公取委が個人情報保護委員会とは別にオンラインサービス規制を提案して、「サービスの対価として自らに関連するデータを提供する消費者」とか言い出してるけど、EUでも似たようなことが起きてたらしい。
欧州委員会がオンラインサービス規制のための新しい指令を起草して、そこで「消費者がサービスの対価を個人データで支払う……」とか書いてしまった。これに対し、欧州データ保護監督機関が「何すんじゃワレェ!」したのが以下の見解である。
https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en.pdf
EDPSはデータ駆動経済について、EUの成長のために重要であること、デジタル単一市場戦略として唱道されるデジタル環境において抜きんでていることを認めております。消費者法とデータ保護法とが共同し相補しあう関係にあることは私たちが一貫して論じてきたところであります。ですから、「デジタル商品」の提供を受ける条件としてデータを差し出すことを要求される消費者の保護を強化するために、デジタルコンテンツの供給にかかる契約に関する特有の側面にかかる2015年12月の委員会指令プロポーザルの意図しているところを、私たちは支持しております。
しかしながら、この指令のある側面は問題をはらむものです。というのも、これが適用可能なのは、デジタルコンテンツのために価額が支払われる場合だけではなく、デジタルコンテンツが金銭以外の個人データその他何らかのデータの形での反対給付と引き換えに供給される場合にも適用可能だからです。EDPSは、人々が金銭を支払うのと同じように自分達のデータを支払えるという考え方を導入するような規定を新たに定めることのないよう警告いたします。個人データの保護を受ける権利のような基本権は、単なる消費者利益に縮められるものではありませんし、単なるお値打ち品のように個人データを捉えることはできません。
最近採択されたデータ保護フレームワーク(以下「GDPR」といいます)は、未だ完全には適用可能でなく、新しい e-Privacy 制度は今も審議中でございます。ですから、EUとしては、立法者が協議されている入念なバランスをひっくり返すようなプロポーザルは、何であれ避けるべきものです。イニシアティブの重複は、デジタル単一市場の統一性を意図せずとも損ない、規制の断片化と法的不確実性をもたらすことになりかねません。デジタル経済における個人データの使用を規制する措置として、EUがGDPRを適用することをEDPSは推奨いたします。
「反対給付としてのデータ」という概念……このプロポーザルでは未定義のままです……は、所与のトランザクションにおけるデータの正しい機能について混乱を引き起こす恐れがございます。この点で供給者から明瞭な情報がないため、さらに難しいことになるでしょう。それゆえ私たちは、この問題を解決する一助として、EU競争法におけるサービスの定義を一考することをお勧めしますが、その地域範囲を定義するうえでGDPRの用いている規定が役立つかもしれません。
本見解では、このプロポーザルがGDPRとどのように影響し合うことになりうるかを検証いたします。
第一に、データ保護制度に基づく「個人データ」の定義が広範であるため、その効果により、この提案指令の対象となるデータが全て GDPRに基づく「個人データ」とみなされることは十分にありえます。
第二に、(個人データの)取扱いが発生する厳密な条件はGDPRで指定済みであり、この提案指令に基づく修正や追加を必要としておりません。このプロポーザルは反対給付としてデータを用いることを正当とみなしているようですが、GDPRでは、例えば、(本人の)同意の有効性を検査し、デジタル取引の文脈において(同意が)自由意思に基づくとみなしうるか決定するための、新たな条件を一式用意してございます。
最後に、消費者に与えるものとして提案されている契約終了時に供給者からデータを取得する権利と供給者がデータ使用を控える義務は、GDPRに基づくアクセス及びポータビリティ権やデータコントローラのデータ使用を控える義務とオーバーラップしている可能性があります。このことで、適用する制度について意図しない混乱をもたらすことになりえます。
https://edps.europa.eu/sites/edp/files/publication/18-10-05_opinion_consumer_law_en.pdf
本見解は、EU消費者保護規則のより良い執行と近代化に関する指令のプロポーザルと、消費者の集団的利益の保護のための代表訴訟に関する指令のプロポーザルからなる「消費者のための新しい取引」と題する立法パッケージに関するEDPSの立ち位置を概説しています。
EDPSは、目標において最近近代化されたデータ保護フレームワークと密接した領域で、既存の規則を近代化しようという同委員会の意図を歓迎します。EDPSは、個人データの大規模な収集と収益化、およびターゲットコンテンツを介した人々の注意の操作に依存するデジタルサービスの主要なビジネスモデルが提す課題に対応するために、現在の消費者法におけるギャップを埋める必要性を認識しています。 これは、消費者法を改善して、個人とデジタル市場の強力な企業との間で拡大している不均衡と不公平を是正する、またとない機会です。
特にEDPSは、指令2011/83 / EUの範囲を拡大して、金銭的な価格にて提供されないサービスを受ける消費者が、同指令が提供する保護フレームワークの恩恵を受けることができるようにする意図を支持いたしますが、それはこのようなサービスが今日の経済的な現実とニーズを反映しているからです。
このプロポーザルでは、EDPS Opinion 4/2017の推奨事項を考慮して、「反対給付」という用語の使用や、消費者によるデジタルコンテンツのサプライヤーへのデータ提供が「積極的」か「受動的」か区別することを控えています。ただしEDPSは、プロポーザルで想定されている新しい定義により、消費者がお金で支払うのではなく、個人データで「支払う」ことができるデジタルコンテンツまたはデジタルサービスの提供に関する契約の概念が導入されることに懸念を示しています。この新しいアプローチは、「反対給付」という用語を使用したり、個人データの提供と価格の支払いを類推したりすることで生ずる問題を解決していません。特に、このアプローチは、個人データを単なる経済的資産とみなしているために、データ保護の基本権としての性格を十分に考慮していないものとなっています。
GDPRでは既に、デジタル環境にて個人データの処理が行われ得る状況に関するバランスを既に定めています。 このプロポーザルで、GDPRで定める個人データを完全に保護するとのEUのコミットメントと矛盾するやり方で解釈される可能性のあるアプローチを促すようなことは避けるべきです。データ保護法の原則を損なう危険を冒すことなく幅広い消費者保護を提供するために、電子商取引指令における「サービス」の広範な定義や、GDPRの地域範囲を定義する規定、もしくデジタルコンテンツ・プロポーザルに関する理事会一般アプローチの第3条(1)などに基づくアプローチで代替することが考えられます。
したがいまして、EDPSは、「有形媒体では提供されないデジタルコンテンツの供給に関する契約」や「デジタルサービス契約」の定義にて個人データを参照することを何であれ控えていただくことを推奨し、その代わりとして、次のような契約の考え方に依拠することを提案します。 それは、「消費者への支払いが必要かどうかに関係なく」特定のデジタルコンテンツまたはデジタルサービスを売り手が消費者に提供または提供することを約束するというものです。
きちんと追えていないが、「EU消費者保護規則のより良い執行と近代化に関する指令」は、昨月末に採択されたようで、前文に「digital services provided in exchange for personal data」という表現が残ったものの、個人データについては「GDPRに従う」とのことで落ち着いた様である。