一、域名转移争议的发生与方式
虽然各个域名注册商对于域名转移的程序不尽相同,但将域名从一个注册商转移至另一个注册商的程序并不复杂。基本上都包含提交申请书、域名注册人身份验证、取消域名锁定、获取授权码、启动转移、电子邮件接受或者拒绝转移等步骤。域名转移中常见的纠纷方式主要有以下两种:
1、欺诈性域名转移(fraudulent transfer)。通俗的说,就是一般人所理解的域名被盗。常见的域名被盗情况,一是黑客通过某种技术手段获取域名持有人注册邮箱的密码或者注册商的密码,通过域名注册商后台直接申请域名转移;二是域名注册商网站被黑客袭击或者因其系统漏洞而导致后台管理密码泄露或者域名丢失;三是伪造域名所有人资料后,直接联系域名商更换域名注册人信息,并转移域名等。
2、域名转移申请被拒绝(improper NACK)。如上所述,ICANN鼓励域名的自由转移。一般情况下,只要域名持有人向域名服务商在线提出域名转入申请,完整填报有关域名注册资料,经原注册商同意后便可转出或转入。域名转移申请被拒绝最常见的原因就是转移密码错误、域名处于锁定状态或者规定的注册商不允许进行转移的状态;不属于以上原因被拒绝的,就构成了纠纷。
二、域名转移规则和域名转移争议解决规则概述
互联网名称与数字地址分配机构(ICANN)于2004年7月正式颁布“域名转移争议解决规则”(以下简称TDRP), 此程序被视与ICANN于1999年10月颁布的、主要针对域名恶意抢注的“统一域名争议解决规则”(简称UDRP)相互补充共同发挥作用的争议程序。然而,与UDRP程序不同,TDRP程序只能由域名注册商以英文提起。TDRP刚刚颁布时,构想了一种两级的争议解决程序,第一级程序在域名注册局,第二级程序(又称上诉程序)在ICANN所授权的争议解决机构。相对而言,由于注册局层面主要通过注册商协商,因此其较难取得成效,上诉程序也同时被允许作为第一级争议程序使用。由于这种两级申辩程序的效果不尽如人意,ICANN于2016年6月对TDRP程序作出正式修订,修订的主要内容包括:
1、为了鼓励域名注册商向ICANN认定的域名争议解决机构提交相关投诉,新规则取消了修订前的两级申辩制,规定域名注册商不得再向注册局提供相关TDRP投诉,而必须向ICANN认证的争议解决提供商提交投诉。
2、将提交TRDP投诉的追溯期限由6个月更改为12个月。
3、在投诉主体上,新规则明确规定了两种情况下域名注册商可以提交TDRP投诉。一是在欺诈性域名转移(fraudulent transfer)的情况下,失去域名的注册商(losing registrar)可以提交TDRP投诉;二是在不恰当域名锁定(improper NACK)的情况下,域名转入的注册商(gaining registrar)可以提交TDRP投诉。
同时,在相应的IRTP修改中,新修订的内容包括:一是如果域名更改whois信息后,将自动触发注册商对这个域名设置的为期60天的锁定期,期间禁止进行域名在注册商之间的转移;且域名持有者未选择不设置锁定,则注册商必须拒绝该锁定期内提出的注册商间转移请求;除非域名注册人之前主动选择退出这一锁定期。二是对域名注册人变更中所定义的“实质性变更”进行了澄清。通常只有域名注册人发生“实质性变更”时会触发60天锁定期,这种实质性变更主要针对注册人名称、注册人机构名称、注册人邮箱地址这三方面的WHOIS信息变更,其他方面的WHOIS信息变更并不会触发这一自动锁定期。三是对正处于URS进程中的域名,注册商在获得通知后,须拒绝注册商间转移的请求。
通过2016年的修订,IRTP和TDRP规则框架应当说是更加清晰和完善了。从注册商的角度来看,由于收取域名注册费用,注册商有合约和法定责任对于注册在其下的域名尽到一定的安全保护义务。一般来说,现在的域名注册商都会在域名转移程序中加入一些相应的身份信息核对步骤,保证提起域名转移的要求是由真实域名注册人发起的。此外,越来越多的域名注册商也会在后台域名管理中提供相应的锁定域名工具,一但开启之后,域名就不会被允许转移。在技术性手段不能解决的范围,TDRP程序作为域名转移政策的有机补充。面对域名被非法转移的情况,由于注册商可能面临注册人提起的违约或者侵权之诉,有一定的法律压力使用TDRP投诉代为保障域名安全。在香港国际仲裁中心刚刚结束的TodayNic v. NameSilo案中,业内知名美国注册商GoDaddy通过在协商过程中归还了被非法转移的8775.com域名,为注册商积极履行社会责任提供了一定的范本效应。长远来看,域名注册商利用TDRP程序保障注册在其下的域名安全,可能会成为一种趋势。
三、 从仲裁实践看TDRP的适用
作为ICANN指定的TDRP争议解决机构,亚洲域名仲裁中心(ADNDRC)和位于美国明尼苏达州的ADR Forum所做出的TDRP裁决数量都不多。究其原因,与2016年前相关规则语言晦涩、投诉胜诉率低有一定关系。从公开的信息来看,ADR Forum自2004年后共作出3起TDRP裁决,其中2016年之后2起;ADNDRC共作出4起TDRP裁决,2016年之后1起,全部是由其香港秘书处暨香港国际仲裁中心做出。按照2016年后新TDRP规则更加明确的适用标准,近期香港国际仲裁中心作出一起TDRP裁决,独任专家组判定美国注册商NameSilo归还中国注册商TodayNic(时代互联)于2017年被恶意转移的三个域名。借由这个裁决,我们根据现有案例梳理了TDRP政策适用的基本情况,在此进一步探讨TDRP程序在域名恶意转移程序中的相关应用。
1、欺诈式域名转出。在欺诈式域名转出的情况下,域名注册商常常愿意提起TDRP投诉。在这种情况中,域名注册人可以另行在具有管辖权的法院提起违约或者侵权诉讼,要求域名注册商承担相应责任。从相关裁决来看,此类案件中提交投诉的域名注册商通常要证明:(1)注册商已经尽到一定的域名安全保障义务;(2)域名转入的新注册商具有恶意。
(1)注册商尽职责任:一般而言,只有注册商故意或者恶意造成的漏洞,注册商才有责任进行弥补。在证明注册商尽职步骤中,大部分国内外的注册商都能够提供相应证据证明其使用了一定技术手段防止域名被盗,从而不应对域名被盗负有责任。例如,在2009年香港国际仲裁中心做出的HiChina Zhicheng Technology v. eNom Incorporated(HKT0900001)案中,原注册在万网下的gupzs.com域名在未经域名注册人许可的情况下被非法转移到美国域名注册商eNom。域名注册人杨某在北京市海淀区人民法院状告域名注册商万网志成科技有限公司(万网公司)侵权,要求其恢复被盗域名的原有状态,并赔偿其经济损失。经法院查明,虽然万网公司根据其注册转移流程核实了办理域名转出时的注册人身份,但提交转移申请的申请人身份实为假冒,而转移注册服务商申请表上也没有ID持有者的签字。域名注册人承认有人进入了他的邮箱窃取了相关域名转移密码。根据以上事实,法院判定万网公司有主观过错,未履行必要的合适程序,且在此之后继续收取域名注册人杨某所交纳的域名续费,行为构成侵权,要求万网公司恢复域名至原有状态。在判决做出后,在与eNom注册商协商未果的情况下,万网公司提交了TDRP投诉。由于案件中万网公司证明了其域名转移程序符合ICANN要求,合理保障了注册域名的安全,并在域名转移过程中对注册人身份进行了一系列核查,专家组判定eNom归还被非法转移的域名。另外,在香港国际仲裁中心最新作出的TodayNic.com v. NameSilo LLC案(HKT-1800005)中,投诉注册商也试图证明域名被盗纯属黑客对其后台进行攻击,在现有技术手段下其已经履行对域名的安全保障义务,因此不具有过错。专家组接纳了投诉注册商的证明理由,判定NameSilo归还被盗域名。
(2)恶意:TDRP投诉注册商除证明其已经尽到相关安全责任之外,通常还需证明域名被转移至的注册商具有相关恶意。关于恶意,美国ADR Forum案件似乎较早根据政策制定者本意确立了相关审查标准,即此恶意应当理解为域名转入的注册商所具有的恶意,而并非盗用域名者的恶意。在2017年的TierraNet,Inc. v. Lexsynergy Ltd 案(FA1709001749613)中,与上述两起案件相似,提交投诉的域名注册商在域名转移的实施过程中要求域名注册人提供相关身份证明,但后来发现转移申请的提交人所提供的身份证明是假的,而真正的域名注册人并没有要求实施相关域名转让程序。在与域名转入的注册商协商未果之后,失去域名的注册商提交了TDRP投诉,认为根据欺诈性转移原则,新注册商需要归还域名。然而,本案裁决专家认为,TDRP程序中的恶意要求新获得域名的注册商具有恶意,或者至少具有主观过错,而不是仅仅要求域名转移人具有恶意,并据此拒绝了相关转让投诉。这种对于转让政策的理解应当被认为是合理的。在任何一起域名的欺诈性转移案件中,行为人(经常是黑客或者域名盗用者)均存在恶意,因此,若不额外要求域名获得注册商具有恶意并对其行为进行区分,将有可能造成TDRP程序的滥用,违反了TDRP鼓励域名注册商良性竞争的立法本意。
然而,从亚洲域名仲裁中心的裁决来看,亚太地区的专家似乎普遍认为,在注册商协商过程中明知或应知域名转移程序存在欺诈而拒绝归还域名,可以判定为新获得域名的注册商具有政策所要求的恶意。例如在近期的TodayNic.com, Inc. v. NameSilo, LLC 案中,提交投诉的中国注册商TodayNic宣称在其和注册用户不知情的情况下,四个域名被非法转移至美国注册商GoDaddy和NameSilo。经过多次协商,GoDaddy归还了被盗的域名,而NameSilo拒绝归还剩下的三个域名,TodayNic因此提交相关TDRP投诉。在裁决中,专家组比较了两个域名注册商的行为,认为根据同一次欺诈性转移,GoDaddy履行了更高尽职要求归还域名,比较而言,可以推断出另一域名注册商拒绝归还域名的行为已经具有主观恶意。因此,专家组最终判定被盗域名转移回投诉方,由被投诉方承担仲裁费用。专家组在裁决中没有采纳被投诉注册商的相关答辩,即其获取域名的程序合理,而是参考了在协商之后其的行为,和2009年HiChina案中的专家意见基本保持一致倾向。
总体来说,在裁定域名欺诈性转移的案件中,专家组会对投诉方所尽的安全责任和被投诉方的恶意进行平衡,当投诉注册商尽到了较高的安全审查义务,且在域名被盗之后积极与对方注册商进行协商争取相关域名归还而未果的情况下,提交TDRP投诉,可能会具有更高的胜算。另外,从专家组的裁决来看,在TDRP新政策下,注册商用协商的手段解决域名转移中出现的争议仍然被鼓励。
2、域名转移申请被拒绝。TDRP投诉也同样适用于域名转移申请被不合理拒绝的情况。如上所述,ICANN鼓励域名的自由转移,相对于欺诈性转移的适用,相关政策对于域名转移申请的不当拒绝,其判定标准更为明确。根据IRTP第3.7条:注册服务机构可以拒绝域名转移申请的情况包括:欺诈,关于授权转移的人的身份存在合理争议,因之前注册期存在欠款导致域名处于保留状态,来自域名持有人的明确书面异议,域名处于锁定状态,距离域名初始注册未满60天,以及距离上一次域名转移未满60天。根据IRTP第3.8条:注册服务机构必须拒绝域名转移申请的情况包括,域名是UDRP、TDRP或者URS程序的主体,收到有管辖权法院的判令,或者域名处于注册人变更后的60天锁定期。域名注册商违反上述规定不当拒绝另一注册商的域名转移申请,注册商可以提交TDRP投诉。
从现有公开的裁决来看,专家认为IRTP所列举的拒绝转移情况是穷尽性的。也就是说,在上述情况之外的其他情况下,注册商不能拒绝转移要求。在2014年ADRForum作出的easyDNS Technologies Inc v. PDR Ltd. d/b/aPublicDomainRegistry.com案(FA1312001532690)中,美国域名注册商PublicDomainRegistry根据伦敦市警察局所出具的相关域名暂停要求(suspension request),认为域名注册人可能就大批域名涉及犯罪,而争议所涉域名也包含在涉案域名当中,从而拒绝了争议域名的转出请求。应当获得的域名注册商提起了TDRP投诉,认为根据TDRP政策,警察局所出具的命令不符合IRTP第3.8条中域名注册商拒绝转移的情况。专家组同意了投诉人的意见,并认为司法机关的文件不具有法院判决所具有的法律效力,因此注册商不应该以此为理由拒绝转让域名。注册商违反了相关政策,应立刻解锁域名,配合转移要求。
四、小结:TDRP程序的未来应用
总体上看,TDRP仍然是一种特殊的域名争议解决程序。ICANN鼓励域名的正常交易和转移,同时又对域名注册商所尽的相应义务进行了隐性的规范。首先,域名注册商有责任利用合理的技术和法律手段保障注册在其下的域名的安全;第二,在安全防备之外,域名注册商不应该通过额外程序增加域名的转移难度;第三,域名注册商仍然被鼓励通过协商的手段解决域名转移中存在的争议,而在相关协商中所表现出的不配合态度和行为有可能被域名专家组用来作为认定其恶意的证据。由于其特殊的公共资源属性,ICANN希望利用相关转移政策保障作为一种私有财产的域名的合理转移,从而在这个过程中,通过用户自发的善意的选择,用成熟的市场机制淘汰不负责任的域名注册商,保障域名安全。在2016年政策修订之后,各个地区都出现了一些新的案例,总体来说,在协商的同时,域名注册商了解相关政策并积极使用TDRP政策维权,应该成为规范域名转移市场的重要手段。
本文作者为香港国际仲裁中心ADR法律顾问商舒。转载在于更好服务读者、传递信息之需,不代表ICANN赞同其观点和对其准确性负责。
评论 ( 0 )