なぜ『アカウント削除』は常にすべてのユーザーに自動的に提供されないのですか？

前回私が個人的にレビューしたとき、Discourseは主に同意に基づく処理に依存しておらず、主に正当な利益でした。

特に、他の参加者のために、他の人と交わした会話の内容を保存することには significant legitimate interest があり、これがアカウントのすべての投稿の即時削除を行わないことを正当化します。

免責事項：Discourse の観点からいくつかの側面を見落としている可能性があります。

会話の内容を保存することに対する正当な利益

実質的に、「ユーザーが望む場合に明確な記録を保持するというユーザーの利益を上回る」有効な利益は、私には見当たりません。憲法上の利益、プラットフォームの利益、およびユーザーのプライバシー権との間で、バランステストを行う必要があります。

このEU文書では、GDPR における正当な利益についても議論しています（p. 4）。

第 7 条 [第 6 条？] では、個人データは、その条に記載されている 6 つの法的根拠の少なくとも 1 つが適用される場合にのみ処理されることを要求しています。特に、個人データは、(a) データ主体の一義的な同意に基づいて処理されるか、または、簡潔に言えば 3、処理が必要な場合にのみ処理されます。
(b) データ主体との契約の履行。
(c) 管理者に課せられた法的義務の遵守。
(d) データ主体の生命に対する利益の保護。
(e) 公共の利益のために行われるタスクの実行。または
(f) 管理者が追求する正当な利益。ただし、データ主体の権利と利益とのバランスをとる追加テストの対象となります。

おそらく、GDPR 第 6 条、特に第 1 項について議論していると思われます（6 と 7 は時間の経過とともに交換された可能性があります）。

処理は、少なくとも次のいずれかが適用される場合に限り、合法となります。
(a) データ主体は、1 つ以上の特定の目的のために、自己の個人データの処理に同意を与えた。
(b) 処理は、データ主体が当事者である契約の履行、または契約締結前にデータ主体からの要求に応じて措置を講じるために必要な場合。
(c) 処理は、管理者が従うべき法的義務の遵守のために必要な場合。
(d) 処理は、データ主体または他の自然人の生命に対する利益を保護するために必要な場合。
(e) 処理は、公共の利益のために行われるタスクの実行、または管理者に付与された公的権限の行使のために必要な場合。
(f) 処理は、管理者または第三者が追求する正当な利益のために必要な場合。ただし、そのような利益が、データ主体、特に子供である場合の、データ主体の権利および基本的自由によって上回られる場合を除く。

それでは、一緒にバランステストを行いましょう。ユーザーの基本的な（プライバシー）権があり、これは非常に特別な正当な理由またはユーザーの同意によってのみ制限できます。次に、会話を維持するという Discourse の利益があります。実質的に考えると、ユーザーが自分の写真​​を投稿してアカウントを「削除」（ここでは擬似匿名化）した場合、例えば複数回投稿された（個人）写真を完全に削除する手段はありません。別の側面として、他のプラットフォームは会話データを保持しておらず、ほとんどの会話には古い会話を保持する理由がない可能性が非常に高いです。投稿から個人情報を正常に削除するための別の自動化された方法が関与している場合、それはあなたの有利になるバランステストを置くことができると思いますが、その観点からはユーザーの利益がプラットフォームの利益を上回ります。

「芸術的表現またはジャーナリスティックな表現」（p. 11）は、プラットフォーム上の単なるランダムなコンテンツには適用されません。著者は（趣味の）芸術家または（趣味の）ジャーナリストである必要があり、基準が適用されるのは個々の（ジャーナリスティック、芸術的）投稿にのみ適用されます。公共の利益（例：国家安全保障）や表現の自由（例：政治的または意見に基づいた論争的な投稿）と同様です。

これも見てみましょう（p. 11）。

正当な利益の根拠は、同意以外の根拠とともに、「必要性」テストを必要とします。これは、それぞれが適用できる文脈を厳密に制限します。[…]

最善の意図をもってしても、必要性を示す単一の点は見当たりません。単に、削除されるアカウントから古い投稿を削除すると、会話がバラバラになる（長年ほとんど触れられていない）というだけで、おそらく有効な根拠ではありません。ユーザーは削除された投稿をスキップしたり、まったく見なかったりする可能性があると主張でき、ほとんどの場合、他のユーザーが引用を含め、前の投稿の内容を間接的に明らかにします。

さらに重要なのは、ユーザーからの削除リクエストであり、これは明確に異議を唱える権利を行使し、同意だけでなく、多くの場合正当な利益さえも除去します。

最後に、これは最も重要な側面です（p. 17）。

ユーザーのデータの処理は最終的にユーザーの裁量に委ねられているため、データ主体の同意の有効性と範囲に重点が置かれます。

より一般的に、現在、ユーザーはGDPRで定められた削除権を剥奪されており、以前引用したように、簡単に登録できるような簡単な（完全な）削除方法を提供する必要があります。さらに、削除とともに同意は消滅し、正当な利益を確立できなかった（まだ？）ため、それは違法なデータ処理になります（正当な利益なし、同意なし）。

しかし、Stephenが言ったこと：

表現の自由はより広範です。私が以前言ったことを繰り返します：

GDPR第17条3項

1項および2項は、処理が必要な範囲においては適用されない。

• 表現および情報の自由の権利を行使するため。

第65条 #5

しかしながら、個人データのさらなる保持は、表現および情報の自由の権利を行使するために必要な場合は、合法であるべきである。

（これは、データ主体が同意を撤回した場合でも、個人データの保持が合法であることを意味します）

そして、これはフォーラムの所有者が実際のフォーラム投稿を保持するために使用できます。

（出典：オランダのインターネット弁護士Arnoud Engelfriet、記事（オランダ語）を参照）

なるほど、私の発言を再構築しようとしたのですね。何度も読み返し、さらに深く考えた結果、個人情報（PII）があなた自身の情報と同一である、またはその逆の場合、あるいはその両方に関連する情報が保護を必要とするケースを、あなたの発言がカバーしていないという結論に至りました。一見矛盾しているように聞こえるかもしれませんが、それは確かに可能です。

これらのケースは、私の短い発言でカバーされています。GDPRやプライバシー法のような法律の理解と意図を含めようとしました。最初は言葉の選択を間違えたように見えるかもしれませんが、事実をより明確に表しているため、あなたの評価には丁寧に異議を唱えさせていただきます。まだ間違っている可能性もありますが^^

強調は私によるものです。65番目の条文の冒頭部分を追加します。

特に、データ主体は、個人データが収集された目的に対してはやはや必要なくなった場合には、その個人データを消去し、もはや処理しない権利を有するものとする。

では、見てみましょう。

• フォーラムのメンバーになります
• 投稿します 議論に参加する目的で
• …
• 個人データを消去してほしい

「個人データが収集された目的に対してはやはや必要なくなった」という記述は真実ですか？
→ いいえ、投稿の一部としてフォーラムに提出した個人データは、議論に参加する目的で、依然として必要です。

個人データを消去する権利はありますか？
→ いいえ、議論に参加する目的で、依然として必要だからです。

もう付き合いたくないと思ったら、処理の根拠を変えることはできません。

この条文は理由があって存在します。この正確なケースを明確にするために存在します。

まず、「表現および情報への自由の権利」は、第17条(3a)において、ユーザーによってのみ行使されるものです。

GDPR第17条(3)は次のように述べているだけです。

「[…] 処理が必要である 範囲においては、適用されない」

これは、必要性テストと、第6条GDPRで定義されており、独立して適用される利益衡量テストを組み合わせる必要があることを示しています。

これは、処理が必要であれば、実行できることを意味します。上記のように、それは必要ではありません。

個人データの保持は、表現および情報への自由の権利を行使するために必要な場合に合法であるべきです。

これは、セキュリティ（ログ）を維持するための正当な利益となりうるサーバーサイドの非公開ログ、およびユーザーが自身の意思で意見や芸術的またはジャーナリスティックな表現の投稿を保持したい場合にのみ適用され、同意が異議を唱えられたり撤回されたりした場合には与えられません。

これは、フォーラムの所有者が実際のフォーラム投稿を保持するために使用できます。

法律の意図とEU弁護士自身の解釈は、この考えと矛盾しています。これが使用できるという兆候はありません。オランダの弁護士が記事の下で、ジャーナリスティックな表現とは、ユーザーがコンテンツに関係なく、ジャーナリスティック/芸術的かどうかに関係なく、いくつかのランダムな投稿をすることであるとコメントしています。例えば、1000件の絵文字の投稿はジャーナリスティックではなく、法律上も意見とはみなされません。

ユーザーは自分の名前の削除を要求でき、投稿に名前を保持する必要はありません。それは誰にでも悪用される可能性のある、あまりにも広範な法的抜け穴となるでしょう。したがって、これが実際に正しい解釈である可能性は低いです。

そして、その文脈における「ユーザーデータ」とは何を意味しますか ヒント：開発者やコーダーが「データ」という言葉を理解するのとは異なります。

GDPR は、著作権を定義するすべてのものの代わりにはなっていませんし、これからもなることはありません。個人の投稿や写真などの コピー を取得する権利は、著作権上の理由ではなく、事実上の独占企業に対するスピードバンプ（IMO、下手な方法）を作るための試みです。

そのテキストは保護されていません。私のメールは保護されています。そして、どちらも異なるデータの一部です。

引用の仕方は気に入っていますが、基本的な点を見落としています。それを追加したいと思います。

ただし、個人データのさらなる保持は、表現の自由および情報への権利の行使、法的義務の遵守、公共の利益における、または管理者に付与された公的権限の行使における、公衆衛生分野における公共の利益、公共の利益におけるアーカイブ目的、科学的または歴史的研究目的または統計目的、あるいは法的請求の確立、行使または防御のために必要な場合、合法であるべきです。

以前に示したように、必要のない投稿を続けることは、これらの正当な利益のいずれにも該当しません。また、この段落は、その範囲がそれほど広くないことを示しています。

特に、個人データが収集またはその他の方法で処理された目的との関係で不要になった場合、データ主体が同意を撤回した場合、または個人データに関する処理に異議を唱えた場合、あるいは個人データの処理が本規則にその他の方法で準拠しない場合、データ主体は個人データを消去し、それ以上処理しない権利を有するべきです。3 この権利は、特にデータ主体が子供の頃に同意を与え、処理に伴うリスクを十分に認識しておらず、後にそのような個人データ、特にインターネット上から削除したい場合に関連します。4 データ主体は、もはや子供でなくなった場合でも、その権利を行使できるべきです。

したがって、

ディスカッションへの参加の目的

は、公共の利益、表現の自由、公的権限、公衆衛生、科学的またはアーカイブ目的ではありません。法的請求の行使または防御も含まれません。

こちらに、より正確に記載されています。

6. 法定および政府の目的
7. 司法および議会の目的
8. 機会均等または待遇
9. 上級レベルにおける人種的および民族的多様性
10. 不法行為の防止または検出
11. 公衆の保護
12. 規制要件
13. ジャーナリズム、学術、芸術、文学
14. 詐欺の防止
15. テロ資金供与またはマネーロンダリングの疑い
16. 特定の障害または病状を持つ個人への支援
17. カウンセリング
18. 子供およびリスクのある個人の保護
19. 特定の個人の経済的福祉の保護
20. 保険
21. 職業年金
22. 政党
23. 選出された代表者への要求への対応
24. 選出された代表者への開示
25. 囚人に関する選出された代表者への通知
26. 法的判決の公開
27. スポーツにおけるアンチドーピング
28. スポーツにおける行動基準

これらはDiscourseには適用されません。

特に、投稿に非常に機密性の高い情報が含まれている場合、それらは削除する必要があり、保持する根拠はありません。以前に説明したとおりです。

その通りです。それがGDPRです。コンテンツそのものの問題でもなく、アカウント削除を誰がどのように管理するかの問題でもありません。そして私のフォーラムは単なる個人的なプロジェクトの一つにすぎません。GDPRは適用されませんが（もちろん、なぜそうしないのか、従っています）。

それは英国の文書であり、GDPRの一部ではありません。

もちろん、そうではありません。それに関する判例があります。例えば、こちらとこちらをご覧ください。

特定の投稿に特定の個人情報が含まれている場合、ユーザーはその投稿から特定の個人情報の削除を要求できることに同意します。その場合、投稿の削除を維持しながら特定の個人情報を削除することは、会話を破壊するものではないため、ユーザーの利益はフォーラム所有者の利益を上回ります。

それは英国の文書であり、GDPRの一部ではありません。

これは、GDPRの「公益」に対する英国の解釈であり、GDPR第65条に準拠しています。

それに関する判例があります。

最初のケースは、男性が元パートナーに銃の絵文字を送ったというものです。彼女は死の脅威を感じ、訴訟を起こしました。裁判所は彼女の訴えを支持しました。

2番目のケースでは、イスラエルの小規模裁判所がDahan v. Haim事件において、「絵文字は家主/借家人事件において意図を証明できる」と判決しました。これは、その特定のケースにおいて解釈の余地があり、それが意図を意味するかどうかによるためです。より完全な読み物はこちらで見つけることができます。

最初のケースと同様に、2番目のケースも絵文字が表現の自由または情報であるかどうかを判断したわけではありません。どちらのケースもEUのGDPRおよびその国際的なバリアントには適用されません。イスラエルのケースでは、それは彼らの管轄外であり、GDPRはそれの一部ですらないため、絵文字が特定の意味で解釈できる2つのケースを示しましたが、それらを一般的な判例やGDPR解釈における国際法に適用するには曖昧すぎます。

_

特定の投稿に特定の個人情報が含まれている場合、ユーザーはその投稿から特定の個人情報の削除を要求できることに同意します。その場合、投稿を保持したまま特定の個人情報を削除することは、フォーラム所有者の利益よりもユーザーの利益が優先されるため、会話を破壊するものではありません。

少なくとも部分的に合意できて嬉しいです！ユーザーがアカウントを削除した場合、すべての投稿に対してどのように区別しますか？したがって、すべてを自動的に削除する方が簡単です。GDPRは、プラットフォームにその区別を行い、登録と同様に、削除プロセスを可能な限り容易にする責任も負わせています。数千もの投稿がある場合、個々の投稿をフラグ付けすることは、GDPRの意図に強く反しており、ユーザーの利益を侵害します。

それは私が投稿した判例よりもさらに無関係です。（ちなみに、GDPRに限定した発言でもありませんでした。広範な発言を投稿すれば、広範な応答が得られます）。

削除された投稿が多い議論を追いたい人にとってはそうではありません。

いいえ

誰も個々の投稿をフラグ付けする方法だとは言っていません。「投稿したすべての投稿で、私の住所と電話番号を***に検索して置き換えてください」ということについて、何が問題なのでしょうか？

面白いことに、GDPRは「過剰な要求」で氾濫することに対する処理者の利益に対処しています。

「> 私のフォーラムは単なる個人的なプロジェクトです」

さて、それでも Discourse は「Civilized Discourse Construction Kit, Inc」という会社の傘下にあります。

たとえ自分でボードを運営し、自分のサーバーで実行し、GDPR が適用されないとしても、ユーザーの州（または場所、ケースによります）の国内規制が適用されます。

結局のところ、それを回避する方法はありません。

「> コンテンツそのものではなく、アカウント削除を誰がどのように担当するかという問題ではないのですか」

上記のように、それは重要です。GDPR が適用される場合、a) 利益または同意があること、b) 必要性または正当な利益があること、c) 情報の保持または処理の目的があることを証明する必要があります。同意も正当な利益もなく、または目的の範囲外で使用している場合、法律を実質的に破っているため、法的リスクを負うことになります。

ほとんどの法律の意図は非常に明確であり、それに従う必要があります。好き嫌いは関係ありません。法的リスクまたはコンプライアンスリスクを冒すことはできますが、リスク評価でそうする企業や個人もいますが、それはおそらくあなたのお金や自由（一定期間）を奪うことになるでしょう。あなたの選択です^^

\u003e 私が投稿した判例ほど無関係ではない。

英国政府のような国際機関（GDPRを1対1で部分的にコピーし、現在も適用している）の法的解釈が、あなたの意見では「無関係」だということですか？

「無関係」だからといって、全く関係のない2つのトピックを投稿することが正当化されるのですか？つまり、絵文字が脅迫にあたるかどうか、そしてそれが意図を含意するかどうか？それは私の主張を全く反証しません。

\u003e 投稿が多数削除された議論を追いたい人にとってはそうではありません。

いや、まだ多くのユーザーからの引用があり、間接的に内容を示しています。そして、プラットフォームの利益はユーザーのプライバシーの利益を上回るものではありません。バランステストと必要性テスト（上記、特にEUの文書を参照）です。

\u003e 「私の住所と電話番号を私が投稿したすべての投稿で***に検索して置き換えてください」ということの何が問題なのですか？

それはGDPRの意図に反するからです。そして、管理者としてあなたはそうしたくないでしょう。ユーザーの5000件の投稿すべてを読み、個人情報やその他の身元情報が含まれているかどうかを確認するために2時間以上費やしたくないでしょう。だから、法律で要求されているように、できるだけ簡単にするか、あるいはひどいものにして一生懸命取り組むかのどちらかです… ^^

\u003e 面白いことに、GDPRは「過剰な要求」で氾濫させられることに対する処理者の利益に対処しています。

ほとんどの場合、いかなる法律の濫用も国内法によって保護されています。通常、それには差止命令を使用します。それらは、そのような悪意のある要求を処理する責任からあなたを解放することができます。

そして、ちょっとした補足ですが、ここでは明らかな個人情報や身元情報だけでなく、間接的に個人情報や身元情報につながるものも削除しなければなりません。電話番号や投稿された写真に写った自分の顔だけでなく、間接的なつながりも削除する必要があります。GDPRはそれらにも適用されるためです。

その通りです。EU域外の国がEUの規則をコピーし、独自の法的解釈を加えても、それはEU規則の（解釈にとって）無関係です。なぜなら、そのような解釈は（第三国の法的システムにおける）文脈で行われるのであって、EUの文脈ではないからです。それに加えて、このような議論で不合理なチェリーピッキングを許してしまうことになります。

それらを指摘するのはユーザーの責任です。フォーラムの所有者にその解釈を合理的に期待することはできません。なぜなら、所有者はすべての参照元を把握しているとは限らないからです。また、この間接的な個人情報は、ユーザーが行った投稿に限定される必要はありません。例えば、あなたが私の自宅住所をここに投稿した場合、私は削除を要求できます。しかし、私はMetaの管理者に「ねえ、私の自宅住所をすべての投稿から削除して」と依頼することはできません。彼らは私にa) 特定の投稿を指摘するか、b) 私の自宅住所を尋ねて検索と置換を実行するように求めるでしょう。

検索と置換コマンドの発行は、「すべての投稿を読む」ことを必要としません。

では、どちらについて話していますか？GDPRですか、それとも例えばカリフォルニアですか？このトピックではGDPRが常に話題に上がるので。

いいえ、そうではありません。

これはそれほど難しくありません。GDPRは、CDCKが私の個人データ/情報を自由に扱えないように私を保護します。GDPRは、私がここに何を書いたかには関心がありません。それは全く別の話です。

本当に、それは単純なことです。ドイツでさえそうです。

いいえ。

「これらを指摘するのはユーザーの責任です。」

いいえ。GDPRは、処理者/収集者が収集されたデータを追跡することを要求しています。それがGDPRの意図です。

「私のアイデンティティへのすべての参照を認識していない可能性があります。」

まさに、私が指摘した問題です。

検索と置換は、既知のリンクと単語ごとのコンテンツにのみ機能しますが、GDPR準拠のプロバイダーとして、間接的なリンクも削除することを保証する必要があります。ユーザーが異議を唱えたり、同意を撤回したりした場合です。

「EU規制（の解釈）には関係ありません。」

同意しません。まず、それが（国際）法が機能する方法ではありません。第二に、それはGDPR規制下にあった英国政府がGDPRのその側面をどのように解釈したかを示しています。さらに、英国は国内法と国際法を調和させることに利害関係があります。だからこそ、彼らがそれをどのように解釈したかを読むことは興味深く、彼らは他の国やその機関と同様にそれを解釈しました。

GDPRは、このトピックについて常に表示されます。

それは、一部の人々が見ることを拒否するかもしれませんが、理由があるのかもしれません。

この時点で、GDPRについて話しています。正式には、GDPRは加盟国の国内法ではなく、国際法の一部です。GDPRが適用されるユーザー（例：プラットフォーム上のドイツ人）にも適用されます。そのためには、第1～3条、つまり適用範囲、物質的範囲を参照してください。「プライベートボード」は、第2条(2)項GDPR（gdpr-info[.]eu/art-[n]-gdprを参照）によって規制されます。

第1条 GDPRは、その意図をさらに明確にしています。

(1) この規則は、個人データの処理に関して、自然人の保護に関する規則、および個人データの自由な移動に関する規則を定める。
(2) この規則は、自然人の基本的権利および自由、特に個人データの保護に対する権利を保護する。
(3) 個人データの自由な移動は、個人データの処理に関して自然人を保護する理由で、連合内での移動を制限または禁止してはならない。

GDPRは、CDCKから私を保護します[…] GDPRは、私がここに書いたことには関心がありません。

今、あなたは二度目の推測をするチャンスがあります。

その他の国内および国家間の法律:
カリフォルニア州消費者プライバシー法（CCPA）を見ると、多くの例外などがあります。しかし、彼らはGDPRにできるだけ近づくようにしました。しかし、それは「単なる」州法です。
E.U.-U.S. Data Privacy Frameworkを参照することをお勧めします。これは、長い間無効と宣言されたEUプライバシーシールドの後継として再作成されました。それは、REGULATION (EU) 2016/679（p.1 in (1)）に明示的に言及しています。ここでは、以前に述べられた必要性、目的、および限定された保持期間の範囲に加えて、6ページの下の2.2.3 (20)および(22)で、選択原則を再び目にします。

いいえ。

あなたの推論の背景はわかりませんが、私が読んだ文書やリンクした文書は反対を示しているので、私は同意したくありません。

よろしく

/E: 「新しいメンバーは投稿ごとに2回しかリンクできません」という理由で、他のリンクを削除しなければなりませんでした。なぜだか知りませんが…
/E1: 今、何も投稿できなくなりました^^

私がEU-米国データプライバシーフレームワークを正しく読んでいることを誰かに見てもらいたい場合は、ここを見てください。katten[.]com/key-principles-and-considerations-for-participation-in-the-eu-us-data-privacy-framework

CCPAについては、oag.ca[.]gov/privacy/ccpを参照してください。

すべての法律を再読した後、私の議論はおそらく正しいという結論に至りました。私はまだ間違っているかもしれませんが、遠慮なく私の中心的なポイントを反論してください。例えば、それに反する判例を指摘したり、私の評価と矛盾する関連法の部分を指摘したりすることによって。

私たちはDiscourse上にいるので、議論できると信じています。うまくいけば、私たちは皆、私たちを保護する法律への理解を深め、それによってDiscourseをさらに改善することができます。良い議論プラットフォームは、法律により準拠し、私たちのプライバシーをさらに保護するはずです。

アカウントと投稿を匿名化または削除するボタンをください。後者が望ましいです。

あなた（Discourse）は、ユーザーが自身のデジタルフットプリントを管理できるように支援すべきです。人々がアカウントを使い続けることを期待して障壁を設けるべきではありません。フォーラムは、アカウント内でこれを自動化するボタンを提供する多数のソフトウェア企業の例と比較して、特別なものではありません。

このアカウントとその投稿を匿名化または削除してください。 よろしくお願いいたします。