2018 年 5 月,欧洲通用数据保护条例 (GDPR) 生效,引发了许多有关统一域名争议解决政策 (UDRP) 的问题,包括它对获得争议域名所有权的一些主要要求意味着什么。
如今,UDRP 已成为知识产权所有者控制争议域名的主要手段,无需诉诸诉讼或屈服于滥用注册人的付款要求。以前,依靠 WHOIS 服务提供的注册数据,可以将滥用特定知识产权的不同域名联系起来,从而只需一次投诉即可解决。
过去,商标所有者及其代表严重依赖这种对注册人数据的批量访问来收集有关滥用 DNS 的注册人和域名抢注者的信息。GDPR 对访问注册人数据施加的新限制可能会迫使商标所有者代表其 UDRP 受访者诉诸新标准来证明缺乏合法利益或存在恶意。
尽管 GDPR 出台后,提交 UDRP 的条件保持不变,但 GDPR 出台后,投诉人满足行政小组决策标准的能力可能会受到严重损害。为了向相关方澄清 GDPR 出台后的 UDRP 流程,世界知识产权组织 (WIPO) 在非正式问答中就这一问题讨论了最相关的问题。
虽然公开的 WHOIS 数据可能不再包含域名注册人标识符(例如注册人的姓名和域名的管理、计费和技术联系人),但 WIPO表示,商标所有者仍然可以通过在公开的 WHOIS 中提供的数据集结果中指明注册人的详细信息,针对争议域名启动针对被告的 UDRP 流程;例如,“隐私已删除”。这与之前在注册人的数据受到代理和隐私服务保护的情况下的要求没有什么不同(根据腾讯科技(深圳)有限公司诉超级隐私服务, WIPO 案件编号 D2018-0391 )。
在问答期间,应用方法尚未统一:一些注册商表示,考虑到独资企业(即以个人名义开展的商业活动)可能存在的问题,他们可能也会对“组织”数据字段应用限制访问。同样,在欧盟 (EU) 未设立机构的注册商可能不一定会对所有注册的 WHOIS 数据应用编辑。相反,这些注册商可能只会对位于欧盟的自然人 WHOIS 数据进行编辑。
与被告身份受隐私服务保护的情况一样,一旦提起 UDRP 投诉,理论上 ICANN 认可的注册商必须向感兴趣的 UDRP 提供商提供完整的注册数据。根据对 GDPR 的几条评论,在这种情况下,代表注册商披露数据将同时符合第 6.1(f) 条(合法利益)和第 6.1(b) 条(合同履行)的合法性。
当 UDRP 提供商从注册商处收到被告的信息时,它会将其传送给投诉人,从而允许使用新收到的被告信息修改原始投诉。然而,由于 ICANN 的《注册商认证协议》(RAA)与 GDPR 存在不足,因此存在一个特别的风险,即注册商可能会拒绝向 UDRP 提供商提供所需的数据集,或在同意数据披露之前要求提供有关该案件的更多信息。
从法律角度来看,证明被告缺乏合法利益对商标权人而言本身就极具挑战性[1]。如果不知道注册人的身份,就很难满足这样的举证责任。
在这些案件中,WIPO 并不提供一般性答案,而是主张根据具体情况寻找解决方案,同时可以向 ICANN 寻求帮助,以确保注册商遵守 RAA。然而,后一种解决方案并不能保证成功,正如德国法院在ICANN 诉 EPAG Domainservices, GmbH 案(欧盟法院正在审理初步案件)中做出的裁决所表明的那样。
或者,在没有集中信息交换中心的情况下,在等待 ICANN 实施其合规模式的情况下,商标所有者可以直接联系域名注册商,要求部分披露侵犯其知识产权的主体的注册数据。在这种情况下,注册商的数据披露只有在投诉人获取注册数据的合法利益与数据主体保护其数据的基本权利和利益之间进行适当的平衡,才能根据 GDPR 第 6.1(f) 条合法化。
只有当后者不凌驾于投诉人的合法利益之上时,注册商才有权同意披露数据。要符合合法条件,投诉人的利益必须是合法的,代表明确的和当前的利益,并且足够具体和明确,以便有效地平衡数据主体的数据保护权。各个注册商在进行评估时要考虑的因素并不统一,但 WIPO表示,商标所有人或其代表应该能够提供(指示性地):相关域名;商标所有人的详细信息;所请求的信息(即注册人姓名);一份描述访问信息的所谓合法利益的声明(在本例中为执行知识产权);有关商标的信息;一份证明,证明所请求的个人数据只会在 GDPR 允许的范围内保留和用于所声称的合法利益。
进行权衡所需的临时流程,加上所需的专业知识水平和查询数量,导致一些注册商在申请披露注册人数据时要求支付费用。鉴于 GDPR 的目标,这种获取注册信息的经济负担的合法性当然也受到质疑,因为它严重阻碍了欧盟内部个人数据的自由流动。
针对隐私受到 GDPR 保护的被告启动 UDRP 程序可能会在争议的初步阶段给商标所有者带来额外成本。如上所述,根据 UDRP 第 4(a) 段的规定,针对未知被告提起 UDRP 将大大限制投诉人评估和证明被告对争议域名缺乏权利或合法利益的能力。
如果遵守 RAA 的注册商提供的信息会导致撤回 UDRP 投诉(例如,当注册人成为商标所有者的授权被许可人时),则 WIPO(而非其他 UDRP 提供商)会提供退款的可能性。
关于合并,WIPO建议,在缺乏注册人信息的情况下,行政小组可能会越来越多地关注共同控制的其他指标。由于缺乏注册人数据,识别其他明确的标识符(例如使用类似的命名模式、模板和文本)成为商标所有者证明对多个滥用域名具有共同控制权的基本要求
无法获取争议域名注册人的身份,也可能削弱投诉人根据 UDRP 第 4(a) 条证明被投诉人恶意的可能性(根据Carlsberg A/S 诉 Xu Guo Xing 案, WIPO 案件编号 D2017-0301 )。
根据 UDRP 第 4(b) 款,其中列出了可能表明域名注册或使用存在恶意的情况,但并非详尽无遗。被告方多次滥用域名注册即构成恶意。WIPO 在 2017 年发布的《法理概览 3.0》中强调,UDRP 行政小组已确定被告方至少两次滥用域名注册构成“阻止商标持有人在域名中反映其商标的行为模式”。
GDPR 的实施,以及随之而来的从 WHOIS 查询结果数据集中删除域名注册人数据的行为,使得商标所有人在提起 UDRP 之前(如果注册商不同意进行此类预防性披露)无法再通过对管理小组档案进行基于名称的搜索来核实滥用行为模式,而只能在相关注册商同意向 UDRP 提供商提供注册人的数据后对其原始投诉进行可能的修改。另一方面,WIPO 确保根据 UDRP 第 4(J) 段公布争议方名称,这对于 UDRP 程序的整体运作是必要的(因此也对于根据 GDPR 第 6.1(b) 条履行 RAA 合同也是必要的)。
尽管如此,参与 UDRP 流程的任何一方仍有可能提出删除其个人信息的请求,从而可能与 WIPO 确保该系统在 GDPR 后可操作性的努力相悖。GDPR 和第 29 条工作组关于删除个人数据的指南中规定的标准(尤其是与公众相关的标准)几乎不支持此类删除,尤其是在发现注册人进行了滥用注册的情况下。
作为 ICANN 知识产权选区成员,我们的域名管理卓越中心 Thomsen Trampedach密切关注 WHOIS 服务目录隐私法规的持续讨论,包括其对 UDRP 流程的影响、注册商责任以及在线知识产权侵权的有效调查和执行。如需更多信息和进一步支持,请联系我们的团队。
[1] Questel 不提供任何法律服务。合法的服务由独立的知识产权律师根据您与合作知识产权律师事务所(如果您愿意)之间的单独聘用协议提供。
