【法脉准绳】个人信息跨境处理的合法性审查

 基 本 案 情 

A公司是注册地在某国的跨国酒店管理集团，运营具有订房等功能的某APP。B公司是A公司在中国的关联公司，是该酒店微信公众号的运营主体。

左某于2020年前已经成为该酒店集团会员。2021年10月，左某向B公司购买A公司会员卡，持该卡能够以会员优惠价格享受A公司提供的酒店食宿服务。2022年2月，左某在其APP预订了位于境外的某酒店房间，并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。

左某发现，A公司的《客户个人数据保护章程》中记载，会将其个人信息传送共享至全球多个地区和接收主体，认为两被告在其《客户个人数据保护章程》中无限制扩大左某个人信息境外接受主体的国家范围、主体范围，其无法知悉其个人信息在哪些国家和地区被何种境外主体处理，亦未能向客户提供相应撤回授权、行使权利的便捷渠道。侵害了左某的个人信息权益，因此诉至法院。

1.判令两被告提供境外接收左某个人信息的全部接收方信息，并删除左某全部个人信息；2.判令B公司在其运营的微信公众号公开向左某赔礼道歉；3.判令A公司在其运营的APP公开向左某赔礼道歉；4.判令两被告共同向左某赔偿经济损失、误工费、律师费等。

1.收集和处理左某个人信息、向境外传输左某个人信息是两被告为了签订和履行与左某之间的会员服务及酒店预订服务合同所必需的行为，属于《中华人民共和国个人信息保护法》第十三条第一款第二项所述情形，无需取得左某的同意。

2.两被告收集和处理左某个人信息，向境外提供其他个人信息，已获得左某同意和确认，充分保障了左某的知情权和决定权。

3.左某诉讼请求仅限于实现其知情权和删除权，法院无需对两被告向境外传输个人信息的合法性、正当性和必要性等问题进行认定或判决。

诉讼中，两被告提交了“境外接收方及信息传输列表”，证明境外接收左某个人信息的接收方的名称、联系方式、处理目的、处理方式及处理的个人信息种类。A公司的境外接收方和信息传输列表显示，A公司基于管理中央预订系统、处理个人预订、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的，分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息，其中，基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。

 裁 判 结 果 

广州互联网法院判决：

一、被告A公司向原告左某致书面赔礼道歉，致歉声明内容需经法院审核；

二、被告A公司、B公司删除原告左某在两被告及相关个人信息接收方的全部个人信息，并出具相关凭据；

三、被告A公司赔偿原告左某财产损失20000元（含合理开支）；

四、驳回原告左某的其他诉讼请求。

A公司不服一审判决提起上诉，广州市中级人民法院于2024年6月作出判决，除因被告自动履行一审判决主文第二项“删除全部原告左某全部个人信息”而撤销该项外，维持其余一审判决。

本案判决已发生法律效力。

  裁 判 理 由  

法院生效裁判认为，本案系个人信息保护纠纷。A公司是外国法人，故本案属于涉外案件。

根据《中华人民共和国个人信息保护法》第三条规定，本案所涉个人信息处理行为，属于以“向境内自然人提供产品或者服务为目的”的行为，且庭审中各方当事人均同意本案适用中国法律处理，根据《中华人民共和国涉外民事关系法律适用法》第四十四条之规定，“侵权责任，适用侵权行为地法律，但当事人有共同经常居所地的，适用共同经常居所地法律。侵权行为发生后，当事人协议选择适用法律的，按照其协议。”故本案适用包括《中华人民共和国个人信息保护法》在内的中国法律处理。

本案系因两被告在运营过程中，将消费者个人信息提供给境外加盟酒店以及合作伙伴进行处理而引发的消费者与酒店管理集团之间的纠纷。

本案争议焦点为：一、本案是否可诉；二、两被告是否侵害了左某的个人信息权益；三、两被告是否应当承担民事侵权责任。

一、关于本案是否具有可诉性

两被告辩称因左某未向两被告提出权利请求直接向法院起诉，故本案不具备可诉性。

法院认为，个人对其个人信息处理的知情权与决定权在个人信息保护法律体系中占据基础性地位，与侵害查阅权、复制权等工具性权利不处于同一层级。《中华人民共和国个人信息保护法》第五十条旨在要求个人信息处理者建立便捷的权利申请受理和处理机制，是关于工具性权利行使受到阻碍而进行司法救济的规定。

本案诉因系左某基于个人信息被置于不安全境地，认为其知情决定权受到侵害，在此基础上主张对其个人信息的查询、删除权利。因此，左某提起的是基于两被告违法处理个人信息致其个人信息权益受侵害的诉讼，而非单纯行使查阅权及删除权的诉讼。根据《中华人民共和国民法典》第一千零三十四条，《中华人民共和国个人信息保护法》第二条之规定，个人信息权益受到侵害的，被侵权人有权请求侵权人承担侵权责任。信息主体以个人信息处理者违法处理行为侵犯其个人信息权益为由向法院起诉的，没有也不应当有任何前置程序。故此，本案具有可诉性。

二、被告的个人信息处理行为是否侵害了原告左某的个人信息权益

法院认为，本案被告收集用户个人信息的范围是预订酒店所必需，符合法律规定。但信息共享人员范围违反法律规定，信息处理目的超出履行合同必需，需增强告知并经用户同意后才能发生法律效力。

从出境共享个人信息的接收人员范围和地域范围看，将个人信息共享给酒店集团的商业合作伙伴及营销部门人员，表述含糊不清，违反《中华人民共和国个人信息保护法》第十七条要求个人信息处理者以显著方式、清晰易懂的语言真实、准确、完整地向个人告知的相关规定。被告在庭审中提交的境外接收方及信息传输列表显示，其基于“营销传播目的”向位于美国和爱尔兰的某公司实施了信息传输、处理行为，该处理目的明显超出履行合同必要，且未取得个人同意，其行为不具备个人信息处理的合法性基础。因此，法院判定被告个人信息处理行为侵害了原告左某的个人信息权益。

三、两被告是否应当承担民事侵权责任

法院认为，B公司庭审中向法院提交的境外接收方及信息传输列表，暂未发现违法处理行为。本案争议的个人信息出境行为是由A公司实施的。故，左某对B公司提出的除删除个人信息以外的各项诉讼请求，法院不予支持。

关于查阅权和删除权的诉讼请求

左某主张的查阅权、删除权的行使具有法律依据，法院予以支持。鉴于两被告均向法院提交了境外接收方及信息传输列表，左某关于查阅权的诉讼请求已经实现。法院对左某主张删除权的诉讼请求予以支持，两被告应删除左某在两被告及其他相关接收方的全部个人信息。

关于赔礼道歉

根据《中华人民共和国民法典》第九百九十八条、第一千条的规定，A公司承担的民事侵权责任，应当考虑本案双方当事人的职业，影响范围，过错程度，以及侵权行为的目的、方式、后果等因素，A公司因侵害左某个人信息权益承担的赔礼道歉的民事责任，应当与行为的具体方式和造成的影响范围相适应。综合本案案情，以及《中华人民共和国个人信息保护法》实施以来各APP运营者对于告知同意机制的理解与执行的现实情况，A公司的赔礼道歉不适合以公开形式进行，而适宜采取由A公司以书面形式向左某赔礼道歉，致歉声明的具体内容由法院审查决定。

关于财产损失

综合考虑左某主张的各项费用的合理性、必要性，A公司的过错程度及损害后果，以及对左某个人信息的具体使用方式、数量、范围、程度等因素，法院依法酌定A公司赔偿左某经济损失20000元（含合理开支）。

  法 官 说 法  

法官 邵山

《中华人民共和国个人信息保护法》既是权益保护法，也是行为规制法，呈现出公法与私法高度融合、权益保障与行为规制并行交叉的特征。本案聚焦个人信息权益侵权是否可诉和个人信息处理行为合法性的司法审查两大争议问题，从厘清《中华人民共和国个人信息保护法》的性质入手对上述问题作出回答，以期为新时代个人信息保护和数据跨境的发展贡献司法力量。

关于《中华人民共和国个人信息保护法》第五十条第二款是否设置了侵害个人信息权益之诉的前置程序，存在较大分歧，有否定说、肯定说，其中肯定说又分为私力救济前置说和公力救济前置说。

个人以个人信息处理者的违法处理行为侵犯其个人信息权益为由向法院起诉的，没有也不应当有任何前置程序。 

个人信息是承载着信息主体的人格尊严和自由利益的民事权益，当个人信息权益受到侵害时，以行政机关执法为主的公法救济和以权利人私力诉讼为主的私法救济应并行不悖。赋予个人以用户身份对个人信息处理者的不当行为提起诉讼的权利，有利于推动个人信息处理者改进和优化个人信息处理流程，能够促进个人信息保护的效益提升，进而实现《中华人民共和国个人信息保护法》的立法目的。

当事人有权根据自己的意愿和利益需要，选择最合适的权利救济路径，如向平台交涉、行政监管投诉、提起诉讼等。如果以个人信息处理者拒绝作为个人提起诉讼的前置条件，实质上赋予了一方当事人限制另一方提起诉讼的权利，将会导致两造双方诉讼地位严重不平等。实践中，个人信息处理者完全可以通过漠视诉求、拖延处理、答非所问等方法不对个人行权作出明确拒绝，从而造成个人难以起诉，个人信息权益损害后果进一步扩大。

将第五十条第二款解读为前置程序存在逻辑学上的否定前件谬误，即在一个条件语句的前件被否定时，错误推断出后件也必须被否定。“个人信息处理者拒绝个人行权请求，个人就可以提起诉讼”，并不意味着“个人信息处理者未拒绝个人行权请求，个人就不可以提起诉讼”。

综上，《中华人民共和国个人信息保护法》引入私权利参与个人信息治理，同时在第五十条规定了个人行权的受理和处理机制，其立法目的旨在个人信息权益侵权救济渠道的“增量”而非“减量”。只有正确理解立法原意，强化权益救济渠道保障，才能让法律赋予的个人信息权益真正落地。

（一）“取得个人同意”情形下的合法性审查

信息主体同意是最典型也是最为重要的信息自决合法性基础，广泛应用于各类个人信息处理的商业场景之中。一般而言，个人信息处理者首先会通过一揽子隐私政策告知个人信息处理规则，这种告知被称为一般告知。个人点击勾选隐私政策是否具有“同意”的法律效力，还需结合告知的内容和方式进行两步审查。

一是一般告知是否符合《中华人民共和国个人信息保护法》第七条和第十七条的规定，即是否真实、准确、完整地明示处理目的、方式和范围。若不符合，在民事合法性意义上尚需进行增强告知。这里的增强告知是指向个人单独告知并取得单独同意。

二是是否存在法律规定需要单独同意的情形，或其他对个人权益有重大影响的情形。若存在，则无论一般告知是否真实、准确、完整，均应再进行增强告知。经上述两步审查，可以认定个人信息处理行为的合法性。

需要特别注意的是，隐私政策的一般告知若未能符合行政监管规定，在民事上不一定需要承责。只要在实质开展个人信息处理行为之前进行增强告知并取得个人补正的同意，个人信息处理行为也不会被认定为民事侵权。

（二）“履行合同所必需”情形下的合法性审查

“履行合同所必需”限定了三项条件。

一是合同，合同本身就是民事主体意思自治的体现。个人信息处理者在合同成立前的磋商阶段有义务将合同条款告知个人，个人只有在同意的情况下才会签署合同，合同才能成立。即“履行合同所必需”规则直接获得个人信息处理合法性，是信息主体对其个人信息的处分行为。

二是必需，“必需”将该条所适用的情形限定在如不满足则合同不成立的范畴。这意味着个人若期待合同成立，则理应对该个人信息处理行为具备一般理性人的合理预期。在商业场景中，这种情况通常以商业惯例的形态出现。本案认为，在合同必需的情况下，个人信息处理者仍需明示相关情况并取得个人同意，即满足《中华人民共和国个人信息保护法》第七条和第十七条的一般规定。但即便出境个人信息涉及身份证、信用卡等敏感个人信息，在合同必需的情况下也无需再取得个人单独同意。

三是履行，无需告知仅发生在履行阶段，而非磋商阶段，告知作为一种先合同义务而存在。在磋商阶段，基于《中华人民共和国个人信息保护法》第七条和第十七条的规定，个人信息处理者有义务告知个人信息处理的目的、方式和范围。个人若不同意，则合同不成立。若合同成立，在合同履行过程中，个人信息处理者无需再行告知。

（三）个人信息告知同意的循环交互特征与合法性审查的整体性

由于数字经济产业发展的动态性，个人信息处理规则也需要在产业模式的发展中不断深化完善。通过一份隐私政策涵盖所有的个人信息处理情形，一劳永逸地取得现在以及未来所有个人信息处理行为的合法性基础，这并不现实。互联网企业必然需要在业务开展中将动态变化的个人信息处理情况向个人不断进行增强告知，个人在同意或不同意的选择中不断增强对个人信息处理行为的理解，通过向企业提出建议、向行政监管机关投诉以及向法院提起诉讼等各种方式表达自身诉求，才能推动个人信息处理规则在告知同意的循环交互中不断完善。

司法审查应当充分认识到个人信息告知同意的循环交互特征，深刻理解《中华人民共和国个人信息保护法》从个人信息生命周期角度进行系统设计的理念，结合数字经济的产业模式对个人信息处理行为进行整体性审查。如在本案中，司法审查的重点在于个人能否对整体的个人信息跨境处理行为知情并自主作出决定。对于符合“履行合同所必需”的情形，结合酒店行业普遍情况和在线预订商业模式，审慎认定“必需”所涵盖的范围。对于属于“取得个人同意”的情形，重点考察个人是否在告知和同意的循环交互中真正了解了个人信息出境的目的、方式和范围。只有综合考虑个人信息生命周期的各个环节，才能对个人信息处理行为作出准确的整体性评价。

数字经济发展日新月异，新型个人信息处理行为不断涌现。面对这些新兴领域，司法可以激发更多个体参与个人信息治理的热情，充分发挥个案裁判的作用，在知情同意的循环交互中约束和规范个人信息处理行为，与时俱进完善个人信息处理规则，从而实现《中华人民共和国个人信息保护法》的立法目的，推动数字经济持续健康发展。

主审法官 | 邵山

通讯员 | 刘梦薇

责编 | 谭静宜

编辑 | 许晓琪

星标三连

更好接收“广州互联网法院”的推送消息！

▼▼▼

更多精彩不容错过！