Copra – Consumer Online Privacy Rights Act – アルゴリズムを制御する米国のプライバシー法案
米国議会の民主党議員は、消費者が自分の個人データやアルゴリズムに関する知識をコントロールできる権利を持つ「消費者オンライン・プライバシー権法(コプラ)」を提示している。欧州のGDPRが一部で例示されている。
いつものように、アメリカの定式化は、何千人ものロビイストや政治家の願いを妥協した欧州相当のものよりもシンプルであることを理解した上でのものだ。例えば、一般データ保護規則(General Data Protection Regulation)またはAVGのオランダ語訳では、55,000語をカウントしており、2018年5月に置き換えられた指令95/46と比較すると、かなり4倍に増加しています。
アメリカの提案には12,000語が含まれていますが、処理に必要な修正がまだあることは間違いありません。結局のところ、それはまた、党の同僚ブライアン・シャッツ、エイミー・ジーン・クロブチャー、エドワード・ジョン・マーキーに代わって、民主党のマリア・カントウェル上院議員によって2019年11月に提出されました。特に会社の利益を守るために必要な共和党の反対があることが予想されます。
共同法案に関する民主党と共和党の間の数ヶ月間の交渉は決裂した。また、共和党のロジャー・ウィッカー上院議員がプライバシー法の草案を作成したとロイターが報じている。ウィッカー氏によると、彼の提案は民主党のコプラとそれほど変わらないという。しかし彼は、例えば2020年1月1日にカリフォルニア州で施行されるプライバシーに関する個別の州法を、州法で無効にすることを望んでいる。
個人情報の管理
カントウェル氏によると、コプラの核心的な目的は、要約すると『毎日、企業から企業へ個人データが転送され、デジタルプロファイルで収集され、消費者の知識や理解、同意なしに利用されている』ということです。意味のある権利と保護がなければ、消費者は無力で悪用されやすいままです。私たちのデバイスがよりスマートになり、デジタルプロファイルがより正確で強力になればなるほど、これらのリスクは増大するでしょう」。
ワシントン・ポスト紙には、カントウェル氏が “あなたの人生のこれらの側面はあなたに属していると言い始めなければならないし、あなたは彼らがどのように使用されているかを決定する権利を持っている “と述べています。これは、個人データのコントロールの問題を反映している。この点で特に重要なのは、欧州の忘却権に由来する削除権です。GDPRには、企業に自分のデータを削除してもらう権利を市民に与える条文があります。アメリカではこれを採用していますが、これにもいくつかの条件があります。要約すると、これは企業がデータをまだ必要としていることを明確にしなければならず、そうでなければ削除要求に応じなければならないことを意味します。コプラ案の31~33頁)。
米国の公共放送局NPRとのインタビューの中で、カントウェル氏は次のように述べています。「デジタル時代には、自分のデータをコントロールする権利、つまり、自分についてどのような情報が収集され、どのような情報が第三者に譲渡・売却され、その組織や事業体が自分を嫌っている場合に自分の情報を削除してもらうことができる権利を持たなければなりません。また、差別的な慣行があなたに対して使用されていないことを確認するためにも。
インタビュアーは、実際には企業によるデータ処理の「許可」は、サーファーが口うるさいのを取り除くために、できるだけ早く「はい」をクリックすることを意味するので、彼らのデータの商業的な使用に対する市民による制御の見通しについて懐疑的である。カントウェル氏は、データ処理の許可を得るための条件や方法で消費者を欺く企業への高額な罰金で解決策を模索している。
彼女は年間1260億ドルのオンライン広告の金額に言及している。罰金はそれらの収入に見合ったものでなければならず、収入は消費者を補償するための基金、つまり「データ・プライバシーとセキュリティの救済基金」に入ってこなければならない。消費者はまた、個人的にプライバシーを侵害する企業を訴えて、弁護士費用を含む補償金を得ることができるようにしなければならない。
アルゴリズムの制御
2019年消費者オンラインプライバシー権法では、以下のように規定されています。
- 金銭的、物理的、および/または風評被害をもたらす欺瞞的なデータ慣行から保護される権利;および侵入的であると認識される行為から保護される権利。
- データへのアクセス権と透明性の向上、データの使用方法と共有方法に関する詳細な情報と明確な情報。
- 第三者へのデータの転送をブロックすることを含む、データの移動を制御する権利。
- データを削除または修正し、競争力のあるサービスに持ち込む権利。
- 生体情報や位置情報などの機密データの収集に対する保護。
新しいウォッチドッグ
欧州と同様に、企業はデータの最小化、品質やセキュリティの要件などの原則を遵守しなければなりません。プライバシー侵害を発見した内部告発者は保護される。
新しいのは、出自、人種、民族、バイオメトリクスデータ、所得、国籍などで差別しないように、企業はアルゴリズムを毎年詳細に評価することが求められていることです。これは、特に住宅、クレジット、教育、求人情報に適用されます。.
施行は、州の弁護士だけでなく、連邦取引委員会(FTC)の新しいプライバシー監視機関によって行われなければならない。このような監視機関は、FTCがあまりにも恣意的で政治的に拘束された行動をとることになるため、米国では長年にわたって提唱されてきました。
同意のEFF
電子フロンティア財団のアダム・シュワルツ氏は、詳細な解説の中で、彼のクラブはこの提案に同意しているが、いくつかの点では十分とは言えないと書いています。EFFは、個人データが支払いの手段とみなされることを懸念しています。
EFFは、個人情報保護法に関する以前のアドバイスの中で、この「プライバシーのためにお金を払う」ことに反対するルールを求めています。プライバシーは基本的な権利であり続けなければならず、消費者が他の権利や利益と比較しなければならないような取引される権利になってはいけません。また、金持ちが貧乏人よりも多くのプライバシーを手に入れることができるという脅威もある。
しかし、コプラは、誰かがデータを提供しない場合、企業がサービスを拒否することを完全に禁止する記事を提供しています。この109条の「権利放棄の禁止」は、企業(「対象事業体」)について次のように述べている。
対象事業者は、個人に対するサービスまたは製品の提供を、個人が保証されたプライバシー権を放棄することに同意することを条件としてはならない…ただし、以下の場合を除く。
(A) 個人と個人によって開始された対象事業体との間に直接的な関係が存在する場合。
(B) 個人が要求したサービス又は製品の提供が、個人の特定の対象データの処理又は転送を必要とし、かつ、対象データがサービス又は製品を提供するために厳密に必要である場合。
(C) 個人がそのような具体的な制限に肯定的な明示的な同意をした場合。
さらにEFFは、企業によるデータ収集をブロックするための簡単な規定を法律化したいとしており、例えば、ブラウザのDo Not Trackを尊重することを企業に義務付けることや、DNTを設定した人がサーフィンやアプリの利用からデータを収集しないようにすることなどが挙げられている。
民主党と共和党は、EFFのようなロビークラブが戻ってくる新法についてさらに議論することになるだろう。