非営利のプライバシー擁護団体「None of Your Business」(noyb)は、TikTok、AliExpress、SHEIN、Temu、WeChat、Xiaomiに対して、中国への違法なデータ転送を理由にGDPR(一般データ保護規則)に基づく苦情を申し立てました。
苦情申し立ての背景
None of Your BusinessによるとAliExpress、SHEIN、TikTok、Xiaomiが各社のプライバシーポリシーに従ってデータを中国に転送していることはわかっていますが、
TemuとWeChatは第三国への転送について言及していますが具体的な企業名の記載はありません。そのため、TemuとWeChatの企業構造から判断すると、これには中国が含まれる可能性が高い。としています。
また、どの企業も苦情申立人のアクセス要求に適切に回答しなかったため、これには中国も含まれると想定せざるを得ないとしています。
基本的にEUでは、EU外への個人データ転送は厳しい条件を満たす場合にのみ許可されおり、一方中国は権威主義的な監視国家であるため、企業がEUユーザーのデータを中国政府によるアクセスから守ることは現実的に不可能で、中国の企業が利用しているポリシー標準契約条項(SCC)」も中国国内法との矛盾により有効に機能しません。
また中国のデータ保護法は、中国当局によるアクセスを一切制限していません。
上記の理由から今回の苦情申し立てとなりました。
各国の苦情申し立て
- ギリシャでTikTokに対する苦情
- ギリシャにおけるXiaomiに対する苦情
- イタリアにおけるSHEINに対する苦情
- ベルギーにおけるAliExpressに対する苦情
- オランダにおけるWeChatに対する苦情
- オーストリアにおけるTemuに対する苦情
賠償金について
同団体はデータ保護当局に対し、中国へのデータ転送を即時停止するよう要求し、データ処理慣行をGDPRの要件に準拠させるよう要請し将来同様の違反を防ぐため、行政罰金を科すよう求めています。
このような罰金は、世界全体の収益の最大4%に達する可能性があり、たとえば、AliExpressの場合は1億4,700万ユーロ(年間収益36億8,000万ユーロ)、 Temuの場合は13億5,000万ユーロ(年間収益338億4,000万ユーロ)になる可能性があります。
