<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:"Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:"open sans";

        panose-1:0 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:Cambria;

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:"\@Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;

        mso-fareast-language:JA;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

/* List Definitions */

@list l0

        {mso-list-id:417674844;

        mso-list-template-ids:1516902696;}

ol

        {margin-bottom:0in;}

ul

        {margin-bottom:0in;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="mso-fareast-language:JA">Hi Alan, my comments are inline below.  Perhaps we are closer than you think.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:JA">Note that the Gateway plays a more authoritative role in this version because that’s how I perceived the feedback received over the last few days – it seemed there was an expectation that the Gateway

 would be making very strong recommendations for certain use cases and CPs might be inclined to automatically accept them, to the extent that the Gateway could be considered an authorizer for such use cases. If I misjudged that, it’s easily remedied by only

 a few edits to the document.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:JA"><o:p> </o:p></span></p>

<p class="MsoNormal"><b>From:</b> Alan Woods <alan@donuts.email> <br>

<b>Sent:</b> Tuesday, February 4, 2020 3:13 AM<br>

<b>To:</b> Mark Svancarek (CELA) <marksv@microsoft.com><br>

<b>Cc:</b> gnso-epdp-team@icann.org<br>

<b>Subject:</b> [EXTERNAL] Re: [Gnso-epdp-team] Latest version of Automated Use Cases document<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Mark,<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Thanks for completing this. Noting we did discuss this, alas I must note that this new document does not reflect my impression of the discussion that we had: <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<ol start="1" type="1">

<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">

I recall we discussed that the decision for disclosure would be at the option of the controller, who on the basis of the data and risk profile before them, can initiate the automated response. This assumption was acceptable to me. This resultant document does

 not even contemplate this. I particularly note an expanded creep back into 'required' automated disclosure. This is not agreed, was not discussed, and should not be included in our interim report.  <o:p></o:p></li></ol>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] &$!#^!  Please replace “</i></b><span style="font-family:"Arial",sans-serif;color:black">make a decision to require</span><b><i>” in Assumption VII

</i></b><b><i><span style="font-family:Wingdings">à</span></i></b><b><i> “</i></b><span style="font-family:"Arial",sans-serif;color:black">make a decision to request</span><b><i>”.  I can see how that Assumption would have colored your reading of the rest of

 the document.</i></b><o:p></o:p></p>

<ol start="2" type="1">

<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">

The assumptions in this document assumes that the Gateway / authorization body will have the data to make the decision - although you note in VII that that singular assumption may modify the relationships, for the record this does actually completely depart

 from the swimlane model as presented. <o:p></o:p></li></ol>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] Correct<o:p></o:p></i></b></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

The model represented now effectively tries to avoid the central body actually processing of registration data (gateway/ Auth).

<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] Clarifying, is “model represented now” the model in the current draft report?<o:p></o:p></i></b></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

Your assumptions are forcing that body into a decision making controllership role (automated is still a decision).

<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] None of these use cases, as far as I can tell, require any personal data at the Gateway; none of these use cases require the Gateway to become a controller

 of non-public registrant data.  That was a deliberate consideration on my part. VII is a caveat for completeness.  Perhaps this would be more clear if the order of VII and VIII were reversed, or if VII were simply deleted.</i></b><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

Adhering to the swimlane as presented, the decision and the automation will still occur at the CP at their discretion - and imposition is not envisaged. (allowing a factual apportionment of a 'processor' role under a JCA). <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] As is usual for us, the term “automation” is being overloaded.  I was tempted to add a section to the document to clarify this, so perhaps it was a miss that

 I did not do so.  The very act of generating a recommendation at the Gateway is automation and that’s one of the things being discussed here.  Specific types of automation will occur at a CP, but “Automation” as a concept is not limited to the CP.</i></b><o:p></o:p></p>

<ol start="3" type="1">

<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">

The additional mix of the 'recommendation' concept into nudging towards automation is new. It is also unhelpful. Calling a spade a spade, a "recommendation and feedback" imposition on the decision maker is flipping the actual requirement here. The controller

 may tell the central body that certain decisions can be automated (as we discussed)- not vice versa (notwithstanding that this is only possible where the central body has the data, which is again not currently envisaged in the swimlane model).

<o:p></o:p></li></ol>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] I don’t think the controller needs to inform the Gateway what it can automate in advance, but it should provide feedback if a recommendation for automation

 can’t be supported. Note that the Gateway could have all sorts of data potentially valuable to a disclosure decision, just not the non-public data of the record being requested.  The assignment of flags is a way of codifying those data to enable automation.<o:p></o:p></i></b></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

To confirm the central body, acting in the factual guise of a processor, must act solely on the instructions of the controller in 'permitted' instances. To reverse this assumption i.e. to have the processor continually recommend chipping away at the clear and

 sole instructions of the controller is anathema to the spirit of article 28 and will draw the ire of privacy by default; disclosures on a sliding scale of automated 'recommendations', based on observed and solely empirical data from decisions; (assuming we

 are not commissioning an AI who can understand the nuance of a balancing test), then observed repetition of decisions does not a rule make; errors in judgment may occur, and repetition of that error does not make it less of an error. <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] I don’t think I disagree with this.</i></b><o:p></o:p></p>

<ol start="4" type="1">

<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">

<i>"A requestor can selectively assert whether data specific disclosed in response to a particular request will be used in a way that has legal or similarly significant effects on the data subjects."</i> - this is a controller's job not the requester. Plus,

 objectively speaking, we cannot build an inherent bias in the requestor's request. All requesters (one assumes) have a subjective goal to achieve; surely they are not going to play up the impact, where they know that the greater impact, the more important

 such an impact plays in the balance. I understand the suggestion is well meaning, and a controller will certainly take any such an assertion into account - but let's be clear that the assertion of the requester is a single factor of the consideration, and

 should never be determinative.<o:p></o:p></li></ol>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i>[Mark Svancarek] We require requestors to make many assertions, upon risk of disaccreditation</i></b>. 

<b><i>This just adds another. I think you are perhaps missing the point of it – a requestor can only use it if they are literally planning not to use the data in a way that has legal or similarly significant effects; it’s not meant to be affixed to every request

 regardless of type or purpose.  Based on feedback I have received, I think this is will be quite useful when automating certain types of requests.  That’s true even though it’s non-determinative. 

</i></b><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">As Volker noted, and as I discussed with you, most of these instances still require human interaction, which is within the sole purview of the controller. I agreed that some of the examples noted may be automated (e.g. in jurisdiction request

 of a LEA or equivalent - i.e. where the controller will process under 6(1)c or equivalent. I also agree that there are instances where the controller wishes to voluntarily assume risk, and takes measures to automate themselves (adhering to the swimlane) -

 that does not mean that these 'use cases' support automation for all, merely that they support a concept of 'automation at risk' to the controller. Such a heightened risk profile cannot be imposed on other controllers not so inclined or advised. <o:p></o:p></p>

<p class="MsoNormal"><b><i>[Mark Svancarek] I do not disagree.  I only hope that these examples will be seen as low-hanging opportunities for streamlining process, as described in Assumption V.</i></b><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I also note that Brian King's separate missives seem to suggest that this is to be included in the interim report. Again this was not the understanding from our conversations. We had discussed that this was reference material for the benefit

 of discussion, and not part of our report. I do not support its inclusion in the report at this point; it has not been properly discussed and does not align with the actual understanding of the model as described. I also doubt that this will garner such required

 discussion in the few days we have prior to publication.  <o:p></o:p></p>

<p class="MsoNormal"><b><i>[Mark Svancarek] Yes, this is very late.</i></b><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Warm regards,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Alan <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="padding:0in 5.25pt 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<a href="https://nam06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fdonuts.domains%2F&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359608232&sdata=MiuPTUD%2FrWVSYd8Hzeew4cBOgRBSUXVCCEbE7oBDLQA%3D&reserved=0" target="_blank"><span style="text-decoration:none"><img border="0" width="75" height="75" style="width:.7812in;height:.7812in" id="_x0000_i1025" src="https://storage.googleapis.com/signaturesatori/customer-C02zzlf7k/images/-54f9d8ac97e7f575bf497d10ac1f1aafafddf8afceab5f269d49034f01b3217b.png" alt="Donuts Inc."></span></a><o:p></o:p></p>

</td>

<td style="padding:0in 5.25pt 0in 0in">

<div>

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in;line-height:12.75pt">

<b><span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:#333333">Alan Woods</span></b><b><span style="font-size:10.5pt;font-family:"Tahoma",sans-serif;color:black"><o:p></o:p></span></b></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="font-size:9.0pt;font-family:"Arial",sans-serif;color:#333333">Senior Compliance & Policy Manager, Donuts Inc.</span>

<o:p></o:p></p>

<div class="MsoNormal" align="center" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in;text-align:center">

<hr size="2" width="100%" align="center">

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="font-size:8.5pt;font-family:"Arial",sans-serif;color:#333333">Suite 1-31, </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="font-size:8.5pt;font-family:"Arial",sans-serif;color:#333333">Block D, Iveagh Court</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="font-size:8.5pt;font-family:"Arial",sans-serif;color:#333333">Harcourt Road</span><o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:7.5pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="font-size:8.5pt;font-family:"Arial",sans-serif;color:#333333">Dublin 2, County Dublin</span><span style="font-size:9.0pt;font-family:"open sans",serif;color:#D6D6D6"><br>

</span><span style="font-size:8.5pt;font-family:"Arial",sans-serif;color:#333333">Ireland</span><br>

<br>

<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.facebook.com%2Fdonutstlds&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359608232&sdata=SbaWPm0qz0ezSb7inrARc6NbQMM1z6AgQczJfFV%2Fzh8%3D&reserved=0" target="_blank"><span style="text-decoration:none"><img border="0" id="_x0000_i1027" src="http://storage.googleapis.com/signaturesatori/icons/facebook.png"></span></a>  <a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Ftwitter.com%2FDonutsInc&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359608232&sdata=6mlIkSbzD7z1B0PclwOVNe0WZ1G6ymmkYGU9Lr7UCGs%3D&reserved=0" target="_blank"><span style="text-decoration:none"><img border="0" id="_x0000_i1028" src="http://storage.googleapis.com/signaturesatori/icons/twitter.png"></span></a>  <span style="font-size:10.5pt"><a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.linkedin.com%2Fcompany%2Fdonuts-inc&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359618188&sdata=LOG3Sr3P0BWoyDEkBKRPcSVKyW3DvLIizAFjHk3R0Cw%3D&reserved=0" target="_blank"><span style="text-decoration:none"><img border="0" id="_x0000_i1029" src="http://storage.googleapis.com/signaturesatori/icons/linkedin.png"></span></a></span><o:p></o:p></p>

</div>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Cambria",serif">Please NOTE: This electronic message, including any attachments, may include privileged, confidential and/or inside information owned by Donuts Inc. . Any distribution or use of

 this communication by anyone other than the intended recipient(s) is strictly prohibited and may be unlawful.  If you are not the intended recipient, please notify the sender by replying to this message and then delete it from your system. Thank you.</span><o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Tue, Feb 4, 2020 at 3:39 AM Mark Svancarek (CELA) via Gnso-epdp-team <<a href="mailto:gnso-epdp-team@icann.org">gnso-epdp-team@icann.org</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks you all for your patience waiting for this, and thanks to everyone who sent me feedback both privately and on-list.  Hopefully I have incorporated all the feedback*

<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I’ve consolidated various use cases and assumptions.  Apologies in advance because this resulted in renumbering from the previous version.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">/marksv<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">*except for the Trademark use case, where the feedback was inconsistent.  We’ll have fun with that one.<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal">_______________________________________________<br>

Gnso-epdp-team mailing list<br>

<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>

<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fmm.icann.org%2Fmailman%2Flistinfo%2Fgnso-epdp-team&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359618188&sdata=Bb005FEdZ1804K%2B3RNFJQXOdi3FSkaR1QQSzZKvRk58%3D&reserved=0" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>

_______________________________________________<br>

By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.icann.org%2Fprivacy%2Fpolicy&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359628146&sdata=RYh7lwkYWrl8k4gzQKwhT8kDPDJqMhGW602Nruoin0s%3D&reserved=0" target="_blank">https://www.icann.org/privacy/policy</a>)

 and the website Terms of Service (<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.icann.org%2Fprivacy%2Ftos&data=02%7C01%7Cmarksv%40microsoft.com%7C1708b061c87642b5639808d7a963527d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637164116359628146&sdata=oLGY654V%2B9lUNsNWDpSXf5lMZGE4Sm4WdCeaq%2FbwgnU%3D&reserved=0" target="_blank">https://www.icann.org/privacy/tos</a>).

 You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on.<o:p></o:p></p>

</blockquote>

</div>

</div>

</body>

</html>