<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi,<div><br></div><div>I must have read a different email from Greg because I didn't see any language describing registrar obligations for when a registrant does not respond to an inbound inquiry.   IMO the crux of the issue is described at the end of Greg's proposed text for 2).   i.e. " If Registrar receives a bounced email notification or non-delivery notification message, the Registrar must initiate re-verification of the registrant's contact data per the RAA's WHOIS Accuracy Program Specification, paragraph 4."     As Greg states this ensures measurement and compliance activity around this contractual requirement is possible - something I very much support.   </div><div><br></div><div>I'll note we had this same discussion during the PPSAI PDP, where it was made clear that "failure of “delivery” of a communication is not to be equated with the failure of a customer to “respond” to a request, notification or other type of communication.".    In fact I suggest we can reference/leverage/repurpose the language in Recommendation 17 (Regarding Further Provider Actions When There Is A Persistent Delivery Failure of Electronic Communications)  of the PPSAI final report starting on page 14 of <a href="https://gnso.icann.org/sites/default/files/filefield_48305/ppsai-final-07dec15-en.pdf">https://gnso.icann.org/sites/default/files/filefield_48305/ppsai-final-07dec15-en.pdf</a> accordingly.  <br></div><div><br></div><div>Thanks. </div><div><br></div><div>Alex</div><div><br></div><div><br clear="all"><div><div dir="ltr" class="gmail_signature"><div dir="ltr">___________<div><b>Alex Deacon</b></div><div>Cole Valley Consulting</div><div><a href="mailto:alex@colevalleyconsulting.com" target="_blank">alex@colevalleyconsulting.com</a></div><div>+1.415.488.6009</div><div><br></div></div></div></div><br></div></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 1, 2019 at 10:45 AM Matt Serlin <<a href="mailto:matt@brandsight.com">matt@brandsight.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_-7582900033538669707WordSection1">
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">I agree with Milton on this…seems like we are opening a can of worms for Compliance to investigate every instance of a non-response when in reality, non-response by a registrant
 should absolutely be expected as registrants get any number of inquires and have ZERO obligation to respond to anything.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">If registrars start to get compliance requests to investigate why someone simply did not respond to an inbound inquiry, we have created an absolute nightmare of a policy and
 my fellow registrar folk will have their pitchforks out for their RrSG reps on this group
</span><span style="font-size:11pt;font-family:"Apple Color Emoji"">☺</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">ms<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>
<div style="border-style:solid none none;border-top-width:1pt;border-top-color:rgb(181,196,223);padding:3pt 0in 0in">
<p class="MsoNormal"><b><span style="color:black">From: </span></b><span style="color:black">Gnso-epdp-team <<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">gnso-epdp-team-bounces@icann.org</a>> on behalf of "Mueller, Milton L" <<a href="mailto:milton@gatech.edu" target="_blank">milton@gatech.edu</a>><br>
<b>Date: </b>Friday, February 1, 2019 at 9:37 AM<br>
<b>To: </b>Alan Greenberg <<a href="mailto:alan.greenberg@mcgill.ca" target="_blank">alan.greenberg@mcgill.ca</a>>, Alan Woods <alan@donuts.email>, Greg Aaron <<a href="mailto:greg@illumintel.com" target="_blank">greg@illumintel.com</a>><br>
<b>Cc: </b>GNSO EPDP <<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>><br>
<b>Subject: </b>Re: [Gnso-epdp-team] RrSG Comment on Recommendation 10<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
</div>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Maybe I do not understand what you are saying, AlanG, but your statement below seems mistaken.  </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Party X sends some kind of a request which is supposed to be relayed to a RNH. The registrar forwards it and assign it a number, as AlanW suggests below.
</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Party X gets no response and becomes concerned. They ask ICANN compliance to look into the accuracy of the Whois record. Compliance can check the full Whois record.
</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Further, the concern about “requests not being relayed” is very different from “requests being relayed to a non-viable contact address.” The former is a registrar
 failure (and I am not sure WHY exactly a registrar would fail to forward a request), the latter is an accuracy problem for which the RNH is responsible.
</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Seems to me these more complicated procedures for tracking email delivery and responses are simply a way for certain private parties to offload the costs of their
 monitoring and enforcement activities onto Registrars (and indirectly, RNHs). We oppose that.
</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">--MM</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"> </span><u></u><u></u></p>
<div style="border-style:none none none solid;border-left-width:1.5pt;border-left-color:blue;padding:0in 0in 0in 4pt">
<div>
<div style="border-style:solid none none;border-top-width:1pt;border-top-color:rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11pt;font-family:Calibri,sans-serif">From:</span></b><span style="font-size:11pt;font-family:Calibri,sans-serif"> Gnso-epdp-team [mailto:<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">gnso-epdp-team-bounces@icann.org</a>]
<b>On Behalf Of </b>Alan Greenberg<br>
<b>Sent:</b> Friday, February 1, 2019 10:10 AM<br>
<b>To:</b> Alan Woods <alan@donuts.email>; Greg Aaron <<a href="mailto:greg@illumintel.com" target="_blank">greg@illumintel.com</a>><br>
<b>Cc:</b> GNSO EPDP <<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>><br>
<b>Subject:</b> Re: [Gnso-epdp-team] RrSG Comment on Recommendation 10</span><u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Alan, "Should ICANN compliance wish to test the fidelity of the system, that is in their purview to do so to ensure the mechanics of the system." does not give compliance the ability to address complaints that messages are seemingly not
 being relayed (or are being relayed to a non-viable contact address).<br>
<br>
Alan<br>
<br>
At 01/02/2019 05:34 AM, Alan Woods wrote:<br>
<br>
<br>
<u></u><u></u></p>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<p class="MsoNormal" style="margin-bottom:12pt">Thank you Greg and our SSAC colleagues for this,
<br>
<br>
However, with my privacy lawyer hat on, can we actually remind ourselves here of the goal. The Goal here is to simply confirm that the registrar has relayed the requestors communication.
<br>
<br>
The suggestion from our SSAC colleagues, has the Registrar, not only maintaining this log, but creating a database of requestor data, email addresses, metadata, and, for good measure, a positive obligation to further monitor responses from those emails sent,
 so as to initiate an action which may result in a suspension of a domain name.  <br>
<br>
Outside of the fact that a system of this size is likely complex and cost prohibitive to smaller registrars, it ignores necessity and data minimization and alas fails the privacy by default and privacy by design tests. I'm sure that the very clever folks at
 the registrars can come up with a much simpler and functional system along the lines of:
<u></u><u></u></p>
<ol start="1" type="1">
<li class="MsoNormal">
A communication request received is assigned a number e.g. #X <u></u><u></u></li><li class="MsoNormal">
The number is provided to the requester (for their own reference) but the registrars have no need to maintain a record of which requester is assigned which number, just that request #X is made, and the system has confirmed its relay of the message associated
 with #X. <u></u><u></u></li><li class="MsoNormal">
Should ICANN compliance wish to test the fidelity of the system, that is in their purview to do so to ensure the mechanics of the system. None of the other data or actions are remotely necessary.
<u></u><u></u></li><li class="MsoNormal">
I would also suggest that we give the registrars a bone here and state that nothing in our recommendation language should prevent the registrar from taking appropriate actions to prevent excessive use or abuse of the registrant contact process.
<u></u><u></u></li></ol>
<p class="MsoNormal" style="margin-bottom:12pt">Now to display how number 4 may be achieved, but also noting that this is not within ICANN's controllership and therefore outside of the ICANN policy reach:
<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
4a. A Registrar may, at their own discretion, keeps a sufficiently anonymized log of requests (whereby the system pseudonymizes of somehow anonymizes personal data of the requester but is capable of logging where requestor (let's call him Y)  has made 30000
 requests #X ,#Z etc. This can then be used to perhaps filter such future requests from that requestor. To confirm this would be solely at the option of the regsitrar, abased on their own needs, size, resources etc. The registrar would be controller here, 
 and ICANN base policy cannot dictate this. This would indeed be a prudent step for a larger registrar to  prevent abuse of the relay system, and to avoid allegation that they are 'spamming' their registrants. 
<u></u><u></u></p>
<p class="MsoNormal"><br>
<br>
To that end. I think Sarah's' proposed wording with Kristina's addition (and perhaps the clarification contained in 4 above)  is still wholly sufficient for the goal and purpose pursued.
<br>
<br>
Kind regards,<br>
<br>
Alan<br>
<br>
<br>
 <br>
<br>
 <br>
Alan Woods<br>
Senior Compliance & Policy Manager, Donuts Inc. <u></u><u></u></p>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="0" width="81%" align="center">
</div>
<p class="MsoNormal" style="margin-bottom:12pt">The Victorians, <br>
<span style="font-family:Arial,sans-serif;color:rgb(51,51,51)">15-18 Earlsfort Terrace<br>
Dublin 2, County Dublin</span><br>
<span style="font-family:Arial,sans-serif;color:rgb(51,51,51)">Ireland</span><br>
<br>
<a href="https://twitter.com/DonutsInc" target="_blank">  </a><a href="https://www.linkedin.com/company/donuts-inc" target="_blank"> 
</a><br>
<br>
Please NOTE: This electronic message, including any attachments, may include privileged, confidential and/or inside information owned by Donuts Inc. . Any distribution or use of this communication by anyone other than the intended recipient(s) is strictly prohibited
 and may be unlawful.  If you are not the intended recipient, please notify the sender by replying to this message and then delete it from your system. Thank you.<br>
<br>
<br>
On Thu, Jan 31, 2019 at 11:25 PM Greg Aaron <<a href="mailto:greg@illumintel.com" target="_blank">greg@illumintel.com</a>> wrote:<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
The SSAC team proposes a revised version of #2.<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
A goal is to make measurement and compliance activity around this contractual requirement possible. The Temp Spec doesn't offer that, and the existing proposals don't yet either.   The RrSG proposal says that no personal data about the activity will retained,
 and log format or content are not specified.  If so, how will a registrar demonstrate that a message from any requestor was sent to the registrant?<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
The below makes clear that the records about forwarding are for examination by ICANN Compliance (only).  If someone who originated a message is concerned, they can make a complaint to ICANN.  That is the same model that we have now for invalid WHOIS and abuse
 reporting complaints.  We also assume that such records will be retained for only an appropriate term.<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
Part of the recommendation below is based on an existing procedure in the RAA. so it is familiar.  It creates no new personal data transfer, and there is already a â€œP†urpose defined for contracted parties to send personal data to Compliance.  It does not
 require the registrar to keep the entire email message if they do not want to. <u></u>
<u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
Proposed text:<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
"2) The EPDP Team recommends that Registrars must maintain records that demonstrate that the communication from the requestor was relayed by email to the Registered Name Holder.  This information must include the requestor's identity as it was provided to the
 Registrar, the Registered Name Holder's email address, and a timestamp.  Such records will be available to ICANN for compliance purposes, upon request.  If Registrar receives a bounced email notification or non-delivery notification message, the Registrar
 must initiate re-verification of the registrant's contact data per the RAA's WHOIS Accuracy Program Specification, paragraph 4."<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-left:0.5in">From: Gnso-epdp-team <<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank"> gnso-epdp-team-bounces@icann.org</a>> On Behalf Of Sarah Wyld<u></u><u></u></p>
<p class="MsoNormal" style="margin-left:0.5in">Sent: Friday, January 25, 2019 4:14 PM<u></u><u></u></p>
<p class="MsoNormal" style="margin-left:0.5in">To: <a href="mailto:gnso-epdp-team@icann.org" target="_blank">
gnso-epdp-team@icann.org</a><u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
Subject: [Gnso-epdp-team] RrSG Comment on Recommendation 10<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
Hello All,<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
For Recommendation 10, the RrSG has the following proposed new text:<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
1) In relation to facilitating email communication between third parties and the Registered Name Holder, the EPDP Team recommends that current requirements in the Temporary Specification that specify that a Registrar MUST provide an email address or a web form
 to facilitate email communication with the relevant contact, but MUST NOT identify the contact email address or the contact itself, remain in place.<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
2) The EPDP Team recommends Registrars MUST maintain Log Files, which shall not contain any Personal Information, and which shall contain confirmation that a relay of the communication between the requestor and the Registered Name Holder has occurred, not including
 the origin, recipient, or content of the message. The registrar cannot be reasonably expected to confirm, or attempt to confirm by any means, the receipt of any such relayed communication.
<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
3) DELETE 3 <u></u><u></u></p>
<pre style="margin-left:0.5in">-- <u></u><u></u></pre>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<pre style="margin-left:0.5in">Sarah Wyld<u></u><u></u></pre>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<pre style="margin-left:0.5in">Domains Product Team<u></u><u></u></pre>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<pre style="margin-left:0.5in">Tucows<u></u><u></u></pre>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<pre style="margin-left:0.5in">+1.416 535 0123 Ext. 1392<u></u><u></u></pre>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<pre style="margin-left:0.5in"> <u></u><u></u></pre>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
 <u></u><u></u></p>
<pre style="margin-left:0.5in"> <u></u><u></u></pre>
<p class="MsoNormal" style="margin-left:0.5in"> <u></u><u></u></p>
<p class="MsoNormal" style="margin-left:0.5in">_______________________________________________
<u></u><u></u></p>
<p class="MsoNormal" style="margin-left:0.5in">Gnso-epdp-team mailing list<u></u><u></u></p>
<p class="MsoNormal" style="margin-left:0.5in"><a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a>
<u></u><u></u></p>
<p class="MsoNormal" style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in">
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><u></u><u></u></p>
<p class="MsoNormal">_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><u></u><u></u></p>
</blockquote>
</div>
</div>
</div>

_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a></blockquote></div>