非営利のプライバシー擁護団体「None of Your Business」(noyb)は、欧州ユーザーのデータを不法に中国に転送し、欧州連合(EU)の一般データ保護規則(GDPR)を侵害したとして、TikTok、AliExpress、SHEIN、Temu、WeChat、Xiaomiの6社を提訴した。
オーストリアのプライバシー活動家マックス・シュレムスによって設立されたNOYBは、特にデータ転送、オンライン追跡、監視などの分野で、ユーザーのプライバシー権を侵害する企業に対する法的措置を通じて活動している。
noybは、ギリシャ、イタリア、ベルギー、オランダ、オーストリアのデータ保護当局(DPA)に、同国のユーザーを代表して苦情を申し立てた。
書類の中で非営利団体は、中国が市民のデータを積極的に収集し、制限なく処理していることがEUのデータ保護法に反していることを強調している。
GDPRによれば、欧州圏外へのデータ転送は例外としてのみ許可されるべきであり、データが国家(または他国)の不正アクセスから厳重に保護されていることを証明する必要がある。
「中国が権威主義的な監視国家であることを考えれば、中国がEUと同レベルのデータ保護を提供していないことは明らかです」とnoybのデータ保護弁護士であるKleanthi Sardeliは述べている。
noybによると、中国企業はGDPR第5章、特に第44条(一般的移転原則)、第46条(保護措置の欠如)、第46条(1)(適切な影響評価の不履行)に違反しているという。
同弁護士はまた、中国国家当局からのデータアクセス要求に対し、企業は正当な理由なく応じなければならない、あるいは一定の条件下で提供を制限しなければならないと述べた。
noybは、シャオミが以前、透明性報告書を通じて、中国当局が「無制限」にユーザーの個人データへのアクセスを要求し、取得できることを認めていることを強調している。
このリスクに加え、noybは、欧州のユーザーがデータアクセス要求を当該企業に無視されていることについても言及している。
同条は、管理者である今回の中国企業6社に対し、どのような個人データを保有し、どのような目的で処理しているのかを知らせるよう求める権利を与えている。
以上のことから、noybは現在、欧州5カ国で以下のGDPR苦情を申し立てている:
当団体は、データ保護当局に対し、中国へのデータ移転の即時停止を要求し、データ処理慣行をGDPRの要件に合致させるよう要請する。
データ保護当局が入手可能な証拠を調査する過程でGDPR違反を発見した場合、当該企業は全世界の年間売上高の最大4%に達する行政制裁金の支払いを求められる可能性がある。
シャオミとテムの場合、罰金はそれぞれ最大17億5000万ドルと13億5000万ドルに達する可能性がある。
noybの措置について、中国企業6社にコメントを求めたので、回答が得られ次第、この記事を更新する。
Comments