<div dir="ltr"><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small;color:#000000">Sarah,<br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small;color:#000000"><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small;color:#000000">Thanks for responding.  In my view, this is the beginning of a constructive conversation, not the end.  The question, in my view, is not <u>whether</u> to implement a reverse search capability but <u>how</u>.  That is, assume the capability is provided, how should it be managed?  Who should be allowed to use it, and under what circumstances?  What forms of audit and accountability are needed?  Etc.  These questions might seem daunting, but they're actually quite approachable.  In any case, a decision made within the GNSO policy development process to just say there will not be any support for reverse search is, in my view, a significant mistake.</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small;color:#000000"><br></div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small;color:#000000">Steve</div><div class="gmail_default" style="font-family:arial,sans-serif;font-size:small;color:#000000"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 14, 2022 at 8:56 AM Sarah Wyld <<a href="mailto:swyld@tucows.com">swyld@tucows.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-CA" style="overflow-wrap: break-word;"><div class="gmail-m_-839714742676659060WordSection1"><p class="MsoNormal">Hi Steve,</p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">> .  The effect is to tell the folks who feel the BC-3 use case is important to their work that they can't do their work.</p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I think this is slightly misstating the situation. Instead, I would say that the effect is to tell the folks who feel that BC-3 use case is important that sometimes their desire to use the data does not override the data subject’s right to privacy. </p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks,</p><pre><u></u> <u></u></pre><pre><u></u> <u></u></pre><pre><span style="font-family:Verdana,sans-serif">-- <u></u><u></u></span></pre><pre><b><span style="font-family:Verdana,sans-serif">Sarah Wyld</span></b><span style="font-family:Verdana,sans-serif">, CIPP/E<u></u><u></u></span></pre><pre><span style="font-family:Verdana,sans-serif"><u></u> <u></u></span></pre><pre><span style="font-family:Verdana,sans-serif">Policy & Privacy Manager<u></u><u></u></span></pre><pre><span style="font-family:Verdana,sans-serif">Pronouns: she/they<u></u><u></u></span></pre><pre><span style="font-family:Verdana,sans-serif"><u></u> <u></u></span></pre><pre><a href="mailto:swyld@tucows.com" target="_blank"><span style="font-family:Verdana,sans-serif">swyld@tucows.com</span></a><span style="font-family:Verdana,sans-serif"> <u></u><u></u></span></pre><p class="MsoNormal"><span style="font-size:10pt;font-family:"Courier New""><u></u> <u></u></span></p><p class="MsoNormal"><img border="0" width="100" height="24" style="width: 1.0416in; height: 0.25in;" id="gmail-m_-839714742676659060Picture_x0020_3" src="cid:1802831876357eea9fa1"><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0cm 0cm"><p class="MsoNormal" style="border:none;padding:0cm"><b>From: </b><a href="mailto:steve@shinkuro.com" target="_blank">Steve Crocker</a><br><b>Sent: </b>April 13, 2022 6:58 PM<br><b>To: </b><a href="mailto:mcanderson@verisign.com" target="_blank">Anderson, Marc</a><br><b>Cc: </b><a href="mailto:gnso-secs@icann.org" target="_blank">gnso-secs@icann.org</a>; <a href="mailto:gnso-epdpp2-smallteam@icann.org" target="_blank">gnso-epdpp2-smallteam@icann.org</a><br><b>Subject: </b>Re: [GNSO-EPDPP2-SmallTeam] GNSO Report draft - Review deadline COB1 April 2022</p></div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Marc,<br><br>I apologize for not responding sooner.  Thanks for forwarding the link to the use cases.<br><br>My comments about understanding the requests and requesters are written from the point of view<span class="gmail-m_-839714742676659060gmaildefault"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black"> of understanding whether the requester is going to be able to get the data or action they feel is necessary.  The mapping of their <u>needs</u> into the list of officially sanctioned <u>purposes</u> is one of the possible disconnects.</span></span><br><br>Use case BC-3 <span class="gmail-m_-839714742676659060gmaildefault"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black">provides a useful example.  Here's the relevant wording:</span></span></p><div><p class="MsoNormal"><u></u> <u></u></p><blockquote style="margin-left:30pt;margin-right:0cm"><p class="MsoNormal"><b><span style="font-family:Georgia,serif">BC-3:</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">Overarching Purpose:</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">Investigate,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">detect,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">prevent,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">and bring</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">civil</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">claims for Abusive</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">Domain names<br>Use</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">Case: Identify</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">owner</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">of abusive</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">domains</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">and other related</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">domains involved in</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">civil</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">legal claims</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">related</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">to phishing, malware,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">botnets, and other</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">fraudulent activities</span></b></p></blockquote><p class="MsoNormal"><u></u> <u></u></p><blockquote style="margin-left:30pt;margin-right:0cm"><p class="MsoNormal"><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black">c) </span></b></span><b><span style="font-family:Georgia,serif">Data elements</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">that may</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">typically be</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">disclosed</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black">:</span></b></span></p></blockquote><p class="MsoNormal"><u></u> <u></u></p><blockquote style="margin-left:30pt;margin-right:0cm"><blockquote style="margin-left:30pt;margin-right:0cm"><p class="MsoNormal"><b><span style="font-family:Georgia,serif">Registrant name, e-mail</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black">, </span></b></span><b><span style="font-family:Georgia,serif">address,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">phone, postal address</span></b></p></blockquote><blockquote style="margin-left:30pt;margin-right:0cm"><p class="MsoNormal"><b><span style="font-family:Georgia,serif">Technical contact name,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">email address, phone,</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">postal</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">address</span></b></p></blockquote><blockquote style="margin-left:30pt;margin-right:0cm"><p class="MsoNormal"><b><span style="font-family:Georgia,serif">Other domain</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">names linked to the</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">registrant’s</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">data contact</span></b><span class="gmail-m_-839714742676659060gmaildefault"><b><span style="font-size:12pt;font-family:Georgia,serif;color:black"> </span></b></span><b><span style="font-family:Georgia,serif">fields</span></b></p></blockquote></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black">The last line entails a "reverse search."  Unpacking this a bit, the typical scenario will include two or more requests.  The first request will ask for the registration data associated with a specific domain.  A subsequent request will then ask for registrations that share the same registrant or email address.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black">I don't believe reverse search or anything close to it is currently included in the specifications.  The effect is to tell the folks who feel the BC-3 use case is important to their work that they can't do their work.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black">Steve<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif;color:black"><u></u> <u></u></span></p></div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div></div><p class="MsoNormal"><br>On Thu, Mar 31, 2022 at 9:32 AM Anderson, Marc <<a href="mailto:mcanderson@verisign.com" target="_blank">mcanderson@verisign.com</a>> wrote:<br>><br>> Steve,<br>><br>>  <br>><br>> You’ve mentioned this a couple times now, and I must admit I’m a little confused by your statements about needing to understand requests and requestors.  I think its pretty well understood and was discussed at length during the working group deliberations.   Recommendation 7 from the final report deals with requestor purposes and provides a non-exhaustive list.  This was derived from extensive discussions the working group had around use cases.  Those use case discussions were captured by staff and documented on the wiki page:  <a href="https://community.icann.org/display/EOTSFGRD/d.+Use+Cases" target="_blank">https://community.icann.org/display/EOTSFGRD/d.+Use+Cases</a>  They weren’t included in the final report, but they are linked to in section 2.2 under EPDP team approach.  Perhaps that will be helpful.<br>><br>>  <br>><br>> On the duration/interval, I think a check in every 6 months for a maximum of 2 years seems like a reasonable approach.  From your feedback, you seem to think that is to long.  Do you have a different duration/interval in mind?<br>><br>>  <br>><br>> Best,<br>><br>> Marc<br>><br>>  <br>><br>>  <br>><br>>  <br>><br>> From: GNSO-EPDPP2-SmallTeam <<a href="mailto:gnso-epdpp2-smallteam-bounces@icann.org" target="_blank">gnso-epdpp2-smallteam-bounces@icann.org</a>> On Behalf Of Steve Crocker<br>> Sent: Thursday, March 31, 2022 8:39 AM<br>> To: Sebastien@registry.godaddy<br>> Cc: <a href="mailto:gnso-secs@icann.org" target="_blank">gnso-secs@icann.org</a>; <a href="mailto:gnso-epdpp2-smallteam@icann.org" target="_blank">gnso-epdpp2-smallteam@icann.org</a><br>> Subject: [EXTERNAL] Re: [GNSO-EPDPP2-SmallTeam] GNSO Report draft - Review deadline COB 1 April 2022<br>><br>>  <br>><br>> Caution: This email originated from outside the organization. Do not click links or open attachments unless you recognize the sender and know the content is safe. <br>><br>> Sebastian, et al,<br>><br>>  <br>><br>> Thanks.  I've added my comments.  The main points are:<br>><br>> The overarching statement that "[t]he most important data gap in the ODA is the unknown volume of use for the SSAD" is completely wrong.  Rather, what's missing is what knowledge of what the requesters need and how to move toward a streamlined system that meets their needs without putting the contracted parties or ICANN at risk.<br>> The requirement that registrars review every request runs counter to the necessary goal of learning how to automate as much as possible.<br>> The history of requests and responses must be available for study in order to learn how to evolve the overall system.<br>> A two year test with six month intervals is not consistent with "A proof of concept ... is expected to be relatively easy and inexpensive to set up and implement."<br>><br>> Thanks,<br>><br>>  <br>><br>> Steve<br>><br>>  <br>><br>>  <br>><br>> On Thu, Mar 31, 2022 at 6:47 AM Sebastien@registry.godaddy <Sebastien@registry.godaddy> wrote:<br>><br>> Hello Team,<br>><br>>  <br>><br>> As discussed on our call yesterday, we edited the report prepared for the GNSO, in line with our latest discussions.<br>><br>> Please find it here <a href="https://docs.google.com/document/d/1m3dANwxKK_q8gk5OTBcANkPk-PkTOCMS/edit?pli=1" target="_blank">https://docs.google.com/document/d/1m3dANwxKK_q8gk5OTBcANkPk-PkTOCMS/edit?pli=1</a><br>><br>>  <br>><br>> We kindly ask you to review and comment it by COB tomorrow, Friday 1 April, for us to meet our Council submission deadline on Monday.<br>> We currently have a call scheduled for Monday should we need clarifications on your inputs. We may cancel this call if the report is clear and agreed by tomorrow.<br>><br>>  <br>><br>> Please note that we have left the idiom ‘proof of concept’ in the document because we used it in our previous verbal reports. I did note that the small team had requested to give it a proper name and referenced “Simplified Request System” as suggested by Sarah in the chat. I know Ticketing System has often been used, but I see this as a generic term for the type of tools we foresee using, rather than a specific name for this tool.<br>><br>> With your approval, going forward we will use Simplified Request System in our communications.<br>><br>>  <br>><br>> Looking forward to your comments on the Google doc.<br>><br>>  <br>><br>> Kindly,<br>><br>>  <br>><br>>  <br>><br>> Sebastien Ducos<br>><br>> GoDaddy Registry | Senior Client Services Manager<br>><br>> +33612284445<br>><br>> France & Australia<br>><br>> sebastien@registry.godaddy<br>><br>>  <br>><br>> _______________________________________________<br>> GNSO-EPDPP2-SmallTeam mailing list<br>> <a href="mailto:GNSO-EPDPP2-SmallTeam@icann.org" target="_blank">GNSO-EPDPP2-SmallTeam@icann.org</a><br>> <a href="https://mm.icann.org/mailman/listinfo/gnso-epdpp2-smallteam" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdpp2-smallteam</a><br>><br>> _______________________________________________<br>> By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" target="_blank">https://www.icann.org/privacy/policy</a>) and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on. </p><p class="MsoNormal"><u></u> <u></u></p></div></div></blockquote></div>