2023 Volume 7 Issue 1 Pages 215-235
今日のデジタル社会では、ユーザー(消費者)が、自己の個人データを提供するのと引き換えにデジタル・コンテンツやデジタル・サービスの供給を受けることが増え、一般化している。このようなビジネス・モデルの普及とは対照的に、その法的規律はまだ未完全のままである。コンテンツやサービスの供給者の約款等では、一般的に、このような契約は「無償」のものとして位置づけられている。しかし、その実態として、事業者は、ユーザーから提供された個人データを用いて収益を上げており、このことは、これらの契約の法的な性質を決定する際にも重要となる。法的な観点からは、このような契約をどのように取り扱うのか、例えば、ユーザー(特に、ユーザーが消費者であるとき)に、コンテンツやサービスの契約不適合性の場合にどのような救済手段を認めるのかなど、様々な側面において重要となる。
EUでは、この現象を捉えて、そのような場合においても、デジタル・コンテンツ等の契約不適合性について、代金(金銭等)を支払った場合と同じ救済手段が消費者に付与されるに至っている。同時に、個人データの保護は基本権であることも強調され、このような法的取扱いによって個人データがコモディティ化(商品化)されているわけではないことが明確にされている。他方で、個人データが契約上の対価として位置づけられることによって、契約法と個人データ保護法との交錯による新たな課題も生じている。具体的には、契約法に関する規律内容と個人データに関する規律内容が相互にどのような影響を与えるのか、などということである。
本稿では、まず、デジタル・コンテンツ供給指令の採択に至るまでのEU消費者法の展開を振り返る。その上で、分析のための前提として、デジタル・コンテンツ供給指令および関連指令等(一般データの保護に関する規則(GDPR)など)を概観する。そして、本稿の中核部分として、デジタル・コンテンツ供給指令における個人データの対価としての位置づけに関して、該当する契約の成立および効力について複数の視点から考察する。本稿における分析は、日本法における今後の関連する議論に資するものとして、そして、さらには、EU法および日本法で益々顕著に見られる契約法(そして消費者保護法)と個人データ保護法との交錯に関する分析の第一歩として位置づけて行うものとなる。
In today's digital society, it has become increasingly common for users (consumers) to receive digital content and services in exchange for providing their personal data. In contrast to the widespread use of this business model, its legal regulation remains incomplete. In the terms and conditions of content and service providers, such contracts are generally positioned as "free of charge." However, the reality is that operators use personal data provided by users to generate revenue, which is also important in determining the legal nature of these agreements. How should such contracts be handled from a legal perspective? This is important in various aspects, for example, with respect to what remedies should be made available to users (especially when they are consumers) in case of non-conformity of content or services.
In the EU, this phenomenon has been partly dealt with, and consumers are given the same remedies for non-conformity of digital content, etc. as if they had paid the price (money, etc.). At the same time, in EU law, it is emphasized that the protection of personal data is a fundamental right, and it is made clear that the above-mentioned legal treatment does not commoditize personal data. On the other hand, new issues have arisen due to the intersection of contract law and personal data protection law, as personal data is positioned as consideration in contracts. Specifically, the main question is how the content of regulation regarding contract law and that regarding personal data influence each other.
In this paper, the author first reviews the developments in EU consumer law leading up to the adoption of the Digital Content Supply Directive. Then, as a premise for the analysis, the author provides an overview of the Digital Content Supply Directive and related directives (such as the General Data Protection Regulation (GDPR)). As a core part of this paper, the author examines the relevant contracts and their effects from multiple perspectives regarding the positioning of personal data as compensation under the Digital Content Supply Directive. The analysis in this paper is intended to contribute to future related discussions in Japanese law, and furthermore, to discuss the increasingly prominent relationship between contract law (and consumer protection law) and personal data protection law in EU law and Japanese law. This will be positioned as a first step in further analyzing such intersections.
代金(現金や電子マネーなど)を支払うのではなく、個人データを提供してデジタル・コンテンツやデジタル・サービスの供給を受ける。そして、消費者によって提供される個人データを用いて事業者が収益を上げる(個人データのモネタイゼーション)。このようなビジネス・モデルは、世界的に広く浸透しており、そのモデル形態は実に多種多様である2。このようなビジネス・モデルについて法的な観点から生じる主な問題のひとつとして挙げられるのは、果たして、この場合におけるコンテンツやサービスの提供が「無償」のものであると言えるのかということである3。この問題は、単に、この類型の契約をどのように性質付けるのかという理論的なものにとどまらない。日本法でもそうであるが、これによって、例えば、コンテンツやサービスに契約不適合があった場合に、そのユーザーにどのような救済手段が付与されるのかも影響されることになる4。
この点に関連する重要な展開として、EUでは、デジタル・コンテンツおよびデジタル・サービスの供給契約について規律する2019年の指令の採択が挙げられる5。本稿で詳述するように、同指令は、デジタル・コンテンツやデジタル・サービスの供給契約において、そのようなコンテンツやサービスに契約不適合があった場合の救済手段についてEU法を平準化するものである。そして、本稿との関心事項で特に重要なのは、同指令が、消費者であるユーザーが代金を支払う場合のみならず、個人データを提供してコンテンツやサービスの供給を受ける場合についても規律し、代金を支払う場合と個人データを提供する場合のいずれについても基本的に同じ救済手段を消費者に付与しているということである。
後述するように、この展開の波及的効果は大きく、また、複雑なものでもある。そして、個人データの提供の下でデジタル・コンテンツやデジタル・サービスを供給するという前記のビジネス・モデルが日本でも広く用いられていることから、これをどのように性質付けて規律するのかは、日本法においても大きな課題となる。そこで、本稿では、日本法における今後の議論に資するものとして、EU法における現状について分析し、比較法的な視点からの考察を行うこととする。本稿では、前掲のデジタル・コンテンツ供給指令および後掲の一般データの保護に関するEU規則を中心として、コンテンツやサービスの供給契約において個人データがどのように対価として位置づけられ、そこからどのような検討課題が生じているのかについて検討する6。
前述したように、EU消費者法における個人データの対価としての位置づけについて直接規律する指令として、デジタル・コンテンツ供給指令(EU) 2019/770(以下、「デジタル・コンテンツ供給指令」という)7が存在する。この指令は、EUにおいて突如提案および採択されたものではなく、それまでの大きな流れを汲む形で出現したものである。より具体的には、その起源は、2011年のヨーロッパ共通売買法(Common European Sales Law; CESL)規則提案(以下、「CESL提案」という)8に遡るものとして捉えることができる。CESL提案は、当事者が合意した場合に、その間の売買契約を規律する法として機能することのできる一連の規定を、選択的手段として定めるものであった。この提案は、加盟国の強い反対に遭ったため、最終的には撤回された。より具体的には、欧州委員会は、2014年12月に、修正または撤回される提案のリストにCESL提案を正式に含め、「デジタル単一市場における電子商取引の可能性を最大限に引き出すために修正」されるものとした9。しかし、その後、CESL提案が正式に撤回されることはなく、また、これに関する公式の手続が進められることもなかった。そして、2019年10月には、欧州議会が、欧州委員会に対して、CESL提案を正式に撤回するよう要請するべきであるとされた。加盟国がCESL提案に反対した理由は様々であるが、主に、CESL提案が加盟国の契約法への過度の介入となることや、EU域内における契約法の平準化に寄与するものではないことに関する懸念なども理由として挙げられた。
2.2.2つの指令の採択そこで、欧州委員会がCESL提案のその後について示した方向性を受ける形で、2015年に、物品オンライン売買指令提案10およびデジタル・コンテンツ供給指令提案11が公表された。そして、これらの両提案にそれぞれ大幅な修正が加えられた上で、前掲のデジタル・コンテンツ供給指令、および物品売買指令(EU) 2019/771(以下、「物品売買指令」という)12が採択されるに至った。このように、CESL提案は、最終的には撤回されたものの、本稿で特に取り上げるデジタル・コンテンツ供給指令を含めて、その後のEU消費者法の流れに大きく影響したのである。
前記の両指令は、同じ日(2019年5月20日)に採択されている。これらの内容を見ると、当初のCESL提案の適用範囲(越境的な、物品またはデジタル・コンテンツ等の売買契約全般)と比べると、それぞれ、平準化される領域をより絞った形での提案となっている。CESL提案とは異なり、これらの立法作業は比較的順調に進んだ。このことには、デジタル・コンテンツおよびデジタル・サービスについては加盟国の国内法が基本的に整備されていなかったことや13、これらに関する供給契約および物品売買契約(特にそこにおける適合性要件と救済手段)については、越境取引の需要があったことも影響した14。これら両指令による平準化と加盟国法との関係については、いずれの指令も、それが規律しない限りにおける契約の成立、有効性、無効もしくは効果(契約解消の結果を含む)に関する規定等の一般契約法の側面または損害賠償請求権を規律する加盟国の自由に影響しない旨を定めているのである15。しかし、他のEU指令に見られるこのような「お断り」は、建前にすぎず、実際には、加盟国の契約法にかなりの程度の影響が及んでいる。
以下では、デジタル・コンテンツ供給指令および本稿における関心事項について関連するものとなる諸指令等を、特に関係性のある内容を中心として概観していく。
3.1.デジタル・コンテンツ供給指令デジタル・コンテンツ供給指令は、デジタル・コンテンツまたはデジタル・サービスの供給に関する事業者と消費者との間の契約(BtoC契約)に適用される(1条)。そして、これらの契約において、デジタル・コンテンツまたはデジタル・サービスが契約に適合するものとなるための要件を定めている。これらの要件は、主観的要件(7条)および客観的要件(8条)に分類されている。そして、契約適合性が欠如する場合の救済手段としては、契約に適合させる権利、代金の比例的減額を受ける権利、および契約を解消する権利が定められている(16条以下)。他には、事業者によりデジタル・コンテンツまたはデジタル・サービスの一方的な変更が認められるための要件も明確化されている(19条)。加盟国契約法への影響については、上述した通りである。なお、デジタル・コンテンツ供給指令は、加盟国が、同指令の規定と異なる消費者保護の水準を確保するより厳格なまたはより厳格でない規定を維持または導入することを認めない、いわゆる完全平準化指令である16。
3.2.デジタル・コンテンツ供給指令と物品売買指令との関係既に記したように、デジタル・コンテンツ供給指令と同じ日に、物品売買指令が採択されている。そして、その内容を見ると、事業者を売主とし、消費者を買主とする物品の売買契約につき、デジタル・コンテンツ供給指令と同様に、契約適合性や、適合性が欠如する場合の救済手段について定めており、そこでの救済手段も、基本的に、デジタル・コンテンツ供給指令と同じものとなっている17。これら両指令間の関係において特に重要なのが、いわゆる「デジタル要素を伴う物品」における、デジタル要素の適合性欠如の場合である。「デジタル要素を伴う物品」とは、デジタル・コンテンツまたはデジタル・サービスを組み込み、またはこれと相互に接続された有体の動産であって、デジタル・コンテンツまたはデジタル・サービスの不存在がその物品の機能を妨げるものをいう(デジタル・コンテンツ供給指令2条(3)、物品売買指令2条(5)(b))。例えば、スマート・テレビやスマート・フォン等である。このようなデジタル要素を伴う物品のデジタル要素の契約適合性の欠如は、物品の契約適合性の欠如として取り扱われ、物品売買指令が適用されるのである(デジタル・コンテンツ供給指令前文(21)、物品売買指令前文(15)など)。
3.3.パラレルな展開としての消費者権利指令の改正本稿の主な対象である「個人データの対価としての位置づけ」のうち、デジタル・コンテンツ供給指令に関する部分は後に詳述するが、以下では、関連するパラレルな展開として、消費者権利指令の近時の改正について記しておきたい。
消費者権利指令2011/83/EU(以下、「消費者権利指令」という)18は、主に次の3つの項目をその内容の中核としている。すなわち、①消費者に対する事業者の一般的な情報提供義務、②通信取引契約および営業所外契約における、消費者に対する事業者の情報提供義務、③通信取引契約および営業所外契約における消費者の撤回権、である。
消費者権利指令は、2019年に、現代化指令(EU) 2019/216119によって改正された。そして、この改正によって、本稿で取り扱うデジタル・コンテンツの対価としての位置づけに関連する規定が、消費者権利指令に新設される運びとなった。具体的には、現代化指令による改正後の消費者権利指令3条(1a)によると、同指令の適用範囲には、事業者が消費者にデジタル・コンテンツまたはデジタル・サービスを供給し(有体の媒体をもって供給されるものを除く)、または供給することを約し、かつ、消費者が事業者に個人データを提供し、または提供することを約する場合も含まれる。ただし、消費者によって提供された個人データが、前記のデジタル・コンテンツまたはデジタル・サービスを供給する目的のためのみ、あるいは、事業者が服する法令上の要求事項を事業者が遵守するためのみに事業者によって処理される場合(事業者が、これ以外の目的で消費者の個人データを処理しない場合)は、除外されている。このように、現在では、消費者権利指令の定める情報提供義務等は、消費者が事業者に対して代金を支払うのではなく、個人データを提供する場合にも、適用されるのである。
3.4.ヨーロッパ共通売買法規則提案における取扱い既に記したように、本稿で大きく取り扱うデジタル・コンテンツ供給指令への途を開いたのは、CESL提案である。消費者が事業者に提供する個人データの対価としての位置づけについて、同提案の規定を見ると、そこでは、特に規律されていない。他方で、CESL提案の前文では、そのような位置づけについて言及がされている。具体的には、前文(18)によると、デジタル・コンテンツは、多くの場合、代金と引き換えではなく、個別に支払のされる商品やサービスと組み合わせて提供される。そこでは、個人データへのアクセスを提供するなどの非金銭的対価が用いられる。そして、この特殊な市場構造と、提供されたデジタル・コンテンツの欠陥が、その提供条件に関係なく、消費者の経済的利益を損なう可能性があるという事実を考慮すると、CESL提案の利用可能性は、特定のデジタル・コンテンツに対して代金が支払われたかどうかに依拠するべきではないという。このように、CESL提案は、個人データを対価とする取引慣行の存在を確認した上で、適用の有無が代金の支払あるいは個人データの提供のいずれが行われているのかによって影響されるべきではないことを明確にしているのである20。
3.5.モデル準則における取扱いの欠如EU私法の文脈では、ソフト・ローとしての一連のモデル準則が、これまで重要な役割を果たしてきている。すなわち、ソフト・ローであるが故に拘束力を有しないものの、EU加盟国の当局や裁判所によって、立法あるいは紛争解決において参照されているのである21。契約法に関連する主なものとして、ヨーロッパ契約法原則(PECL)22および共通参照枠草案(DCFR)23が挙げられるが、個人データを提供することでデジタル・コンテンツ等の供給を受ける契約については、いずれにも準則が置かれていない。
3.6.一般データ保護規則との関係EUでは、個人データ保護のための立法として一般データ保護規則(EU) 2016/679(以下、「GDPR」という)24が中核的な役割を果たしており、域外適用により日本の事業者に適用される可能性もあるため、日本でも注目されている。GDPRには、個人データ処理者による個人データ処理が適法となるための要件が定められている。そして、そのような要件の中でも、個人データの対価としての位置づけとの関係で特に重要となるのが、個人データ主体による同意である(7条)。
この同意は、個人データ処理に関する、個人データ主体によるものであるが、個人データがデジタル・コンテンツやデジタル・サービスの供給についての対価としても位置付けられる場合には、契約的側面におけるその取扱いが問題となる。このことについては、後に詳述する。ここで予め記して置きたいのは、前記のような問題からも分かるように、消費者が事業者との間の契約において個人データを対価として提供した場合には、契約の観点からの消費者としてのその保護と、個人データ処理の観点からの個人データ主体としてのその保護が交錯するということである。このような交錯は、単に、個人データ主体による同意の撤回が契約的側面に及ぼす影響だけでなく、例えば、個人データの処理について同意を行った場合であっても、それに基づいて個人データを用いた消費者に対するいかなる取引方法でも適法化されるわけではなく、消費者保護法による制限に服することにもみられる25。
なお、GDPRとデジタル・コンテンツ供給指令との交錯について特に重要となるのが、強行法としての前者の位置づけである。すなわち、公法的な観点から個人データを基本権として保護するGDPRの規定が強行規定であるのに対し、私法的な観点から当事者間の権利義務関係を規律するデジタル・コンテンツ供給指令の規定は任意規定である。したがって、当事者は、その契約において、GDPRの適用を排除することができない26。
デジタル・コンテンツやデジタル・サービスと引き換えに個人データを提供するという取引慣行は、決して最近始まったものではない。前述したように、既に2011年のCESL提案の前文でそのような取引慣行に言及がされており、EUでは、遅くともその頃から、そのような取引慣行について一定の法的対応が求められていることが認識されていたといえる。デジタル・コンテンツ供給指令において、この取引慣行が正面から捉えられていることには、パラダイム転換としての意味合いがある。すなわち、それまで、少なくとも法技術上は、対価としての個人データの処理に関する同意は、コンテンツやサービスの供給とは別個のものとして取り扱われてきた。そして、個人データと引き換えに供給されるデジタル・コンテンツやデジタル・サービスについては、基本的に「無償」のものとして位置づけられてきた27。これに対し、デジタル・コンテンツ供給指令では、後述するように、代金の支払が行われた場合(すなわち、これまでの認識から見ても「有償」である場合)と同様の救済手段を消費者に付与することで、その性質に変化をもたらしたのである28。
4.1.2.デジタル・コンテンツ供給指令3条(1)本稿で既に記したように、デジタル・コンテンツ供給指令には、個人データの対価としての位置づけに関する定めが置かれている。具体的には、同指令の3条(1)は、次のように定める(下線は、筆者による。以下、本稿において同じ)29。
「1. この指令は、事業者が消費者にデジタル・コンテンツ又はデジタル・サービスを 供給し、又は供給することを約し、かつ、消費者が代金を支払い、又は支払うことを約する契約に適用する。この指令は、事業者が消費者にデジタル・コンテンツを供給し、又は供給することを約し、かつ、消費者が事業者に個人データを提供し、又は提供することを約する場合にも適用する。ただし、事業者が、消費者が提供する個人データを、この指令に従いデジタル・コンテンツ若しくはデジタル・サービスを供給することのみを目的として、又は事業者が服する法的要求事項を遵守することを可能とするために処理し、かつ、事業者がそのデータを他の目的で処理しない場合については、この限りでない。」30
このような規定が設けられた理由については、同指令の前文(24)で、次のように説明されている。
「デジタル・コンテンツ又はデジタル・サービスは、消費者が事業者に代金を支払う代わりに個人データを提供するときも供給されることが多い。そのようなビジネス・モデルは、市場のかなり広い範囲で、様々な形で行われている。個人データの保護が基本的権利であること及びそのために個人データを商品commodityとみなすことができないことを完全に認めつつ、この指令は、消費者が、そのようなビジネス・モデルの文脈で、契約上の救済手段を与えられることを確保するべきである。」
前文は、指令の諸規定の背景や内容について説明するものである。指令の条文部分とは異なり、拘束力を有さず、あくまでも規定の解釈に関する情報を提供するに過ぎないが、学術や実務において重視され、考慮されるのが一般的である。
前記の3条(1)の規定および前文(24)における説明を見ると、関連するビジネス・モデルにおいて、個人データが、デジタル・コンテンツやデジタル・サービスの供給に対する「対価」あるいは「反対給付」であるといったような文言は用いられていない。これに対し、デジタル・コンテンツ供給指令提案では、個人データの提供が「反対給付」であることが明確に定められていた。具体的には、デジタル・コンテンツ指令提案3条(1)には、同指令は、供給者が消費者にデジタル・コンテンツを供給し,または供給することを約し、これと引き換えに代金が支払われることとされ、または消費者が金銭以外の反対給付(counter-performance)を個人データその他のデータの形式で能動的に供給する契約に適用される旨が定められていたが、最終的には現在の内容の規定となった31。
このように、デジタル・コンテンツ供給指令は、個人データが「対価」である旨を明確に定めていないが、その規定内容から、個人データが対価として位置づけられていることが分かる。個人データにそのような位置づけを付与することで、同指令は、消費者の適切な権利保護を確保しているのである。このことは、まず、デジタル・コンテンツやデジタル・サービスの契約適合性の欠如について、消費者に、代金を支払った場合と同様の救済手段を提供していることから分かる。そして、単に同様の救済手段を提供するにとどまらず、個人データが提供されているという特殊性に鑑みて、消費者により強力な保護が提供されている場面が存在する。すなわち、デジタル・コンテンツ供給指令14条(6)によると、デジタル・コンテンツまたはデジタル・サービスが代金と引き換えに供給される場合には、消費者は、適合性の欠如が軽微でないときのみに、契約を解消する権利を有するとされているのである。こうして、消費者は、代金を支払うのではなく個人データを提供している場合には、適合性の欠如が軽微であっても、契約を解除する権利を有し、より強力に保護されることになる32。
4.1.3.個人データの定義ここまで述べてきたように、デジタル・コンテンツ供給指令では、個人データの対価としての性質が正面から捉えられている。他方で、同指令では、個人データについて固有の定義はされておらず、GDPR4条(1)におけるものを参照するに留まっている(デジタル・コンテンツ供給指令2条(8))。そして、GDPR4条(1)によると、個人データとは、識別された自然人または識別可能な自然人(データ主体)に関する情報を意味する。ここでいう識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、または、その自然人の身体的、生理的、遺伝的、精神的、経済的、文化的または社会的な同一性を示す1つまたは複数の要素を参照することによって、直接的または間接的に、識別できる者をいう33。
4.1.4.国内法化の具体例:ドイツ民法における新規定デジタル・コンテンツ供給指令が指令としての法形式を持つが故に、EU加盟国は、これを国内法化する義務を負う。本稿では、そのような国内法化の具体例として、ドイツにおけるものを取り扱う。EU消費者法全般の加盟国における国内法化のアプローチを見ると、大別して、3つのアプローチが存在する34。1つ目は、ドイツのように、EU消費者法に由来する諸規定を、原則としてドイツ民法(以下、「BGB」という)やドイツ不正競争防止法(UWG)といった一般法に取り込むアプローチである。2つ目は、フランスのように、EU消費者法に由来する諸規定を、原則としてフランス消費法典、すなわち消費者取引に固有の立法にまとめるアプローチである。そして、3つ目は、旧加盟国のイギリス35のように、原則として、EU消費者法の新たな立法をその都度新たに設けた特別法において国内法化するアプローチである。
ドイツ法では、デジタル・コンテンツ供給指令についても、BGBにおいて規定を新設することで国内法化が行われた。そして、本稿の関心事項に特に関連する主な規定として、次の3つが挙げられる36。
第1は、BGB312条1a項の規定である。これによって、第2編(債務関係法)第3章(契約から生じる債務関係)第1節(創設、内容および終了)第2款(消費者契約における原則および特別の販売形式)の、第1目(消費者契約における適用範囲および原則)ならびに第2目(営業所外で締結される契約および通信販売契約)の規定は、消費者が事業者に個人データを提供し、または提供することを約する消費者契約にも適用される。ただし、事業者が消費者から提供された個人データを給付義務または事業者に課せられた法的要件を満たすためだけに処理し、他の目的で処理しない場合には適用されない37。
第2は、BGB327条3項の規定である。これによると、第2編(債務関係法)第2a章(デジタル商品に関する契約)第1款(デジタル商品に関する消費者契約)の規定は、前掲 BGB312条1a項2文の要件が満たされるときを除き、消費者が事業者に個人データを提供し、または提供することを約するデジタル商品の供給に関する消費者契約にも適用される。デジタル・コンテンツ供給指令を国内法化するために新設された前掲第1款の規定が、個人データを対価とする場合にも適用されることが明確にされているのである。
最後に、第3は、BGB327q条の規定である。同条1項によると、契約締結後に、消費者がデータ保護法上有する権利の行使およびデータ保護法上の言明の提示は、契約の効力に影響を与えない。同条2項によると、消費者がデータ保護法上の同意を撤回した場合、または個人データのさらなる処理に異議を唱えた場合において、事業者は、引き続き許容されるデータ処理の範囲および双方の利益を考慮して、合意した契約の終了まで、または法律上もしくは契約上の解約告知期間の経過までの契約関係の継続を期待することができないときは、デジタル製品の連続する個別の供給またはデジタル製品の継続的な供給について義務を負っている契約を、解約告知期間を遵守することなく解約告知することができる。そして、同条3項によると、データ保護権の行使またはデータ保護法上の言明の提示により許容されるデータ処理の制限による消費者に対する事業者の賠償請求権は、排除される38。
これらの規定に関連して生じる諸問題については、適宜後述する39。
4.2.個別の諸問題以下では、これまで記したEU法およびドイツ法における、個人データの対価としての位置づけに関連して生じる諸問題について、個別に論じていく40。
4.2.1.契約の成立デジタル・コンテンツ供給指令には、個人データを対価として供給されたデジタル・コンテンツやデジタル・サービスに契約適合性の欠如がある場合において消費者が有する救済手段についての定めが置かれているものの、契約の成立については規定がなく、契約の成立に関するEU加盟国の国内法に影響を及ぼさない旨を定めるにとどまる(3条(10))。また、ローマⅠ規則(EC)No 593/200841にも、関連する規定が置かれている。より具体的には、同規則3条は、契約が当事者によって選択された法によって規律される旨(法選択)の自由、4条は、3条によって法選択がされなかった場合の準拠法の決定(法選択がない場合の適用法)をそれぞれ定める。そして、消費者契約については、6条に特則が置かれている。同条(1)によると、消費者が自らの事業や職業以外の目的で事業者との間で締結した契約については、原則として、消費者の常居所地国法が準拠法となる。また、同条(2)によると、当事者は、前記(1)の規定にかかわらず契約に適用される法を選択することができるが、(1)を基に適用されるべき法における強行法規定によって消費者に付与される保護を消費者から奪う結果とすることはできない。
加盟国の国内法との関係で問題となるのは、消費者が代金を支払うのではなく、個人データを対価として提供する場合における契約の成立をどのように捉えるのか、ということである。個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約の場合、ビジネス・モデルの構成上、契約締結に向けた申込みは、コンテンツやサービスの供給者から行われることが一般的であろう。そして、その契約において、個人データが対価として位置づけられているのかは、事業者が用いる約款、契約締結が行われるウェブサイトの記載、その他コンテンツやサービスの概観の全体を考慮して判断されることになると解されている42。その際、デジタル・コンテンツやデジタル・サービスの平均的な利用者が、事業者側による、コンテンツやサービスの供給が「無償」のものである旨の記載や表示等をどのように理解するのかも重要となる43。個人データを対価とする契約締結に向けた消費者の承諾は、明示的なものあるいは黙示的なもののいずれでもあり得る。前者の例としては、消費者が自ら承諾に関するボックスをチェックする場合、後者の例としては、そのようなビジネス・モデルの下で供給されるデジタル・コンテンツやデジタル・サービスを実際に利用し始める場合が考えられる44。
加盟国におけるこの点に関する判断手法の具体例として、ドイツ法では、BGB157条に規定が置かれている。これによると、契約は、取引慣行に配慮しつつ、誠実および信義が要請するところに従い、解釈されなければならない。そして、BGB151条1文によれば、一般的に契約は申込みに対する承諾によって締結されるものの、慣習に従ってそのような承諾が期待されない場合、または申込者が承諾を不要としている場合には、申込者に対して承諾をする必要はない。この点について、ドイツの判例は、そのようなサービスの利用開始を、規約に従ってサービスを利用するという申込みに対する承諾として捉える傾向にある45。
個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約の成立との関係で特に問題となり得るのが、コンテンツやサービスの供給者による利用者(消費者)の個人データの事実上の処理の開始が、供給者が利用者による承諾をすでに確認していることを示すものとして位置づけられるのか、ということである46。
4.2.2.契約の効力個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約に関して、デジタル・コンテンツ供給指令には、前記の契約の成立と同様、契約の効力についても規定が置かれておらず、ここでも、契約の有効性や効果を規律するEU加盟国の国内法に影響しない旨を定めるにとどまっている(3条(10))。そのため、契約の効力についても、引き続き国内法によって規律されることになる。
4.2.2.1.未成年者との契約個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約の効力との関係でまず問題となるのは、未成年者を事業者の相手方当事者とする契約である。今日のデジタル化・オンライン化社会では、未成年者がインターネットを利用する頻度が増えており47、それに伴って、個人データを対価としてデジタル・コンテンツやデジタル・サービスの供給を受けることも多く、関連する問題は、理論のみならず、実務でも非常に重要となる。EU消費者法の文脈で生じる大きな問題のひとつが、完全な行為能力を取得する年齢(成年年齢)と、自らの個人データの処理について自ら同意できる年齢(同意年齢)が異なることである。前者については、EU(および、世界全体)において18歳がスタンダードとなっているのに対し、後者について、GDPRは、16歳をデフォルトとしつつ、EU加盟国に、13歳を下回らないより低い年齢を定めることを認めている48。該当する年齢に満たない未成年者の場合、その親権者が同意することが必要となる(8条(1))。
このように、完全な法律行為能力が備わる年齢と、個人データの処理について単独で同意できる年齢との間で、差が生じているのである。そこで、個人データの処理について未成年者が単独で行った同意と、その未成年者の個人データを対価とする契約について未成年者が完全な行為能力を有しないで単独で行った同意との関係が問題となる。換言すれば、ここで特に問題とされているのは、個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約において、GDPR上の同意の有効性が前提とされているのか、それとも、対価としての個人データの提供と個人データの処理に関する同意が分離できるのか、ということである。これによって、例えば、契約自体は効力を有しないが、個人データ処理への同意は有効であるといったような結論を導くことができるのかなど、結論に相違が生じてくる。一般論として、個人データの処理に向けた同意と契約の締結に向けた承諾とは、当事者間の合意によって他の定めがされたような場合を除き、基本的に別個のものであると考えるのが妥当であろう49。
未成年者による、契約締結に向けた承諾については、EU加盟国においても、大枠として日本法と同様の取扱いがされている50。例えば、ドイツ法の場合、未成年者による意思表示については、単に未成年者が法的な利益を得るのみの意思表示を除き、その法定代理人の同意を要し(BGB107条)、同意なく締結された契約の効力は、法定代理人の追認に依ることになる(BGB108条1項)。例外として、法定代理人の同意がなくても契約が有効になる場合として、未成年者が、契約の履行の目的のためもしくは未成年者の自由な処分のため法定代理人から譲渡された財産または法定代理人の同意を得て第三者から譲渡された財産により、契約に従った給付を履行したときが定められている(BGB110条)。しかし、個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約がこの例外に該当することは、基本的にない51。
4.2.2.2.個人データ処理に関する同意の撤回が契約の効力に及ぼす影響個人データを対価とするデジタル・コンテンツやデジタル・サービス供給契約の効力について次に問題となるのが、個人データ処理についての同意を個人データ主体が撤回した場合に、そのことが、個人データを対価とする契約にどのような影響を及ぼすのかということである。
この文脈においてEU法の下でまず重要となってくるのが、GDPR7条(3)の規定である。これによると、データ主体は、自己の同意をいつでも撤回する権利を有し、同意の撤回は、その撤回前の同意に基づく処理の適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けなければならない。そして、同意の撤回は、同意を与えるのと同様に、容易でなければならない。この規定によれば、個人データの処理に対する同意は、いかなる場合においても、容易に行うことができるものでなければならず、このことは、個人データが契約の対価とされている場合にも該当する。また、同意が撤回されたことによって、それまでの個人データ処理が違法となるわけではない。GDPRの規定がデジタル・コンテンツ供給指令のものに優先されること、および、GDPRの規定が強行法であることに鑑みると、消費者の同意撤回権を排除または制限する合意は適用されず、消費者による撤回権行使が消費者の債務不履行として取り扱われることもない52。なお、同意が撤回された場合に、個人データを提供する義務が、異なる内容の義務(例えば、金銭支払義務)によって置き換えられるのかについては、議論がある53。
同意の撤回との関係で次に問題となるのが、消費者による同意撤回後に、コンテンツやサービスの供給者がそれまでに個人データを処理することで得た利益の取扱いである。前掲にてその一部に言及したGDPR7条(同意の要件)および8条(情報社会サービスとの関係において子どもの同意に適用される要件)は、個人データ保護のための立法としてのGDPRの性質に即して、契約における対価としての個人データの機能を念頭に置いておらず、主に個人データの処理に向けられた単独の同意に焦点を当てている。この点については、同意撤回時までに事業者が個人データの処理によって得た利益に関しては、デジタル・コンテンツ供給指令の完全平準化指令としての性質に照らすと、関連する国内法規定の参照を認めることは困難であるとの見解がある54。仮にそのような利益について国内法の適用があると認めた場合であっても、個人データの経済的価値をどのように算定するのかという困難性が残される55。この問題について、例えばドイツ民法には、消費者に対する事業者の請求を排除する規定が置かれているものの(前掲327q条3項)、消費者からの請求については特別の定めはないため一般の規定に依ることになり、前述した困難性にどう対処するのかが課題となる。
4.2.2.3.個人データ処理に関する同意の効力への影響個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約では、個人データが対価として機能とするとともに基本権としての保護も同時に受けるため、対価としてのその位置づけの併存が、個人データ処理に向けた同意にどのように影響するのかが、問題となる。GDPRには、この問題に関連する規定が、7条(4)に置かれている。これによると、同意が自由に与えられたかどうかを判断する場合、特に、サービスの供給を含め、その契約の履行に必要のない個人データ処理についての同意を契約の履行の条件としているかについて、最大限の考慮がされなければならない。個人データを対価として位置づける契約の場合、その処理についての同意が契約の履行の条件となっていると言えることから、この条文によれば、そのことは、個人データ処理についての同意が自由に与えられたものではないという方向性に働く要素となる56。そして、デジタル・コンテンツ供給指令は、同指令とGDPRとの関係については、デジタル・コンテンツ供給指令と個人データの保護に関するEU法(これには、当然に、GDPRが含まれる)が抵触するときは、後者が優先される旨を定めている(3条(8))。
他方で、前掲のGDPR7条(4)は、あくまでも、前記のような事情に「最大限の考慮」がされなければならないことを定めているにとどまる。したがって、個人データがデジタル・コンテンツやデジタル・サービスの供給の対価とされている場合に、その処理に対する同意が自由に与えられたものであるのかを判断するときは、個人データの処理に同意する当事者がその同意をどのような状況で行ったのかについてあらゆる事情を考慮することになる57。例えば、該当するデジタル・コンテンツやデジタル・サービスのほかに、競合する入手可能なサービスが他にあるのか、消費者にとって当該のコンテンツやサービスがどの程度重要であるのか、などである58。デジタル・コンテンツ供給指令では、「消費者」概念には自己の事業等に関係する目的で行為する自然人は含まないため(2条(6))、コンテンツやサービスの利用が事業上のものである場合は同指令の適用範囲外となるが、同指令に関連しないような文脈では、一般論として、ユーザーによるコンテンツやサービスの利用が事業上のものであるのか、それとも私的なものなのかも影響することになろう。
4.2.2.4.個人データ供給請求権個人データがデジタル・コンテンツやデジタル・サービスの供給に対する対価として機能する場合、コンテンツやサービスを供給する事業者は、相手方である消費者に対して、契約上の対価である個人データを提供するよう請求する権利を有することになる。すなわち、該当する契約が総務契約である以上、事業者には個人データ提供請求権、契約の相手方である消費者には個人データ提供義務がそれぞれ存在することが通常となる59。他方で、EU法体系では、GDPRを中心として個人データが強力に保護され、その処理に対する同意の撤回が最大限認められていることから、上記のような請求権によって同意撤回権が損なわれることは許容されない。この問題について、デジタル・コンテンツ供給指令には規定が置かれていない。また、GDPRは、処理に関する同意の撤回(7条(3))や異議の申立て(21条)について定めているが、前述したように、そこでは基本的に契約的な側面は念頭に置かれていない。
また、事業者側に、消費者に対する個人データ提供請求権が認められる以上、単なる個人データの提供のみならず、提供されたデータが正確なものであること、および、契約の期間にわたってその正確性を維持することをも請求する権利を事業者が有し、これに対応する義務を消費者が負うことになろう60。デジタル・コンテンツ供給指令には、この点についても特に規律されていない。実務上、契約締結の際に個人データが提供されることが多いため問題化しにくい側面がある前記の個人データ提供請求権とは異なり、個人データの正確性の確保および維持に関する請求権は、より問題化しやすいと思われる。というのも、対価としての個人データの正確性が、事業者によるそのモネタイゼーションの効率性にも影響するためである61。関連する契約実務では、提供される個人データの正確性の確保および維持については、該当する契約の約款や規約で定められることが一般的であろう。そうすると、関連する契約条項の不公正性審査を通じた規律も関係してくることになる。このことについては、後述する。
EU加盟国法のうち、ドイツ法では、一般論として、契約の相手方当事者である消費者がその債務を履行せず、あるいは不完全にしか履行しない場合には、事業者は、消費者が給付を行っていないこと、あるいは契約に従って行っていないことを理由として、契約を解除することができる(BGB323条)。また、事業者は、消費者が給付を履行せず、あるいは債務に従って履行しなかったことを理由に、給付に代わる損害賠償を請求することができる(BGB281条)。しかし、前述したように、データ保護権の行使またはデータ保護宣言の提出によって生じるデータ処理の制限に起因する、消費者に対する事業者による賠償請求は、除外されることになり(BGB327q条3項)62、契約的側面においても、個人データ保護が優先される結果となる。さらに、消費者が提出した個人データが不正確である場合については、BGBには特別の規定は置かれていない。そのため、そのような場合の法的取扱いは、該当する契約の類型に依ることになる。該当するデジタル・コンテンツやデジタル・サービスの供給契約をライセンス契約として捉えた場合には、個人データの不正確性(契約不適合性)については、判例および学説に従い、賃貸借契約の規定(BGB536条、536a条、543条など)が類推適用される63。
4.2.2.5.不公正契約条項規制との関係前述したように、個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約では、不公正契約条項規制が重要な役割を果たす側面がある64。EU法レベルでは、消費者契約における契約条項の不公正性審査の中核となるのは、不公正契約条項指令93/13/EEC65である。同指令は、3条(1)において、個別に交渉されていない契約条件は、信義誠実の要求に反して、契約に基づいて生じる当事者の権利と義務に重大な不均衡を生じさせ、消費者に不利益をもたらす場合には、不公正とみなされる旨を定めている。しかし、契約の中心となる事項(main subject matter)は、不公正性審査の対象から除外される(4条(2))。これは、契約の中心となる事項を定める契約条項が不公正性審査の対象とならないことを意味し、そのような契約条項の不公正性を争うことはできない。ただし、それ以外の契約条項の不公正性を審査する際に、契約の中心となる事項を考慮することは可能である(同指令前文)。
前記のような規律について、本稿の関心事項との関係で特に重要となるのは、契約の中心となる事項が不公正性審査の対象から外されていることである。なぜなら、契約上の対価としての個人データ提供に関する同意と、個人データの提供そのものが、契約の中心となる事項に該当するのかが問題となるからである。仮に該当する場合には、契約条項の不公正性審査の対象外に置かれることになる66。ただし、ここで注意を要するのは、個人データ提供に関する同意と、個人データの提供そのものが不公正性審査の対象とならないとしても、これらに関連する条件(これらに関連する条件を定める契約条項)は、不公正性審査の対象となるということである67。
また、契約の中心となる事項を定める契約条項の不公正性審査との関係で同じく重要であるのは、そのような条項が不公正性審査の対象外となるためには、平易かつ分かりやすい文言を用いるものでなければならないことである(不公正契約条項指令4条(2))。これによって、そのような契約条項が不公正性審査から除外されていることから消費者に生じる可能性のある不利益との均衡が保たれているのである。なお、個人データ保護の側面からも、GDPR7条(2)において、個人データ処理について書面上で個人データ主体の同意を得る場合に、明確かつ平易な文言を用いることが要求されている。
上記の内容から明らかなように、不公正契約条項規制は、個人データが対価として提供される場合において、規制枠組みとして重要な位置づけを有する。このことは、デジタル・コンテンツやデジタル・サービスの利用規約が時として長い文章で構成されており、消費者(ユーザー)がこれらを実質的には読まないまま同意をするという実態に照らした場合、消費者保護のために大きな意義をもつことになる68。なお、不公正契約条項規制は、ほかにも、オンライン・プラットフォームとそのユーザーとの間の関係(それは、規約によって規律されている)など、デジタル化社会における取引の規制においてその重要性を増している。
4.2.2.6.契約終了後の個人データの取扱い個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約が終了した場合、それまで対価として提供されていた個人データがどのように取り扱われるのかが問題となる。この点について、デジタル・コンテンツ供給指令には、消費者が契約を解消した場合(15条)について、16条に規定が置かれている。まず、16条(2)は、契約の解消後、事業者は、消費者の個人データについて、GDPRに基づいて適用される義務を遵守しなければならない旨を定める。また、同条(3)は、消費者が提供し、または作成した個人データ以外のコンテンツについて、事業者が原則としてその使用をやめなければならないと規定している(利用の停止)。このようなコンテンツについては、事業者は、契約解消後も、消費者の請求に基づき、消費者が利用できるようにしなければならず、消費者は、合理的な期間内に、機械で読み取り可能なフォーマットでこれを無料で取り戻す権利を有する(ポータビリティ、同条(4))。
他方で、事業者側による契約解消については、デジタル・コンテンツ供給指令には規定が置かれておらず、各EU加盟国の国内法に依ることになる。ドイツの場合には、前述した327q条2項および227q条3項が重要となる。
本稿では、代金の支払に代えて、個人データを提供してデジタル・コンテンツやデジタル・サービスを供給して、消費者によって提供される個人データを用いて事業者が利益を得るビジネス・モデルを対象として、EU法の視点から、様々な角度から考察を加えた。本稿での分析は、今後、日本法におけるそのようなビジネス・モデルの法的規律について、参考になるものと思われる。なぜなら、EUと日本とでは法体系の違いがあるものの、デジタル形式のコンテンツやサービスは越境的に供給されることが多く、法体系間の相違を超えた、一定程度の法制度の接近が求められるからである。そのため、日本法のこれからの在り方を探る際に、先行して規律をしているEU法での問題意識、議論状況や経験は、多いに役立つものとなろう。
また、本稿での検討内容から示されたように、この課題は、単に、個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給契約をどのように規律するべきなのか、という範囲にとどまるものではない。すなわち、ここで問題となるのは、より広く、契約法(や消費者保護法)と個人データ保護法との交錯を既に生じている現象としてどのように捉え、どのように対応していくのかという、より広範なテーマなのである。取引のデジタル化が加速する中で、個人データがそこでの「燃料」として持つ意義はますます大きくなり、この交錯も一層顕著なものとなろう。
この課題は、日本においても共通のものとなる。そして、日本法の現状を見ると、これに対応するための法整備は、十分に進んでいるとは言い難いものとなっている。法制度上、個人データ法制と消費者法制(契約法制を含む)とは、基本的には別個のものとして捉えられており、また、個人データが対価とされる場合の有償性・無償性とそこから導かれる効果についても、不明確な部分が多い69。 EU法での展開は、日本における今後の進展に影響を与えるのみならず、これから一層深い議論や検討(比較法的なものを含む)が実現されるべきことを示すものとしても、機能しよう。
本文中に掲げたもの。
1 龍谷大学法学部教授。
2 ビジネス・モデルとしての個人データのモデタイゼーションについては、European Parliament, Contracts for the supply of digital content and personal data protection, 2017, p. 5を参照。基本的なコンテンツやサービスを無料で供給し、それ以外の一定のコンテンツやサービスなどについては有料で行うビジネス・モデルは、「フリーミアム(freemium)」と呼ばれている。
3 コンテンツやサービスの供給者の約款等では、一般的に、「無償」での供給として位置づけられている。
4 Cemre Bedir, Contract Law in the Age of Big Data, European Review of Contract Law, Vol. 16, No. 3 (2020), p. 362.
5 同指令の分析として、古谷貴之「デジタルコンテンツ及びデジタルサービスの供給契約に関するEU指令の分析」産法54巻2号(2020年)271頁以下がある。
6 なお、個人データを提供してデジタル・コンテンツやデジタル・サービスの供給を受ける場合の個人データの「対価性」については、理論的な議論が存在するところである。このことについては、例えば、松本恒雄ほか「デジタル社会における消費者法制の比較法研究 海外有識者インタビュー記録概要(1)」プログレッシブ・レポート(2022年)8頁を参照。しかし、少なくとも実態として見た場合、個人データが代金に代わる対価として機能していることは否めず、本稿では、このことを分析の前提としている。
7 Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services. 同指令の和訳として、カライスコス アントニオス=寺川永=馬場圭太訳「デジタル・コンテンツ及びデジタル・サービス供給契約の一定の側面に関す
る欧州議会及び理事会指令(Directive (EU)2019/770)」ノモス45号(2019年)121頁以下を参照。
8 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Common European Sales Law; COM/2011/0635 final - 2011/0284 (COD). 同指令提案の和訳として、内田貴監訳『共通欧州売買法(草案)』(別冊NBL No.140、2012年)を参照。
9 CESL提案の内容およびその撤回へと導いた一連の出来事については、ユルゲン・バーゼドー(カライスコス アントニオス訳)「ヨーロッパ契約法――ヨーロッパ共通売買法(CESL)への道、それを超えて」川角由和ほか編『ヨーロッパ私法の展望と日本民法典の現代化』(日本評論社、2016年)29頁以下を参照。
10 Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on certain aspects concerning contracts for the online and other distance sales of goods; COM/2015/0635 final - 2015/0288 (COD). 同指令提案の和訳として、カライスコス アントニオス=寺川永=馬場圭太訳「物品のオンラインその他の通信売買契約の一定の側面に関する欧州議会及び理事会指令提案」関法66巻3号(2016年)314頁以下を参照。
11 Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on certain aspects concerning contracts for the supply of digital content; COM/2015/0634 final - 2015/0287 (COD). 同指令の和訳として、カライスコス アントニオス= 寺川永= 馬場圭太訳「デジタル・コンテンツ供給契約の一定の側面に関する欧州議会及び理事会指令提案」関法66巻2号(2016年)197頁以下を参照。
12 Directive (EU) 2019/771 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the sale of goods, amending Regulation (EU) 2017/2394 and Directive 2009/22/EC, and repealing Directive 1999/44/EC. 同指令の和訳として、カライスコス アントニオス=寺川永=馬場圭太訳「物品の売買契約の一定の側面に関する欧州議会及び理事会指令(Directive (EU)2019/771)」ノモス45号(2019年)161頁以下を参照。
13 例外として、例えば、イギリスにおいて、既に2015年からデジタル・コンテンツに関する規律が制定法に盛り込まれていたことが挙げられる。このことについては、クリスチャン・トゥイグ=フレスナー(カライスコス アントニオス訳)「2015年イギリス消費者権利法に学ぶ消費者法改正」中田邦博ほか編『ヨーロッパ私法・消費者法の現代化と日本私法の展開』(日本評論社、2020年)385頁以下を参照。
14 越境取引における両指令の必要性については、両指令の前文のほか、関連する事前の影響評価にも詳細に解説されている。その内容については、COMMISSION STAFF WORKING DOCUMENT IMPACT ASSESSMENT Accompanying the document Proposals for Directives of the European Parliament and of the Council (1) on certain aspects concerning contracts for the supply of digital content and (2) on certain aspects concerning contracts for the online and other distance sales of goods; SWD(2015) 274 final/2を参照。
15 デジタル・コンテンツ供給指令3条(10)、物品売買指令3条(6)。
16 実施される平準化の程度に応じた指令の分類については、谷本圭子=坂東俊矢=カライスコス アントニオス『これからの消費者法――社会と未来をつなぐ消費者教育』(第2版、法律文化社、2023年)192頁以下〔カライスコス〕を参照。
17 デジタルと非デジタルとで消費者が受ける保護を統一するという同じ方向性に基づいて、本稿の執筆時点(2023年10月21日)において、EUでは、デジタル・フェアネスに関するEU消費者法のフィットネス・チェックが進行中であり、その最終的な結果が、2024年の第二四半期に公表される予定である。その結果は、日本における展開にも影響を与えることが予想される。フィットネス・チェックの詳細については、欧州委員会のウェブサイト
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13413-Digital-fairness-fitness-check-on-EU-consumer-law_enを参照。本稿で引用するウェブサイトは、いずれも、2023年10月21日に最終アクセスしたものである。
18 Directive 2011/83/EU of the European Parliament and of the Council of 25 October 2011 on consumer rights, amending Council Directive 93/13/EEC and Directive 1999/44/EC of the European Parliament and of the Council and repealing Council Directive 85/577/EEC and Directive 97/7/EC of the European Parliament and of the Council. 同指令の和訳(後述する現代化指令による改正前のもの)として、寺川永=馬場圭太=原田昌和訳「2011年10月25日の消費者の権利に関する欧州議会及び理事会指令」中田邦博=鹿野菜穂子編『消費者法の現代化と集団的権利保護』(日本評論社、2016年)551頁以下を参照。
19 Directive (EU) 2019/2161 of the European Parliament and of the Council of 27 November 2019 amending Council Directive 93/13/EEC and Directives 98/6/EC, 2005/29/EC and 2011/83/EU of the European Parliament and of the Council as regards the better enforcement and modernisation of Union consumer protection rules. 同指令の和訳として、中田邦博=カライスコス アントニオス=古谷貴之「EUにおける現代化指令の意義と不公正取引方法指令の改正⑴」龍法53巻2号(2020年)209頁以下を参照。また、現代化指令による改正の概説として、カライスコス アントニオス「現代化指令(EU)2019/2161によるEU消費者法の改正」消ニュース126号(2021年)121頁以下がある。
20 なお、この他にも、CESL提案前文(18)では、消費者が後の段階で追加のまたはより洗練されたデジタル・コンテンツ製品を購入するという期待に基づいたマーケティング戦略の文脈において、デジタル・コンテンツを無償で供給する場合にも言及がされ、同様の考え方が当てはまるとされていることは、注目に値しよう。文字通り「無償」でのデジタル・コンテンツの供給についても、そのマーケティング戦略の背景にある期待を考慮するこのようなアプローチは、ビジネス・モデルを分析した上での法的対応に基づくものである。特にオンライン取引、デジタル取引におけるこのような、ビジネス・モデルの分析を重視するアプローチは、他にも、オンライン・プラットフォーム規制に関連する欧州連合司法裁判所の一連の判決にもみることができる。詳細については、カライスコス アントニオス「オンライン・プラットフォーム事業者のビジネス・モデルの画定と民事責任――欧州連合司法裁判所における近時の判例から」消研10号(2021年)86頁以下を参照。
21 ルス・M.マルティネス・ヴェレンコソ(カライスコス アントニオス訳)「平準化されたヨーロッパ私法およびアキ・コミュノテールのEU加盟国法へのインパクト――大陸法とコモン・ローの調和」中田邦博ほか編『ヨーロッパ私法・消費者法の現代化と日本私法の展開』(日本評論社、2020年)78頁以下。このような影響は、いわゆる「ボトム・アップ型の平準化」として位置づけられる。詳細については、中田邦博「ヨーロッパ(EU)私法の平準化――ヨーロッパ民法典の可能性」川角由和ほか編『ヨーロッパ私法の展望と日本民法典の現代化』(日本評論社、2016年)3頁以下を参照。また、モデル準則がEU法において果たす役割については、カライスコス アントニオス「EU私法に見る多元法秩序の諸相」論叢190巻3号(2021年)1頁以下を参照。
22 PECLの和訳としては、オーレ・ランドー=ヒュー・ビール編(潮見佳男ほか監訳)『ヨーロッパ契約法原則Ⅰ・Ⅱ』(法律文化社、2006年)、オーレ・ランドーほか編(潮見佳男ほか監訳)『ヨーロッパ契約法原則Ⅲ』(法律文化社、2008年)がある。
23 DCFRの和訳としては、クリスティアン・フォン・バールほか編(窪田充見ほか監訳)『ヨーロッパ私法の原則・定義・モデル準則――共通参照枠草案(DCFR)』(法律文化社、2013年)がある。
24 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). 同規則の和訳として、個人情報保護委員会による仮日本語訳があり、https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdfにて閲覧可能である。同規則の概要について、カライスコス アントニオス「現代社会におけるデータの複合的性質――EU一般データ保護規則及びその周辺領域の展開を中心に」ひろば72巻5号(2019年)48頁以下を参照。
25 例えば、不公正取引方法指令の解釈および適用に関するガイダンス(Commission Notice – Guidance on the interpretation and application of Directive 2005/29/EC of the European Parliament and of the Council concerning unfair business-to-consumer commercial practices in the internal market; C/2021/9320)には、同指令とGDPR(そして、さらには、eプライバシー指令2002/58/EC〔Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector〕)との相互作用について詳細な分析が行われている。
26 European Parliament (op. cit. at note 2), p. 5.
27 Axel Metzger, Data as Counter-Performance: What Rights and Duties do Parties Have?, 8 (2017) JIPITEC 2 para 1, p. 2.
28 フェイスブックの供給するサービスについて対価としての個人データとの関係で生じた紛争の解説として、Ferenc Szilágyi, Personal Data as Consideration for the Facebook Service, Journal of European Consumer and Market Law, Vol. 11, Issue 4 (2022), pp. 154 ff.がある。
29 なお、デジタル・コンテンツ供給指令より前の状況の分析として、Carmen Langhanke and Martin Schmidt-Kessel, Consumer Data as Consideration, Journal of European Consumer and Market Law, Vol. 4, Issue 6 (2015), pp. 218 ff.がある。
30 同指令の条文および前文の和訳については、前掲(注7)の和訳に依拠している。以下、本稿において同様である。
31 指令提案から最終的に採択された現行指令までの変遷の経緯については、Axel Metzger, A Market Model for Personal Data: State of Play under the New Directive on Digital Content and Digital Services, in: Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer (eds.), Data as Counter-Performance – Contract Law 2.0?, Nomos, 2020, pp. 25 ff.、馬場圭太「消費者契約における個人データの定位――EU消費者私法における『反対給付としての個人データ』の展開――」現代消費者私法の理論と実務研究班『消費者私法の現代的課題』(関西大学法学研究所、2021年)1頁以下を参照。
32 このような取扱いがされている背景には、個人データが金銭とは異なり不可分であるため、代金減額権を行使できないことを補うという理由が存在する。このことについては、川和功子ほか「EU と日本におけるデジタル・コンテンツ及びデジタル・サービス供給契約法制の比較と課題」公益財団法人電気通信普及財団研究調査助成報告書第37号(2022年度)3頁を参照。
33 GDPRの条文の和訳については、前掲(注24)の和訳を参照した。
34 詳細については、中田邦博=カライスコス アントニオス「EU消費者法の現代化――消費者の権利の実効性確保に向けて――」現消57号(2022年)15頁以下、および、消研15号(2023年)の特集「消費者法の現代化をめぐる比較法的検討――消費者の権利実現のための法システムの構築に向けて」の関連論稿を参照。
35 イギリスのEU離脱(ブレグジット)がイギリス消費者法に与える影響については、ユルゲン・バーゼドー(カライスコス アントニオス訳)「イギリスのEU離脱(Brexit)とビジネス・ロー」中田邦博ほか編『ヨーロッパ私法・消費者法の現代化と日本私法の展開』(日本評論社、2020年)175頁以下を参照。
36 これらの規定の導入に至った経緯等については、芦野訓和「ドイツにおける EU デジタル・コンテンツおよびデジタル・サービス指令国内法化のための民法典の改正(1)」専法143号(2021年)1頁以下を参照。
37 関連するBGBの規定(ただし、デジタル・コンテンツ供給指令の国内法化前の内容)の和訳として、国立国会図書館調査及び立法考査局『ドイツ民法Ⅰ(総則)』(2015年)、同『ドイツ民法Ⅱ(債務関係法)』(2015年)がある。本稿でも、これらを参照した。
38 これら新設規定の和訳については、松本恒雄ほか「デジタル社会における消費者法制の比較法研究 リサーチ・ディスカッション・ペーパー」消費者庁新未来創造戦略本部国際消費者政策研究センター(2023年)75頁〔松本〕におけるものを参照した。
39 ドイツ法における関連規定との関係では、個人データが「対価」として取り扱われているのかについては、明確ではなく、「対価」として取り扱うものではないとの見解もある。詳細については、松本恒雄ほか・前掲(注38) 14頁以下〔芦野〕を参照。
40 債権法の視点からの、個人データの取扱いに関する分析として、Alberto De Franceschi, Personal Data as Counter-Performance, in: Roberto Senigaglia, Claudia Irti and Alessandro Bernes (eds.), Privacy and Data protection in Software Services, Springer, 2022, pp. 59 ff.がある。
41 Regulation (EC) No 593/2008 of the European Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I). 同規則の和訳として、杉浦保友「契約債務に適用される法に関する欧州議会及び理事会規則(Rome Ⅰ)(最終草案全文訳)」BLJ Online 2009, 1頁以下がある。
42 Metzger (op. cit. at note 27), p. 3.
43 Ibid.
44 Id, p. 3. これらの問題意識については、Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer, Data as Counter-Performance – Contract Law 2.0? An Introduction, in: Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer (eds.), Data as Counter-Performance – Contract Law 2.0?, Nomos, 2020, p. 18に示されている。そして、同書内では、Metzger (op. cit. at note 31), pp. 25 ff.がこれを受けて考察する形となっている。なお、同論文の内容は、本稿の関心事項との関係では、本稿で引用している前掲(注27)の論文と部分的に同内容のものとなっている。
45 Metzger (op. cit. at note 27), pp. 3-4. また、松本恒雄ほか「デジタル社会における消費者法制の比較法研究 海外有識者インタビュー記録概要(2)」プログレッシブ・レポート(2023年)31頁も参照。
46 Id, p. 4.
47 例えば、2022年に行われた調査によると、EUでは、若年者の96%が毎日インターネットを利用していた。成人の場合の該当するパーセンテージは、84%であった。調査の詳細については、EUの統計局(ユーロスタット)のウェブサイトhttps://ec.europa.eu/eurostat/web/products-eurostat-news/w/ddn-20230714-1#:~:text=In%202022%2C%2096%25%20of%20young,94%25%20in%20all%20EU%20countries.における紹介を参照。
48 個人データ処理と若年消費者保護の関係についての部分的な考察として、カライスコス アントニオス「若年者に関する消費者保護法理の展開と課題――比較法的な視点から――」現消52号(2021年)53頁以下を参照。同論文の59頁にはEUにおける議論で提案されている、親権者以外の者にも同意権を認めるアプローチについても取り上げられている。同意年齢についての加盟国における状況を見ると、個人データの処理を適法化するための同意の年齢を13歳としているのはベルギー、デンマーク、エストニア、フィンランド、ラトビア、マルタ、ポルトガル、スウェーデン、14歳としているのはオーストリア、ブルガリア、キプロス共和国、イタリア、リトアニア、スペイン、15歳としているのはチェコ共和国、フランス、ギリシャ、スロベニアであり、それ以外の加盟国は16歳としている。詳細については、euCONSENTによる記事(https://euconsent.eu/digital-age-of-consent-under-the-gdpr/)を参照。
49 Irene Kull, Withdrawal from the Consent to Process Personal Data Provided as Counter-Performance: Contractual Consequences, Juridiskā zinātne / Law, No. 13 (2020), p. 43. Martin Schmidt-Kessel, Right to Withdraw Consent to Data Processing – The Effect on the Contract, in: Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer (eds.), Data as Counter-Performance – Contract Law 2.0?, Nomos, 2020, p. 131も、分離されていることを前提とする。また、ドイツ法における契約解消と同意撤回の分離性につき、松本恒雄ほか・前掲(注38)34頁を参照。
50 カライスコス・前掲(注48)、および、ハイン・ケッツ(潮見佳男ほか訳)『ヨーロッパ契約法Ⅰ』(1999年)148頁以下を参照。
51 Metzger (op. cit. at note 27), p. 4.
52 Kull (op. cit. at note 49), p. 44.
53 Schmidt-Kessel (op. cit. at note 49), p. 143.
54 Metzger (op. cit. at note 27), p. 7.
55 個人データの経済的価値の算出については、Philipp Hacker, Regulating the Economic Impact of Data as Counter-Performance: From the Illegality Doctrine to the Unfair Contract Terms Directive, in: Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer (eds.), Data as Counter-Performance – Contract Law 2.0?, Nomos, 2020, pp. 48 ff.が示唆に富む。
56 なお、同意が自由に与えられたものであるかどうかの立証責任は、事業者側が負う(GDPR前文(42))。
57 同意の自由性に関する詳細な分析として、Damian Clifford, Inge Graef and Peggy Valcke, Pre-formulated Declarations of Data Subject Consent – Citizen-Consumer Empowerment and the Alignment of Data, Consumer and Competition Law Protections, German Law Journal, Vol. 20, Issue 5 (2019), pp. 679 ff.を参照。
58 Metzger (op. cit. at note 27), p. 5.
59 関連する契約の実務では、基本的に、契約締結時にそのような個人データが消費者(ユーザー)のアカウント作成と共に提供されることが多いと思われるため、個人データ提供請求権について法的に争われることは、少なくとも現状ではあまり多くないかもしれない。他方で、同種の契約が今後成し遂げる進化次第では、この問題がさらに全面に出てくる可能性も否めない。
60 実際に、個人データを対価とするデジタル・コンテンツやデジタル・サービスの供給に係る契約では、個人データの正確性を確保および維持することに関するユーザー(消費者)の義務を定める条項が見られる。
61 個人データのモネタイゼーションに関する分析として、例えば、Stacy-Ann Elvy, Paying for Privacy and the Personal Data Economy, Columbia Law Review, Vol. 117, No. 6 (2017), available at SSRN: https://ssrn.com/abstract=3058835がある。対価として提供される個人データの正確性は、特にコモン・ロー圏では、契約の約因(consideration)が存在するかどうかとの関係で、重要となり得る。詳細については、Bedir (op. cit. at note 4), p. 355を参照。
62 EU法に関する議論の文脈でも、消費者が個人データ処理に対する同意を撤回した場合に事業者に救済手段を付与するべきでとする立場においても、損害賠償請求権は除外するべきだとする見解が一般的である。詳細については、Axel Metzger, Zohar Efroni, Lena Mischau and Jakob Metzger, Data-Related Aspects of the Digital Content Directive, 9 (2018) JIPITEC 90 para 1, p. 96を参照。
63 Metzger (op. cit. at note 27), p. 7. データへのアクセスにおいて同意が果たす役割とライセンス・スキームについては、Francesco Mezanotte, Access to Data: The Role of Consent and the Licensing Scheme, in: Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer (eds.), Trading Data in the Digital Economy: Legal Concepts and Tools, Nomos, 2017, pp. 159 ff.を参照。
64 詳細については、Natali Helberger, Frederik Zuiderveen Borgesius and Agustin Reyna, The Prefect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law, Common Market Law Review, Vol. 54, Issue 5 (2017), pp. 1427 ff.を参照。
65 Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts. 同指令の和訳として、河上正二訳「消費者契約における不公正条項に関するEC指令(仮訳)」NBL534号(1993年)41頁以下がある。
66 Hacker (op. cit. at note 55), p. 66 ff.は、不公正契約条項指令における審査対象からの除外の理由に照らして、対価としての個人データは、除外されない(不公正性審査に服する)とする。
67 なお、供給されてるコンテンツやサービスと比べて極度に不相応の個人データが供給されている場合には、暴利行為の存在等、その不均衡性が問題となり得る。詳細については、Bedir (op. cit. at note 4), p. 354を参照。
68 Metzger (op. cit. at note 27), p. 4.
69 詳細については、松本恒雄ほか「消費者法のあり方をめぐって(創刊15周年記念座談会)」現消60号(2023年)68頁以下を参照。
