<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:"Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

@font-face

        {font-family:"\@Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;}

span.EmailStyle23

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="mso-fareast-language:JA">Hi, Volker.  You mentioned that I failed to note your concerns in the v2.00 doc.  Please let me explain my reasoning, inline below, I thought I actually covered most of them.  I am sorry for lack of

 clarity.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:JA">For non-Volker-specific clarifications, please see separate email later today.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:JA"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> Gnso-epdp-team <gnso-epdp-team-bounces@icann.org>

<b>On Behalf Of </b>Volker Greimann<br>

<b>Sent:</b> Monday, February 3, 2020 2:11 AM<br>

<b>To:</b> gnso-epdp-team@icann.org<br>

<b>Subject:</b> [EXTERNAL] Re: [Gnso-epdp-team] SSAD Use Cases which are automatable<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p>Hi Mark,<o:p></o:p></p>

<p>I think we can agree on use case 1. <o:p></o:p></p>

<p><b><i>[Mark Svancarek] ok</i></b><o:p></o:p></p>

<p>Use case 2 has the issues I outlined in my mail to Brian. I doubt that any TM claim can be as clear cut as you assume. 

<o:p></o:p></p>

<p><b><i>[Mark Svancarek] Since Trademark is going to be Thunderdome, I selected a strawman to kick off the deathmatch. I chose Thomas’ feedback to be that strawman for several reasons, not just because it was my favorite

</i></b><b><i><span style="font-family:"Segoe UI Emoji",sans-serif">😉</span></i></b><b><i> although it was in fact my favorite</i></b><o:p></o:p></p>

<p>Use case 3 should be ok in most cases, but it might break down in smaller towns or villages in the countryside where there are only 5-10 houses and two familiy names. Naming the city field there could already considered as providing personal information.

 But I give you that one as an extreme edge case, in most cases it should be fine.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] I added the safeguard that the City field can only be used for this limited purpose and discarded if the other data are to be collected.</i></b><o:p></o:p></p>

<p>Use case 4 is generally possible, I assume, but it may be helpful to add additional safeguards here to prevent abuse of this process to circumvent the existing redactions.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] I failed to include your statement about desirability of additional safeguards.  That’s my fault.</i></b><o:p></o:p></p>

<p>Use case 5 requires ICANN accepting its controllership (as you outlined) and a need for the specific data. If the investigation is possible with redacted data, the need for this processing activity goes away. Data accuracy investigations are not an ICANN

 remit for example, but the investigation of a registrars obligation to the same is.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] I should have removed the example of accuracy, since we aren’t agreed on it.  That’s also my fault.  I do wonder if we need to be so specific here that if an investigation doesn’t require non-public data, it shouldn’t be requested

 – I feel like that is made clear throughout our work, so I did not explicitly include it here. (It’s our old debate whether repetition creates clarity or if it just adds redundancy.)</i></b><o:p></o:p></p>

<p>Use case 6 only applies if the DPA is competent for the disclosing party. I think this could be merged with use case 1.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] I moved to the LEA use case and added “competent”</i></b><o:p></o:p></p>

<p>Use case 7 could be made workable, however there should be a verification element included in the reegistry policies to avoid registrants who circumvented an unchecked policy requiry.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] I downgraded the use case to just a NOTE in another use case, and added verification safeguard</i></b><o:p></o:p></p>

<p>Use case 8 will need to be further investigated for validity of the consent provided at registration.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] I downgraded the use case to just a NOTE in another use case, and the verification safeguard applies there as well</i></b><o:p></o:p></p>

<p>Use case 9: You mean domain name, not TLD? The problem is that this can change at any time, and ownerchanges are not necessarily listed as a "domain updated" event. And the SSAD system would not know whether an update to the registration data has occurred.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] Fixed TLD typo.  Eliminated change of ownership, replaced with change of any contact fields.  I am working from assumption that  UPDATED DATE field will support this.</i></b><o:p></o:p></p>

<p>Use case 10: Same issue as UC 9. Also please detail how an automated process would detect "patently false information".<o:p></o:p></p>

<p><b><i>[Mark Svancarek] Downgraded the use case to just a NOTE in another use case. Added caveat that the flagging requires action by the CP; failed to say that this action is not doable by the Gateway.</i></b><o:p></o:p></p>

<p>Use case 11: There is no use case 11?<o:p></o:p></p>

<p><b><i>[Mark Svancarek] Case 11 was lost in a tragic copy/paste accident.</i></b><o:p></o:p></p>

<p>UC 12: "Involved in" also includes victims of website hacking? Then no. <o:p></o:p></p>

<p><b><i>[Mark Svancarek] I didn’t think my examples included website hacking, so I am sorry if this remains unclear!  Perhaps change the title to “</i></b><b><span style="font-family:"Arial",sans-serif;color:black">Identify domains names comprising infrastructure

 involved in botnets…</span></b><b><i>”?</i></b><o:p></o:p></p>

<p>UC 13: How would the SSAD system detect phishing activity? Also see my comments in my mail to Brian.<o:p></o:p></p>

<p><b><i>[Mark Svancarek] SSAD can’t detect it, but a requestor can assert it under penalty of losing accreditation.</i></b><o:p></o:p></p>

<p>Bonus: UC 14: Domain flagged by disclosing party as disclosable. Not sure how this would be implemented, but I would assume we would want an ability for a data subject to consent to automated disclosure, or for a contracted party to determine whether automated

 disclossure is possible for any given domain name. <o:p></o:p></p>

<p><b><i>[Mark Svancarek] I added this one.</i></b><o:p></o:p></p>

<p>These thoughts are my own, we have not yet internally discussed on the team.<o:p></o:p></p>

<p>Best,<o:p></o:p></p>

<p>Volker<o:p></o:p></p>

<p><o:p> </o:p></p>

<p><o:p> </o:p></p>

<div>

<p class="MsoNormal">Am 27.01.2020 um 22:16 schrieb Mark Svancarek (CELA) via Gnso-epdp-team:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">Feedback requested.<o:p></o:p></p>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<pre>_______________________________________________<o:p></o:p></pre>

<pre>Gnso-epdp-team mailing list<o:p></o:p></pre>

<pre><a href="mailto:Gnso-epdp-team@icann.org">Gnso-epdp-team@icann.org</a><o:p></o:p></pre>

<pre><a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fmm.icann.org%2Fmailman%2Flistinfo%2Fgnso-epdp-team&data=02%7C01%7Cmarksv%40microsoft.com%7C05087940197a46ac3aa408d7a8917bbd%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637163215109633801&sdata=uG9B%2Foi%2FIQSVC33BeTm%2BM5xwWEohJybAgd0VIxIxNi0%3D&reserved=0">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><o:p></o:p></pre>

<pre>_______________________________________________<o:p></o:p></pre>

<pre>By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.icann.org%2Fprivacy%2Fpolicy&data=02%7C01%7Cmarksv%40microsoft.com%7C05087940197a46ac3aa408d7a8917bbd%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637163215109643796&sdata=IbNC0Cn1k%2BmV2Nb6ezzC2ztNEgDuzd4oxFNrG5s0EVY%3D&reserved=0">https://www.icann.org/privacy/policy</a>) and the website Terms of Service (<a href="https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.icann.org%2Fprivacy%2Ftos&data=02%7C01%7Cmarksv%40microsoft.com%7C05087940197a46ac3aa408d7a8917bbd%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637163215109643796&sdata=H5nBxmgqOLoduOmNrZnOatSGhmPPddICnz%2F2lEdyrcQ%3D&reserved=0">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on.<o:p></o:p></pre>

</blockquote>

<div>

<p class="MsoNormal">-- <br>

Volker A. Greimann<br>

General Counsel and Policy Manager<br>

<strong><span style="font-family:"Calibri",sans-serif">KEY-SYSTEMS GMBH</span></strong><br>

<br>

T: +49 6894 9396901<br>

M: +49 6894 9396851<br>

F: +49 6894 9396851<br>

W: <a href="https://nam06.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.key-systems.net%2F&data=02%7C01%7Cmarksv%40microsoft.com%7C05087940197a46ac3aa408d7a8917bbd%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637163215109653791&sdata=8ZVTW0fVwGdWQ69PnoKeFRHFemv%2BYdpsini4UD9z0dA%3D&reserved=0">

www.key-systems.net</a><br>

<br>

Key-Systems GmbH is a company registered at the local court of Saarbruecken, Germany with the registration no. HR B 18835<br>

CEO: Alexander Siffrin<br>

<br>

Part of the CentralNic Group PLC (LON: CNIC) a company registered in England and Wales with company number 8576358.<o:p></o:p></p>

</div>

</div>

</body>

</html>