的总裁Akram Atallah称,恶意组织曾试图使欧盟强制执行GDPR延迟,但却未能成功。ICANN正致力于一项“认证”授予访问权的过程,但无法预测在该组织中政府和私人利益相关者之间达成共识需要多长时间。
无论正方还是反方的观点更有说服力,这场辩论的胜负都不会影响条例的实施,面对这样的既定事实,各方势力究竟会有怎样的此消彼长尚且不得而知。颁布的区域真的会花费大量时间进行监督限制吗?不妨拭目以待。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
