GDPR6条1項(b)のEDPBガイドライン案:「契約の履行等に必要な場合」根拠の限界について

 4月9日付で公表されたGDPR6条1項(b)、つまり「契約の履行等に必要な場合」、フルで言うと「データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合(個人情報保護委員会仮訳)」のデータ処理根拠についてのEDPBガイドライン(案)。これからパブコメで若干修正される部分も出てきますが、オンラインサービスの文脈に焦点を当てた内容で、GDPR6条の中でも少し分かりづらかった部分なのでざっと読んでみたところ、非常に分かりやすく興味深いところが多かったので、個人的注目点を中心に簡単にご紹介します。

 

Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Adopted on 9 April 2019 Version for public consultation

 

●5p~、まず当該契約が消費者法との関係を含めて有効でなければいけないのは当たり前。EU法だけでなく国内法上も当然そうですよと。もちろん特定・最小化原則はかかってくるので注意。

●6p~、透明性原則に基づいてどの根拠に拠っているかを明確化する必要、特に(a)同意との混同に注意。9条(2)に規定される特別カテゴリーデータの例外に契約根拠は当然入ってこないこと。

●7p~、さて、どんな時が「必要」か。契約に書いてあるからだけでは当然だめで、「processing is objectively necessary for a purpose that is integral to the delivery of that contractual service to the data subject」であることが必要ですよと。データ管理者だけでなくデータ主体の観点を重視する必要がある。パラ33のチェックボックス的部分は有用と思います。

- What is the nature of the service being provided to the data subject? What are its distinguishing characteristics?

- What is the exact rationale of the contract (i.e. its substance and fundamental object)?

- What are the essential elements of the contract?

- What are the mutual perspectives and expectations of the parties to the contract? How is the service promoted or advertised to the data subject? Would an ordinary user of the service reasonably expect that, considering the nature of the service, the envisaged processing will take place in order to perform the contract to which they are a party?

●9p、特に事例2が面白い。オンライン販売者がプロファイリングするのは当然契約に必要根拠は使えませんよ、ということ。

The same on-line retailer wishes to build profiles of the user’s tastes and lifestyle choices based on their visits to the website. Completion of the purchase contract is not dependent upon building such profiles. Even if profiling is specifically mentioned in the contract, this fact alone does not make it ‘necessary’ for the performance of the contract. If the on-line retailer wants to carry out such profiling, it needs to rely on a different legal basis.

●10p~、‘take it or leave it’にならないよう、サービスごとに分けて考えていく必要がありますよと。契約終了後は当然使えないので別の根拠を考える必要がある。契約の締結前に必要という典型事例として、郵便番号を打ち込んでサービスが使えるか判断してもらう時などが挙げられます。

 

 

 そしてある意味ここからがメイン、具体的なオンラインサービスのシチュエーションについて。

●12p~、サービス改善に使うというのは基本的にダメなので、正統利益や同意を使いましょう。

●詐欺防止もやっぱりダメなので法的義務や正統利益を使いましょう。

●そして大物、行動ターゲティング広告について。結論から言うとやっぱりまず「契約に必要」とは言えずダメなので同意など別の根拠を使いましょう。しかしもちろん、オンラインサービスの提供には広告での収益が「必要」だという議論もあります。この議論についてEDPBは、ここ重要、

Considering that data protection is a fundamental right guaranteed by Article 8 of the Charter of Fundamental Rights, and taking into account that one of the main purposes of the GDPR is to provide data subjects with control over information relating to them, personal data cannot be considered as a tradeable commodity. Data subjects can agree to processing of their personal data, but cannot trade away their fundamental rights.

 と言って却下している。基本権憲章上の基本権としてのデータ保護を、交換可能な商品(tradeable commodity)と見なすことはできないと。消費者ニューディールに関するEDPSオピニオンでも議論になった、個人データの提供を反対給付(counter-performance)と位置付けることに強い懸念を示す理由はやはりここだと言ってよいでしょう。改めてなるほどでございます。

The Proposal took into account the recommendations of the EDPS Opinion 4/2017 and refrains from using the term “counter-performance” or distinguishing between data “actively” or “passively” provided by consumers to suppliers of digital content. However, the EDPS notes with concern that the new definitions envisaged by the Proposal would introduce the concept of contracts for the supply of a digital content or digital service for which consumers can “pay” with their personal data, instead of paying with money. This new approach does not solve the problems caused by using the term “counter-performance” or by making an analogy between the provision of personal data and the payment of a price. In particular, this approach does not sufficiently take into consideration the fundamental rights nature of data protection by considering personal data as a mere economic asset.

出典:EDPS Opinion on the legislative package “A New Deal for Consumers”, p3

●最後にコンテンツのパーソナライゼーションについて。これについては結論としては「どちらの場合もあり得る」という判断をしている。確かにパーソナライゼーションこそが本質であるオンラインサービスは多い。具体的には事例6、個人推薦型のニュースアグリゲーションサービスはOK。事例7、ホテル検索サービスのパーソナライゼーションは必ずしも必要と言えないからダメ。事例8、オンライン市場における商品推薦もやっぱりダメ。興味深かったので引用しておきます。

Example 6

An online news site offers a news aggregation service to users. The service chosen by the user consists of providing the users with tailored content from multiple online sources through a single interface. To do this, it asks users to create a profile of their interests.

In this case, personalisation for the purpose of content delivery may be regarded as objectively necessary for the performance of the contract between the company and the user, because the function of the service directly relates to personalised content. As such, Article 6(1)(b) may form an applicable legal basis.

Example 7

An online hotel search engine monitors past bookings of users in order to create a profile of their typical expenditure. This profile is subsequently used to recommend particular hotels to the user when returning search results. In this case, profiling of user’s past behaviour and financial data would not be objectively necessary for the performance of a contract, i.e. the provision of hospitality services based on particular search criteria provided by the user. Therefore, Article 6(1)(b) would not be applicable to this processing activity.

Example 8

An online marketplace allows potential buyers to browse for and purchase products. The marketplace wishes to display personalised product suggestions based on which listings the potential buyers have previously viewed on the platform in order to increase interactivity. This personalisation it is not objectively necessary to provide the marketplace service. Thus, such processing of personal data cannot rely on Article 6(1)(b) as a legal basis.

 

 結構データ保護、あるいはこの分野でのEU基本権の心というのが少し深くわかったかもしれない。二つだけ感想を書きますと、

・「どの根拠が原則か」ということは、非常に文脈依存的だということ。少なくとも本ガイドラインを見ると、いわば「契約根拠が原則、同意は例外ないし付加的」と言えるような場面も決して少なくないのだということを改めて感じます。

・最近全く別の文脈で◯◯権は基本的人権か否か、というのが少し議論になっているみたいですが、少なくともこの文脈での基本権(Fundamental Rights)は、それが交換可能な商品(tradeable commodity)と扱えるべきかどうか、ということが一つは念頭に置かれているようです。