<div dir="ltr"><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">A big +1 to Holly&#39;s comments. Since we two are the ones who have consistently tagteamed WHOIS matters from the At-Large community in the last 7 or so years, maybe I expand on the perspective a little bit.</div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">What we know for sure is that by virtue of time in place and divergent uses, the WHOIS matter is  complex enough to demand a sufficiently nuanced response. So we advised and decided an holistic view, all the way from embracing registration data collection, its management, curation and, eventually access.</div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">Even before the last WHOIS Review and the EWG&#39;s work, the ALAC has largely agreed that the &#39;one-size fits all&#39; WHOIS is no longer fit to purpose. We know there is potentially a much larger dataset collected by registrars in ordinary course of business, much larger than the deliberative WHOIS dataset. We accept the conceptual underpinnings of legal and natural persons and the status inherent to both groups. We accept there would be commercial concerns to divulge data and information, not just those pertaining the rights to privacy.</div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">Spurred largely by the work of Garth Bruen and his ALS Knujon, we have embraced WHOIS accuracy and agitated for a regime for improvement and active monitoring. We held the unregulated privacy/proxy registration schema as inimical to the interests of end users. We even agreed that embracing a Thick WHOIS model was tactically advantageous to the policy goals we advocated; everyone at the same level simplified evolution to the new dispensation. We positioned for a more vigilant ICANN compliance program, hitherto largely geared to matters concerning fee collection. </div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">Our positions have been delivered in numerous pertinent statements, some more sharply worded than others, since 2007</div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">So those who were paying attention would have noticed we were out the box and on record for differentiated access to WHOIS, a WHOIS Accuracy program and enforceable service specifications for privacy/proxy registration services for many years now. Holly, myself and others of the At-Large community continue to participate in the policy development WGs in these areas; the IAG-WHOIS Conflicts and the PPSAI, for two. </div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">Policy development has always been a long and uneven slog, especially for those of us who are true volunteers. So, for example, we go to the IAG-WHOIS Conflicts and survey the implementation even as we denounce the process as intuitively insensate as a small pet rock. [Mind you, if I were a lawyer with my shingle hanging out I would likely embrace this grand make work confection.] We continue to agitate for and still believe that a re-imagined compliance program and practice must emerge from ICANN.</div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">Finally and so you know, a series of PDPs surrounding these matters are coming on steam in the new year. We hope those of you with an interest will show up for work.</div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large"><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif;font-size:large">-Carlton</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><br>==============================<br>Carlton A Samuels<br>Mobile: 876-818-1799<br><i><font color="#33CC00">Strategy, Planning, Governance, Assessment &amp; Turnaround</font></i><br>=============================</div></div>
<br><div class="gmail_quote">On Thu, Dec 17, 2015 at 7:29 PM, Holly Raiche <span dir="ltr">&lt;<a href="mailto:h.raiche@internode.on.net" target="_blank">h.raiche@internode.on.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Derek<br>
<br>
Just to correct a few things.<br>
<br>
First - this is NOT about collecting less WHOIS information - it is about MAKING PUBLIC less WHOIS information.<br>
<br>
Next, it is NOT about not providing access to the WHOIS information for law enforcement agencies.  Generally, data protection law makes exceptions on access to personal information for law enforcement agencies and other, enumerated purposes.  So they WILL have access to the data - whether or not it is faked.  The idea is NOT to make it harder for LEA types to have access to data for legitimate purposes - it is to make it harder for just anyone for no reason to have access to that data. And really, what the waivers do is simply allow compliance with national laws - to manage personal information so that it is NOT generally publicly available, but is available for legitimate purposes - including LEA<br>
<br>
Next - if you look at the 2013 RAA, there are enhanced requirements for registrars checking on data so that accuracy of data is improved. (read the Whois Review Final Report in relation to that issue).  It does not eliminate fake data - but makes it just that much harder to have registrars accept fake data.  So while the call is about respecting data protection laws in relation to making WHOIS data public, it is NOT about removing requirements for registrars taking steps to make sure that data is correct - and checking regularly to be sure.  Of course, rules are honoured in the breach.  Of course, there are registrars who do not follow ICANN rules on data accuracy.  But that should not be a call to ignore those rules  - it should be a call for more enforcement.<br>
<br>
And yes, there are jurisdictions where the criminals can hide.  But that is about national sovereignty and the failure of governments to control their country codes - which is beyond ICANN’s jurisdiction.<br>
<br>
So please, waivers are there to strike a balance between protecting personal information from general unregulated publication as against the legitimate needs of LEAs (and other institutions given access to personal information under enumerated circumstances) for access to that information.<br>
<span class="HOEnZb"><font color="#888888"><br>
Holly<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
On 18 Dec 2015, at 9:29 am, Derek Smythe &lt;<a href="mailto:derek@aa419.org">derek@aa419.org</a>&gt; wrote:<br>
<br>
&gt; On 2015-12-17 07:44 PM, John R. Levine wrote:<br>
&gt;<br>
&gt;&gt; People with no experience with large networks, which includes pretty<br>
&gt;&gt; much everyone on the ALAC, often seem to believe that collecting less<br>
&gt;&gt; information about domain registrants always improves the privacy of<br>
&gt;&gt; Internet users.  The reality is much more subtle.<br>
&gt;&gt;<br>
&gt;&gt; The vast majority of users have never registered a domain and never<br>
&gt;&gt; will, so WHOIS doesn&#39;t affect them, while the vast majority of domains<br>
&gt;&gt; are registered for commercial purposes, and a dismaying number for<br>
&gt;&gt; criminal purposes.  A large registrar often turns off 10,000 domains a<br>
&gt;&gt; day for malware, phishing, and other malevolent behavior.<br>
&gt;&gt;<br>
&gt;&gt; The WHOIS information that most of the waivers concern is very useful<br>
&gt;&gt; for identifying and dealing with criminals.  That is so even though a<br>
&gt;&gt; lot of it is faked, since the crooks tend to have patterns when they<br>
&gt;&gt; fake stuff. I&#39;m not guessing about this, I talk to people every day at<br>
&gt;&gt; network operators who are protecting their users and law enforcement<br>
&gt;&gt; who are protecting their citizens.<br>
&gt;&gt;<br>
&gt;&gt; Registrars should certainly comply with their national laws, and I<br>
&gt;&gt; agree that some of ICANN&#39;s rules are silly, e.g., when they grant a<br>
&gt;&gt; waiver, it should automatically apply to other registrars or<br>
&gt;&gt; registries in the same jurisdiction.  But when you make it harder to<br>
&gt;&gt; tell who&#39;s behind a domain, you&#39;re also making it easier for criminals<br>
&gt;&gt; to siphon the money out of your grandmother&#39;s bank account.  That may<br>
&gt;&gt; be a reasonable tradeoff, but it&#39;s a tradeoff and one that deserves<br>
&gt;&gt; better than the kneejerk reeactions we always see here.<br>
&gt;&gt;<br>
&gt;&gt; R&#39;s,<br>
&gt;&gt; John<br>
&gt;<br>
&gt; +1<br>
&gt;<br>
&gt; To illustrate the point, search for &quot;<a href="mailto:fjrasile@yahoo.com">fjrasile@yahoo.com</a>&quot;. Hint:<br>
&gt; Supplying bogus data has nothing to do with privacy. Also look at the<br>
&gt; period over which those domains were registered with the registrar<br>
&gt; constantly being made aware of the issue. You&#39;ll also find this party<br>
&gt; uses more than one registrar.<br>
&gt;<br>
&gt; This is just one of many such.<br>
&gt;<br>
&gt; We also do not wish to subject the public to domains such as<br>
&gt; <a href="http://eicu-ae.com" rel="noreferrer" target="_blank">eicu-ae.com</a> (spoofing <a href="http://eic.ac.ae" rel="noreferrer" target="_blank">eic.ac.ae</a> ); &quot;beautiful&quot; WHOIS not even meeting<br>
&gt; the basic sanity checks. Yet we wish to hide this with privacy? Such<br>
&gt; issues are seen daily on domains that are registered for purposes to<br>
&gt; the detriment of the ordinary innocent user.<br>
&gt;<br>
&gt; The problem is the majority of registrants are not malicious. But a<br>
&gt; small handful are and they are extremely active in registering domains<br>
&gt; with ever changing fake WHOIS details. Even fake WHOIS details may<br>
&gt; leave patterns (as John said).<br>
&gt;<br>
&gt; Ironically I&#39;ve alerted victims of credit card fraud that their<br>
&gt; details are being abused by a fraudster in WHOIS where the the pattern<br>
&gt; did not match the other circumstances. Were it not for WHOIS, this<br>
&gt; would have slipped past the victim due to the small amounts involved.<br>
&gt;<br>
&gt; Here&#39;s the problem. Unaccountable privacy is nothing more than<br>
&gt; anonymity and can be used to devastating effect against the ordinary<br>
&gt; innocent people using the internet. Some Registrars have shown<br>
&gt; themselves to not really do WHOIS sanity checks or care, some are<br>
&gt; deliberately obstructive and discourage reporting fake WHOIS, ignoring<br>
&gt; ongoing linked issues. The WDPRS system has shown itself to not be<br>
&gt; effective in such cases. Some registrars simply does not care.<br>
&gt;<br>
&gt; Laws differ from country to country. Some Registrars and resellers use<br>
&gt; this as a strategic marketing tool to attract a certain type of<br>
&gt; client. Some openly attract clients practising what would be<br>
&gt; considered illegal activities, such a fraud, in Europe, the US and<br>
&gt; most parts of the word, simply due to a jurisdiction issues and they<br>
&gt; way local law is structured. So for a mere $10-$15 a repeat malicious<br>
&gt; registrant can go jurisdiction shopping, targeting whomever he wishes,<br>
&gt; even residents of the country he lives in.<br>
&gt;<br>
&gt; E.g.: <a href="http://mediaon.com/Real-Whois-Protection.php" rel="noreferrer" target="_blank">http://mediaon.com/Real-Whois-Protection.php</a><br>
&gt; Ironically the initial home of the German &quot;Fake Shopkeeper Gang&quot; who<br>
&gt; was responsible for Germany largest cyber fraud losses up to 2012.<br>
&gt;<br>
&gt; The gang moved to &#39;Russian&#39; reseller Heihachi (Home of the disavowed<br>
&gt; Wikileaks copy). Later both the German gang and the Austrian owner of<br>
&gt; Heihachi were arrested. The owner of Heihachi had a prior criminal<br>
&gt; record, yet was a reseller for one of America&#39;s largest Registrars,<br>
&gt; had fake whois details as was constantly pointed out to the registrar<br>
&gt; and ICANN. So the reseller was offered a WHOIS proxy service by the<br>
&gt; registrar. In turn Heihachi offered WHOIS proxy services for domains<br>
&gt; belonging to carders, botnet herders, malware creators and<br>
&gt; distributors etc.<br>
&gt;<br>
&gt; Is this the Internet we we want?<br>
&gt;<br>
&gt; The problem is law enforcement simply does not have the resources to<br>
&gt; cater for all of the abuse found on the net. Then there is the<br>
&gt; international social/political issues. This is no reflection on the<br>
&gt; authorities, rather the state of the net and certain realities. That<br>
&gt; is why the authorities rely on partnerships with other private groups.<br>
&gt;<br>
&gt; Regards,<br>
&gt;<br>
&gt; Derek Smythe<br>
&gt; Artists Against 419<br>
&gt; <a href="http://www.aa419.org" rel="noreferrer" target="_blank">http://www.aa419.org</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; At-Large mailing list<br>
&gt; <a href="mailto:At-Large@atlarge-lists.icann.org">At-Large@atlarge-lists.icann.org</a><br>
&gt; <a href="https://atlarge-lists.icann.org/mailman/listinfo/at-large" rel="noreferrer" target="_blank">https://atlarge-lists.icann.org/mailman/listinfo/at-large</a><br>
&gt;<br>
&gt; At-Large Official Site: <a href="http://atlarge.icann.org" rel="noreferrer" target="_blank">http://atlarge.icann.org</a><br>
<br>
_______________________________________________<br>
At-Large mailing list<br>
<a href="mailto:At-Large@atlarge-lists.icann.org">At-Large@atlarge-lists.icann.org</a><br>
<a href="https://atlarge-lists.icann.org/mailman/listinfo/at-large" rel="noreferrer" target="_blank">https://atlarge-lists.icann.org/mailman/listinfo/at-large</a><br>
<br>
At-Large Official Site: <a href="http://atlarge.icann.org" rel="noreferrer" target="_blank">http://atlarge.icann.org</a><br>
</div></div></blockquote></div><br></div>