【臉書】賣網域時要求提供實名個資，可以降低詐騙嗎？

背景

賣網域時要求提供實名個資，可以降低詐騙嗎？ 答案是不一定，甚至是不行。

回顧 ICANN84，有一個 session 我個人非常喜歡，因為火藥味十足，觸及內容也是我重點關注的「實名身分驗證」，所以一樣，整理出來放上臉書。此外意外的在亞太會議聽到 TWNIC 與幾乎是「實名身分驗證」的解方 Project JAKE 展開深度合作，覺得太酷了，這種東西一定要善盡周知，所以並在一起討論。

（如果你覺得這個系列太繁複了可以直接跳過～hop hop）。

在進入字很多的報告之前，先分享個人觀點。拆成兩大項：購買網域必要個資註冊的歷史流變，以及牽涉打詐與隱私的數位身分經典拮抗難題。

＊購買網域必要個資註冊的歷史流變

早期（1980年代），註冊網域後要提供個資，比如註冊人姓名、電子郵件、電話、註冊商名稱、註冊與到期日期等。這些資料可以在 whois 資料庫上面查到。當時的網路還具有濃濃的學術風味，因此記錄這些資料，有一個很大的原因是在網站掛掉時，有良心的學術路人可以通知你一聲。

但因為這些都是個資，隱私便成為很大的問題，尤其在歐盟通過 GDPR 之後，白晃晃的 whois 個資資料庫一來不合規，二來有很大的資安隱憂（比如釣魚、假冒之類的），所以 whois 需要退場。

因此 IETF（網路工程任務小組）起了新標準，名為 RDAP（Registration Data Access Protocol），一來升級了 API 與資料交換格式，讓機器可以自動讀取；二來啟用了分層授權的設計，讓不同敏感度的人可以取閱不同資料，比如警察、一般人與註冊商可以看到的資料就會不一樣。

查了查資料，目前的 RDAP 的擴散率應該到 80%，沒達到目標的許多網域來自於國碼域名，商業域名妥善率比較高。然而有趣的是，有許多國家預設就要網域註冊者（Registrant）實名提供個人資料，比如中國，其宜以打詐與資安之名，直接跳過公民隱私的部分。

第三代升級版可以說是 Project JAKE。我真的覺得挺厲害的，這是由 Edgemoor 主導的框架。在 whois 退場、RDAP 尚未完全成熟、各國執法單位給域名商越來越大的巨大壓力時，Project JAKE 出現了。

觀察

（舉個例子，警察跨海來說註冊者懷疑是詐騙，來索取個資，服務商給不給？美國警察來要，給嗎？中國公安來要，給嗎？台灣警察呢？服務商看拳頭還是看規則？有規則嗎？）

Project JAKE 為一個「以 RDAP 為基礎、支援身分驗證與授權查詢的集中式框架」。其提供授權存取門戶（Access Gateway）、查詢請求與審核標準作業程序（SOP），並且為未來的「全球註冊資料服務（Global Registration Data Service, GRDS）」奠定基礎。

雖然我還沒看到真的上線的狀態，但這根本就是「治理」加上「技術」的理想解套方法，將「可信任」的索資者通通趕進白名單流程中，讓其無法索求無度，卻可以有效執法。

更重要的看點是，全球註冊資料服務，可以說是一個網路治理風味的超國家信任體系，在數位信任越來越珍貴的時代，我非常期待這個信任體系能夠成功。畢竟台灣很難進入跨國協防的範圍，且若要整合一百多個國家，雙邊協作的效率實在低下。

套用一個今天在哈佛講座聽 Mark Wu 演講學到的詞，Security Internationalism（安全國際主義）很重要，這是經濟安保（Economic Security）的務實路線，以規範與合作為基礎的安全觀。如果放在數位經濟的脈絡下就更加合理了，因為可信資料的存取與治理過程，就是網路、網域的咽喉點。此時不一定是多邊主義的國家進場協調，也有可能在全球多方關係協作的 ICANN 場子進行協調。

就目前看起來，Project JAKE 走在平衡打詐與隱私的領先地位。

＊實名身分驗證

這題就比較簡單了，我在今年的 TWIGF 論壇、數位信任大會、區塊鏈愛好者年會都分享過同一套概念，就是談數位身分，就必須將網路監管放在一起討論。

這是因為各國正在基於各種理由強化網路監管，英國與澳洲都針對兒童網路使用問題，想要以實名制的方式限制網路使用者。而以前視為大平台豁免避風港的 Section 230 正在逐漸失效。平台責任正在強化，因此就會如同骨牌一樣，使得使用者面臨更艱困的實名狀態。比如說前陣子臉書許多粉專被下架，個人猜測也是基於同樣的國際潮流，台灣也在這個潮流之中。

不過目前主流服務並沒有比較好的身分驗證機制，或者更簡單的命題是，全世界快兩百個國家，沒有一致的身分驗證機制，這讓全球平台業者、網域業者、各種數位金融服務業者都很頭痛。因此在這個時代，數位身分驗證很容易讓 (1) 正常人無法獲得服務 (2) 抓不到壞蛋 (3) 正常人提供的個資外洩。

當然我還是相信新一代的數位身分驗證技術（如數位皮夾）有可能適度地緩解，甚至解決上述問題，但這一切才剛開始。超國家的信任機制尚未建立，值得用三到五年的時間來持續觀察。

想法

但在此之前，我們可以看一下 ICANN84 的討論裡頭，網域註冊者到底要提供多少個資。

最讓我訝異的實證資料是，「提供實名資料的國碼網域，詐騙還是很多」，反而遵循既有機制的通用網域，沒提供實名資料，詐騙相對低。因此提供實名資料與打詐之間，並沒有相關性（更嚴謹的研究論文需要！）

更詳盡的駁火，請看下述報告內容，可以看看國家單位、警察單位與人權單位如何站穩自己的立場。對我來說，實在非常過癮。

＊＊＊＊

會議標題：精準性，我們可以擁有匿名且安全的網路嗎？

本場次由通用域名支援組織（Generic Names Supporting Organization, GNSO）主辦，主題為「準確性，我們可以擁有匿名且安全的網路嗎？」（Accuracy: Can We Have Anonymity and a Secure Internet?）。議題核心為探討 ICANN 政策對網域名稱註冊人（domain name registrant）所要求的「準確 WHOIS 聯絡資料」（accurate WHOIS contact data）應如何界定。依現行政策，註冊人須提供並維持準確且可聯絡的資料，否則可能遭到註冊商（registrar）中止網域。然而，所謂「準確性」（accuracy）是否應延伸至身分驗證（identity verification）或「了解你的客戶」（Know Your Customer, KYC）層級，已在 ICANN 社群內部引起爭論。一方主張這樣的驗證能減少網域名稱系統（Domain Name System, DNS）濫用、網路犯罪與內容相關危害；另一方則認為此舉超出 ICANN 的政策授權，並對人權與言論自由造成威脅。會議的核心問題因此聚焦於，如何在促進網路安全與問責的同時，仍維護匿名性與基本權利。

非商業利益相關方群組（Non-Commercial Stakeholder Group, NCSG）代表 Ken Herman 與 Farzaneh Badii 首先闡述該群組立場，指出「準確性應限於可聯絡性」（accuracy means contactability）。NCSG 認為，ICANN 的角色並非全球身分驗證機構，若將準確性等同於身分識別，將導致個資過度蒐集（over-collection of data）、監控與審查風險。Badii 指出，部分司法管轄區（如歐盟在《網路與資訊安全指令第二版》，Network and Information Security Directive 2, NIS-2）第 28 條之實施，已被誤解為強制身分驗證，形成寒蟬效應。她舉例中國《網路安全法》（Cybersecurity Law of China）與近期 Discord 驗證事件為例，前者以網路實名制造成廣泛監控；後者則因第三方供應商漏洞導致 7 萬名用戶身分證影本外洩，凸顯集中保存個資的安全隱憂。NCSG 強調，「可聯絡性」可透過使用者監控之電子郵件、回應合法查詢、註冊商驗證通訊管道功能性等方式達成，毋須要求繳交護照或政府核發證件。匿名性在此被視為保護新聞工作者、行動者及弱勢群體的重要條件，若以防濫用之名推行身分審查，將排除無法取得政府身分證件者的上網權與網域參與權。NCSG 因此主張，準確性應定義為「功能可即的聯絡性」（functional contactability），而非身分識別（identification），以兼顧 DNS 穩定與人權保障。

加拿大註冊商 Tucows 政策暨隱私主管 Sarah Wyld 則從產業實務層面說明，現行 ICANN 合約與共識政策（consensus policy）已要求註冊商執行驗證（validation）與核實（verification），包括資料欄位格式檢查及可聯絡性測試，若驗證未完成，網域即無法啟用。她指出，要求上傳政府證件並不會有效降低 DNS 濫用率。實務上，一些已要求證件審查的國碼頂級網域（country-code top-level domain, ccTLD）仍出現高比例濫用案例，而遵循現行 ICANN 流程的通用頂級網域（generic TLD, gTLD）則多保持低濫用率。網路犯罪者通常不會使用真實證件註冊惡意網域，因此身分審查無助於執法，反而導致更高的安全風險與社會排除。全球約有數億人缺乏政府核發之照片身分證，包含年長者、跨性別者及邊緣族群，強制驗證將使他們無法擁有網域。此外，要求註冊商辨識近兩百個國家所核發之各類證件實際上不可行；即便外包予第三方或採用生成式人工智慧（generative AI）輔助，亦衍生隱私、演算法偏誤與資料外洩風險。她以 Discord 外洩案為例，說明若所有註冊商集中保存真實證件，將成為駭客的高價標的。身分驗證流程亦大幅提高成本，一般 .com 網域的費用可能翻倍，導致可近用性下降。 Wyld 認為現有流程已能達成可聯絡目的，若將 ICANN 轉向政府式的身分驗證架構，將破壞開放網路的自由與包容性。

來自英國的 dot UK 域名登錄機構（.UK Registry）總法律顧問 Nick Wenban-Smith 則代表國碼登錄機構（country-code TLD registry）提出不同觀點。他認為，雖不主張 ICANN 成為全球身分驗證中心，但在特定高風險情境下（如釣魚網站或商標侵權糾紛），確實需要能聯絡並確認註冊人身分，以保障權利人與消費者安全。依其觀察，濫用域名與不準確資料之間高度相關。雖然身分審查非萬靈丹，但作為降低濫用的輔助工具仍具效益。他指出，《NIS-2》第 28 條確實要求歐盟內的註冊商進行驗證，而英國在脫歐後不受該條約約束，卻仍須協助歐盟內合作夥伴合規。英方的實務作法是僅在特定高風險案例下要求身分驗證，且於完成驗證後即刪除相關資料，以符合比例原則（principle of proportionality）與資料最小化原則（data minimization）。他強調，在地方登錄機構體系中，註冊人、註冊商與登錄機構之間存在直接契約關係，因此資料驗證具有更明確的法律依據。

執法人員代表（希臘警方）則主張，匿名性並非人權本身，而僅為隱私權的輔助工具。在實體世界中，任何正式契約皆需驗證身分，網域註冊亦不應例外。若以匿名為理由完全排除身分驗證，將不利於執法追蹤與網路問責。他認為《歐盟一般資料保護規則》（General Data Protection Regulation, GDPR）已平衡隱私與安全，應信任法制能保障資料使用之正當性。

然而，註冊商代表 Volker Greimann（CentralNic）與 Rike Norling（1 . com）則警告，《NIS-2》在歐盟各國的具體實施差異極大。例如丹麥自 2025 年 7 月起要求三層驗證，語法驗證（syntactical verification）、運作驗證（operational verification，即可聯絡性）、以及身分驗證（identity verification）。她指出，這已造成市場競爭不平等，丹麥註冊商面臨比其他地區更嚴格的義務。Greimann 以十五年防範 DNS 濫用經驗指出，增加身分驗證要求「幾乎沒有實際效果」。犯罪者能輕易偽造或竊取他人證件，而正派使用者則因流程繁瑣被排除。他強調，2013 年版註冊商認可協議（Registrar Accreditation Agreement, RAA）引入的驗證要求，反而促使濫用者提供「完美但偽造」的聯絡資料。過度強化身分要求只會增加業界成本與正當使用者阻力，並不提升安全。

在討論末段，產業代表 Michelle Le Blanc 指出，多數網路攻擊涉及帳號盜用、社交工程與多層入侵，與網域註冊資料無直接關聯，要求身分證件無助防止此類攻擊。政策專家 Michael Palage 則提出，ICANN 憲章（Articles of Incorporation）明定其宗旨之一為「減輕政府負擔」（to lessen the burdens of government），因此若社群主張的立場反而增加各國政府合規壓力，是否違背此宗旨，值得檢視。與會者回應指出，《NIS-2》第 28 條本身並未強制唯一解釋，各國仍可透過其他方式實現準確性要求；ICANN 定義「可聯絡性」並不違法。

總結來看，討論展現三種主要立場，（一）NCSG 與部分註冊商主張「準確性即可聯絡性」，反對 ICANN 推行全球性身分驗證，認為此舉將威脅隱私與開放性；（二）部分國家登錄機構與執法單位支持在高風險情境下實施比例原則下的驗證，以維持問責與安全；（三）企業與產業觀察者則關切《NIS-2》跨法域執行造成市場扭曲與資料安全風險。整體而言，社群共識傾向於區分「可聯絡性」（contactability）與「身分識別」（identification），主張 ICANN 應避免成為全球性身分驗證平台，並應在隱私保護、人權維護與網路安全之間，透過技術與治理層面的比例調整（proportionate and risk-based approach）來取得平衡。