今回のトリニティの研究は、データ関連法規や規制のグレーゾーンに踏み込んでいる。ただし報告書では「これは技術的な研究であり、法的な判断を目的とするものではない。我々は法的な資格を有していない」と明記している。それでも「グーグルが行っているデータ保存は、EUのe-プライバシー指令やGDPR(EU一般データ保護規則)に抵触する疑いがある」と指摘する。すべてのデータ測定がアイルランドで行われ、そこではこれらの法律が適用されるためだ。
報告書は「e-プライバシー指令は別名『Cookie法』とも呼ばれ、『電子通信ネットワークのユーザーのデバイスやそこに保存された情報は私的領域の一部であり、保護が必要である』と認めている」と説明する。これにより、「加入者またはユーザーの端末機器に保存されている情報にアクセスすること、または情報を保存することは、(a)加入者またはユーザーがその使用に同意し、(b)データ保護法に従い明確かつ包括的な情報が提供され、(i)目立つかたちで表示され簡単にアクセス可能であり、(ii)情報の処理目的を含む場合に限って許可される」と制限されている。例外は「電子通信ネットワークを介した通信の伝送のみを目的とする場合」や「加入者またはユーザーが明示的に要求した情報社会サービスの提供に厳密に必要な場合」に認められる。
これに対してグーグルは筆者の取材に「この報告書は、ユーザーに役立つ製品やサービスを提供するうえで欠かせないグーグルの技術やツールをいくつか取り上げています。研究者らは法的な資格を有していないと認めており、当社は彼らの法的分析には同意しません。Androidにおいてユーザープライバシーは最優先事項であり、当社は適用されるすべてのプライバシー法規や規制を遵守しています」と回答している。
なお、トリニティとリース教授がグーグルのデータ収集方法を報告するのは今回が初めてではない。2022年には「GoogleメッセージとGoogle の電話アプリが送信するデータによって、発着信のタイミングなどがグーグルに伝わり、通話にかかわる複数の端末を紐づけることが可能になる。電話番号も送信される」と警告している。
