プライバシー権利擁護団体「None of Your Business (noyb)」は1月18日、TikTok、AliExpress、SHEIN、Temu、WeChat、Xiaomiの中国企業6社に対し、欧州連合(EU)の一般データ保護規則(GDPR)に違反してEUユーザーのデータを中国に不正に移転しているとして、5カ国のデータ保護当局に申し立てを行った。
中国政府による無制限のデータアクセスが主な懸念材料に
オーストリアのプライバシー活動家Max Schrems氏が創設したnoybによると、これら6社は中国政府からのデータアクセス要請に対して、正当性の確認や条件付けなどの制限を設けることができない法的立場に置かれているという。特に深刻な問題として、中国当局からのデータアクセス要請に対して、企業側が要請の範囲や目的を制限する法的根拠を持たないことが指摘されている。
この状況を如実に示す事例として、Xiaomiの対応が挙げられる。同社は自社の透明性レポートにおいて、中国当局からのデータアクセス要請に対してほぼ100%の割合で応じていることを公表している。これは同時期における欧州経済領域(EEA)からの要請への対応数がわずか数件であることと比較して、著しい対照を成すものだ。
さらに深刻な問題として、中国におけるデータ保護法制度の構造的な課題も指摘されている。noybのデータ保護法律専門家Kleanthi Sardeli氏は、「中国は権威主義的な監視国家であり、EUと同レベルのデータ保護を提供できないことは明白である」と指摘する。具体的には、中国には政府の監視活動に関する問題を提起できる独立したデータ保護機関や法廷が存在せず、法律の適用範囲や解釈も不明確なままとなっている。
対象となった6社のうち、AliExpress、SHEIN、TikTok、Xiaomiの4社は、プライバシーポリシーにおいて中国へのデータ移転を明確に認めている。一方、TemuとWeChatは「第三国」へのデータ移転を言及するにとどまっているものの、両社の企業構造から見て、この「第三国」には中国が含まれる可能性が極めて高いとnoybは分析している。
特に懸念されるのは、欧州のユーザーが中国のデータ保護法の下で権利を行使することが事実上不可能な点だ。中国国内での法的救済手段が限られているだけでなく、外国のユーザーが自身のデータに関する権利を主張する実効的な手段が存在しないことが、問題をさらに深刻なものにしている。
EU域外へのデータ移転規制に違反、制裁金は最大2,000億円超えも
欧州連合(EU)の一般データ保護規則(GDPR)では、EUユーザーの個人データを域外に移転する際の規則を厳格に定めている。原則としてEU域外へのデータ移転は禁止されており、例外的に認められる場合でも、移転先の国が十分なデータ保護水準を確保していることを証明する必要がある。
noybは、これら企業がGDPR第5章、特に以下の条項に違反していると主張している:
- 第44条(データ移転の一般原則)
- 第46条(適切な保護措置の欠如)
- 第46条(1)(適切な影響評価の未実施)
今回の申し立てでnoybが特に問題視しているのは、中国へのデータ移転を正当化するために企業が用いている「標準契約条項(Standard Contractual Clauses, SCCs)」の適用が不適切だという点である。SCCsは、EU域外の企業がEUのデータ保護基準に従うことを約束する契約だが、これを適用するためには、移転先の国の法制度がその約束の履行を妨げないことが前提となる。
しかし中国の場合、政府機関による個人データへのアクセスに実質的な制限がなく、企業は政府からの要請を拒否できない。そのため、SCCsによる保護は実効性を持たないとnoybは主張している。これは具体的に以下のGDPR条項への違反を構成する:
第44条が定める一般原則に違反し、さらに第46条で要求される適切な保護措置も欠如している。加えて、データ移転に伴うリスクの評価も適切に実施されていないという。特に深刻なのは、ユーザーが自身のデータがどのように扱われているかを確認する権利(第15条)が実質的に無視されている点である。
これを受けてnoybは、5カ国のデータ保護当局に対して戦略的に分散した申し立てを行った。ギリシャではTikTokとXiaomiを、イタリアではSHEINを、ベルギーではAliExpressを、オランダではWeChatを、そしてオーストリアではTemuを、それぞれ対象としている。この戦略により、各国の当局が並行して調査を進めることが可能となる。
制裁金の規模も前例のないレベルとなる可能性がある。GDPRでは重大な違反に対して、全世界年間売上高の最大4%、または2,000万ユーロのいずれか高い方を上限とする制裁金を課すことができる。これを各社の売上高に当てはめると、急成長を遂げているTemuの場合、最大で13.5億ユーロ(約2,160億円)、Xiaomiは17.5億ユーロ(約2,800億円)という巨額の制裁金となる可能性がある。
特筆すべきは、各企業がこの問題への対応を迫られる時間的猶予が限られていることだ。noybは各国のデータ保護当局に対して、中国へのデータ移転の即時停止を命じるよう要請している。これが認められた場合、対象企業は早急にデータ処理方法の抜本的な見直しを迫られることになる。実務的には、欧州域内でのデータ保管・処理体制の構築や、中国本社とのデータ連携方法の再設計といった大規模な対応が必要となる可能性が高い。
Source
- None of Your Business: TikTok, AliExpress, SHEIN & Co surrender Europeans’ data to authoritarian China
コメント