近日裁判文书网与最高人民法院披露了广州互联网法院审理的一起与个人信息跨境传输相关的个人信息保护纠纷案民事判决书(2022粤0192民初6486号���,判决书原文详见文章结尾附件)。法院在判决书中对于个人信息保护的合规要点展开了充分的说理���,为个人信息跨境传输的相关合规义务提供了具体的司法指引。
我们认为���,检验合规工作是否到位的“唯一”标准���,就是司法裁判与行政监管意见。这份判决书中对于个人信息跨境传输的诸多观点与此前行政监管领域的意见相契合���,为企业开展个人信息跨境传输工作提供了较为明确的参考标准。我们希望藉由对该判决的分析���,引起企业对数据合规细节以及未来可能面临的民事诉讼风险的关注。
被告一某琴公司是被告二某高在中国的关联公司���,是该品牌微信公众号的运营者。某高公司是一家总部位于法国的跨国酒店管理集团���,与数千家酒店的业主签订了特许经营或管理合同���,并运营酒店APP。原告左某于2020年前已经成为某高酒店集团会员���,并于2021年购买某高A*卡两张���,约定持该卡能够以会员优惠价格享受某高公司提供的酒店食宿服务。
2022年2月24日���,左某通过某琴公司运营的“某高A*”微信公众号���,下载了“A*”移动应用(APP)���,并勾选某高公司《客户个人数据保护章程》。2022年2月27日���,左某通过该移动应用(APP)预定了2022年3月8日至3月9日缅甸仰光某高公司旗下酒店���,并提交了姓名���、国籍���、电话号码���、电子邮箱地址���、银行卡号等个人信息。
《客户个人数据保护章程》载明数据出境的相关内容。诉讼中���,两被告提交了“境外接收方及信息传输列表”���,证明境外接收左某个人信息的接收方的名称���、联系方式���、处理目的���、处理方式及处理的个人信息种类。
境外接收方及信息传输列表显示某高公司基于管理中央预订系统���、处理个人预订���、客户服务管理���、营销传播管理���、业务分析活动���、信息存储等处理目的���,分别向位于法国���、缅甸���、英国���、美国���、荷兰���、爱尔兰六个国家的七个境外接收方传输信息���,其中���,基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。
原告左某诉请���:1.判令两被告提供境外接收左某个人信息的全部接收方信息���,包括接收方姓名(名称)���、联系方式���、处理目的���、处理方式���、个人信息的种类���,并判令两被告及全部接收方在各自数据储存的原始载体中删除左某全部个人信息���,并出具相关证明凭证���,或由法院监督执行;2.判令某琴公司在其运营的微信公众号“某高 A*”公开向左某赔礼道歉���,具体道歉内容由法院与左某共同确认;3.判令某高公司在其运营的“A*”移动应用(APP)首页公开向左某赔礼道歉���,具体道歉内容由法院与左某共同确认;4.判令两被告共同向左某赔偿经济损失 5 万元;5.判令两被告共同赔偿左某误工费 9,600 元���、左某聘请两名律师的费用各 9,600 元���,以及翻译费 2,500 元;6.两被告共同承担本案案件受理费。
值得注意的是���,原告最初诉请包含了“要求两被告提供跨境传输其个人信息符合法定条件的相关安全评估���、个人信息保护认证文件���,以及两被告与全部境外接收方签订的合同”的内容���,但在诉讼中进行了变更。我们推测其原因在于上述文件属于数据跨境传输行政监管要求的文件���,原告主张被告提供该等文件并无法律依据。尽管如此���,我们认为通过数据出境相关评估���、备案或认证���,将有效证明企业数据出境的合规性���,而反之也将导致企业在面临诉讼风险的同时���,还将面临行政监管的风险。同时���,我们也注意到实践中有企业在其隐私政策等法律文件中明确注明其已通过网信部门的数据出境安全评估或完成了个人信息出境标准合同备案���,该等主动声明合规的做法亦值得借鉴。
法院最终判决被告某琴公司及某高公司删除左某的个人信息���,并提供相关凭据;某高公司向左某书面赔礼道歉并赔偿其财产损失2万元。
本案中���,法院对于个人信息处理的几个关键问题提供了司法裁判观点���,对企业数据合规工作具有一定指导意义。接下来我们将对这些裁判观点展开解读���:
1���、保护个人信息处理知情权和决定权是否可以直接寻求司法救济?
《个人信息保护法》(以下简称“个保法”)第50条第2款规定“个人信息处理者拒绝个人行使权利的请求的���,个人可以依法向人民法院提起诉讼。”对于该条的理解���,广州互联网法院在本案判决书中进行了详细的论述���,认为���:
① 个人对个人信息处理的知情权和决定权是个人信息权益中最核心内容���,而查阅权���、复制权���、可携带权���、更正权���、补充权���、删除权���、解释说明权属于工具性权能���,旨在保护知情权和决定权���,法律位阶也低于知情权和决定权。
② 知情权和决定权受到侵害时���,个人可以直接对侵权行为向法院提起诉讼���,而不应有任何前置程序。
③ 纯粹以查询权���、删除权等工具性权益未能得到行使而提起诉讼的���,权利人负有证明其个人信息权益具体权能不得实现的举证责任���,既应当先行向数据处理者提出权利请求���,而不应径直提起诉讼。
我们赞同法院上述观点与论证。在个保法的体系架构中���,“告知-同意”机制居于核心地位���,只有经“充分的告知”与“明确的同意”���,方能体现个人信息权利主体真实的意思表示。个保法中诸多规则都是围绕确保个人信息处理者进行充分地告知���,个人信息权利主体做出明确的同意这一机制来设计的。此外���,在消费领域���,“告知-同意”机制也是保障消费者知情权的体现���,在消费者主张“知情权”时���,将产生个保法与《消费者权益保护法》(以下简称“消保法”)适用的竞合。而消保法并未对知情权的保护设置任何前置性程序���,因此个保法第50条第2款也不应被解读为针对用户的知情权和决定权设置了前置性程序。而针对工具性权能���,我们认为个保法第50条第2款所设置的前置性程序可以有效防止个人信息权利主体对于权利的滥用���,降低企业讼累也有助于节约司法资源。
同时���,企业也应关注对于用户个人信息查阅权���、复制权���、删除权等工具性权益的保障���,设立有效的沟通机制与渠道。实践中企业可以考虑在隐私政策等法律文件中披露相应的用户权益保障机制���,诸如热线电话���、邮件等���,并确保该等保障机制有效实施。若企业阻碍用户该等权益的实现���,也将承担相应的侵权责任。
2���、对隐私政策的勾选是否必然发生“告知同意”的法律效力?如何合规地实现“单独同意”?
关于“告知”���,本案中法院认为���,隐私政策应当遵循公开透明原则���,使用户或者消费者通过清晰易懂的语言真实���、准确���、完整的获取告知内容。关于“同意”���,法院认为用户对APP展示的隐私政策的采取点击勾选动作���,不必然对隐私政策发生“同意”的法律效力。如果后续个人信息处理行为需要增强告知同意���,勾选隐私政策则不能产生“同意”的法律效力。只有在不需要增强告知同意时���,此种点击勾选动作才能够具有“同意”的法律效力。
我们认为这一观点符合个保法第17条对“告知”提出的“显著���、清晰易懂���、真实���、准确���、完整”的要求���,也符合个保法“单独同意”机制的设置。对于“处理个人敏感信息;对外提供个人信息;公开个人信息;将在公共场所通过图像采集���、个人身份识别设备所收集的个人图像���、身份识别信息用于维护公共安全之外的目的;向境外提供个人信息”这五类高风险个人信息处理情形���,在适用“同意”这一合法性基础的情况下���,个保法赋予个人信息处理者获取用户“单独同意”这一更高标准的法律义务���,本案法院也认为���,在此情况下���,单纯的对隐私政策的勾选同意���,已无法产生个保法要求的需要增强告知同意场景下“同意”的法律效力。
由此可见���,司法裁判中对于“告知-同意”的有效性判断���,采取了实质大于形式的立场。因此���,企业在合规落地过程中���,不能只关注形式上是否完成了“告知-同意”���,认为用户点击勾选了隐私政策就能一劳永逸���,而应当从实质上判断是否满足个保法第17条的要求���,以及是否严格按照法律规定的情形获取了用户的有效同意。在实践中���,我们建议企业关注市场上各类“告知-同意”的落地机制���,整理“告知-同意”案例库���,为业务部门提供更多合规落地的良好实践参照与选择。
至于用户的有效同意���,实践中如何进行“单独告知”是实践中诸多企业较为困惑与较难有效实施合规落地的问题。“单独同意”的意味着个人信息处理者应当进行“单独告知”。值得注意的是���,在本案判决中���,法院参考并引用了《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023���,以下简称“告知同意指南”)���,该国家标准对于包括单独同意在内的告知与同意实施机制提供了具体的指引���,对于企业来说有重要的参考价值。同时���,这也在提醒企业在日常合规工作中需要重视相关国家标准的规定。虽然理论上推荐性国标并无强制效力���,但监管机构与司法机关已经多次在数据安全与个人信息保护领域的执法与裁判案件中参考并引用相关推荐性国标���,所以实质上一定程度赋予了其强制效力。
3���、判断个人信息处理行为是否为履行合同所必需
首先���,法院部分认可了某高公司关于其个人信息处理的合法性基础是个保法第13条第1款第2项“履行合同所必需”的观点���,参照《常见类型移动互联网应用程序必要个人信息范围规定》对于旅游���、酒店类APP收集的必要个人信息范围做出了认定���,认可两被告收集个人信息范围符合个保法的规定。
其次���,法院进一步认可了某高公司将左某的个人信息传输至位于缅甸的酒店���,以及位于法国总部的酒店中央预订系统���,对于履行合同来说具有正当性和必要性。这一观点与2024年3月22日国家互联网信息办公室发布的《促进和规范数据跨境流动规定》第5条的整体精神保持了一致���,即认可履行个人作为一方当事人的合同时���,向境外提供个人信息的必要性。但需要说明的是���,如果个人预订境内酒店���,当前实践中网信部门很可能对将个人信息传输至境外总部酒店中央预订系统的必要性持否定态度。期待未来看到对于预定境内酒店数据出境至总部中央预订系统这一场景的法院观点与说理。
最后���,法院对于数据接收方与数据处理目的进行了严格的审查���,认为某高公司也事实上向位于美国和爱尔兰的某公司基于营销传播目的实施了数据传输及数据处理行为���,这一行为超出了履行合同的必要���,未获用户个人同意���,亦不具备个保法规定的其他合法性基础���,属于违法处理个人信息���,某高公司存在过错。
我们理解商业实践中营销是重要的数据应用场景���,很多企业在隐私政策中会提及营销场景���,但往往语焉不详���,未能说清具体使用的个人信息字段与数据接收方;或是未能根据个保法的要求取得单独同意。有的跨国企业在华使用的隐私政策基于母公司的版本翻译而来���,可能与中国的监管要求存在差距���,因此有必要对全球隐私政策进行本地化改造。同时���,中国企业在出海过程中也要注意���,各国对于使用个人信息进行营销信息的发送与触达的规定不尽相同���,特别是用户对于接收营销信息的选择权���,不同法域存在opt-in与opt-out两种模式���,如果违反将导致对用户权利的侵犯���,甚至可能引发集体诉讼。
4���、关于侵权责任的承担
我们认为在侵权责任承担这一部分���,最值得关注的是法院关于某琴公司与某高公司在侵权行为中作用的认定。法院认定本案争议的个人信息出境行为是由某高公司实施的���,认为原告左某基于外观主义而主张的“某琴公司让普通消费者合理地认为该公司即为交易对象及个人信息的接收者”的理据不充分���,未予支持原告关于某琴公司与某高公司共同实施了侵权行为的主张。
我们推断法院持该观点的依据应该是左某预订缅甸酒店所使用的APP由某高公司直接运营。法院在判决书本院认为部分开宗明义���,认定本案属于个保法第3条规定的“以向境内自然人提供产品或者服务为目的”在中国境外处理中国境内自然人个人信息的活动。因此关于酒店预订与营销的个人信息跨境传输与其他处理行为���,应当认定某高公司为个人信息处理者���,进而承担相关侵权责任。该等认定并无不妥。
但如果本案事实发生变化���,并考虑当前监管对于预订境内酒店时数据出境必要性的认定���,情况可能将变得复杂���,我们将尝试对不同情形进行简要的讨论���:
① 若本案中酒店预订平台(官网���、APP���、小程序)由某琴公司主体运营���,且左某预订的是境内酒店���,则很有可能将由某琴公司承担侵权责任。
② 若本案中酒店预订平台(官网���、APP���、小程序)由某琴公司主体运营���,此时某高公司与某琴公司是否构成个人信息的委托处理关系���,进而仍由某高公司承担侵权责任?而某琴公司是否将依据我国民法典第167条[1]承担连带责任?
③ 若左某预订境内酒店���,是否需要分析酒店预订系统在境内的部署情况���,进而将酒店业主方作为本案共同被告加入诉讼?
④ 若左某预订境内酒店���,且通过旅行社或OTA渠道预订���,是否需要分析旅行社或OTA与被告数据传输或系统对接情况���,判断其数据处理法律地位���,进而加入诉讼并承担责任?
对于上述发散讨论的问题���,我们认为答案恐怕并不唯一���,不同的事实细节可能将导致不同的法律后果���,因此若未来确有与上述假设情形的雷同案例���,我们期待法院能够进行精细化地分析与说理。
关于本案中侵权责任的承担形式���,由于侵害个人信息权益案件属人格权纠纷���,除判令二被告删除左某个人信息之外���,法院判令某高公司给予左某书面(非公开)赔礼道歉���,并赔偿左某2万元经济损失(含案件合理开支)。从结果上看���,某高公司避免了公开赔礼道歉���,但法院也表明是在“考虑本案双方当事人的职业���,影响范围���,过错程度���,以及侵权行为的目的���、方式���、后果等因素”基础上做出的该等判决���,所以此类案件侵权行为人完全有可能面临公开赔礼道歉这一对商誉产生较大影响的责任承担形式。此外���,考虑到酒店业面对的是众多消费者���,如果企业面对的是各地此起彼伏的同类案件���,或是面临共同诉讼���、代表人诉讼���,本案中法院判决的赔偿金额将产生乘数效应���,使得企业面临巨额赔偿责任。
本案作为第一起判决书全面披露的数据出境案件���,法院的说理与判决对企业后续数据合规工作具有重要的指导意义���,我们认为以下事项需要引起企业足够的重视���:
-
严格按照数据安全与个人信息保护相关法律法规���、部门规章���、国家标准���、监管意见来制定隐私政策等法律文本。隐私政策关乎企业各项业务的数据处理内容���,应当在对各项业务进行细致梳理的基础上���,用清晰易懂���、真实���、准确���、完整的语言呈现数据处理的细节。如果基于跨国企业全球版本的隐私政策���,必须对其进行中国本土化改造���,以确保其符合中国法律与监管要求。
-
按照个保法的要求落实“告知-同意”���,特别是“单独同意”机制。具体落实方案应当由法律合规部门���、业务部门与技术部门共同决策���,重点参考包括告知同意指南在内的国家标准���,跟踪并借鉴市场良好实践。
-
无论跨国企业在华运营还是中国企业出海业务���,都应当重视数据跨境传输合规。确保数据出境具有正当性与必要性���,且具备个保法规定的合法性基础。企业还应当严格遵循网信部门对于数据出境的行政监管要求���,积极履行相关评估与备案义务���,针对豁免场景也要完成企业内部的个人信息保护影响评估工作。同时���,也要进一步关注网信部门与司法机关对于具体场景下数据出境必要性认定的异同。
-
对于包括酒店业在内具有“长服务链条”的行业���,企业还应当重视各个交易环节中与各合作方(如境外数据接收方���、酒店业主���、旅行社���、OTA平台等)签订的数据处理法律条款。明确各方在数据处理活动中的法律地位与义务���,准确判断在各类数据处理场景中各方的数据合规义务与风险责任敞口。
-
对于酒店���、零售与快消���、网络平台等直接面对众多个人用户的行业���,应当充分注重个人信息保护合规工作���,防范共同诉讼���、代表人诉讼所可能导致的巨额赔偿责任���,以及对商誉带来的负面影响。
[1] 代理人知道或者应当知道代理事项违法仍然实施代理行为���,或者被代理人知道或者应当知道代理人的代理行为违法未作反对表示的���,被代理人和代理人应当承担连带责任。
