リマインダー: 今日は、Facebook による EU から米国への個人データの移転に対するほぼ 10 年にわたる苦情について、ヨーロッパのメタの主任プライバシー規制当局が最終決定を下す期限であり、Facebook はデータの流れの停止を命じられる可能性がある。
アイルランドデータ保護委員会(DPC)はTechCrunchに対し、今日最終決定を採択することを認めた。
ただし、決定が公表されるまでにさらに(1 週間強)遅れることは承知しています。 命令が正式に発表されると我々が伝えられた日は、詳細が事前に漏れないことを前提として、5月22日である。
採択された決定の公表が遅れているのは、メタ社が編集を希望する可能性のある機密情報や商業上の機密情報を特定するために文書を検討する時間が与えられることと、関与する別のEU規制当局に影響を与える祝日のためであると我々は語った。
訴状に対するDPCの最終決定が採択される5月12日は、DPCが下した紛争解決決定によって設定されたスケジュールに従う。 欧州データ保護委員会 先月。
一般データ保護規則 (GDPR) に組み込まれたメカニズムを適用して、理事会は決定の内容をめぐる多くの EU 規制当局間の意見の相違を解決するために介入し、Meta の移転に関して拘束力のある決定を下し、DPC にそれを実行するために 1 か月の猶予を与えました。
理事会の紛争解決決定は公表されていないため、何が決定されたのかはまだわかりません。DPC による最終決定 (決定が実行される) を待っているため、Facebook の欧州データ フローの運命は依然としてかかっています。 。
とはいえ、メタ社はデータフローの停止を命じられると広く予想されている。彼の会社は2020年の秋にDPCから暫定的な停止命令を受けていた。
その際、同社は DPC の手続きの停止を獲得し、アイルランドの裁判所が Meta の申し立てを却下するまで GDPR 施行スケジュールを遅らせることができました。 その後、この件に関する DPC の決定草案が他の EU データ保護当局からの反対に直面したため、さらに遅れが生じた。 —これらの紛争は、先月のEDPBの拘束力のある決定によって最終的に解決されました。
これは、規制プロセスが少なくとも行き詰まりつつあることを意味する(ただし、メタ社はアイルランドの裁判所で停止命令に異議を申し立てると予想される)。
同社は、この騒動を軽視しようと継続的に努めており、最後の声明では、これは「解決途上にあるEUと米国の法律の歴史的な対立に関係している」と主張してきた。 これは、米国の監視慣行とEUのデータ保護権との間の矛盾を解決することを目的とした、新たなハイレベルの大西洋横断データ転送枠組みに関するEUと米国の議員間の合意草案への言及である。
しかし、この EU と米国のデータプライバシーフレームワークは、この協定に名前が付けられているように、まだ EU 機関による検討の段階にあり、十分な安全対策が講じられていないとの懸念が提起されています。 そして、ちょうど今週、議員らは欧州議会でこう繰り返した。 委員会に対し、提案を改善するためにもっと時間をかけるよう求める —メタ社がデータ転送の節約に期待していると思われる協定の採択がさらに遅れる可能性があることを示唆している。
データ停止の問題はこの GDPR 訴訟の主要な問題ですが、今月後半のアイルランドの最終決定で注目すべき主な要素には、欧州ユーザーのデータが米国に不法に転送されたことが判明した場合、メタ社に削除命令が下されるかどうかが含まれる。
遡ること3月、 MLex が報告 少なくとも2つのデータ保護当局がそれを推進しており、メタはそのような動きに対してEU機関にロビー活動を行っていたという。
それに加えて、昨年流出した内部文書は、このテクノロジー巨人のデータ管理慣行が、丁寧に言えばめちゃくちゃであることを示唆していた。 したがって、削除を命じられた場合に、メタ社がヨーロッパのユーザーのデータをいかに簡単に特定し、隔離できるかが、大きな (高価な) 考慮事項/複雑な問題の 1 つとなります。
もちろん、メタが違法にデータを転送したことが判明した場合、罰金が科せられる可能性もある。
GDPR では、世界の年間売上高の最大 4% までの罰金が認められていますが、これまでのところ、Meta は理論上の最大額よりもはるかに少ない罰金でかなりの成功を収めてきました。
プライバシー権擁護団体のnoyb(創設者マックス・シュレムス氏がフェイスブックのEU-米国間のデータフローに対する苦情の背後にいる)は1月にEDPBに書簡を送り、今年初めにDPCが科した罰金の額について苦情を申し立てた。は、違法な広告データ処理をめぐり、3億9,000万ユーロの罰金は侵害の規模に比べれば微々たるものであると主張した(実際、同氏は35億ユーロ以上不足していると示唆した)。
実際、アイルランドはこの違反に対して、2,800万ユーロから3,600万ユーロという、はるかに低いレベルの罰金を提案していたが、規制当局はEDPBの拘束力のある決定を実行するために、罰金の増額を余儀なくされた。
理事会の介入がなければ、メタ社は行動広告のために数百万の欧州人の個人データを違法に処理したとして、GDPRの執行がさらに弱くなっていただろう。 したがって、Facebookのデータ転送に関するアイルランドの最終決定には、(もしあれば)どのレベルのペナルティが含まれるのかを見るのは興味深いことになるだろう。
そうは言っても、ハイテク大手に課せられる金銭的罰金は、通常、濫用的なビジネスモデルの変更を強制する可能性がある作戦命令ほど興味をそそるものではない。 そして、Meta は依然として行動広告ターゲティングのためにヨーロッパのユーザーのデータマイニングを行っていますが、前述の GDPR 施行の結果、少なくともオプトアウトの提供を余儀なくされました。 これまで提供したことのないもの。
違法な大西洋横断データ転送を修正するためにメタがどのようにビジネスモデルの修正を迫られるかは未解決の問題である。
しかし、法廷での出場停止命令に対して全力を尽くすことは間違いないので、米国の新たなデータ適正化協定の締結によってゴールポストが移動されるまでの行動を遅らせる方法を見つけるかもしれない。 。
そうでない場合、コストは実際に発生します。
同社は先月の投資家との決算会見で、欧州からのデータフローの停止命令により世界の広告収入の10%に打撃を与える可能性があることを認めた。
明らかに、そのような事態にならないことを望んでおり、間一髪で採用される新しいEU-米国間のデータ転送メカニズムに期待している。 (同社の広報担当者は、データフローの停止を命じられた場合の不測の事態について議論することを拒否し、新たな協定に向けて政策立案者が行った「進歩」を指摘した。)
しかし、たとえハイレベルの協定が年内に欧州でフェイスブック閉鎖に陥ることを回避するのに十分な早さで到着したとしても、シュレムス氏は、以前の2つの取り決めがそうであったように、新しいハイレベルの枠組みは欧州連合の最高裁判所によって無効になる「可能性が高い」と示唆している。 ――したがって同氏は、メタ社が問題が再び頭をもたげるまでに、あと「2年ほど」かかるだけだろうと推測している。
同氏は、長期的な解決策として、MetaがFacebookのインフラストラクチャを連携させる必要があると示唆した。 しかし、そのような大規模なビジネスの再構築には、明らかに莫大な費用もかかるでしょう。