ベルリン州データ保護コミッショナーによるApple及びGoogleに対するDeepSeekアプリの削除要請について

個人情報保護 表現の自由

越境移転規制、域外適用、(検討中の)個情法の第三者命令、(検討中の)情プラ法の再改正(特に迅速化規律の違法情報への拡張)に関して興味深かったので、紹介します。

 

プレスリリースについて

  • Berlin Commissioner for Data Protection notifies Apple and Google in Germany of AI app DeepSeek as illegal contentには、以下の記載がある。
    • DeepSeek社は「は欧州連合(EU)内に拠点を有していないが、このサービスはGoogle Play StoreおよびApple App Storeにおいてドイツ語の説明文付きで提供され、ドイツ語で利用可能である。そのため、当該サービスは欧州一般データ保護規則(GDPR)の適用対象となる。」
    • (コミッショナーのコメントとして)「DeepSeekによるユーザーデータの中国への移転は違法である。DeepSeekは、ドイツのユーザーのデータが中国においてEUと同等の水準で保護されているとする合理的な証拠を示すことができなかった。中国当局は、中国企業が保有する個人データに対して広範なアクセス権を有している。さらに、DeepSeekの中国国内ユーザーには、EUで保障されているような強制力のある権利や効果的な法的救済手段が存在しない。以上の理由から、私は、主要なアプリプラットフォーム運営者であるGoogle及びAppleに対し、違反を通知し、速やかなブロッキングの検討を求める。」
    • 「具体的に言えば、Hangzhou DeepSeek Artificial Intelligence Co., Ltd.は、そのDeepSeekサービスに関連して、GDPR 46条1項に違反している。これを受けて、ベルリンデータ保護コミッショナーは、2025年5月6日、同社に対し、自主的にドイツ向けアプリストアからアプリを削除し、中国への違法な個人データの移転を停止するか、または適法な第三国移転に必要な法的要件を満たすことを要請した。同社がこれに応じなかったため、コミッショナーは、デジタルサービス法(DSA)16条に基づくプラットフォーム上の違法コンテンツの通報権を行使した。この通報は、2025年6月27日、Apple App Storeの運営者であるApple Distribution International Ltd.およびGoogle Play Storeの運営者であるGoogle Ireland Ltd.に対して送付された。両社は現在、速やかにこの通報を精査し、対応を決定しなければならない。」
    • 「この措置は、バーデン=ヴュルテンベルク州、ラインラント=プファルツ州及び自由ハンザ都市ブレーメンのデータ保護コミッショナーと緊密に連携して講じられたものであり、また、ドイツにおけるDSAの執行を担当するドイツ連邦ネットワーク庁のデジタルサービスコーディネーターに通知した上で実施された。」
  • なお、
    • ベルリンはドイツ連邦共和国の16の州の一つであり、ベルリンデータ保護コミッショナーは、州レベルのデータ保護当局である。ドイツにおいては、連邦レベルのデータ保護当局と州レベルのデータ保護当局が併存している。
    • 連邦ネットワーク庁は、通信行政を所管する官庁である。

 

DSAの規定

  • DSA 16条は、「通知及び措置のメカニズム」を定めている。具体的には、
    • 「ホスティングサービスの提供者は、任意の個人又は団体が、当該サービス上に存在する特定の情報(specific items of information)について、違法コンテンツであると思料する旨を通知できるようなメカニズムを整備しなければならない。」とし(同条1項前段)、
    • 「ホスティングサービスの提供者は、第1項に基づいて受け取った全ての通知を処理し、通知に関連する情報についての決定を、適時かつ注意深く、恣意性なく客観的に行わなければならない。」としている(同条6項前段)。
  • 「違法コンテンツ」は、「情報自体又は製品の販売及びサービスの提供を含む活動に関連して(in relation to an activity, including the sale of products or the provision of services)、EU法又はEU法に準拠した加盟国法に違反するあらゆる情報を意味し、その法令の具体的な対象や性質を問わない。」と定義されている(DSA 3条(h))。
  • また、「違法コンテンツ」に関する前文の記載は、次のとおりである(DSA recital 12)。
    • 「安全で予測可能かつ信頼できるオンライン環境を確保するという本規則の目的を達成するため、「違法コンテンツ」という概念は、オフライン環境における既存の規則を広く反映するものでなければならない。特に、「違法コンテンツ」という概念は、違法なコンテンツ、製品、サービス及び活動に関連する情報を幅広く含むように定義されるべきである。この概念は、適用法の下で違法とされる情報、すなわち、違法なヘイトスピーチやテロリストコンテンツ、違法な差別的コンテンツのように情報自体が違法である場合、又は違法な活動に関連するという理由で適用規則によって違法とされる情報を指すものとして理解されるべきである。
    • 例示としては、児童の性的虐待を描写する画像の共有、同意なしに私的画像を不法に共有する行為、オンラインストーキング、適合していない製品又は偽造製品の販売、消費者保護法に違反する製品の販売又はサービスの提供、著作権保護対象物の無許可使用、違法な宿泊サービスの提供、又は生きた動物の違法販売などが含まれる。…この点において、当該情報又は活動の違法性がEU法によるものか、又はEU法に準拠した加盟国法によるものか、またその法の正確な性質や対象が何であるかは問題ではない。」

 

コメント

  • 越境移転の違法性について
    • ベルリンのデータ保護当局がどのような具体的根拠に基づいて対中越境移転を認定したのかは興味深いが、詳細には説明されていない。対中越境移転に関しては、アイルランドのデータ保護当局であるDPCが5月2日にTikTokに制裁金を課した(プレスリリース)ところであるが、こちらも決定文全文は現時点では公開されていない。越境移転規制違反の法執行は、直接には事業者を対象としつつ、実態としては移転先の国を対象とするものなので(Schrems II判決が示唆し、その後のMetaに対するDPCの制裁金決定が確認したとおり、補完的措置によってガバメントアクセスリスクを低減することは困難である。)、中国のどのような制度がどのように評価されたのかは、興味深い(なお、DPCのプレスリリースは、ベルリンのプレスリリースよりは詳細に制度を摘示している。)。特に、日本は対米越境移転はあまり問題としない一方、対中越境移転は問題としてきたので(例えば2021年のLINEの件;電通法の問題になっており、個情法のエンフォースメント強化には繋がっていないようであるが)、その意味でも興味深い。
  • 域外適用について
    • 日本では、2月、個情委が、「DeepSeekに関する情報提供」と題する注意喚起を行った。これについて、個情委の幹部が、日経に、「「DeepSeekのプライバシーポリシーは中国語と英語のみだ。そのため…現時点で個人情報保護法の規制対象にならないとの立場」を示したことが報道されている
    • しかし、1月28日の時点で日本のApp Store(Webと異なり、明らかに日本所在者に対してアプリという役務を提供するための場である。)の無料アプリランキングで1位となっていたことが報道されており、仮にプラポリが中国語・英語のみであることのみをもって域外適用要件を満たさないと判断したのだとすれば、適切ではなかったと思われる(むしろ、日本所在者に向けて役務提供しているのに日本語での情報提供をしていないという点で、積極的に法執行すべき場面ですらあるようにも思われる。)。
    • また、仮に域外適用要件を満たすかが不明だったのであれば、まさしくそれを判断するために、まずは報告徴収を行うといった対応は考えられたのではないか。
  • ブロッキングについて(個情法の第三者命令、情プラ法の再改正含む)
    • DSAによるGDPRのエンフォースメントという現象は興味深い。
    • DSAは、VLOPs/VLOSEsの提供者に対する規制が注目されがちであるが、①媒介サービス、②オンラインプラットフォーム(OLP)を含むホスティングサービス、③OLP、④BtoC取引を可能にするOLP、⑤VlLOPs/VLOSEs(ここだけ欧州委員会による指定が要件とされている。)のそれぞれの提供者に対し、段階的に追加的な規制を課す構造となっている。「通知及び措置のメカニズム」に関する16条は、このうち比較的基本的な②に属する。
      • なお、EUにおいても、スマホアプリが「情報」に含まれるかは問題となりうるのだと思われるが、違法コンテンツを広く定義した以上、WebアプリとiOS/Androidのネイティブアプリで扱いを分ける意味はないことになるのかもしれない(その前提として、Web/ネイティブアプリ上で流通する情報と、そこで提供される情報処理サービスは違うのだという区別はありうるかもしれないが)。
    • このため、今回のような手法は、広くホスティングサービス全般に応用されうる。一方で、アプリストアは、検索エンジンと並んで、少数の、比較的法令遵守の意思と能力のある事業者によって提供されており、当局にとってゲートキーパーとして使いやすいのだと思われる。DNSブロッキングと比較すると、通信の秘密の侵害を通常伴わない点ではより望ましいが、表現の自由に対する効果という意味でそうかは別論である。
    • 日本においては、個情法の3年ごと見直しにおいて、ホスティングサービスや検索エンジンの提供者に対する要請の仕組みを整備することが検討されている。このような仕組みは、薬機法72条の5第2項で既に(比較的謙抑的な形で)導入されている。どうせ行政指導をするのであれば、そしてそれが奏功しないとすると(予測可能性に欠ける)刑法の共犯規定に一足飛びに頼らざるを得なくなるのだとすれば、このような形で一定のコントロールの下で要請を行うとすることは、むしろ望ましいのではないか。
    • 一方、情プラ法の再改正も検討されている。そこでは、権利侵害情報の削除に関する迅速化規律を違法情報にも適用することが検討されている。EU法と異なり、情報(発信)自体の違法性に着目する点(EU法は前文も考慮すると、違法な活動に関連する情報を広く違法コンテンツとしているように見える。)、迅速に対応すべき通報の主体を行政機関に限定する点で、より謙抑的な方向での検討がなされていると思われるが、それでも情報(発信)自体を間接的・付随的にであるにせよ違法とする法律は数多い。こちらもどうせ行政指導を(透明化規律の趣旨と情プラ法の手続的アプローチと矛盾しかねない形で)するのであれば、仕組みを整備したほうがよいとは思われるが、少なくとも、違法情報は権利侵害情報と比べても政府による権限濫用リスクが大きいこと、日本の裁判所は欧州というよりは米国を参照し、表現の自由の優越的地位を明示的に承認してきたことを踏まえた慎重な議論を経るべきだと思われる。また、表現行為を規制する実体法に過不足がある可能性があるのであれば、その合理化と併せて検討すべきであると思われる。