涉个人信息跨境传输纠纷案审结：法院厘清笼统告知不足以产生法律效力

南方财经全媒体见习记者徐小琼  广州报道

近日，广州互联网法院发布了跨境数据纠纷十大典型案例，其中包括一起涉及个人信息跨境传输的民事纠纷案件，该案已由广州互联网法院审结。案件中原告左某指控某国内咨询公司及某国际酒店集团在未经充分告知的情况下，将其个人信息传输至境外。

对此，广州互联网法院从个人信息权益、告知同意机制、“履行合同必须”等角度综合考量，认定笼统告知不能产生“单独同意”的效力。被告公司处理个人信息行为超出履行合同所必需，未依法正确履行告知义务，侵害了左某的个人信息权益。

勾选行为背后的信息流动

据中国裁判文书网公开信息，左某购买某国际酒店集团会员卡后，通过一家咨询公司运营的微信公众号，在该酒店集团的移动应用（APP）上预订了境外酒店。预订过程中，左某勾选了该酒店集团的《客户个人数据保护章程》，并提交了姓名、国籍、电话号码等个人信息。这些信息将可能被传输至该国际酒店集团内部人员包括商业合作伙伴及营销部门人员等七类人，而左某对此并不知情。

事后，左某发现《客户个人数据保护章程》中规定，其提交的个人信息将被传送共享至全球多个地区和接收主体，遂意识到其个人信息可能被泄露至境外。左某随即向广州互联网法院提起诉讼，指控酒店集团和咨询公司未经充分告知，将其个人信息传输至境外，侵犯其个人权益。被告辩称其信息收集行为合法，无需另行取得同意

厘清合法性基础，勾选行为未必产生“同意”法律效力

“本案首次在司法领域对个人信息跨境传输是否属于‘履行合同必需’、如何取得单独同意进行审查与认定。”京瀛和律师事务所律师王忆湘认为，本案作为第一例由个人发起，涉及个人信息跨境的司法案件，广州互联网法院在案件审理过程中面临着向境外提供个人信息是否履行合同必需与可否豁免单独同意等争议问题。

“虽然《促进和规范数据跨境流动规定》中将一方为履行机票酒店预订等合同列为免予进行数据出境安全评估等合规要求事项，但仍需评价个人信息出境过程中涉及具体处理行为和具体个人信息类型，”王律师进一步解释道，在无过往案例提供参考的情况下，广州互联网法院通过审查《常见类型移动互联网应用程序必要个人信息范围规定》等行政监管文件以及酒店业行业惯例，逐项分析本案涉及的个人信息处理行为的合法性、正当性与必要性，最终认定被告公司实施的基于营销目的的个人信息传输处理行为超出履行合同的必要性，具有违法处理个人信息的行为。

同时，广州互联网法院在裁判文书中强调，“单独同意”可豁免，但“告知”不足无法产生“同意”的法律效力。根据《中华人民共和国个人信息保护法》，“知情”与“明确同意”是个人信息跨境传输的合法性基础之一，点击勾选隐私政策是否具有“同意”的法律效力，取决于个人信息处理者后续的处理行为是否需要增强的告知和同意。广州互联网法院认定，本案中《客户个人数据保护章程》的呈现属于一揽子笼统告知，无法视为增强告知，相应勾选隐私政策也不构成单独同意，该国际酒店集团需承担侵权责任。

“本案进一步明确了法律对企业，尤其是跨国企业的个人信息保护合规要求”，王律师指出，企业在制定网站、APP的隐私政策和个人信息保护政策时，必须合理且充分地告知用户，避免使用模糊的概括性描述。尽管《促进和规范数据跨境流动规定》等政策出台降低了个人信息等数据跨境流动负担，但企业仍需严格履行个人信息保护义务，确保用户知情并取得同意。