Verizon、同意なし位置情報販売は合法との主張が裁判所に却下される!
引用元:https://news.ycombinator.com/item?id=45206567
Verizonが罰金を争ったのは金額の問題じゃなく、合法的にデータ販売できるか試したかったからって指摘だね。前四半期だけで90億ドル以上稼いでるらしいし、4000万ドルの罰金なんて痛くも痒くもないってさ。でも、同意なしにデータ売られたのに、なんで集団訴訟が起きないんだろう?被害者の権利はどこに行ったんだろね?
[0]https://www.verizon.com/about/investors/quarterly-reports/2q…
犯罪の罰則が罰金だけなら、金持ちがルールや信頼を破るための”購読サービス”みたいなもんだよね。罰金を400億ドルに上げてみたらどうなるかな?もっと厳しくするなら、例えば1年以内に払えなかったら12ヶ月間アメリカで事業できなくするとか、もっと”痛い”罰則を考えるべきだね。
企業は”人格”を持つために一生懸命やってきたよね、例えば”金=言論の自由”とか。だったら、その運営者には刑務所行きみたいな個人的な罰則も適用されるべきなんじゃない?それとも、やっぱり企業は”人”じゃないのかな。
株主は奴隷所有者だ。
罰金を400億ドルにって話だけど、あるいは”グローバル収益の割合”にするのはどうかな。EUのGDPR指令がまさにそれで、すごく効果があったんだよ。アメリカも国民に優しい方向にシフトしたら、それを取り入れるべきだね。
グローバル収益の割合というGDPRのアイデアは、MetaやAmazonへの罰金が”大したことない”って考えると、ほとんど”骨抜き”だよね。”グローバル収益の割合”には全然及ばない。正直、EUの官僚組織の資金源のためにアメリカのテック企業から”たかり”たいだけに見えるんだ。このシステムは自己保全のために存在してるだけだよ。
”アメリカのテック企業からたかりたいだけ”って意見があるけど、実際の事例を追えばそうじゃないのがわかるよ。アメリカ企業が罰金受けてるのは、彼らが最大の違反者で、最もお金を持ってて、最も有名だからだよね。
https://en.wikipedia.org/wiki/Availability_heuristic
でも、影響を受けてるのは彼らだけじゃない。noybはヨーロッパ中で訴訟を起こしてるんだ。
https://noyb.eu/en/project/cases
MetaはGDPR違反で合計約25億ユーロの罰金。これは2023年のMetaのヨーロッパ収益の約3.5%にあたるよ。GDPRの目的はお金儲けじゃなく、ガイドライン遵守を促すことなんだ。GDPRは多くの企業がPI/PIIデータの扱いを見直すきっかけとなり、個人データ保護に大きな”地震”のような影響を与えた。EUは完璧じゃないけど、GDPRでプライバシー保護を大きく進歩させたんだ。
GDPRがPI/PIIデータに”地震”のような影響を与えたって話だけど、ほとんどの人が見てるのは、世界中に散らばってる”超ウザいクッキーバナー”だけだよね。多くの人が、EUが独力でインターネットを台無しにしたって本気で思ってる。そして今度は”チャットコントロール”なんて、さらに間違った法律を自分たちに課そうとしてる。この混乱がEU内に収まるなら、好きにさせればいいと思うよ。
クッキーバナーをすぐ受け入れるやつは馬鹿だろ。正面から叩くのをやめさせるためにオオカミを家に入れるようなもんだ。企業はユーザー体験を台無しにしてまで、なんでそんなにデータ追跡したがるのか、そこを問いただすべきなんだよ。
EU政府のウェブサイトですら、クッキーバナーだらけだぜ。自分たちのウェブサイトを台無しにしてまでユーザーのデータを欲しがってるんだから、本当にどうしようもないよな。
俺、この業界で働いてるんだけど、ここに書かれてる多くのことには賛同できないな。データ保護機関がMetaとかBytedanceに毎年罰金を科さないと、担当者の首が飛ぶんだよ。これって、ただの金儲けの手段でしかないんだ。
> データ保護機関がMetaやBytedanceに毎年罰金を科さないと、担当者の首が飛ぶんだ。これって、ただの金儲けの手段でしかないんだ。
君がどの分野で働いてるか知らないけど、企業に罰金がただ急に科されるわけじゃないって事実と矛盾してるよ。罰金は、会社への問い合わせや苦情から始まる調査の結果なんだ。Metaへの12億EURの罰金も、何年も調査した結果でね。GDPR違反が”体系的、反復的、継続的”だったから罰せられたんだよ。詳しくはここ見て→https://www.edpb.europa.eu/our-work-tools/consistency-findin…
ユーザーのプライバシーを尊重することはできるだろうけど、正直に言って、それじゃ儲けが減るだけだ。12億ドルの罰金なんて、軽いお仕置きみたいなもんだろ。
> データ保護機関がMetaやBytedanceに毎年罰金を科さないと、担当者の首が飛ぶんだ。これって、ただの金儲けの手段でしかないんだ。
こんなのナンセンスだよ。アイルランドのDPCなんて、Big Techに対して厳しさが足りないってよく批判されてるんだから(ほとんどの場合、正しい批判だね)。
どんなに罰金を科したところで、結局は他のやり方で回収するだけだろ。それよりも、周波数帯のライセンスを取り消すことから始めるべきだよ。
> 直近の四半期だけで90億ドル以上稼いでる、って読んだけど。位置情報データの販売とか、それ以外で収益化して、一体いくら稼いだんだ?
Verizonは通信事業者で、規制業界だろ。料金で保護されてるから、訴えることができないんだよ。だから、訴えられない会社に対しては集団訴訟も起こせないってこと。
具体的にどんな被害があったっていうんだ?
法律の目的は個人のプライバシーを守ることだと考えてるよ。
具体的な損害が何だったのかって聞いてる?冗談だろ?
位置情報収集で具体的な損害を示すのは超難しいって。Verizonの件で実際に被害が出た例はないし、広告目的のデータ収集で損害が出たこともないんだよね。プライバシー擁護派が政府の監視と情報漏洩を混同してるだけじゃないかな?データなんてみんなが思うほど価値ないし。この意見は人気ないの分かってるけど、損害がないのに汚職とか言うのは違うと思うよ。法律はたくさんあるんだから、損害があれば訴えられるはずだよね。
損害がないって言うけど、同意がないのが問題だよ。Cambridge Analyticaの件みたいに、無断で集めたデータが悪用される例もある。騙されたり嘘つかれたりする時点で被害者でしょ。Verizonがデータ漏洩したら、個人情報が社会工学に悪用される危険性があるんだからね。
社会工学の危険性って言うけど、医学研究だって大量のデータを扱ってて、漏洩のリスクはあるよね。だからってデータ収集自体が悪いとは言えないでしょ。データ漏洩の罰則は必要だけど、データ収集が直接損害を与えるとは証明できないんじゃない?
このプライバシー保護って、車の会社とかスマホアプリ、Mobile OSにも適用されるのかな?データブローカーに位置情報が漏れるポイントが多すぎて、もうどれが漏れてるのか分からない状態だよ。
大した保護にならないよ。会社は、契約する時に同意が必須な何十ページもある利用規約に、一行追加するだけで済ませちゃうだろうからね。
契約の内容には法律の規制があるんだよ。もし契約条件を選ぶ余地がないなら、法律はもっと厳しくなる。奴隷契約とか殺人契約が違法なように、契約で許されないことって他にもたくさんあるんだよ(詳しくは弁護士に聞いてみてね)。
利用規約は、同意を得るためのもので、それは違法じゃないよ。サービスを使いたければ、同意するしかないってことだね。
今の時代、スマホや車なしで生活するのは無理って、アメリカの裁判所も認めるはずだよ。だから、契約がないとサービスを提供しないのは強制に当たる。契約条件を受け入れるしかないんだから、企業が勝手に条件を増やすのは難しいはずだよ。
Verizonは月800ドルで位置情報追跡なしのプレミアムサービスを提供できるじゃん。そしたら選ぶのは客次第だろ。
もっとコメントを表示(1)
いや、裁判所は”電気通信サービス”を提供するキャリアだけに適用される古い法律を使ってるんだ。ちなみに”電気通信サービス”は音声通話だけで、モバイルデータやSMSは含まない。FCCはネット中立性規則のためにインターネットアクセスを再分類しようとしたけど、結局法廷で覆されたよ。
VZWは控訴審で勝つかもな。彼らは電気通信法のTitle IIでTitle Iじゃない。Title IIにはデータと通信サービスに大きな例外規定があるんだ。これには驚いたよ。彼らがデータ販売を正当化する理由の一つだったし。彼らは法的には電話サービスじゃなくてISPと見なされてる。正直、正しいやり方は、その日の担当者によってルールを再解釈するのをやめて、議会が何が許されて何が許されないか明確にすべきだね。
惜しいけど、Obama政権の2015年の再分類は実際には支持されたんだよ。2015年から2018年まで国の法律だった。Ajit Paiがそれを覆し、DNSのせいで元に戻すのは問題ないと裁判所が言った。Biden政権のFCCは再分類に時間がかかり、Trumpy系巡回裁判所で負けた。弁護士たちは、今の裁判所がひどいから最高裁判所のひどい判決を避けたいと控訴しなかったんだ。でも法律的には、インターネット通信が実際には通信だと非常に明確だし、これは将来的に再検討されると思う。
実際には音声も今はただのデータなんだから、法律は見直すべきだね。でも、法律が技術的現実と一致するなんて期待するのは楽観的すぎるかもな…。とにもかくにも、法律を技術の進化に合わせて更新するのは、かなり難しいことだよね。
”電気通信サービス”は音声通話サービスだけってことだけど、企業の役立つテキストメッセージで場所を特定できるのかな?レッカー会社は緊急時だからって場所を特定できるって聞いたよ。ところで、Verizonはただの悪だね。何年も前、彼らが携帯電話からの全ウェブ要求に識別クッキーを追加して、特定の端末を特定してたのを覚えてるよ。(”verizon supercookie”で検索してみて)
レッカー会社は緊急時だから場所を特定できるって聞いたよ。
携帯キャリアが販売する情報を転売するデータブローカーにお金を払えば、誰でもあなたの場所を特定できるんだ。情報源: https://www.fogdatascience.com/
裁判所はVerizonが同意なしに位置情報を販売するのは違法だと判断したけど、それが不採算であるべきだとは判断してないだろうね。2018年に法律を破って十分すぎるほど稼いでるだろうから、今支払いを避けようとしてる罰金を払っても利益が出るとしたら驚きだよ。どうせ彼らは今でも何らかの形で俺たちのデータを売り続けてるに違いない。事実、彼らは法執行機関へのデータ販売を止めてないってわかってる。ただ、形だけの裁判所命令や召喚状が必要なだけさ。
この部分が好きだな:「却下されたのは…」
Verizonが連邦裁判所で陪審裁判を受ける機会があったのに、それを放棄することを選んだからだ。
それは多分、賢明な法的戦略だったんだろうね。同意なしの位置情報販売は明らかに非倫理的で、違法であるべき行為だ。陪審員ならそういう判断をする可能性が高いけど、裁判官だと法律の技術的な解釈で彼らに有利な判決が出る可能性もあるからな。とにかく、この行為は会社とその従業員が懲役刑のような刑事罰を受けるように犯罪化されるべきだ。
米政府は憲法を回避するために、第三者を使ってデータを集めてるから、状況は変わらないだろうね。
従業員じゃなくて役員を責任者にすべきだよ。従業員は職が必要だし、コントロールできない理由で強制されることもあるからね。
「命令に従っただけ」は言い訳にならないよ。彼らが強制されるのは、やってることが明確に違法じゃないから。もし違法なら、警察に報告できるでしょ。欧米の職場安全は、危険な行為を違法にして、通報機関を作ったことで劇的に改善したんだ。僕も大学のバイトで、ヤバいことになったら刑事責任があるって言われたことがあるよ。
その考え方は、結局ほとんど全ての警察の残虐行為を正当化することになるよね。
全ての警察の残虐行為を正当化するわけじゃないよ。職を守るために必要な分だけ。これを正当化するのは適切なんだ。だって、生存の基本ニーズを満たさない行動を人々に求めるのは不適切でしょ。権力者は、警察が職を守るために暴力的にならざるを得ないほど社会が劣化するのを防ぐ責任があるんだ。
どんな残虐行為も正当じゃないよ。警察が許されるなら、ストリートの犯罪者も許されることになって、無限の争いになるだけだ。ゲーム理論を学べば、これがシステムを害するゆがんだインセンティブだとわかるはずだよ。権力者が「やらざるを得ない」と言い、市民も警察も「やらざるを得ない」と言い続けたら、誰も責任を取らない循環論法になるだけだね。
医者や建築家は失敗したら責任を問われるのに、小国の予算規模の会社のCEOやCTOは、バカで無知で無謀でも、株主のお金に影響がない限り責任を問われないんだ。役員は会社が起こした損害について法的責任を負うべきだよ。文明社会には説明責任が必要だね。一番力のある人がルールに従わないなら、無秩序と混沌になるだけ。ニュースを見れば、すでにそうなってるってわかるでしょ。
給料の話になると「責任があるから」って言うのに、問題が起こると誰も責任を取らないのが本当にイライラするね。まるで「責任」のいいとこ取りだけしたいみたいだ。
それって「良いとこ取り」ってやつだね。
あー、そう!実はそのフレーズを使おうか迷ってたんだ。定義が合ってるか確信がなかったんだよね。確認してくれてありがとう!
大企業は裁判官に影響を与えたり、有利な結果を得るためのいろいろな方法があるんだよね。買収の話は抜きにしても、ランダムに選ばれる陪審員には手を出しにくいけどさ。
Verizonの行動を見てると、警察官になった気分だよ。「もし無実なら、なんでそんなに罪を犯してるみたいな行動を取るんだ、Verizon?」って感じ。
判決意見はこちら。https://storage.courtlistener.com/recap/gov.uscourts.ca2.3fa…
Verizonはデータ販売でいくら稼いだの?罰金がそれより少なくて、他に何も責任を問われないなら(例えば誰も刑務所に入らない)、罰金なんてただの営業コストだよ。罰金は稼いだ額より多くすべきだし、経営陣は責任を取るべきだ。クビにするだけでもいい。そうじゃないと、また同じことが繰り返されるだけだよ。
もっと言うなら、罰金は会社の年間総収益の何パーセントかにすべきだよ。そうすれば、個別の損益分岐点計算で行動を評価できなくなるからね。
その通りだよ。万引き犯が盗んだ品物のほんの一部だけ支払えば、それは監視資本主義と同じで、最高の職業になっちゃうだろうね。
今聞くべきことじゃないかもしれないけど、誰か位置データが買える場所を知ってる?同意なしでデータが欲しいのは、できるだけ一般的なデータ(と分析)を求めてるからなんだ。名前や住所を削除して完全に匿名化したり、位置情報も地元の国勢調査ブロック群くらいの半径で曖昧にできる。つまり、500~3000人くらいが混ざるように十分にランダム化できればいい。時間も1週間くらいで曖昧にできるし、差分プライバシーみたいな選択肢も歓迎だよ。目的は個人を追跡することじゃなくて、彼らがどこで時間を過ごしているかの大まかな測定がしたいだけなんだ。まず、このデータセットが悪いとか危険だと思う人はいる?もしそうじゃないなら、データブローカーを教えてくれる人はいるかな?
これがジョークじゃないとして、データブローカーから自分のデータを削除してくれる有料サービスを見つけてみて。それから、そのサービスがどのブローカーからデータを削除してくれるか見てみればいいよ。DeleteMeとIncogniはどちらもリストを持ってる。https://blog.incogni.com/opt-out-guides/ と https://joindeleteme.com/sites-we-remove-from/
いや、ジョークじゃないよ。人々のプライバシーを侵害することなくできる、良い研究プロジェクトはたくさんあるんだ。だから、誰かをストーカーのターゲットのように感じさせることなく、役立つ知見を生み出す方法を見つける必要があるんだよ。
Verizonがこの裁判で負けるとしても、彼らはたぶん、位置データ販売を「彼らとビジネスをする一部」として強制するように動くだろうね。はぁ。
SprintとT-Mobile対FCCの意見書だよ。
https://ia801804.us.archive.org/26/items/gov.uscourts.cadc.4…
もっとコメントを表示(2)
アメリカはGoogleを訴えるのに時間かけすぎじゃない? Googleは個人追跡情報を売らないのにさ。Verizonはみんなのデータを売りまくってるし、多くの場所でISPの独占企業なのにね。
Verizonがこの件に対応して、位置情報共有で安いプランを出してきたら、位置情報データを偽装したり、デタラメにしたりする方法ってあるのかな?
GPSスプーファーとかかな?
彼らが売ってるのは基地局の三角測量データである可能性が高いと思うけど、もしこの説が間違ってたら教えてね。
これを売ってどれだけ儲けたの?罰金はいくらだったの?最近の罰金って、もはやビジネスのコストでしかないように見えるよね。
今後のすべてのデータ価値を…次の大統領に遡って割り当てるってこと?
それか、今の大統領が引退するときに”大統領アーカイブ”にデータを渡して、ジェット燃料の費用にでも使うとか? /s
ユーザーが同意してても、こんなのは完全に禁止すべきだよ、きっぱりとね。
こんなことしないキャリアなんて、あるの?
面白いね、ちょうどCapeっていう電話サービスを見つけたんだ。John Doyleが共同創設者で、Palantirの元幹部だよ。地政学的な変化の中でセキュリティサービスが注目される中、Capeは消費者レベルでの進化を追求してる。ソースはこちら - https://techcrunch.com/2025/03/19/cape-opens-99-month-beta-o…
https://www.cape.co/
乗り換えを考える前に、もっと調べるつもりだよ。
こんにちは、私Capeのプロダクト責任者だよ(以前はDuckDuckGoでプロダクトを率いてた)。アメリカの大手キャリアがやってるデータ収集や共有の代替策を提供しようと頑張ってるんだ。Capeについて質問があれば何でも聞いてね。
携帯サービス使うには常に自分の位置を知らせないといけない(設計上、そうじゃなくてもいいのにね)。店もスマホの電波をスキャンして来店データを集めてる。50年代にはクレカで同じことやってて、それが禁止されてリワードプログラムが生まれたんだ。Verizonも昔のクレカみたいに、データ提供の免除と引き換えにセルラーカバレッジのリワードプログラムを出すんじゃないかな。
じゃあ、いつになったらアメリカは目を覚まして、GDPRみたいに(あるいはそれ以上に)国民をしっかりデータプライバシー法で守るようになるんだ?
今のファシズムみたいな流行が終わってからじゃないと無理だね。そういう法律を通せる唯一の方法は、二大政党の一つを支配してる金儲け主義、キリスト教ファシスト、恐怖で支配するイデオロギーや立場を否定することだよ。
隣の芝生は青いってやつだね。EUに住んでるけど、GDPRもそんなに良くないよ。「インフォームド・コンセント」(ボタンをタップするだけ)があれば、プライバシーを簡単に回避できちゃう。唯一の副産物は、こっちにいる僕らが汚いクッキーバナーを見ることくらいかな。
「データ主体」からの明確なオプトインの「インフォームド・コンセント」がGDPRの基本原則だよ、当然だけど。なんでこれを否定的に捉えるのか分からないな。GDPRはデータのトラウリングや、データコントローラーがデータを好きなように使うことを許してない。要求された目的だけに使われるべきだよ。クッキーバナーの義務もないし。もしトラッキング目的でクッキーを使うなら、明確な同意が必要だ。こんな重要なプライバシー法について無知な人がいることに驚きだよ。
いや、そうじゃないんだ。一部のヨーロッパのFintechやAd-tech企業のプライバシーポリシーを読んでみるといいよ(私、いくつかで働いたことあるし)。彼らはあらゆる目的に幅広い許可を得てるんだ。GDPRはせいぜい、ユーザーを騙して「同意」ボタンをクリックさせるっていう小さな遠回りをさせるだけ。最悪の場合、ほとんどプライバシーがないのに、安心感を与えてるだけなんだ。
GDPRは同意ボタンを押させるだけの姑息な手段で、一部の人はプライバシーなんて気にせず「accept cookies」や「give my personal and location data to strangers」ボタンを押しちゃう。そういう人たちはもう救いようがない。
でも、プライバシー法をちゃんと理解して使う俺たちには、しっかりした保護があるんだぜ。
おお、次はMastercardとあんたのクレジットカードの取引記録にも適用されるのか!
よかった。次はFlockにも適用しろよ。
面白いけど非現実的な思考実験をしてみようぜ。「もし顧客データを自発的に共有して、それがその顧客に対する犯罪の手段になったら、その企業は犯罪の共犯とみなされる」みたいなルールがある世界って、どんな違いがあると思う?
通信業界に限らず、製品の利用データは企業の資産だよね。問題はそれがPI(Personal Information)か、PII(Personally Identifiable Information –> Information that can be combined with other data to create PI)を含むかだよ。
EUのGDPRは、この種のデータを企業が保持することを許してるけど、PIやPIIが含まれる場合はすごく厳しい管理とユーザーの同意が必要なんだ。
GDPR施行時、大企業で働いてた奴らはその効果を実感したはず。いきなり全部署が収集データを見直して、実は必要なかった大量のテレメトリーデータ(名前、住所、Serial numberとか)が見つかったんだからな。
素晴らしい。次は役員どもをぶち込んで、法人格を剥奪して、資産を差し押さえろ。
もうすぐ給料に保険が必要になるんじゃないか。人が一番貧しい時こそ、企業家どもが搾取してくるんだよ。マジで笑えるわ、呆れるぜ。
