続き、まいります。
***********************************************************************
第3編 行動規範(セーフハーバー)
301 行動規範によるセーフハーバー
(a)(1) (c)に定めるFTCルール採用の1日後より、何人も、FTCに対し、1以上の、対象事業者によるパーソナルデータ処理に関わる行動規範の承認を申請できる。この申請には以下を含まなければならない;
(A) 同行動規範が、本法第1編の定めるものと同等又はそれ以上のパーソナルデータ保護を提供するものであることの説明
(B)~(E) 略
(2) FTCによるレビューのタイムライン
(A) 商務省におけるマルチステークホルダープロセス 商務省長官は、オープンかつ透明性のあるプロセスにより、当該行動規範の議論を展開にするために、産業界のメンバー、Civil Society、Public Safety Community、大学研究者等のステークホルダーを招集することができる。FTCは、このマルチステークホルダープロセスを通じ、受領から90日以内に、申請を承認又は拒絶しなければならない
(B) FTCは、受領から120日以内に、かつ、(c)に定める規制に反しない範囲で、以下の手続を経た行動規範に関する申請を承認又は拒絶しなければならない。
(i) 利害関係のある参加者に公開され、かつ、同参加者が対等に評議と議論に参加できること及び
(ii) 少なくとも、かかる資料に基づく決定の前に十分なレビューを行えるだけのタイミングと方法で、決定に関する資料が公開されることにより透明性が維持されること
(C) FTCは、(c)に定める規制に反しない範囲で、受領後180日以内に、(A)(B)に定めるもの以外の手続によって作成された行動規範を承認又は拒絶しなければならない。
(3) パブリックコメントと決定の説明
FTCは、受領後できるだけ速やかに行動規範に関するパブリックコメントを受付け、かつ、承認又は拒絶の理由を書面にて公開しなければならない。
(4) FTCは、申請者が以下を証明した場合に限り、申請を承認する。
(A) 行動規範が本法第1編に定めるものと同等又はそれ以上のパーソナルデータの保護を提供するものであること
(B) 時を経ても十分なパーソナルデータの保護が継続するよう、行動規範が定期的なレビューを可能とする条項を含むこと
(5) 推定 (2)(A)のマルチステークホルダープロセスを通じて作成された行動規範は、本法第1編に定めるものと同等又はそれ以上のパーソナルデータの保護を提供するものと推定する。FTCは、この推定に反する結論を出すためには、書面による決定を行わなければならない。
(6) 期間
(A)FTCは、承認後3年以降、5年以内に、行動規範を再審査する。消費者の期待、テクノロジー、市場の状況の変化を踏まえ、当該行動規範が本法第1編の保護と同等又はそれ以上であると再度判断された場合には、当該行動規範は、その決定から5年以内の期間、継続してセーフハーバーとして認められる。
(B) (A)の定めにかかわらず、FTCは、申立てにより又は職権で、(4)項の承認を再考することができる。パブリックコメント受付け後、従前の手続ではなかった新しい要素又は証拠に基づき、当該行動規範が本法第1編の定めるパーソナルデータ保護と同等又はそれ以上の保護を提供するものではないと判断した場合、FTCは、当該行動規範にかかる承認を撤回しなければならない。
(b) 行動規範の非政府管理・執行
(1) (c)に定めるFTCルール採用の1日後より、何人も、FTCに対し、FTCにより承認を受けた1以上の行動規範の管理・執行についての認可を申請できる。
(2) FTCは、申請者が行動規範違反につき実効的かつ迅速な対応が可能であることを証明した場合に限り、申請を承認する。
(3) FTCの認可の効力は最大5年。再審査可(以下本号略)
(4) 認可を受けた者は、毎年、その前年の活動(本編に関するもの)について、FTCに報告しなければならない。
(c) 委任立法 本法施行後180日以内に、FTCは本編の定めを実行するためのルールを施行することができる。同ルールは、以下のものを含む;
(1) (a)(5)に定める推定のための要件
(2) (a)の行動規範に関する手続的要件
(3) (b)の行動規範の管理・執行に関する手続的要件
(4)(5) 略
(d) セーフハーバー 本法第2編に基づき提起されたいかなる訴訟又はアクションにおいても、被告は、FTCの承認を受けた行動基準の遵守を証明することにより、本法第1編違反に対する完全な抗弁を有する。
(e) 上訴 以下に関して不服のある者は、連邦地裁に控訴できる
(1) FTCによる、(a)又は(b)に定める申請の承認又は拒絶に関する判断
(2) FTCによる、(a)(2)又は(c)に定める期間内になされなかった行動基準の承認又は拒絶
***********************************************************************
ルール全体を見たとき、セーフハーバーが特徴的だと思われたので、第3編はしっかりめに訳しました。
ただし、このまま施行されたとしても、Code of Conductの実務がどんな感じになるのか、まったく読めません。
***********************************************************************
第4編 その他
401 本法律による専占
(a) 本法は、対象事業者によるパーソナルデータ処理に関して、いかなる州・地方政府の法律の規定にも優先する。
(b) 州・地方政府は、対象事業者が301(d)に定めるセーフハーバーの保護を受ける限度において、対象事業者に対し、パーソナルデータ処理に関する法律を執行してはならない。
(c) 本条は、州司法長官その他の州の機関による、パーソナルデータ処理に関連しない州の一般的消費者保護法の執行を制限するものとして解釈されてはならない。
(d) 略
402 FTCの権限の維持
(a) 本法のいかなる規定も、パーソナルデータの処理に関する欺瞞的行為又はプラクティスを防ぐためのFTCのエンフォースメント権限(FTC法第5条)を制限するものとして解釈されてはならない。
(b) 本法のいかなる規定も、パーソナルデータの処理に関する不公正な行為又はプラクティスを防ぐためのFTCのエンフォースメント権限を制限するものとして解釈されてはならない。ただし、本法301条に基づき承認された行動規範を遵守していないとのFTCによる主張の基礎となる対象事業者の行為を除く。
403 私人の提訴権
本法は、私人による提訴権を認めるものではない。
404 他の法律の適用との関係 (略)
405 対象事業者の定義の例外(FTCへの立法の委任) (略)
406 施行日
(a) 本法の規定は、施行日に効力を発する。
(b) 本法第1編に定める対象事業者の義務は、施行日より2年未満の期間、本法に基づく訴訟原因とならない。
407 Severability 分離・独立性 (略)
***********************************************************************
既存のものを含め、パーソナルデータ処理に関し、対象事業者に課される州法は、全て本法に反する限りで無効になりそうです(401条)。
402(a)でFTC5条が引用されていて、402(b)では引用されていないのは、データプライバシーに関する不公正なプラクティスに対するFTCの取締り権限が現在裁判所で争われていることが関係しているかもしれません。
(写真:バークレーにあるとても美味しいARTiS Coffee)
ということで、①通知と選択、個人によるコントロールの理念を柱とした原則を述べつつ、ケースバイケースのよくいえば柔軟な制度を採用した権利章典、②FTCや州によるエンフォースメントの明確化、③セーフハーバーによる例外ということです。①の「ケースバイケース」の中身であるPrivacy Review Boardその他と③で、なんだか例外の2階建てという感じもします。
報道等を見てますと、
プライバシー保護寄りの人々:抜け穴だらけでプライバシー保護不十分(業界の自主規制=セーフハーバーじゃ不十分)
FTCの人(一部):前同。
EUの人:前同。
学者の一部:現状よりプライバシー保護を後退させるおそれすらアリ。
事業者サイド:イノベーションを阻害する、そもそもこんな法律要らん。
ということで、ほぼ全関係者が不満を持っているようです(ただし、マイクロソフトは基本評価しているようです)。EUサイドの意見は重いですね。
しかし、これは、ホワイトハウスの動きを、シリコンバレー(有力IT企業)がガッチリ御していることの再確認と見れば、まぁ当たり前の結論だということもできます。むしろ、ホワイトハウス+シリコンバレーが、EUスタイルのデータ保護とは合一しないということを再度宣言したものだと見る方が分かりやすいかもしれません。
米国では、これまで、何度も包括的連邦プライバシー法が議会審議でボツになってきていますので、今回も法律が成立するかどうかすらよく分かりません(そもそもこれはDiscussion Draftに過ぎず、議会に正式に提出されたわけでもありません)。少なくとも大きく変更される可能性もあります。
今後、ポイントとなるところとしては、セーフハーバー・システムの大枠はもはやひっくり返りにくいとしても、大量の情報をいろんな目的で商業利用するときの103条のPrivacy Review BoardやDisparate Impact Analysisあたり、あるいは、401条により現存する厳格な州法を無にしてよいか?といった論点が挙げられるかもしれません。
日本での各種立法過程においても、この法案の内容がいろんな思惑のもとで取り上げられるかもしれませんが、やはりプライバシー法制そのものも、それを取り巻く風景も、日米でだいぶ違うなと感じております。