<div dir="ltr">Hi Michael,<div><br></div><div>as one of the objectors, let me elaborate. <br></div><div><br></div><div>When we want to look at accuracy, the status quo as a whole must be the gold standard for measuring. By only looking at a subset of domain names that have already demonstrably been identified as problematic, we will not be getting an unbiased result that gives _any_ insight on the issue (if there is an issue) of accuracy in the whole ecosystem. Especially since criminals tend not to provide their real contact details but are usually quite crafty at still meeting the formal requirements. <br></div><div><br></div><div>In other words, by proposing to use only this subset of domain names for a study that is intended to inform future discussions, you are loading the dice towards a desired outcome. <br></div><div><br></div><div>I find it disappointing that as chair you do not seem to be following the core principles of neutrality and are characterizing a very reasonable opposition against an unreasonable approach as "disappointing". <br></div><div><br></div><div>As a scoping team we cannot narrow down the scope until the desired outcome is assured, but we need a 360° view of the issue instead. Only then can we make an unbiased determination on the actual scope of the issue and provide a sound basis for any subsequent policy work. <br></div><div><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> </span></p></div><div><br clear="all"><div><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span lang="EN-US">-- <br>Volker A. Greimann<br>General Counsel and Policy Manager<br><b>KEY-SYSTEMS GMBH</b><br><br>T: +49 6894 9396901<br>M: +49 6894 9396851<br>F: +49 6894 9396851<br>W: </span><a href="http://www.key-systems.net/" style="color:rgb(17,85,204)" target="_blank"><span lang="EN-US">www.key-systems.net</span></a><span lang="EN-US"><br><br>Key-Systems GmbH is a company registered at the local court of Saarbruecken, Germany with the registration no. HR B 18835<br>CEO: Oliver Fries and Robert Birkner<br><br>Part of the CentralNic Group PLC (LON: CNIC) a company registered in England and Wales with company number 8576358.<br><br></span><span style="font-family:Roboto,sans-serif;font-size:14px;white-space:pre-wrap;background-color:rgb(248,249,250)">This email and any files transmitted are confidential and intended only for the person(s) directly addressed. If you are not the intended recipient, any use, copying, transmission, distribution, or other forms of dissemination is strictly prohibited. If you have received this email in error, please notify the sender immediately and permanently delete this email with any files that may be attached.</span></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 1, 2022 at 6:15 PM Michael Palage <<a href="mailto:michael@palage.com" target="_blank">michael@palage.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">Hello Becky,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">I think we are in agreement that the processing/disclosing of non-public PII involves a two part test: legitimate interest and proportionate interest.  As you and others may recall this is why I have proposed that any limited restart of the ARS program involve a sampling of the data from the monthly DAAR reporting. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">From a legitimate interest standpoint, the domains reported in DAAR (e.g. malware, phishing, SPAM) are clearly involved in illegal activity in most jurisdictions. I do not see any situation in which ICANN would not easily clear this bar. Would you agree?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">With regard to the proportionality (balancing test), as will be discussed in the upcoming ICANN73 meeting, there are two types of potential registrations involving abusive domains, maliciously registered domain names and compromised domain names. From a “balancing test” ICANN easily clears any proportionality bar when looking at maliciously registered domain names.  Would you agree? <u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">With regard to compromised domains, while this balancing test is a little more substantive than with malicious domain names, I believe this is a bar that ICANN Org and the Contracting Parties should easily be able to clear in almost every scenario. Unlike the old Whois/RDDS that made registrant data publicly available for scraping, this proposed audit would be limited to a restrictive number of parties, ICANN, third-party vendor, and contracting party. Would you agree?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">I am also in agreement with your comments distinguishing between targeted processing/disclosure versus bulk processing/disclosure.  This is why I made the specific proposal to restart ADR on a limited scale targeting just Abusive Domain Names reported via DAAR. This targeted focus should address your bulk processing claims. Would you agree? <u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">What I found disappointing when I brought this to the consideration of the entire Working Group is that several Contracting Parties opposed this potential reasonable path forward because they thought that this would potentially skew the accuracy results. These Contracting Parties instead were adamant that any survey would need to involve the entire data set. My concern with this position is that any demands to include the entire set is potentially a non-start for processing in a legal compliant manner per the GDPR. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">In order to further explore your claim that the DPA is a red hearing, perhaps the Registry and Registrars representatives could go back to their respective stakeholders groups and ask for scenarios in which they would be willing to transfer data to ICANN or a designated vendor to check the accuracy of data. Would you agree with me that this data point would be extremely helpful in resolving potential ambiguity between the parties and their respective roles?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-family:Calibri,sans-serif">In closing, I want to thank both Becky and Melina for your respective feedback and I look forward to additional constructive feedback going forward.</span><span><u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Best regards,<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Michael</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p><div><div style="border-color:rgb(225,225,225) currentcolor currentcolor;border-style:solid none none;border-width:1pt medium medium;padding:3pt 0in 0in"><p class="MsoNormal"><b><span style="font-size:11pt;font-family:Calibri,sans-serif">From:</span></b><span style="font-size:11pt;font-family:Calibri,sans-serif"> STROUNGI Melina <<a href="mailto:Melina.STROUNGI@ec.europa.eu" target="_blank">Melina.STROUNGI@ec.europa.eu</a>> <br><b>Sent:</b> Tuesday, March 1, 2022 11:13 AM<br><b>To:</b> Becky Burr <<a href="mailto:becky.burr@board.icann.org" target="_blank">becky.burr@board.icann.org</a>>; <a href="mailto:michael@palage.com" target="_blank">michael@palage.com</a><br><b>Cc:</b> <a href="mailto:gnso-accuracy-st@icann.org" target="_blank">gnso-accuracy-st@icann.org</a><br><b>Subject:</b> RE: [GNSO-Accuracy-ST] Potential Additional Questions to ICANN Org<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Dear Becky, all,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">many thanks for your additional suggestions.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">my two cents on the below:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">I support the distinction proposed by Becky, but would recommend replacing ‘proportionate’ with ‘under the GDPR’ so we are fully covered.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">The original question raised was “<i>Is ICANN able to access registration data <u>under the GDPR</u> on the basis that it has a legitimate interest in checking the accuracy of the data? “</i><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">The reference alone to the GDPR means that indeed the balancing test has been taken into account. As you rightly point out the GDPR requires a balancing test when ‘legitimate interests’ is used as a legal basis. So in my view as long as there is a reference to the GDPR there is no need to explicitly add the proportionate part. It is already implied. Plus, a more general reference is more encompassing in the sense that it takes into account the totality of the balancing test (i.e., data subjects’ interests etc.)<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Having said that I am all supportive of asking all of these questions (in general I am in favor of asking as many questions as we can think of as this is at the heart of our scoping tasks), but I would maintain –on top of what you suggest –the specific question on whether ICANN ever received or plans to receive legal advice on this particular topic.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">If I recall correctly this had been discussed in our accuracy scoping meeting  of 17 February and was proposed as a question to be addressed to Brian so he can forward it to ICANN compliance.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">In order to be able to progress with our discussions, it is important to know where exactly ICANN would base their assessment on these questions (i.e., whether they have received specific in-house or external legal advice, including but not limited to any correspondence with the EDPB). <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">I have now tried to integrate Becky’s suggestion to the original questions. Hope this helps.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><u>Question 1<u></u><u></u></u></p><ol type="a" start="1"><li style="margin-left:0in">Does ICANN have a legitimate interest under the GDPR in accessing <i>domain name registration data in response to complaints</i> that the data is inaccurate? Has ICANN ever received or plans to receive legal advice on this particular topic?  <u></u><u></u></li><li class="MsoNormal">Does ICANN have a legitimate interest under the GDPR in <i>proactively </i>acquiring <i>bulk access</i> to domain name registration data to undertake an accuracy audit, even with respect to data for which it has no basis to question its accuracy? Has ICANN ever received or plans to receive legal advice on this particular topic?  <u></u><u></u></li></ol><p class="MsoNormal"><u>Question 2<u></u><u></u></u></p><p class="MsoNormal"><u>For either scenario a or b under question 1</u>: Does ICANN believe that a Data Protection Agreement between itself and the Contracted Parties is a necessary legal requirement for requesting and receiving this data, and if so for what legal reason? What happens if the registrar receiving the access request disagrees with ICANN's application of the balancing test, i.e., does ICANN have the contractual authority to enforce its access request? <u></u><u></u></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Best,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Melina<u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11pt;font-family:Calibri,sans-serif">From:</span></b><span style="font-size:11pt;font-family:Calibri,sans-serif"> GNSO-Accuracy-ST <<a href="mailto:gnso-accuracy-st-bounces@icann.org" target="_blank">gnso-accuracy-st-bounces@icann.org</a>> <b>On Behalf Of </b>Becky Burr<br><b>Sent:</b> Tuesday, March 1, 2022 4:27 PM<br><b>To:</b> <a href="mailto:michael@palage.com" target="_blank">michael@palage.com</a><br><b>Cc:</b> <a href="mailto:gnso-accuracy-st@icann.org" target="_blank">gnso-accuracy-st@icann.org</a><br><b>Subject:</b> Re: [GNSO-Accuracy-ST] Potential Additional Questions to ICANN Org<u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Michael -<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Respectfully, and without taking a position on whether these questions are relevant or timely, I think the questions need to be more nuanced to produce useful answers.<u></u><u></u></p></div><div><ol type="a" start="3"><li class="MsoNormal">Does ICANN have a legitimate <b>and proportionate </b>interest in accessing <i>individual registration records in response to credible complaints</i> that the data is inaccurate? If so, is a DPA required to access data in such situations?  What happens if the registrar receiving the access request disagrees with ICANN's application of the balancing test, i.e., does ICANN have the contractual authority to enforce its access request? <u></u><u></u></li><li class="MsoNormal">Does ICANN have a legitimate <b>and proportionate</b> interest in <i>proactively </i>acquiring <i>bulk access</i> to registrant data to undertake an accuracy audit, even with respect to data for which it has no basis to question its accuracy?  If so, is a DPA necessary to do so?  What happens if the registrar receiving the access request disagrees with ICANN's application of the balancing test, i.e., does ICANN have the contractual authority to enforce its access request?<u></u><u></u></li></ol><div><p class="MsoNormal">It is important to keep in mind that a legitimate interest is necessary <i>but not sufficient</i> under GDPR.  The processing necessary to satisfy a legitimate interest must be proportionate, i.e., not outweighed by the privacy rights of the individual data subject(s).  As a result, the two situations (access to a single record based on reasonable grounds to believe the data is inaccurate v. proactive access without individualized suspicion) are quite different from a data protection perspective, with the first being far less complicated to defend.  In addition, a CP's contractual obligations, e.g., under the RAA, may be different in those situations.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">FWIW, I think the DPA issue is a bit of a red herring here.   Presumably, ICANN's requests for one-off data can be handled in the same way that anyone else's access request is handled, e.g., if the data is to be transferred outside of the EU by imposing controller to controller Standard Contractual Clauses as the terms and conditions of such access on a case-by-case basis.  If the EDPB were to confirm that ICANN's<i> bulk access</i> to data for proactive checking was legitimate and proportionate, it's clear to me that a narrowly focused DPA between ICANN and CPs applicable to data access for the specific purpose of checking accuracy (e.g., prohibiting onward transfer, etc.) could be crafted.  The real question is whether (i) the temp spec /epdp phase 1 policy obligating CPs to provide reasonable access for legitimate and proportionate purposes encompasses bulk access or (ii) some other provision of the agreements produces an obligation to provide bulk access.  <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Apologies for being pedantic here.  None of us can say with any certainty what GDPR does or does not permit as that determination is ultimately made by individual data protection authorities and/or the EDPB.  We are asking ICANN for its views on what GDPR would permit in specific circumstances, so the relevant circumstances should be articulated precisely to produce useful answers.  <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">b<u></u><u></u></p></div></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Thu, Feb 24, 2022 at 5:12 PM Michael Palage <<a href="mailto:michael@palage.com" target="_blank">michael@palage.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border-color:currentcolor currentcolor currentcolor rgb(204,204,204);border-style:none none none solid;border-width:medium medium medium 1pt;padding:0in 0in 0in 6pt;margin:5pt 0in 5pt 4.8pt"><div><div><p class="MsoNormal">Hello Everyone,<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">Over the past couple of weeks there has been a recurring theme in our calls and in some of the side discussions that I have had with some members regarding about how the potential lack of a Data Processing Agreement between ICANN Org and the Contracting Parties might negatively impact our future work and/or recommendations.<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">Therefore I would like to propose to the group for their consideration the following additional questions that we may want to propose to ICANN Org as we continue our work:<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">•            “Is ICANN able to access registration data under the GDPR on the basis that it has a legitimate interest in checking the accuracy of the data?  Has ICANN ever received or plans to receive legal advice on this particular topic?  <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">•            Does ICANN believe that the Data Protection Agreement between itself and the Contracted Parties is a necessary legal requirement for requesting and receiving this data, and if so for what legal reason?"  <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">As always I welcome any thoughts and or considerations?<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">Best regards,<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">Michael<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p></div></div><p class="MsoNormal">_______________________________________________<br>GNSO-Accuracy-ST mailing list<br><a href="mailto:GNSO-Accuracy-ST@icann.org" target="_blank">GNSO-Accuracy-ST@icann.org</a><br><a href="https://urldefense.com/v3/__https:/mm.icann.org/mailman/listinfo/gnso-accuracy-st__;!!DOxrgLBm!UNIutLhtKN79DDAyXMFbwLBM5YmXBcSEX_Z4GrdQYmzW9hzoy8-8tEvp-nQ58gfd3kyLTw-r$" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-accuracy-st</a><br><br>_______________________________________________<br>By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://urldefense.com/v3/__https:/www.icann.org/privacy/policy__;!!DOxrgLBm!UNIutLhtKN79DDAyXMFbwLBM5YmXBcSEX_Z4GrdQYmzW9hzoy8-8tEvp-nQ58gfd3uHvF4Qg$" target="_blank">https://www.icann.org/privacy/policy</a>) and the website Terms of Service (<a href="https://urldefense.com/v3/__https:/www.icann.org/privacy/tos__;!!DOxrgLBm!UNIutLhtKN79DDAyXMFbwLBM5YmXBcSEX_Z4GrdQYmzW9hzoy8-8tEvp-nQ58gfd3p4iJdXc$" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on.<u></u><u></u></p></blockquote></div></div></div>_______________________________________________<br>
GNSO-Accuracy-ST mailing list<br>
<a href="mailto:GNSO-Accuracy-ST@icann.org" target="_blank">GNSO-Accuracy-ST@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-accuracy-st" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-accuracy-st</a><br>
<br>
_______________________________________________<br>
By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" rel="noreferrer" target="_blank">https://www.icann.org/privacy/policy</a>) and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" rel="noreferrer" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on.</blockquote></div>