要約
- Cambridge Analytica の出来事は単なるデータプライバシースキャンダルではなく、誰がアクセスを許可できたか、誰が削除を検証できたか、誰がユーザーに通知できたか、そしてジャーナリスト、規制当局、立法者が公の説明責任を強制する前に誰が政治データの悪用を検出できたかというプラットフォーム管理の記録です。
- FTC、SEC、ICO、英国議会、カナダのプライバシー当局、FACEBOOK、裁判所記録の公開情報源は、確認された知見、エビデンスに基づくガバナンスの結論、および公開証拠からは不明の事項との明確な区別を支持しています。
- 最も重要な説明責任の教訓は、データがプラットフォームの技術的境界を離れた後、主に開発者の約束に執行が依存する場合、アプリプラットフォームのルールは脆弱であるということです。
- 公開記録は、すべてのプロファイルデータセットのあらゆる後利用、キャンペーン決定、FACEBOOK の内部考慮、個人の損害を証明するものではありません。しかし、プラットフォームの許可設計と執行が市民リスクの管理面となったことは証明しています。
事例は許可システム内で始まった
FACEBOOK が Cambridge Analytica をプラットフォームデータの説明責任テストにしたのは、中心的な管理が盗まれたパスワード、破られたファイアウォール、または神秘的な外部侵入から生じたものではないからです。公開記録は開発者プラットフォームの経路を説明しています。Aleksandr Kogan に関連する性格診断アプリは、インストールしたユーザーからデータを収集し、当時の FACEBOOK のプラットフォーム設計のもとで、それらのユーザーの友人のデータにもアクセスできました。FTC は後に、より広範な FACEBOOK プライバシー問題と和解をこちらで説明し、FTC の申し立てはこちら、命令はこちらにあり、執行記録を永続化しました。したがって、説明責任の問題は実践的です。誰が許可アーキテクチャを管理していたのか、誰が開発者ポリシーの遵守を監視していたのか、誰がデータが共有されていないことを確認していたのか、そして境界が破られたときに誰がユーザーに通知したのか。
FACEBOOK 自身の2018年3月の声明(こちら)は、Kogan のアプリを通じて取得されたデータが証明されたように削除されていないことを知った後、同社が Cambridge Analytica および他の関係者を停止したと述べています。この声明は、推測を必要とせずに複数の管理事実を確認するため重要です。第一に、FACEBOOK には開発者ポリシーの境界がありました。第二に、FACEBOOK はデータが削除されたという証明または確認に依存しました。第三に、同社は後にその確認を不十分とみなしました。第四に、公の停止はアプリのデータ収集期間から数年後、かつ同社がすでにデータ転送について通知を受けた後に行われました。問題はルールが存在したかどうかだけではありません。データがすでにプラットフォームを離れた後、ルールが執行可能かどうかでした。
規模は、2018年4月の FACEBOOK の製品およびプライバシーアップデート(こちら)で公にされ、最大8700万人の情報が不適切に Cambridge Analytica と共有された可能性があると述べられました。この声明は慎重に読む必要があります。それは、これらの人々全員が同じ結果を被ったこと、すべてのフィールドがキャンペーンで使用されたこと、または有権者行動の完全な因果連鎖が公に証明可能であることの証拠ではありません。しかし、それはプラットフォームレベルでの許可システムが集団的露出を生み出したことの認めです。クイズをインストールしたことがないユーザーでも、友人がインストールしたためにデータ経路の一部となった可能性があります。そのため、この事件は通常のアプリ同意紛争とは異なるカテゴリに分類されます。
開発者の境界は、同意と管理が一致しなかったため重要です。アプリをインストールする人は、不完全ながら選択を行います。そのアプリを通じてデータが到達可能になった友人は、アプリ固有の選択を行いませんでした。FACEBOOK は、このデータフローを可能にした製品アーキテクチャ、開発者を制限したアプリ条件、および悪用を検出または罰する執行ツールを管理していました。ユーザーは、後流の開発者のビジネス上の決定や、後でデータを価値あるものにした政治データ市場を管理していませんでした。管理と露出が異なる場所にある場合、説明責任は許可インターフェースを設計し運用した当事者が負うべきです。
これは、公の議論でなされた政治的利用に関するすべての主張が証明されたことを意味するわけではありません。記録はより強力でより狭いものです。それは、FACEBOOK のプラットフォームが大規模な収集を可能にしたこと、データが Cambridge Analytica または関連当事者に届いたこと、削除の約束が不十分だったこと、規制当局が後に重大なプライバシーおよび開示の欠陥を発見したこと、そして立法がこの事件を民主的ガバナンスの問題として扱ったことを示しています。説明責任の課題は、プラットフォームルールが後流の政治データ搾取を防げなかった深刻さを認識しつつ、証明された点と根拠のない主張を分離することです。
規制記録が謝罪を証拠に変えた
FTC の和解は中心的な公開説明責任記録の一つであり、Cambridge Analytica のエピソードを、以前の FTC 命令に基づく FACEBOOK のより広範なプライバシー義務と結び付けました。FTC のプレスリリースは、FACEBOOK が50億ドルの罰金を支払い、新しいプライバシー制限を受け入れると述べました。命令は支払いを課すだけではありませんでした。それは、プライバシープログラム、認証義務、取締役会レベルの構造、独立した評価者によるレビュー、およびプライバシーガバナンスを非公式の製品決定から遠ざける管理を要求しました。罰金だけではビジネスのコストと見なされる可能性があります。ガバナンス命令は、誰がリスクを見て、確認し、責任を負う必要があるかを変えようとする試みです。
FTC の申し立ての価値は、すべての歴史的疑問に答えることではなく、規制当局が作成した、申し立てられた虚偽表示、プライバシー管理の失敗、および開発者アクセスとユーザー設定の相互作用の説明を提供することにあります。それはまた、2019年12月の FTC の措置と意見(こちら)および行政記録(こちら)を含む、Cambridge Analytica 固有の FTC 執行記録と並んで存在します。これらの情報源は、プラットフォームの責任と後流の当事者の責任を分離するのに役立ちます。FACEBOOK はプラットフォームの境界を管理していました。Kogan と Cambridge Analytica は、データがどのように収集され、表現され、使用されたかに関する独自の申し立てと命令に直面しました。
SEC の記録は別の説明責任の層を追加します。SEC は、同社がユーザーデータの悪用を仮説的リスクとして公に開示した後、実際に悪用を知っていたとして、FACEBOOK に対する告発(こちら)を発表し、同社が1億ドルを支払うことに同意したと述べました。SEC の命令(こちら)は、FTC の事件と同じ意味でのプライバシー命令ではありません。これは証券開示の記録です。その重要性は、プラットフォームデータのガバナンスが投資家リスクの開示となったことです。企業がリスクが現実化したことを知った後、そのリスクを単に可能として扱う公の提出は、ユーザーだけでなく株主にとっても説明責任の問題になり得ます。
英国情報コミッショナー事務所(ICO)は別の公開執行記録を提供しました。2018年10月の発表(こちら)は、ICO が当時の英国法で利用可能な最大罰金50万ポンドを課したと述べました。ICO の罰金通知(こちら)は、ユーザーの個人データを保護せず、他者によってデータがどのように収集されたかについて透明でなかった欠陥を説明しました。罰金額は後の世界的なプラットフォーム基準では小さかったものの、当時の法制度が限られていたためですが、この決定は重要でした。FACEBOOK の開発者エコシステムが米国外でのプライバシー執行問題となったのです。
英国議会はこの事件を政治的および民主的説明責任の問題として扱いました。下院デジタル・文化・メディア・スポーツ委員会の最終報告書(こちら)は、Cambridge Analytica を偽情報、データ駆動型キャンペーン、プラットフォームの権力、選挙の完全性に関するより広範な調査に位置付けました。議会報告書は刑事判決ではありません。公の監視記録です。ここでの価値は、影響を受けた人口がアプリユーザーや広告主に限定されなかった理由を示すことです。この事件は、政治的説得、キャンペーンの透明性、プラットフォームガバナンス、および公の討論を形成するプライベートデータシステムを民主的制度がどのように監査できるかという問題に触れました。
カナダのプライバシー当局も同様の結論に達しました。カナダプライバシーコミッショナー事務局の共同所見(こちら)は、Cambridge Analytica の件で FACEBOOK に重大なプライバシー欠陥があり、ユーザーの情報を適切に保護していなかったと判断しました。ここでも、公開価値は完全な内部技術タイムラインを提供することではありません。異なる法制度の複数の規制当局が同じ管理問題に至ったことを示しています。プラットフォームはプライバシーをアプリ開発者の約束に外注し、その後大規模な悪用を自らの説明責任範囲外で発生したかのように扱うことはできません。
ユーザー通知は設計と証拠のギャップにより遅れた
ユーザー通知の問題は中心的です。FACEBOOK は2018年、Kogan がデータを Cambridge Analytica と共有したことを2015年にジャーナリストから知り、データが破棄されたという認証を要求したと述べました。公のスキャンダルは、The Guardian(こちら)および The New York Times(こちら)の報道後に2018年に爆発的に広がりました。これらの報道は一次執行文書ではありませんが、休眠していた管理問題を公の可視性に押しやったため、公開年表の一部です。ユーザーはその後、プラットフォームの信頼境界内で知られていたデータ事象が、広範な同時ユーザー通知を引き起こさなかったことを知りました。
遅延は重要です。プライバシー対策は時間とともに効力を失うからです。2015年に通知されていたユーザーは、アプリ設定を変更し、接続されたアプリを確認し、友人に警告し、政治データに対する期待を変更し、または早期に削除の証拠を要求したかもしれません。2018年に通知されたユーザーは、データがすでに共有され、認証紛争が古くなり、政治データの使用が公の論争となった後に情報を受け取りました。通知は単なる礼儀ではありません。それは回復管理です。プラットフォームがリスクを単独で管理しなくなったときに、影響を受ける個人が何をすべきかを決定できるようにします。
FACEBOOK の2018年4月のアップデートは、ユーザーに自分たちの情報が不適切に Cambridge Analytica と共有された可能性があることを示し、開発者アクセスに対する広範な制限を説明すると述べました。これは是正措置ですが、説明責任の質問を消去するものではありません。公の危機までユーザー通知を待つプラットフォームは、証拠のギャップを生み出します。ユーザーはどのデータにアクセスされたか、どのように使用されたか、再コピーされたか、または他の政治的もしくは商業的データセットと結合されたかを再構築できません。後の通知は潜在的な露出を特定できますが、失われた管理に関してユーザーを完全に回復することはできません。
最も強力な公開証拠は限定的な結論を支持します。FACEBOOK はデータ転送の問題を以前に認識しており、削除認証に依存し、問題が公になるまでユーザーに通知しませんでした。記録は、外部の読者がタイミングのすべての内部理由を証明することを許しません。すべての関連する FACEBOOK 従業員が同じ理解を持っていたことを証明しません。すべての後流使用を証明しません。しかし、管理設計を評価するには十分です。プラットフォームがデータがポリシーに反して共有されたという通知を受け取った場合、削除の約束は事件の終わりであってはなりません。プラットフォームが削除を独立して検証できない限り、またはなぜそれができないかを開示しない限り。
ここで悪用報告の経済学が登場します。開発者プラットフォームは、疑わしいアプリのレビュー、ユーザーからの苦情、ジャーナリストの報告、開発者執行、法的エスカレーション、および終了後の監視にどれだけ投資するかを決定する必要があります。執行がプラットフォームにとって安価で、ユーザーにとって異議申し立てに高価な場合、プラットフォームは外部の圧力が高まるまで悪用を過小評価する可能性があります。ユーザーは Kogan、Cambridge Analytica、キャンペーンサービスプロバイダー、または仲介されたデータチェーンを監査できません。FACEBOOK は開発者条件を作成し、アプリを停止し、API アクセスを制限し、認証を要求し、監査を委託し、ユーザーに通知することができました。これらは完璧なツールではありませんが、プラットフォームが持っていてユーザーが持っていなかったツールです。
アプリレビューは市民リスクの管理として失敗した
Cambridge Analytica の記録は、なぜアプリレビューが消費者製品機能としてのみ扱われてはならないかを示しています。ソーシャルメディアプラットフォームでは、アプリの許可は、広告、サイコグラフィックモデリング、有権者への働きかけ、または影響力操作に価値のあるソーシャルグラフ、人口統計シグナル、「いいね!」、友人のつながり、行動カテゴリを公開できます。これは、すべてのアプリが政治的であるとか、すべての開発者が悪用的であるとか、すべてのデータセットが選挙を変えるという意味ではありません。それは、プラットフォームが特定のデータフローを、スキャンダルが点を証明する前に市民インフラへのリスクとして分類しなければならないことを意味します。
スキャンダル後の FACEBOOK の Graph API の変更は証拠の一部です。2018年4月のアップデートは、イベント、グループ、ページ、ログイン、Instagram、検索、通話およびテキスト履歴、アプリ許可に対する制限を説明しました。FACEBOOK が事件後にアクセスを制限できたという事実は、以前のシステムが自然法則ではなく設計上の決定であったことを示しています。プラットフォームはしばしば広範な API アクセスを開発者のイノベーションとして擁護します。この議論には重みがあります。有用なアプリはアクセスに依存します。しかし、広範なアクセスを許可するプラットフォームは、執行、撤回、レビュー、および意味のあるユーザー通知にも資金を提供しなければなりません。イノベーションは許可の境界を執行可能に保つ義務を免除しません。
Kogan と Cambridge Analytica に関する FTC の事件は、後流の当事者にも義務があったことを示すために関連します。FTC はアプリとデータ収集に関連する誤解を招く慣行を申し立てました。これは公平性のために重要です。FACEBOOK が連鎖内の唯一の行為者ではありませんでした。Kogan、Cambridge Analytica、政治キャンペーン、データブローカー、および他のサービスプロバイダーはそれぞれ自らの行動に対する潜在的な管理を持っていました。しかし、プラットフォームの責任は後流の不正行為によって取り消されません。橋の運営者が運転手も悪い行動をとるという理由でガードレールから解放されるわけではありません。プラットフォームはデータが移動したレーンを建設しました。
確認された事実は、アプリレビューとポリシー執行がデータ経路を防げなかったことを示しています。エビデンスに基づく結論はさらに進みます。FACEBOOK のガバナンスモデルは、開発者ポリシーの遵守を十分に管理可能として扱っていましたが、公の事件がそうではないことを示しました。この結論は、後の制限、規制当局の所見、および FACEBOOK 自身の停止と通知の年表によって支持されています。不明なままのもの:各アプリレビュー決定がどのように行われたか、どの内部警告が発せられたか、リスクがチーム間でどのように優先順位付けされたか、およびどの私的監査がいつどの事実を見つけたか。これらの未知数は、公の記事が根拠のない個別の非難を行うことを防ぐため重要です。
それでも実践的な管理地図は明らかです。FACEBOOK は API、レビュールール、開発者アクセス、執行エスカレーション、停止決定、ユーザー側設定、公的通知を管理していました。開発者は自らのアプリケーションと約束を管理していました。キャンペーンクライアントはアナリティクスサービスを調達し使用する方法を管理していました。規制当局は事後執行とルール作成を管理していました。ユーザーは限られた設定と自らのアプリ決定のみを管理しており、友人の露出はそれらの決定さえも他人のインストールによって回避できることを意味しました。この非対称性が、なぜプラットフォーム設計が主要な説明責任インターフェースであるかの理由です。
同意はデータとともに移動しなかった
Cambridge Analytica の事件はしばしば同意の失敗として説明されますが、その表現は狭すぎます。同意は、FACEBOOK を離れた後、移植可能で可視的かつ執行可能ではなかったため失敗しました。プラットフォームのプロンプトは、ユーザーにアプリが特定の情報にアクセスすることを許可するよう求めることができます。それだけでは、アプリが後でデータを分離して保持し、販売せず、有権者ファイルと結合せず、要求に応じて削除することを保証できません。データが境界を越えると、技術的執行はより困難になります。そのため、プラットフォームルールには防止、検証、および永続的な監査が含まれなければならず、単なるクリック同意だけでは不十分です。
友人のデータへのアクセスはこの弱点をさらに明白にしました。影響を受ける個人には、アプリと一度もやり取りしたことのない人も含まれていました。したがって、同意の連鎖は薄いだけでなく、社会的に委任されていました。一人のユーザーのアプリ行動が他のユーザーのデータに結果を及ぼす可能性がありました。この構造は、データ主権とデータローカリティが実践的問題として中心にあります。人々はしばしば、自分のデータがプラットフォームと自分のアカウントに関連する法的期待によって管理されると想定します。実際には、プラットフォーム API はデータを開発者システム、分析会社、キャンペーン運営、クラウドストレージ、法人、およびユーザーが決して見ることのない法域に輸出できます。
ICO の執行記録は問題をプライバシー法の用語で表現し、FTC はプライバシーの約束と命令違反として表現し、SEC は投資家開示として表現しました。これらは同じ運用上の問題に対する異なる法的語彙です。実際の許可システムが第三者に大量のソーシャルデータの抽出を許可し、プラットフォームが遵守を検証できない場合、データガバナンスはプライバシーポリシーに還元できません。管理に関する約束は、管理を消失から保護するメカニズムと同じくらい強力です。
FACEBOOK のその後のプライバシープログラム義務は、ガバナンスを文書化された評価に向かわせたため関連します。FTC 命令はより正式なプログラムと認証を要求しました。そのような義務は、すべての将来のリスクが消える証拠ではありません。それらは、規制当局が欠けているか不十分と判断した管理層の証拠です。成熟したプラットフォームデータプログラムは、高リスクの許可を特定し、データ最小化の正当性を要求し、開発者の主張をテストし、終了と削除の証拠を保持し、異常な抽出を監視し、執行決定を記録し、封じ込めを検証できない場合にユーザーに通知する必要があります。
この事件は、なぜ公共の利益の損害が通常の個人プライバシー損害と異なるかも示しています。個人はデータ転送によって引き起こされた単一のメッセージ、広告、または決定を特定できないかもしれません。しかし、数百万のプロファイルの集合は、政治システム、市民社会、および選挙監視にとって重要であり得ます。ここでの公共セクターの継続性は、民主的制度が政治的コミュニケーション、キャンペーンの透明性、および情報環境の公平性への信頼に依存するため関連します。したがって、プラットフォームデータの失敗は、拡散的で制度的であり、個人の通知だけでは修復が難しい損害を引き起こす可能性があります。
開示の欠陥が説明責任の範囲を拡大した
SEC の事件は説明責任の範囲をユーザーや規制当局を超えて拡大しました。公開企業は投資家にリスクを開示します。SEC は、FACEBOOK のリスク要因の表現がユーザーデータ悪用の可能性を説明していたが、同社はすでに悪用が発生したことを知っていたと申し立てました。重要性は単に FACEBOOK が和解金を支払ったことではありません。プライバシーインシデントが開示管理インシデントになり得るということです。経営陣、法務チーム、プライバシーチーム、投資家関係機能が同じ事件について異なる絵を持つ場合、公の説明責任は崩壊します。
これはすべての大規模プラットフォームにとって重要です。プライバシーインシデントは製品チームで始まり、ポリシーチームによって処理され、法的チャネルを通じてエスカレーションされ、評判の危機が勃発するまで公開証券開示の外にある可能性があります。SEC の記録は、事件が投資家にとって重要である場合、それでは不十分であると言っています。成熟したインシデントプログラムは、製品リスク、法的リスク、プライバシーリスク、コミュニケーションリスク、財務開示リスクを接続しなければなりません。そうでなければ、企業は事件が発生したことを知りながら、市場に対してそのような事件が発生する可能性があるとしか伝えないことがあります。
開示問題はユーザーにも影響します。企業が公に既知のデータ事象を仮説として表現する場合、ユーザーは設定を確認し、行動を変更し、回答を要求する必要性を過小評価するかもしれません。投資家は規制上のエクスポージャーの程度を過小評価するかもしれません。立法者は監視の緊急性を過小評価するかもしれません。広告主や開発者は今後のガバナンス変更を過小評価するかもしれません。したがって、開示は形式的なものではなく、プラットフォームのプライベートシステムを見ることができない利害関係者間の調整管理です。
公開記録は、私的推測を必要とせずにこの結論を支持します。SEC 命令、FTC 命令、ICO 罰金、カナダの所見、議会報告書、および FACEBOOK 自身の声明はすべて、同じエピソードの重複する側面を説明しています。詳細は異なりますが、方向性は一貫しています。Cambridge Analytica は単一の孤立したアプリインシデントではありませんでした。それは、プラットフォームが自らの許可アーキテクチャを通じて流れたデータ悪用を特定、管理、開示、是正できるかどうかのテストとなりました。
不明な点は相当あります。公開記録は、すべての内部会議、ドラフト、法的評価、技術的警告、または経営判断を明らかにしません。外部の者が内部知識から公開開示言語への正確な経路を再構築することはできません。しかし、公開 SEC 命令は、開示管理がデータガバナンス管理に統合されなければならないという説明責任の結論を支持するのに十分です。悪用を知っているプライバシーチームと悪用を仮説として扱う証券開示は、別々のリスク世界ではありません。
削除の約束は封じ込めの証拠ではなかった
最も重要な教訓の一つは、削除の約束と封じ込めの証拠の違いです。FACEBOOK の2018年の声明は、データが破棄されたという認証を要求し受け取ったと述べました。後の出来事は、これが公の信頼の十分な終了点ではなかったことを示しました。データが別のエンティティのシステムにコピーされた場合、認証は法的管理であり得ますが、技術的証拠と同じではありません。必要な場合もありますが、十分であることは稀です。
封じ込めの証拠はより強力な証明を必要とします。どのデータが保持されていたか、どこに保存されていたか、誰がアクセスしたか、バックアップにコピーされたか、派生モデルが作成されたか、第三者に渡ったか、削除が独立して監査されたか、ログが保持されたか、不遵守が検出されるか。これらの質問の一部は時間の経過後に完全に答えられないかもしれません。まさにそのため、防止とタイムリーな検証が重要です。プラットフォームが後で輸出されたデータを封じ込めようとすればするほど、封じ込めの証拠は不確かになります。
Cambridge Analytica に関する FTC の記録と関連命令は、後流の当事者への責任を割り当てるのに役立ちましたが、歴史的露出に対するユーザーの管理を回復しませんでした。FTC-FACEBOOK 命令は将来のプラットフォームガバナンスに対処しました。ICO 罰金は関連する旧法の下で利用可能な最大罰金を課しました。カナダの報告書は重大な欠陥を文書化しました。民事訴訟は別の公開説明責任チャネルを追加し、プライバシー和解ウェブサイト(こちら)および In re Facebook, Inc. Consumer Privacy User Profile Litigation の連邦裁判所記録(こちら)を含みます。和解プロセスは審理後の所見と同じではありませんが、ユーザーの請求が補償および免除フレームワークにどのように変換されたかを示しています。
削除の教訓は FACEBOOK を超えて適用されます。第三者のアプリが個人データを収集することを許可するすべてのプラットフォームは、アプリが承認を失ったり、ポリシーに違反したり、目的を変更したりした場合に何が起こるかを決定しなければなりません。プラットフォームは機械可読な削除証拠を受け取りますか?高リスクの開発者を監査しますか?広範な許可を付与する前にデータフローをレビューしますか?抽出量を監視しますか?後流のシステムをレビューする契約上の権利がありますか?削除が検証できない場合にユーザーに通知しますか?通常の開発者エラーと市民リスクのあるデータ転送を区別しますか?Cambridge Analytica は、これらの質問に事後的に答えるコストを示しました。
公開証拠はエビデンスに基づく結論を支持します。FACEBOOK の以前の執行は、データ移動後の保証に過度に依存し、アクセス前またはアクセス中の検証可能なデータ使用管理に十分に依存していませんでした。この結論は、企業の声明と規制記録に基づいています。すべてのアプリや FACEBOOK 従業員に関する主張に拡張されるべきではありません。ポイントは体系的です。ポリシーが文書としてではなく执行可能な管理ループとして扱われる場合、プラットフォームデータガバナンスは失敗します。
政治データの使用がプラットフォームリスクを公共セクターリスクに変えた
Cambridge Analytica は、データ経路が政治キャンペーンや公の討論と交差したため重要でした。商業的なアプリ悪用事件は消費者に害を及ぼす可能性があります。政治データ悪用事件は民主的信任も損なう可能性があります。英国議会の報告書は、データ駆動型キャンペーン、プラットフォームの責任、偽情報を関連する問題として扱いました。ICO のより広範な調査更新(こちら)は、FACEBOOK の事件を政治的目的のデータ分析に関するより広範な調査に位置付けました。これらの情報源は、選挙結果に関するすべての公の主張を証明するものではありません。民主的制度が不透明な政治データフローを監視問題と見なしたことを示しています。
区別は重要です。Cambridge Analytica の選挙結果への証明された影響を誇張するのは簡単です。公開証拠は、データ転送が特定の選挙結果を変えたというきれいな因果関係の主張を許しません。説明責任のケースにはその主張は必要ありません。プラットフォームデータシステムは、後流の説得の有効性が不確かであっても、無責任であり得ます。管理の失敗は、政治的行為者が、自身のデータの収集、同意、転送、削除ステータスがデータに記述された人々にとって透明でなかったデータから利益を得ることができたことにあります。
政治データリスクは損害モデルも変えます。ユーザーが操作的な広告を受け取ったり、モデル化されたオーディエンスに割り当てられたり、キャンペーンメッセージから除外されたりした場合、ユーザーはそれを知ることはありません。キャンペーンが不適切に取得されたデータで戦略を構築した場合、外部者はデータの効果をメッセージ、メディア購入、フィールドオペレーション、有権者ファイル、またはより広範な政治風土から分離できないかもしれません。不透明性自体が説明責任問題の一部です。公共セクターの継続性は、制度が政治的コミュニケーションを形成するインフラを監査し異議を唱える能力に依存します。
FACEBOOK は後に政治広告のためのより多くの透明性ツールを作成し、より多くの制限を課しましたが、Cambridge Analytica の事件は、プラットフォームの範囲と公の監視の間のギャップを明らかにしたため、ベースラインのままです。規制当局は事後に罰することができます。立法府は公聴会を開くことができます。ジャーナリストは調査できます。ユーザーは訴訟を起こせます。しかし、これらのメカニズムは、高リスクのデータ抽出が他の場所で政治的に有用になる前に防ぐプラットフォーム管理ほどきれいに機能しません。
したがって、この事件は公共セクターの継続性とデータ主権の両方に属します。グローバルソーシャルメディアプラットフォームは政府機関ではありませんが、公的機関が機能する情報環境を形成できます。そのアプリルールが失敗すると、結果は市民の信頼に達する可能性があります。これは、すべてのプラットフォームインシデントが国家の失敗であることを意味しません。プラットフォーム運営者は、特定の許可、特にソーシャルグラフや政治分析に関わるものを、インフラレベルのリスクとして扱うべきです。
何が変わり、どの証拠がまだ重要か
スキャンダル後の FACEBOOK の変更には、開発者アクセスの制限、ユーザー通知、アプリレビューの変更、プライバシープログラムの義務、および経営陣の公の約束が含まれます。Mark Zuckerberg の準備された証言と公聴会議事録(こちら)は、同社がこの事件を選出された役人に対して、製品とガバナンスの変更を必要とする責任の失敗として提示した方法を示しているため関連します。FTC 命令はその後、一部の約束を執行可能な義務に変換しました。自発的な約束と執行可能な命令の違いは中心です。公の謝罪は説明責任を開始できますが、永続的な説明責任には監査、報告、レビュー、結果が必要です。
Cambridge Analytica 後に観察すべき証拠は、同様のスキャンダルが繰り返されるかどうかだけではありません。それは、高リスクのデータフローがスキャンダルの前に規制されるかどうかです。真剣なプラットフォームは、次の質問に答えられるべきです。どの許可が友人やソーシャルグラフを公開するか、どのアプリがセンシティブなデータの組み合わせを受け取るか、どの開発者が政治的、仲介、分析、プロファイリング目的を持つか、どのデータがプラットフォームを離れるか、どの削除証拠が存在するか、どのユーザー通知しきい値が適用されるか、そしてどの経営陣が管理システムが機能していることを証明するか。これらはガバナンスの質問であり、PR の質問ではありません。
別の観察点は、ユーザー設定が真の管理を反映しているかどうかです。プライバシーダッシュボードは人々に選択肢を与えることができますが、それらの選択肢が別のユーザーのアプリを通じた第三者への転送を防げない場合、ダッシュボードは管理を過大評価する可能性があります。プラットフォームは、直接の可視性を制御する設定、API の移動を制御する設定、および将来のアクセスのみに影響する設定を区別する必要があります。Cambridge Analytica は、ユーザーがデータがプラットフォームを離れた後もプラットフォームが何を執行できるかについて明確な回答を必要とすることを示しました。
規制の調整も重要です。FTC、SEC、ICO、カナダ当局、英国議会、裁判所はそれぞれエピソードの異なる部分に触れました。プライバシー、証券開示、選挙監視、消費者保護、民事訴訟が互いに隔離されて進行する場合、断片化はギャップを生み出す可能性があります。この事件は、大規模なプラットフォームインシデントが分野横断的な説明責任を必要とする理由を示しています。データ事象は同時に、消費者保護問題、プライバシー問題、証券開示問題、政治透明性問題、および私的訴訟問題であり得ます。
公開記録は依然として未回答の質問を残しています。それは、影響を受けたすべてのデータがどのように使用されたか、すべての派生資料が削除されたか、各後流受信者がデータをどのように扱ったか、2015年以前にどの内部リスクシグナルが存在したか、または各チームが2018年以前に問題をどのように理解していたかを完全には示していません。これらの未知数は、根拠のない確信で埋められるべきではなく、より強力な証拠要件の理由として扱われるべきです。プラットフォームが封じ込めを示せない場合、立証責任はユーザーが自分のデータの行き先を証明することにあってはなりません。
ソーシャルメディアプラットフォームを広報、広告、有権者コミュニケーション、または研究に使用する機関のための調達の教訓もあります。公的機関、大学、慈善団体、メディア組織、キャンペーンは、プラットフォームツールをオーディエンスインフラとして扱うことがよくあります。彼らは広告を購入し、ページを運営し、アプリを承認し、共有ツールを埋め込み、または分析を使用するかもしれませんが、プラットフォームの執行に対する直接の力はありません。Cambridge Analytica は、機関利用者がプラットフォームが高リスクのデータアクセス、政治セグメントの保護、アプリレビューのエスカレーション、監査権、削除検証、ユーザー通知しきい値を文書化できるかどうかを尋ねるべきであることを示しました。これらの質問はプライバシー担当者だけでなく、調達、キャンペーンコンプライアンス、情報セキュリティ、公的コミュニケーション、取締役会の監視に属します。
同じ教訓は開発者にも適用されます。健全なアプリエコシステムには有用なアクセスが必要ですが、有用なアクセスはリスクに応じて段階的に行われるべきです。低リスクの統合はより軽いレビューに従うことができます。ソーシャルグラフ、友人、プロフィール、政治的、人口統計的、行動データを要求するアプリは、より強力な目的制限、ログ記録、撤回義務を必要とします。開発者は、アクセスが条件付きであり、後の悪用がアカウント停止だけでなく証拠要件を引き起こす可能性があることを知っているべきです。プラットフォームは、合法的な開発者がルールを理解し、ユーザーが許可要求がなぜセンシティブかを理解できるように、これらの義務について十分に公開すべきです。执行モデルに関する秘密は攻撃者を保護できますが、完全な不透明性は公の信頼も弱める可能性があります。
ユーザーにとって、この事件は表面管理とデータ管理が同じではないことのリマインダーです。ユーザーはアプリを削除し、設定を変更し、アカウントを閉鎖できますが、これらのアクションはすでに別のシステムに輸出されたデータを呼び戻せないかもしれません。そのため、ユーザーアクションは無意味ではありません。それは、ユーザー側の管理が、将来のアクセス、過去の輸出、削除、通知に関するプラットフォーム側の保証と結合されなければならないことを意味します。プライバシー設定は、何を防げるか、何を元に戻せないか、そして第三者境界が破られたときにプラットフォームが人々にいつ通知するかを述べるべきです。
説明責任の基準は執行可能な同意である
最終的な説明責任の基準は執行可能な同意です。同意は、ユーザーが何がプラットフォームを離れるかを知らない場合、友人がアプリ固有の選択なしにユーザーを露出させる可能性がある場合、開発者がタイムリーな検出なしにデータを流用または共有できる場合、削除の約束が検証に取って代わる場合、既知の悪用が明確に開示されない場合、および政治データの使用がジャーナリストや規制当局の行動後にのみレビューされる場合、執行可能ではありません。執行可能な同意には、監査、制限、撤回、説明可能な許可システムが必要です。
確認された事実はこの基準を支持します。公開記録は、アプリデータ経路、FACEBOOK の停止通知、最大8700万人の影響を受ける人々の推定、FTC の罰金と命令、SEC の開示和解、ICO の罰金、カナダのプライバシー所見、議会の審査、および民事訴訟和解プロセスを確認しています。エビデンスに基づく結論は、より広範なガバナンス結論を支持します。FACEBOOK のプラットフォーム管理は、プラットフォームが可能にしたデータフローの市民的およびプライバシーリスクに対応していませんでした。不明なままのものは、完全な後流使用、内部考慮、および個人レベルの損害です。
責任は実践的な管理に従うべきです。FACEBOOK はプラットフォームアーキテクチャと執行モデルを管理していました。開発者は自らのアプリと条件遵守を管理していました。政治データ会社とキャンペーンは分析サービスの調達と使用を管理していました。規制当局は事後執行を管理していました。ユーザーは狭い選択肢のみを管理しており、友人のデータアクセスが関与する場合、時にはそれさえも管理していませんでした。この地図が、Cambridge Analytica が最初の見出しから何年も経った今でも生きている説明責任ケースであり続ける理由です。
クラウドおよびプラットフォームガバナンスへのより広範な教訓は単純ですが挑戦的です。データアクセスルールは、評判の言葉ではなく運用管理として構築されなければなりません。プラットフォームは、データが境界を離れると回復が不確かになり、公の信頼を回復するのがより難しくなると想定すべきです。より安全な管理は、最小化、目的審査、狭い許可、開発者レビュー、異常アクセスの監視、迅速な停止、検証済み削除、および封じ込めが不確かな場合のユーザー通知による防止です。
したがって、FACEBOOK の Cambridge Analytica の記録は、すべての政治的問題に答えるからではなく、正しいインフラ質問を提起するため、リスクファイルに属します。プライベートプラットフォームがアイデンティティ、ソーシャルグラフ、広告、政治的コミュニケーション、第三者アクセスのゲートキーパーになるとき、その許可システムはもはや単なる製品機能ではありません。それは公の説明責任インターフェースです。テストは、プラットフォームが同意、執行、削除、開示、是正が機能することを、外部者が記録を強制する前に証明できるかどうかです。

