欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制：利用者のインフォームド・コンセントをいかに確保するか

こんにちは、丸山満彦です。

欧州議会のThink Tankが、「デジタルサービスにおけるターゲット広告や行動に基く広告の規制：利用者のインフォームド・コンセントをいかに確保するか」という報告書を公表していますね。。。

この分野は欧州のみならず、最近では中国も個人情報保護の制定してきていますので、注目すべき領域なんでしょうね。。。

● EU Parliament - Think Tank

・2021.08.31 Regulating targeted and behavioural advertising in digital services. How to ensure users’ informed consent

Regulating targeted and behavioural advertising in digital services. How to ensure users’ informed consent

デジタルサービスにおけるターゲット広告や行動に基く広告の規制：利用者のインフォームド・コンセントをいかに確保するか

The study addresses the regulation of targeted and behavioural advertising in the context of digital services. Marketing methods and technologies deployed in behavioural and target advertising are presented. The EU law on consent to the processing of personal data is analysed, in connection with advertising practices. Ways of improving the quality of consent are discussed as well as ways of restricting its scope as a legal basis for the processing of personal data. This study is commissioned by the European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs at the request of the JURI Committee...

本研究では、デジタルサービスの文脈におけるターゲット広告と行動に基く広告の規制を取り上げています。行動に基く広告やターゲット広告で展開されるマーケティング手法や技術が紹介されています。個人データの処理への同意に関するEU法を、広告慣行との関連で分析しています。同意の質を向上させる方法と、個人データ処理の法的根拠としての同意の範囲を制限する方法について議論する。この研究は、JURI委員会の依頼により、欧州議会の市民の権利・憲法問題政策部が行ったものです。

 

・[PDF] 

 

内容の仮対訳についてはこちら・・・

 

---

 

●まるちゃんの情報セキュリティ気まぐれ日記

欧州

・2021.04.10 欧州自動車工業会 事務局長の声明：自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2021.02.12 欧州連合理事会がePrivacyルールについて合意し、欧州議会に提出されることになったようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

・2020.05.07 欧州データ保護委員会はGDPRに基づく「同意」に関するガイドラインを公表していますね

・2020.04.17 EU 消費者保護の新側面 デジタルサービスとAI

・2020.04.18 ベルギーもCookie等の追跡技術に関するガイダンスを公表していますね。

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

 

カナダ

・2021.08.14 カナダ プライバシー保護委員会が機微情報に関するガイダンスを改訂

 

中国での議論について...

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定（試行）が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.07.21 中国 意見募集「深圳経済特区における人工知能産業振興条例（案）」

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

　

Regulating targeted and behavioural advertising in digital services	デジタルサービスにおけるターゲット広告および行動ターゲット広告の規制について
How to ensure users’ informed consent	利用者のインフォームド・コンセントを確保する方法
Introduction	はじめに
Advertising has been a key driver for the digital economy. It has promoted many organisational and technological innovations, and it has permeated the online environment, contributing to shaping access to information as well as interaction between people. In online advertising messages can be automatically targeted to people. The targeting can be based on data about individuals, including their demographic data and their preferences, and on tracking their online activity.	広告は、デジタル経済の重要な推進力となっています。広告は、多くの組織的・技術的イノベーションを促進し、オンライン環境に浸透して、情報へのアクセスや人々の交流の形成に貢献してきました。オンライン広告では、メッセージを自動的に人々に向けて発信することができます。このターゲティングは、人口統計学的データや好みなどの個人に関するデータや、オンライン活動の追跡に基づいて行われます。
The ability to send increasingly effective targeted ads to people provides a high incentive for surveillance, leading to the massive collection of personal data. Emotion-detection techniques are also increasingly available to merchants: these use facial expressions and voices to infer emotional states and anticipate reactions, and this knowledge is then used in transactions.	より効果的なターゲット広告を人々に送ることができるため、監視のインセンティブが高くなり、個人データの大量収集につながります。また、顔の表情や声から感情状態を推測して反応を予測し、その情報を取引に利用する感情検知技術も増えています。
The effects of an advertising-driven economic model are not limited to the commercial domain. Not only are users targeted with ads when using such platforms, but the information they receive is also indirectly driven by advertising. This can be achieved by sending such users relevant and useful information as well as by exposing them to messages —including rumours or fake news— that please or excite them, confirm their biases, trigger negative feelings (e.g., rage or disgust), and provide additive symbolic rewards and punishments.	広告主導型の経済モデルの影響は、商業分野に限られません。このようなプラットフォームを利用すると、利用者は広告のターゲットにされるだけでなく、利用者が受け取る情報も広告によって間接的に動かされます。これは、利用者に関連性のある有用な情報を送るだけでなく、利用者を喜ばせたり興奮させたり、バイアスを確認したり、ネガティブな感情（怒りや嫌悪感など）を引き起こしたり、付加的な象徴的な報酬や罰を与えるようなメッセージ（噂やフェイクニュースを含む）に触れさせることで実現できます。
Further issues concern the transfer of techniques for targeted advertising from the commercial to the political arena, where citizens may be fed messages that are more likely to push them toward desired political attitudes and voting choices, in such a way as to profit off of their ignorance and biases.	さらに、ターゲット広告の技術が商業分野から政治分野に移され、市民の無知や偏見を利用して、望ましい政治的態度や投票選択を促す可能性の高いメッセージが流されるようになるかもしれないという問題もあります。
Data subjects’ consent has provided the legal basis for targeted advertising. However, data subjects’ consent has been abused as a legal basis for targeted advertising since businesses are able to induce most users, in most situations, to consent to any kind of processing for advertising purposes.	ターゲット広告の法的根拠となっているのは、データ対象者の同意です。しかし、データ主体の同意は、ターゲット広告の法的根拠として濫用されてきました。なぜなら、企業は、ほとんどの状況において、ほとんどの利用者に、広告目的のためのあらゆる種類の処理に同意するよう誘導することができるからです。
Targeted advertising is a marketing practice that uses data about individuals to select and display ads or other forms of commercial content. It includes contextual advertising, based on the content of the webpages and keywords used in searches; segmented advertising, based on known characteristics of individuals; and behavioural advertising, based on observing behaviour.	ターゲット広告とは、個人に関するデータを利用して、広告やその他の形態の商業コンテンツを選択して表示するマーケティング手法です。これには、ウェブページの内容や検索で使用されたキーワードに基づくコンテクスト広告、個人の既知の特性に基づくセグメント広告、行動を観察することに基づく行動広告が含まれます。
A complex online advertising ecosystem has emerged that besides marketers and targeted individuals involves further actors: publishers and different advertising intermediaries, such as advertising networks, advertising exchanges, supply-side and demand-side platforms, and data management companies (platforms, brokers, data analytics, and market research companies).	複雑なオンライン広告のエコシステムが出現しており、マーケターやターゲットとなる個人の他に、パブリッシャーや、アドネットワーク、アドエクスチェンジ、サプライサイドおよびデマンドサイドのプラットフォーム、データ管理会社（プラットフォーム、ブローカー、データ分析、市場調査会社）など、さまざまな広告仲介者が関与しています。
Ads are displayed in multiple modalities, relying on displayed objects, keywords, social media, mobile devices and apps, and chatbots.	広告は、表示されたオブジェクト、キーワード、ソーシャルメディア、モバイルデバイスやアプリ、チャットボットに依存して、複数の様式で表示されます。
Personal data are obtained in multiple ways, being volunteered by data subjects, acquired by observing them, derived through deterministic computations, or inferred probabilistically. In the case of three latter categories, users are unaware that data is being collected or generated.	個人データは、データ対象者が自発的に提供するもの、データ対象者を観察して取得するもの、決定論的な計算によって得られるもの、確率的に推測されるものなど、さまざまな方法で取得されます。後者の3つのカテゴリーの場合、利用者はデータが収集または生成されていることを意識しません。
Data can be collected by the businesses directly involved in a transaction or by third parties. A host of methods can be used for tracking individuals, such as cookies, tracking walls, web beacons, and device fingerprinting. Dark patterns induce users to provide data against their best judgment.	データは、取引に直接関わる企業や第三者によって収集されえます。個人の追跡には、クッキー、トラッキングウォール、ウェブビーコン、デバイスフィンガープリントなど、さまざまな方法が用いられます。ダークパターンは、利用者が最善の判断に反してデータを提供するよう誘導します。
Tracking may involve a pervasive monitoring of people’s behaviour, potentially leading to surveillance by public and private actors, privacy loss, discrimination, and identity theft. A recent study found that online tracking by way of cookies is growing at a startling pace in both pervasiveness and sophistication, and that 85% of the 100 most popular US websites use third-party cookies.	トラッキングは、人々の行動を広範囲に渡って監視することになり、官民による監視、プライバシーの喪失、差別、個人データの盗難につながる可能性があります。最近の調査によると、クッキーを用いたオンライントラッキングは、その普及と高度化が驚くべき速さで進んでおり、米国で最も人気のある100のウェブサイトのうち85％がサードパーティのクッキーを使用しているとのことです。
The collected personal data are processed for the purpose of data analysis and user profiling, deploying analytics, machine learning, and cognitive computing technologies. On this basis, individuals can be grouped into different segments, and their interests, attitudes, and behaviour can be predicted. Each individual may then be sent the ads that are most likely to influence him or her.	収集された個人データは、データ分析と利用者プロファイリングを目的として、分析、機械学習、コグニティブ・コンピューティング技術を用いて処理されます。これにより、個人をさまざまなセグメントに分類し、その興味、態度、行動を予測することができます。そして、各個人に最も影響を与える可能性の高い広告を送ることができます。
Personal data can be sold for its further use in advertising, in particular to data management platforms and data brokers or data analytics and market research companies. Data managing companies collect, aggregate, study, and analyse online user data in order to facilitate the matching between ads and users. To this end they build user profiles that include preferences, desires, and needs.	個人データは、広告に利用するために、特にデータ管理プラットフォームやデータブローカー、データ分析会社や市場調査会社に販売することができます。データ管理会社は、広告と利用者のマッチングを促進するために、オンライン利用者のデータを収集、集計、調査、分析します。そのために、好みや要望、ニーズを含む利用者プロファイルを構築します。
Finally, personal data can also be used for programmatic advertising. On the one hand, the opportunity to target certain individuals based on the profiles constructed around them can be sold to marketers, e.g., micro-auctioned through real-time bidding. On the other hand, ads can be automatically adapted to their addressees’ profiles.	最後に、個人データはプログラム化された広告にも利用されます。一方で、個人の周りに構築されたプロファイルに基づいて特定の個人をターゲットにする機会は、マーケティング担当者に販売することができます（例：リアルタイム入札によるマイクロオークション）。一方では、広告は対象者のプロファイルに自動的に適合させることができます。
In conclusion, personal data in the advertising ecosystem are an abundant raw material, which is processed and exchanged in multiple ways to provide information useful to marketers and other actors. It has become increasingly difficult for individuals to have any awareness of how their data are going to be processed, and what the impact of such processing will be on their life and on society.	結論として、広告エコシステムにおける個人データは豊富な原材料であり、マーケティング担当者や他のアクターにとって有用な情報を提供するために、様々な方法で処理され、交換されます。自分のデータがどのように処理されるのか、また、その処理が自分の生活や社会にどのような影響を与えるのかについて、個人が意識することはますます難しくなっています。
Legal background: EU law on consent	法的背景 同意に関するEU法
Consent to the processing of personal data is addressed by European law through multiple legal instruments. The Charter of Fundamental Rights views consent as a legal basis for the processing of personal data, according to the self-determination of individual data subjects. Secondary legislation, while recognising consent, establishes requirements and constraints meant to prevent distortions and the exploitation of the data subjects’ vulnerability.	個人データの処理に対する同意は、欧州の法律では複数の法律文書を通じて扱われています。基本的権利憲章では、データ対象者個人の自己決定に従って、同意を個人データの処理の法的根拠としています。二次法は、同意を認める一方で、データ対象者の歪曲と脆弱性の利用を防止するための要件と制約を定めています。
These requirements and constraints, while significant, have so far been insufficient to ensure freedom and fairness of consent by individuals, or to prevent massive collection of personal data. Users are pressured to provide personal data to providers and to accept to be tracked when interacting with online services. On the one hand this gives rise to pervasive surveillance; on the other hand, it exposes users to the possibility of being manipulated into bad choices. The collected user data and profiles may be sold on the data market, so that they have further outcomes on the life of individual users and on the functioning of society.	これらの要件や制約は重要ではありますが、これまでのところ、個人による同意の自由と公平性を確保したり、個人データの大量収集を防止するには不十分です。利用者は、オンラインサービスを利用する際に、プロバイダーに個人データを提供し、追跡されることを受け入れるように迫られます。これは、広汎な監視を可能にする一方で、利用者が操作されて誤った選択をする可能性にもさらされます。収集された利用者データやプロファイルは、データ市場で販売される可能性があり、利用者個人の生活や社会の機能にさらなる影響を与えることになります。
The GDPR requires consent to be a freely given, specific, informed, and unambiguous indication of data subjects’ wishes, given through a statement or a clear affirmative action. It also implies that consent should be granular, comprehensive, and based on clear and separate requests, and that the controller should be able to demonstrate it. While data protection agencies and legal scholarship have tried to sharpen these requirements and specify their implications, doubts persist on how such requirements are to be understood and operationalised. In this context, unlawful or borderline practices persist through which users are induced to consent to all kinds of processing of their data.	GDPRでは、同意とは、データ対象者の希望を自由に与えられ、具体的で十分な情報を与えられた、曖昧さのない意思表示であり、声明または明確な肯定的行動によって与えられるものでなければならないとしています。また、同意は、粒度が細かく、包括的で、明確かつ個別の要求に基づくものでなければならず、管理者はそれを証明できるものでなければならないとしています。データ保護機関や法学者は、これらの要件を明確にし、その意味を明らかにしようとしていますが、このような要件がどのように理解され、運用されるのかについては疑問が残ります。このような状況では、利用者が自分のデータのあらゆる種類の処理に同意するように誘導される、非合法または境界線上の慣行が存続しています。
A fundamental indeterminacy in the GDPR concerns the freedom of consent when requested in exchange for a service, i.e., when the provision of a service is conditional on consent to the processing of personal data, in particular for the purpose of targeted advertising. The GDPR does not straightforwardly exclude that consent can be free in this case, but establishes a presumption of unfreedom. In commercial practices consent is often required to access online services. This induces data subjects to consent and prevents the exercise of the right to withdraw consent or object to the processing. The GDPR establishes stricter requirements for valid consent relative to children’s data, sensitive data, and data used in automated decision-making, but even these requirements do not prevent consent being often requested and obtained.	GDPRにおける基本的な不確定性は、サービスと引き換えに要求される同意の自由に関するものです。つまり、サービスの提供が、特にターゲット広告を目的とした個人データの処理への同意を条件としている場合などです。GDPRは、このような場合に同意が自由であることをストレートに排除するものではなく、自由ではないという推定を設定しています。商慣行では、オンラインサービスにアクセスするために同意が必要となることがよくあります。これはデータ対象者に同意を誘導し、同意を撤回する権利や処理に異議を唱える権利の行使を妨げるものです。GDPRでは、子供のデータ、センシティブなデータ、および自動化された意思決定に使用されるデータに関する有効な同意について、より厳格な要件を定めていますが、これらの要件であっても、同意がしばしば要求され、取得されることを防ぐことはできません。
The ePrivacy directive requires users’ consent for cookies and other tracking devices that interfere with the users’ terminal equipment. Unfortunately, this provision as well has failed to limit the collection and exploitation of personal data, since users —overwhelmed with requests for consent, and unable to assess their merits, given that typically users lack the required skills and time and need to seamlessly access online resources— usually accept all such requests without scrutiny. The proposed ePrivacy regulation addresses this predicament by focusing on technological measures meant to facilitate the granting of consent.	ePrivacy指令では、利用者の端末機器に干渉するCookieやその他のトラッキングデバイスについて、利用者の同意を求めています。残念ながら、この規定も個人データの収集と利用を制限するには至っていません。というのも、利用者は、同意を求める要求に圧倒され、必要なスキルや時間がなく、オンラインリソースにシームレスにアクセスする必要があるため、そのメリットを評価することができず、通常は吟味することなくそのような要求をすべて受け入れてしまうからです。提案されているePrivacy規則は、同意の付与を容易にするための技術的手段に焦点を当てることで、この苦境に対処しています。
Consent is also addressed in a controversial provision in the Digital Content Directive, which states that the act also applies to contracts whose counter-performance consists in personal data, apparently on the assumption that personal data are a marketable good.	同意は、デジタルコンテンツ指令の議論を呼ぶ条項でも取り上げられています。この条項では、明らかに個人データが市場性のある商品であるという前提で、個人データがカウンターパフォーマンスを構成する契約にも同法が適用されるとしています。
The two recent proposals of the European Commission, the Digital Markets Act (DMA) and the Digital Services Act (DSA) provide important provisions that are relevant to consent in the context of data collection, analysis and use in the field of targeted advertising. The EC proposal of DMA requires end-users’ consent for users’ personal data collected from the provision of core platforms services to be merged with data from different services (the European Parliament is currently considering to introduce a requirement that equivalent less personalised options are offered to data subjects). Moreover, it requires gatekeepers to ask for users’ consent to share end-users’ data with service providers and to enable business users to obtain consent by end-users for the processing of their personal data. Finally, it mandates a periodical auditing of gatekeepers’ profiling techniques to ensure transparency.	欧州委員会の最近の2つの提案であるデジタル市場法（DMA）とデジタルサービス法（DSA）は、ターゲット広告の分野におけるデータの収集、分析、利用の文脈での同意に関連する重要な条項を提供しています。DMAのEC提案では、中核となるプラットフォームサービスの提供から収集した利用者の個人データを、異なるサービスのデータと統合する際に、最終利用者の同意を必要としています（欧州議会では、同等のよりパーソナライズされていない選択肢をデータ主体に提供するという要件の導入を現在検討中です）。さらに、ゲートキーパーは、最終利用者のデータをサービスプロバイダーと共有する際に、利用者の同意を求めることや、ビジネス利用者が最終利用者の個人データの処理について同意を得られるようにすることを要求しています。最後に、透明性を確保するため、ゲートキーパーのプロファイリング技術を定期的に監査することを義務付けています。
The Digital Services Act proposal provides a series of due diligence obligations for online platforms. It mandates upon online platforms information requirements for targeted advertising, and additional transparency obligations on very large online platforms with regards to ads repositories and recommendation systems. It also imposes on very large online platform the duty to carry out a risk assessment, and provide mitigation measures, to safeguards rights and freedoms of their users. Finally, it attributes to EC investigation powers to monitor and ask for information on data handling and algorithmic practices. The European Parliament is considering amendments concerning recommender systems, in particular requiring consent for any profiling by such systems, strengthen data subjects’ rights to access and delete their profiles, and obtain information about the use of such profiles, prohibit misleading and manipulative algorithmic practices.	デジタルサービス法の提案は、オンラインプラットフォームに対する一連のデューデリジェンス義務を規定しています。オンラインプラットフォームに対しては、ターゲット広告に関する情報提供の義務を課し、超大規模なオンラインプラットフォームに対しては、広告リポジトリやレコメンデーションシステムに関する追加の透明性義務を課しています。また、大規模なオンラインプラットフォームに対しては、利用者の権利と自由を保護するために、リスクアセスメントを実施し、緩和策を提供する義務を課しています。最後に、データの取り扱いやアルゴリズムの実践を監視し、情報提供を求める調査権限をECに付与しています。欧州議会は、レコメンダーシステムに関する改正を検討しています。特に、レコメンダーシステムによるプロファイリングに同意を求め、データ主体が自分のプロファイルにアクセスしたり削除したり、プロファイルの使用に関する情報を入手したりする権利を強化し、誤解を招くような操作的なアルゴリズムの実行を禁止しています。
Functions and limits of consent	同意の機能と限界
An expression of consent may have either (or both) of two functions: (a) the rightsholder’s waiver of an obligation or prohibition that is binding on others (b) the agreement to a contract.	同意の表明は、次の2つの機能のいずれか（または両方）を持つことができます。(a) 権利者が他者を拘束する義務や禁止事項を放棄すること (b) 契約に同意すること。
Individuals’ ability to consent to both is a key aspect of individual autonomy. However, consent it not always legally valid. According to general legal rules on contracts and unilateral acts consent may be invalid under different conditions, including incapacity, perturbations of the will (mistake, fraudulent behaviour (undue influence), coercion or threat), exploitation of vulnerabilities. To determine the validity of consent to the processing of personal data, we need to consider such general rules, and in addition the specific conditions established by GDPR.	個人が両方に同意する能力は、個人の自律性の重要な側面であります。しかし、同意は必ずしも法的に有効ではありません。契約および一方的な行為に関する一般的な法律上の規則によれば、無能力、意思の乱れ（錯誤、詐欺的行為（不当な影響）、強制または脅迫）、脆弱性の利用など、さまざまな条件で同意が無効になる可能性があります。個人データの処理に対する同意の有効性を判断するためには、このような一般的なルールに加えて、GDPRで定められた特定の条件を考慮する必要があります。
In the domain of digital services, the extent to which consent in consumer contracts represents real agreement can be called into question: individuals agree to purchase goods or services at a certain price, but they do not really consent to the further conditions unilaterally established by the seller/provider. In fact, they have no awareness of such conditions, which are usually buried in lengthy annexed documents that no individual bothers to read.	デジタルサービスの分野では、消費者契約における同意が実際の合意をどの程度表しているかが問題となります。個人は、一定の価格で商品やサービスを購入することに同意しますが、販売者/提供者が一方的に設定した追加条件には実際には同意していません。実際、個人はそのような条件を認識しておらず、通常、個人が読もうともしないような長い付属文書に埋もれています。
EU law has tried to address this situation by imposing mandatory disclosures. Unfortunately, disclosures are often insufficient in pulling individuals out of their predicament, since individuals often lack the skills needed to act on the disclosed information, and in any case the benefits of parsing such information are usually outweighed by its costs. The same applies to consent to the processing of personal data. Both when consent is included in a contract and when it is external to it, data subjects usually blindly accept all requests for consent, not being cognizant of technologies and risks and in any case not having the energy to properly deal with countless requests for consent.	EU法は、義務的な開示を課すことで、この状況に対処しようとしています。残念ながら、開示された情報に基づいて行動するために必要なスキルが個人に欠けていることが多く、また、いずれにしても、そのような情報を解析することの利点は、そのコストを上回ることが多いため、開示は、個人を苦境から救うには不十分であります。個人データの処理に対する同意についても同様です。同意が契約に含まれている場合も、契約に含まれていない場合も、データ主体は通常、同意を求めるすべての要求を盲目的に受け入れ、技術やリスクを認識せず、いずれにしても無数の同意要求に適切に対処するエネルギーを持ち合わせていません。
It may be wondered to what extent current data markets —in which consent to the processing of personal data is given in exchange for the provision of services— are socially desirable. In fact, in this market individuals are unable to make good choices, due to their conditions of weak agency and vulnerability, and negative consequences are generated affecting individuals and society. The key issue, then, is whether such negative consequences are more effectively averted by strengthening the conditions under which consent is given or by restricting the need for consent.	サービスの提供と引き換えに個人データの処理に同意するという現在のデータ市場が、どれほど社会的に望ましいものなのか疑問に思うかもしれません。実際、この市場では、個人の主体性の弱さや脆弱性のために、個人が適切な選択をすることができず、個人や社会に悪影響を及ぼす結果が生じています。そこで重要なのは、同意の条件を強化することによって、あるいは同意の必要性を制限することによって、このような否定的な結果をより効果的に回避することができるかどうかであります。
In the data protection domain, the idea that data subjects’ self-determination may be effectively exercised through consent has been challenged by considering that meaningful consent is often impracticable, is subject to a power imbalance, and fails to protect groups. The dangers of consent being misused are particularly serious when consent is commodified, i.e., when it is given to obtain benefits that are extrinsic to the processing for which consent is requested, as is typically the case in targeted advertising.	データ保護の領域では、データ対象者の自己決定が同意によって効果的に行使されるという考えは、意味のある同意はしばしば非現実的であり、力の不均衡の対象となり、グループを保護することができないことを考慮して、挑戦されてきました。同意が悪用される危険性は、同意が商品化された場合、すなわち、ターゲット広告に典型的に見られるように、同意が要求された処理に外在する利益を得るために同意が与えられた場合に、特に深刻です。
Policy options	政策オプション
The assumption that informational self-determination on the data subjects’ side, in combination with the right to conduct a business, on the providers’ side, would provide a win outcome for all parties involved — data subjects, providers, and advertisers— has not passed the test of reality. In order to provide targeted advertising, vast masses of user data are collected. This involves pervasive surveillance, which may work to the detriment of the individual concerned, as well as of society as a whole.	データ主体側の情報的自己決定とプロバイダ側のビジネスを行う権利の組み合わせが、データ主体、プロバイダ、広告主のすべての関係者にとって有益な結果をもたらすという仮定は、現実のテストを通過していません。ターゲット広告を提供するためには、膨大な量の利用者データが収集されます。これは広範な監視を伴うものであり、個人だけでなく社会全体に不利益をもたらす可能性があります。
It is our view that the current ambiguities about the legal status of contracts where data are used as a counter-performance ought to be removed. It should be made clear that whenever data do indeed serve as counter-performance in a contract, the whole of protection provided under contract law and consumer protection law should apply (and possibly also tax law). Data should be qualified as counter-performance whenever the provision of a service is conditioned on consent to the processing of personal data. The need to apply protection provided under contract law and consumer protection law where data are provided as a counter-performance, however, does not entail that such transactions should be enabled by the law under all circumstances.	私たちは、データが反対給付として使用される契約の法的地位に関する現在の曖昧さを排除すべきであると考えています。データが実際に契約の反対給付として機能する場合には、契約法および消費者保護法の下で提供されるすべての保護が適用されるべきであることを明確にすべきです（場合によっては税法も適用されます）。サービスの提供が個人データの処理への同意を条件としている場合、データは反対給付として認定されるべきであります。しかし、データが反対給付として提供される場合、契約法および消費者保護法に基づく保護を適用する必要性は、そのような取引がすべての状況下で法律によって可能になることを意味するものではありません。
In fact, two approaches are available, (a) ensuring that consent is informed and fair as much as possible; (b) excluding the validity of consent relative to processing operations that are likely to lead to individual and social harm.	実際には、(a)同意が可能な限り情報に基づいた公正なものであることを保証する、(b)個人的および社会的な損害につながる可能性が高い処理操作に関する同意の有効性を排除する、という2つのアプローチがあります。
On the first approach, various measures can be adopted to improve the position of data subjects, and so to exclude the possibility that their vulnerabilities should be exploited to get them to enter into unfair transactions where they give up personal data in order to obtain services or other benefits. Support for individual choices includes:	第一のアプローチでは、データ主体の立場を改善し、データ主体の脆弱性を利用して、サービスやその他の利益を得るために個人データを提供するような不公正な取引を行わせる可能性を排除するために、様々な方策を採用することができます。個人の選択へのサポートには以下のものが含まれます。
• data-protection-friendly defaults;	・データ保護に配慮したデフォルトの設定
• standardisation of options and interfaces;	・オプションとインターフェースの標準化
• more stringent application of purpose specification and limitation for any processing based on consent;	・同意に基づく処理について,目的の特定と厳格な制限の適用
• more rigorous information requirements, including not only benefits but also risks; promoting consent management through technologies;	・メリットだけでなくリスクも含めた,より厳格な情報提供の要求,技術による同意管理の促進
• making available tools for analysing and rating data protection practices and responding to them;	・データ保護の実践を分析し,評価し,それに対応するためのツールを利用可能にすること
• reviewing the fairness of exchanges of data vs services;	・データ対サービスの交換の公正さの見直し
• supporting the collective management of consent-based transactions.	・同意に基づく取引の一括管理の支援
On the second approach, the extent to which consent by data subjects has legal effect, enabling the lawful processing of personal data can be restricted. Possible limitations concern:	第二のアプローチでは、データ対象者による同意が法的効力を持ち、個人データの合法的な処理を可能にする範囲を制限することができます。制限される可能性のある内容は以下の通りです。
• political advertising;	・政治的広告
• operations that are incompatible with data protection principles;	・データ保護の原則と相容れない業務
• take-it-or-leave-it approaches relative to fundamental services;	・基本的なサービスに対する「やってもやらなくてもいい」というアプローチ
• take-it-or-leave-it approaches relative to any service;	・任意のサービスに関する「やるかやらないか」のアプローチ
• more generally, any exchange of personal data against counter-performance.	・より一般的には,カウンター・パフォーマンスに対する個人データの交換
The approaches just described should be integrated: to make consent meaningful and manageable for data subjects we need to both ensure free consent and reduce the cases in which consent may be given with legal effect.	データ対象者にとって同意を意味のあるものにし、管理しやすくするためには、自由な同意を確保し、法的効力のある同意が与えられるケースを減らす必要があります。
Relative to both approaches some possible improvements are proposed relative to the draft DMA and DSA, taking into account current discussion in the European Parliament.	両方のアプローチに関して、欧州議会での現在の議論を考慮して、DMAおよびDSAのドラフトに関連するいくつかの可能な改善を提案します。