欧州連合の一般データ保護規則 (GDPR) に準拠していないことを理由に、別の法案が Meta に提出されました。 メタ所有のメッセージング プラットフォームである WhatsApp は、特定の種類の個人データ処理の法的根拠を持たないとして、地域の主要なデータ保護規制当局から 550 万ユーロ (600 万ドル弱) の罰金を科されました。
昨年 12 月、Meta の主任規制当局であるアイルランド データ保護委員会 (DPC) は、欧州データ保護委員会 (EDPB) からの拘束力のある決定を介して、この苦情 (2018 年 5 月にさかのぼる) に関する最終決定を下す命令を受けました。 — FacebookとInstagramに対する他の2つの苦情とともに.
これら 2 つの最終決定は、今月初めに DPC から出され、合計 3 億 1,000 万ユーロの罰金が発表されました。 その広告処理の有効な法的根拠を見つけるために Meta に 3 か月の猶予を与えました。 しかし、後者の GDPR の決定は、Meta がユーザー データを処理して行動ターゲティング広告 (別名、そのコア ビジネス モデル) を実行するための有効な法的根拠の欠如に取り組んでいたのに対し、WhatsApp の決定により、アイルランドは広告処理の合法性の問題を完全に回避したように見えます。その調査は、Meta が主張する「サービスの改善」と「セキュリティ」の法的根拠に焦点を当てています。
ここで、Meta は (同様に) 契約上の必要性の主張に依拠しようとしましたが、アイルランドは (EDPB の命令により) それができないことを発見しました。
DPC は、これらのデータ処理の目的のために WhatsApp に 6 か月の猶予を与えました。 つまり、データを合法的に処理する方法を見つける必要があります (おそらく、ユーザーにそのような目的に同意するかどうかを尋ね、同意しない場合はデータを処理しないことによって)。
しかし、規制当局は、WhatsAppが広告のためにユーザー(メタ)データを処理しているかどうかを調査するようDPCに指示する並列EDPB命令に対応することを単に拒否しました. そして、これは、最初の申立人によって、多くの批判を受けているアイルランドの規制当局によるさらに別の捏造の新たな叫びにつながりました.
で プレスリリース、 ノイブ、最初の戦略的苦情の背後にある非営利のプライバシー権はパンチを引っ張らない – アイルランドは本質的にこの時点でEDPBに指を差し出している.
「我々は、DPC が 4.5 年の手続きを経て、事件の核心を単純に無視していることに驚いています。 DPC は、EDPB の拘束力のある決定も明らかに無視しています。 DPC は最終的に、EU のパートナー当局と、EU およびアイルランドの法律の要件とのすべての関係を断ち切ったようです」と、DPC の名誉会長である Max Schrems 氏は、典型的な簡潔でパンチの効いた声明で述べました。
WhatsApp のメッセージング コンテンツはエンドツーエンドで暗号化されていますが、つまり、Meta の Signal プロトコルの実装を信頼していると仮定すると、この情報は詮索好きな目から保護する必要があります。 WhatsApp メタデータ (別名、誰が誰と話しているか、どのくらいの頻度で話しているかなど) — また、ドットとユーザーを、所有する他のサービス (および、潜在的には、それが所有するサードパーティ サービス) 全体のアカウントおよびパブリック (または非 E2EE デジタル アクティビティ) に接続することによってつまり、基本的に、Meta のデータ収集ネットは長い (そして広い) ものです。
つまり、マーケティング目的で WhatsApp ユーザーのデータをどのように処理している可能性があるか、また、そのような処理に依存している法的根拠については、確かに質問する必要があります。
WhatsApp ユーザーは、2021 年に始まった大きな論争を覚えているかもしれません。プラットフォームが T&C の更新を発表したとき、ユーザーはサービスの使用を継続するために同意する必要があると述べました。 更新された条件で何が変更されたのかは明確ではありませんでした。 しかし、何が起こっていたとしても、Meta は WhatsApp ユーザーにこの問題に対する自由な選択を与えていませんでした! そして、この問題に対する規制当局の関心が、Meta による少しの下降のように見えることにつながりました。Meta は、EU ユーザーに同意 (または離脱) を要求する攻撃的なポップアップの送信を停止しましたが、エピソード全体が、それが正確に何をしているのかについて広範な混乱を引き起こしました。 WhatsAppユーザーデータ(および法的に言えば、それがどのように行われていたか)。
このエピソードは、消費者保護に関する苦情も引き起こしました。 これにより、昨年の夏、欧州委員会は、紛らわしいT&Cを修正し、ビジネスモデルについて消費者に「明確に知らせる」ために1か月を会社に与えることにつながりました.
WhatsApp の T&C に関する混乱と不信感は、Facebook とのユーザー データの同期に関する以前の U ターンによって助長されることはありませんでした。 要するに、それは混乱であり、ヨーロッパの規制当局が片付けたとは主張できない混乱です.
しかし、混乱とプライバシーに関する懸念が続いているにもかかわらず、DPC は、WhatsApp が広告用のユーザー データをどのように処理しているかを適切に調べることに、驚くほど無関心であるように見えます。
「DPC は現在、セキュリティ目的とサービス改善のためにデータを使用するための法的根拠の小さな問題に 4 年半の手続きを制限しています」と noyb は書いており、規制当局が苦情のこの主要な要素を本質的に無視していると非難しています。 「したがって、DPC は、宣伝やその他の目的で WhatsApp データを Meta の他の企業 (Facebook および Instagram) と共有することの主要な問題を無視しています。」
DPCの プレスリリース 最終決定の発表は、行動ターゲティング広告について言及することをほぼ完全に避けています。 しかし、それは EDPB の指示を引用しているという理由だけで、”WhatsApp IE’s [Ireland’s] 特別なカテゴリの個人データ (GDPR 第 9 条) を処理するかどうかを判断するための、そのサービスでの処理操作、行動ターゲティング広告、マーケティング目的、および第三者へのメトリックの提供と交換のためにデータを処理するサービス改善の目的で関連会社とデータを共有し、GDPR に基づく関連する義務に準拠しているかどうかを判断します。」
そのため、アイルランドがWhatsAppユーザーに代わってイラクサを把握し、データストリームを追跡して、E2EEメッセージングプラットフォームのMetaの所有権がユーザーのプライバシーにとって実際に何を意味するかを明確に描く機会がありました. (そして、Meta の行動広告ターゲティング帝国には、現在、EU の Facebook と Instagram で広告を処理するための法的根拠がないことを思い出してください。)
しかし、WhatsAppのデータ処理の調査を続ける代わりに、アイルランドの規制当局は弁護士にEDPBの拘束力のある決定に異議を唱え、法廷でそれを無効にするよう求めることを選択しました.
アップデート: Meta は現在、DPC の決定に対応しており、WhatsApp のスポークスパーソンに起因するこの声明を私たちに送信し、上訴することを確認しています。
ワッツアップ は、エンド ツー エンドの暗号化と人々を保護するプライバシー層を提供することで、プライベート メッセージングの業界をリードしてきました。 サービスの運用方法は、技術的にも法律的にも準拠していると確信しています。 人々の安全を確保し、革新的な製品を提供することは、サービスを運営する上での基本的な責任であると信じているため、サービスの改善とセキュリティの目的で契約上の必要性に依存しています。 私たちはこの決定に同意せず、上訴するつもりです。