原文: The GDPR at Two — Global Floor or Global Ceiling?
エリザベス・M・レニリス著
周瑜漢訳
校正: ファラチーム
Omidyar ネットワークとして「グローバルなデータ保護の道筋と落とし穴」「[1] 一連のトピックの一部であるこの記事では、欧州一般データ保護規則(一般データ保護規則、以下 GDPR と呼びます) [2] は、2018 年 5 月に発効して以来、世界のデータ保護情勢に影響を与えてきました。 GDPR が世界の法域における法改正に新たな道を切り開き、データ ガバナンスとプライバシーに対する国民の注目を促進し、その結果、世界のデータ保護情勢に大きな影響を与えたことは事実です。GDPR 自体の影響力を拡大する一方で、その欠陥と限界も拡大しました。 、その結果、他国の法典にもこれらの欠点が引き継がれることになりました。
過去 2 年間に生じた足かせには、いくつかの条項のレバレッジ比率が低すぎる/高すぎる、および否定できない問題が含まれます。不十分な実行[3]、および法とイノベーションの間の継続的な対立(新興テクノロジーへの法適用の課題など)。次に、この記事では、GDPR の影響の性質、範囲、および主要な制限を検討し、この法律が世界的なデータ保護パラダイムなのか、それとも失敗した収益なのかを検討します。
GDPR の域外適用による直接的な影響は、世界中のいたるところで感じられています。 5 億人以上の消費者を抱える欧州連合は世界最大です単一市場[4] したがって、GDPR は EU と取引を行う世界のほぼすべての地域に影響を与える可能性があります。たとえアメリカのテクノロジー巨人と同じくらい強いとしても、これほどおいしいケーキに触れないわけにはいきません。このように、GDPR は多くの大企業や多国籍企業にとって事実上の標準となっています。その理由は、第一に、GDPR は地域または国のデータ保護法ではなく、企業が導入するのに便利な単一の標準またはフレームワークであること、第二に、グローバル データ ガバナンスには柔軟なパラダイムが欠けていることです。現時点では、EU のデータ保護フレームワークに匹敵するフレームワークを見つけるのは困難です。
また、「ブリュッセル効果」(翻訳:市場の力で世界市場を一方的に規制するEUの能力を指す)の間接的な影響も観察しています。一部の国は、世界中の管轄区域で新たに制定および調整された法律を普及させることによって、GDPRを直接コピーしています。このことから、司馬昭氏の GDPR の核心、つまりその原則の中核、利益の基盤、そしてその実施のメカニズムがわかります。 GDPR は発効以来、ケニアやウガンダなどの国々に初の国内データ保護法の制定を促し、また他の国々にも既存法の改善または改正を促してきました。たとえばアルゼンチンは、2003 年の欧州データ保護指令 (GDPR の前身) における既得権益を維持することだけを目的として、2018 年にデータ保護法を導入しました。 GDPR はまた、インド、ナイジェリア、ブラジルなどの国々に、「部分的に適用される」データ保護規制をより一般的な法律に拡張するよう促しています。
「ブリュッセル効果」は、さまざまな多国間/二国間フォーラムや貿易政策を通じてプライバシーとデータ保護法を統合したいという欧州委員会の願望の表れでもあります。「EUのアフリカ包括戦略」[5]は一例です。この戦略に記載されているいくつかの注目すべき項目の中には、アフリカ大陸全体のデジタル変革戦略が含まれており、これはGDPRの影響を深く受け、国家レベルでの国境を越えた貿易や国際投資に影響を与えることになる。しかし実際には、世界レベルでの調整により、一部の国では基準や原則の施行が緩くなる可能性があります。中小企業はコンプライアンスに苦労していますが、Facebook や Google などの世界的なテクノロジー企業は、そのグローバルな対応力により競争の恩恵を受けています。実際、その戦略の内容は、アフリカ連合の注目[6]、AUは、この規定はAUとEUによって共同で策定されるべきであると繰り返した。
過去 2 年間の GDPR の適用と運用を評価した報告書 [7] の中で、欧州委員会は、中小企業がこの規制に準拠するのをどのように支援するかに焦点を当てる必要があると強調しました。しかし、全体として欧州委員会の自己評価は比較的高く、「個人データ保護の権利を強化し、EU内での個人データの自由な流通を確保するというGDPRの目標はうまく達成された」と考えている。同報告書はまた、GDPRの枠組みの柔軟性を称賛し、新たな新型コロナウイルス感染症対策とうまく両立していると主張した。
しかし委員会は、特に国際的なデータ転送、協力、調和の点で改善の余地があることも認めた。「ワンストップ機構」[8]; データ保護当局 (DPA) にはリソースが不十分であり、データのポータビリティの権利は完全には実装されていません; ブロックチェーンや人工知能などの新興テクノロジーへの GDPR の適用はまだ不明確です。最後に委員会は、データ保護の基本的権利と表現の自由の間の緊張に対処するための決議において、加盟国が一貫性を欠いていると指摘した。
これについては欧州委員会の報告書では検討されていませんが、特に GDPR が世界情勢に重大な影響を与えることで広く輸出されているため、その枠組みの他の欠点を指摘することは重要です。これらの制限の一部が存在する理由は、GDPR がその前身である 1995 年のデータ保護規則とほぼ同じであるためです。しかし、当時のデジタル環境は今日とはかけ離れていました。もう一つの理由は、有意義な代替パラダイムが存在しないことです。
まず、GDPR とそれに触発された法律は、データ処理の法的根拠として「同意」に過度に依存しています。特に今日のデジタル領域では、意味のあるインフォームド・コンセントが得られにくいことがよくあります。今日のデジタル世界には大きな非対称性があります。少数の大企業が知識と権力の大部分を占めていることが多いのに対し、個人はデータに関する意思決定を管理および理解する意識や能力が欠けているだけでなく、真に意味のある選択肢もほとんどありません。 . .
また、GDPR のようなデータ保護フレームワークの欠点も明らかになります。GDPR は市場の動向に対応しておらず、競争法や独占禁止法などの他の分野で補完する必要があります。たとえば、最近のドイツ語では、独禁法訴訟[9]、高等裁判所は、Facebookがソーシャルメディアにおける優越的地位を乱用し、Instagram、WhatsApp、メッセンジャーなどのFacebookプラットフォーム上でデータを混合することによりユーザーデータを違法に取得したとの判決を下した。このデータの混合はGDPRに基づいて異議を申し立てられる可能性があるが、この判決は、データ保護の権利に手を出している市場環境が市場での私たちの選択を制限し、したがって私たちの自由と自律性も制限していることを示している。これは、データ保護と独占禁止法の補完的な性質も示しています。
一部の GDPR 関連規制では、一部の残骸が過度に保持されている一方で (ユーザー同意「同意する」に基づくデータ処理など)、いくつかの本質は十分な注目を集めていません。GDPR 第 25 条[10] - アプリケーションの設計とデフォルト設定、自動データ収集と意思決定、個人データのポータビリティのための効果的な対策に基づいたプライバシー保護オプション。
さらに、GDPR に基づく規制は、国家安全保障の強化、公共の利益と新型コロナウイルス感染症期間中に露呈した公衆衛生上の危機のバランスを取る方法など、政府の利益と法的権限の保護に対して比較的寛容です。欧州委員会による根本的な措置にもかかわらず、広範な適用には抵抗顔認識システム[11] やその他の侵略的テクノロジーに対して、委員会の反応ははるかに弱かった。 GDPR スタイルの法律の基礎となる強力で確立された伝統的な規範がなければ、現在のような危機により、法の本文と精神が大幅に弱体化します。さらに、対応する法的、政治的、制度的およびその他のインフラストラクチャが欠如している場合、GDPR スタイルの法律がコピー アンド ペーストされるか、国内法に直接変換されたり、害が利益を上回ったりして、「欠陥」が「保護」でごまかされます。 」。
幸いなことに、世界的なデータ保護の分野では、GDPR 後のトレンドがすでに見られます。 GDPR によって個人データ保護の基準が引き上げられた後、その 1 つは公共分野や研究分野でのデータ共有をさらに奨励し、促進することです。このような反復は EU 自体によって推進される可能性があります。ヨーロッパのデジタル未来を形作る[12]『人工知能白書』[13]と欧州のデータ戦略[14]。この戦略の一環として、欧州委員会はその後、データの共有と流通を促進し、個人がデータポータビリティの権利の範囲を拡大できるよう、2021年版のデータ法を導入する可能性がある。当然のことながら、EU は人工知能やその他の新興分野におけるデータ保護にも非常に懸念しており、EU のデータ保護とプライバシー基準が EU に不利な立場に置かれるのではないかと懸念しています。
米国には現在まで包括的な連邦プライバシー法はありませんが、柔軟なパラダイムが出現する可能性があります。過去から学んだ教訓を踏まえると、米国には後発であるという利点がある。データ収集パラダイム、プッシュ通知、および「同意」ボタンに基づくオプションは、より大きな課題に直面することになります。たとえば、米国上院議員シェロッド・ブラウンは最近、提案[15]、この提案では、事前に合意され、ユーザーによって通知された少数の目的を除き、デフォルトでデータの収集、使用、または共有が禁止されます。全米の州や地方自治体は顔認識技術の使用を段階的に停止しており、場合によっては完全に禁止している。この提案では、データ主体の権利を交渉するための情報受託者や仲介者の創設や、データトラストやデータコレクティブなどの団体交渉団体の導入についても言及されている。
GDPR が施行されて 2 年になりますが、それがデータ保護の最終ラインなのか、それとも法律の上限なのかはまだ不透明です。この観点から見ると、世界的なデータ ガバナンスの実現にはまだ長い道のりがあります。
ファラについて
Phala Network は、Polkadot 上のプライベート コンピューティング パラチェーンです。pow のような経済的インセンティブ モデルに基づいて、無数の CPU のプライバシー コンピューティング能力を解放し、それを Polkadot パラチェーンに適用することで、Defi や Polkadot 上のデータ サービスなどの他のアプリケーションにサービスを提供します。 Phala ベースのアプリケーション pLibra と Web3 Analytics は、web3 Foundation から助成金を受けています。 2020 年 3 月、Phala は基板ビルダー プログラムに参加する最初のプロジェクトの 1 つになりました。 2020 年 7 月、ファラはコンピューティング パワー シンクタンクから「プライバシー コンピューティングの新たなオリジナル フォース」を受賞しました。
Reference
[3]不十分な実行;
[4]単一市場;
[5]EUのアフリカに対する包括的戦略;
[6]報告;
[7]報告;
[8]「ワンストップ機構」;
[10]GDPR 第 25 条;
[11]顔認識システム;
[12]ヨーロッパのデジタル未来を形作る;
[13]『人工知能白書』;
[14]欧州のデータ戦略;
[15]シェロッド・ブラウンによる提案。
