オーストリアに拠点を置く欧州デジタル権利センター(Noyb)は、EU一般データ保護規則(GDPR)違反の疑いで、中国企業6社に対して苦情を申し立てた。
被申立企業には、AliExpress、Shein、Temu、TikTok、WeChat、Xiaomiが含まれる。
非営利団体は、これらの企業が欧州の個人データをEU域外、特に中国へ違法に送信していると主張している。
中国への違法なデータ移転
AliExpress、Shein、TikTok、Xiaomiはプライバシーポリシーで中国へのデータ移転を明示している一方、TemuとWeChatは開示されていない「第三国」に言及するのみだ。
TemuとWeChatの企業構造によれば、これには中国が含まれる可能性が高いとNoybは述べた。
GDPRに準拠するため、EUで事業を行う企業は、「適用除外(derogations)」の恩恵を受けない限り、欧州のデータをEU域外へ移転することは認められていない。
さらに、EU域外へのデータ移転が認められる場合であっても、GDPRの適用を受ける企業は、個人データの安全性を確保するための厳格な要件を満たさなければならない。
Noybは公開声明で、典型的な手続きは標準契約条項(SCCs)に依拠することだと説明した。これは、中国側の受領者がEUの保護措置に従うことを誓約する契約である。
これは、移転先の国で欧州のデータが安全であること、またSCCsがデータへのアクセスを求める国内法と抵触しないことを検証する、徹底した影響評価の後に可能となる。
Noybのデータ保護弁護士であるクレアンティ・サルデリ氏は、「中国が権威主義的な監視国家であることを踏まえれば、中国がEUと同等のデータ保護水準を提供していないことは明白です。欧州の個人データの移転は明らかに違法であり、直ちに停止しなければなりません」と述べた。
Xiaomiの透明性レポート
さらにNoybは、Xiaomiの透明性レポートを分析し、中国当局がXiaomi顧客の個人データに「(無制限の)アクセスを要求し、取得する」リスクを裏付ける内容が確認されたとした。
- 中国当局はXiaomi顧客の個人データへのアクセスを大規模に要請している一方、EU当局からの要請はごく少数にとどまっている
- Xiaomiは、こうした中国当局の要請にほぼ常に応じている
- 中国には、市民が政府の監視に関する問題を提起できる専用の機関が存在しないため、外国の利用者が中国のデータ保護法に基づく権利を行使することはほぼ不可能である
GDPR苦情の提出
Noybによれば、EUの申立人は、データが中国またはEU域外の他国へ送信されているかを確認するため、6社に対してGDPR第15条に基づくアクセス請求を行ったが、いずれも十分に回答しなかった。
そのためNoybは、欧州5か国で6件のGDPR苦情を提出し、EUのデータ保護当局に対し、中国へのデータ移転の停止を直ちに命じること、ならびに当該企業にGDPR遵守を求めることを要請した。
最後に、この非営利団体は、データ保護当局に対し、世界売上高の最大4%に相当する制裁金を科すよう求めた。
このような制裁金は、AliExpressであれば1億4700万ユーロ(1億5100万ドル)、Temuであれば13億5000万ユーロ(13億9000万ドル)に相当する。
翻訳元: https://www.infosecurity-magazine.com/news/noyb-gdpr-complaints-tiktok-temu/
