Nick Dedeke はボストンのノースイースタン大学の准教授です。彼の研究関心には、デジタル変革戦略、倫理、プライバシーが含まれます。彼の研究は、IEEE Management Review、IEEE Spectrum、Journal of Business Ethics に掲載されています。彼は、ドイツのカイザースラウテルン ランダウ大学で生産工学の博士号を取得しています。 この記事の意見は必ずしも Ars Technica の見解を反映しているわけではありません。
以前の記事で、ヨーロッパの主要なデータプライバシー法である一般データ保護規則 (GDPR) のいくつかの欠陥について説明しました。この批判に基づいて、私はさらに前進して、米国における堅牢なプライバシー保護体制を開発するための仕様を提案したいと思います。
GDPR の潜在的な欠陥について読者を説得する機会を得るには、作家はいくつかのハードルを乗り越えなければなりません。まず、一部の読者は、GDPR は評価するにはまだ若すぎると考えているため、GDPR を批判する記事には懐疑的です。第二に、作者がビッグテックの反 GDPR アジェンダを隠れて支持しているのではないかと疑い、GDPR を批判するいかなる作品にも懐疑的な人もいます。 (読者の皆様に保証しますが、私はビッグテック企業の政策を支持するために働いたことはありませんし、これまで働いたこともありません。)
この記事では、GDPR を無視することの代償に焦点を当てます。次に、この法律の主任設計者の 1 人が認めた GDPR の概念的な欠陥をいくつか紹介します。次に、米国のような国がプライバシー保護法を制定する際に考慮すべき特定の特性と設計要件を提案します。最後にその理由をいくつか挙げておきます みんな このプロジェクトに気を配るべきだ。
GDPRを無視することによる高い代償
GDPR は主に「官僚の頭痛の種」だと思われることがありますが、この見方はもはや当てはまりません。さまざまな国の GDPR 管理者による次のアクションを検討してください。
- 2023年5月、アイルランド当局は個人データを欧州連合から米国に不法に移転したとしてメタ社に13億ドルの罰金を課した。
- 2021年7月16日、ルクセンブルク国家データ保護委員会(CNDP)はアマゾン社に7億4,600万ユーロ(8億8,800万ドル)の罰金を課した。この罰金は、2018年5月に組織されたアマゾンに対する1万人からの苦情を受けて発行された。フランスのプライバシー権団体。
- 2022 年 9 月 5 日、アイルランドのデータ保護委員会 (DPC) は、児童データの合法性に関する GDPR の規定に違反した罰則として、Meta Ireland に 4 億 500 万ユーロの GDPR 罰金を課しました (その他の罰金については、こちらをご覧ください)。
言い換えれば、GDPR は単なる官僚的な問題ではありません。予期せぬ高額な罰金を科される可能性があります。 GDPR は無視できるという考えは致命的な間違いです。
GDPR の 9 つの概念的欠陥: GDPR の主任アーキテクトの視点
Axel Voss は、GDPR の主任アーキテクトの 1 人です。彼は欧州議会の議員であり、欧州議会報告者だったときに「EU における個人データ保護への包括的アプローチ」と題した 2011 年のイニシアチブ報告書を執筆しました。彼の行動の呼びかけは、GDPR 法の開発につながりました。 GDPR の約束が果たされていないことに気づいた後、Voss 氏はこの法律の弱点を強調する意見書を書きました。ヴォスが説明した 9 つの欠陥について触れたいと思います。
まず、GDPR は理論的には優れており、データ保護基準の向上に向けた道筋を示していますが、主に EU 官僚によるトップダウンのアプローチで作成された過度に官僚的な法律です。
第二に、この法律はデータ保護が EU 国民の基本的権利であるという前提に基づいています。したがって、この規定は絶対的であり、自然人の「基本的な権利と自由」を保護することのみに一方的またはレーザー的に焦点を当てています。この変更を行う際に、GDPR の設計者は、国家と国民の関係を移し、それを国民と企業の関係、および企業とその同僚との関係に適用しました。この構造は、データ管理者と処理者に課される義務が厳格である理由の 1 つです。
第三に、GDPR 法は、データ主体に権利を与え、これらの権利を法制化することによって、データ主体に権限を与えることを目的としています。具体的には、この法律は 9 つのデータ主体の権利を法制化しています。それらは、通知を受ける権利、アクセスする権利、修正する権利、忘れられる/または消去される権利、データポータビリティの権利、処理を制限する権利、個人情報の処理に異議を唱える権利です。データ、自動処理に異議を唱える権利、および同意を撤回する権利。他のリストと同様に、一部の権利が欠落している可能性があるという懸念が常にあります。重要な権利が GDPR から省略されれば、プライバシーとデータ保護における法律の有効性が妨げられるでしょう。特に、GDPR の場合、保護されるデータ主体の権利は網羅的ではありません。
第 4 に、GDPR は次のことに基づいています。 禁止と制限のアプローチ データ保護に。たとえば、目的限定の原則では、科学における偶然の発見は除外されます。これは、現在のテクノロジー、たとえば機械学習や人工知能アプリケーションの機能が異なるという現実を無視しています。したがって、データの最小化やストレージの制限などの古いデータ保護の考え方は、もはや機能しません。
第 5 に、GDPR は原則として、個人データのあらゆる処理がデータ主体のデータ保護の権利を制限すると定めています。したがって、これらの各プロセスには法律に基づく正当化が必要です。 GDPRは個人データのあらゆる処理を潜在的なリスクとみなし、その処理を原則として禁止しています。法的根拠が満たされた場合にのみ処理が許可されます。このような反処理および反共有のアプローチは、データ主導型経済では意味をなさない可能性があります。
第 6 に、法律は、リスクの高いアプリケーションについてはデータ処理管理者の協議を必要とするいくつかの例外を除いて、データ処理アプリケーションの種類ごとに同じ義務を課すことにより、リスクの低いアプリケーションとリスクの高いアプリケーションを区別していません。
第 7 に、GDPR では、低リスクの処理シナリオ、または中小企業、新興企業、非営利団体、民間人がデータ管理者である場合の免除も除外されています。さらに、データ管理者がビジネスおよび企業秘密の保護、機密保持義務の履行、または巨額の不正行為を回避するという経済的利益を有する場合のシナリオに対して、管理者および第三者の権利を保護する例外規定や規定はありません。 GDPR の義務を果たすための不当な努力。
第 8 に、GDPR には、中小企業や新興企業がコンプライアンスの負担を第三者に移し、第三者がデータを保存および処理することを可能にするメカニズムが欠けています。
第 9 に、GPR は政府ベースの官僚的な GDPR プライバシー コンプライアンスの監視と管理に大きく依存しています。これは、コンプライアンス体制を管理するには広範な官僚システムが必要であることを意味します。
GDPR の施行には他にも問題があり (Matt Burgess と Anda Bologa の記事を参照)、EU のデジタル経済とアイルランドのテクノロジー企業に対する悪影響があります。この記事では、上記の 9 つの欠陥のみに焦点を当てます。これら 9 つの欠陥は、米国当局が GDPR を単純にコピーすべきではない理由の一部です。
良いニュースは、これらの欠陥の多くは解決できるということです。