中国“个人信息跨境传输”司法首案之启示

新闻 / 2024-10-29 12:00:00

广州互联网法院于2024年9月发布的“跨境数据纠纷十大典型案例”中,某国际型酒店集团跨境传输个人信息的案例[(2022)粤0192民出6486号]被称为中国“个人信息跨境传输首案”,该案初步明确了个人信息跨境处理行为的合法性司法审查规则,为个人信息跨境流动的实践探索提供司法范本,具有一定的参考和启示意义。本文将结合该案例对个人信息跨境处理行为的合法性审查规则进行介绍。

  1. 案情简介

该案中,原告(自然人)购买了被告某国际酒店的会员卡并通过酒店APP预定了境外住宿服务,在预定过程中勾选同意了酒店方提供的《客户个人数据保护章程》,并提供了姓名、电话、国籍、银行账户等信息。后原告发现该章程中规定,其提交的全部个人信息将被传输并共享至境外多个地区和主体。原告认为该酒店跨境传输、共享、处理个人信息的行为超出了履行合同所必须,应当承担侵权责任,遂起诉至广州互联网法院。

广州互联网法院生效判决认为,对于被告为消费者预定境外酒店服务收集个人信息并传输到对应境外酒店,属于履行合同必需,不须单独同意。但被告在其《客户个人数据保护章程》中,未遵循公开透明原则,真实、准确、完整告知其处理规则,未能依法正确履行告知义务。此外,被告基于商业营销目的,向位于境外其他国家和地区的第三方公司传输处理相关个人信息的行为及其处理目的超出履行合同必需,也未向信息主体充分告知并取得其单独同意,属于违法处理行为,侵害了该主体的个人信息权益,应当承担民事侵权责任。

2. 对个人信息跨境处理活动的启示


1)如何判断个人信息的处理属于“履行合同所必需”

广州互联网法院在该案判决书中表明,判断个人信息是否属于“履行合同所必需”主要从以下两个方面:一是收集处理的个人信息范围,以及共享出境给其他境外接收主体范围是否履行合同的必需;二是处理目的是否履行合同必需。处理个人信息的范围及处理主体的范围均应符合最小必要原则,从个人信息收集的范围来看:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

2)如何履行告知及获取同意义务

该案中法院表明,处理个人信息的合法性基础以个人同意为核心,而个人的同意又以被明确告知作为前提条件。因此需要从“告知”和“同意”两个层面进行合法性审查。

关于“告知”义务,除法律另有规定外,个人信息处理者都应按《中华人民共和国个人信息保护法》第7条和第17条规定的原则及方式进行告知,公开个人信息处理规则,即采用显著方式、清晰易懂的语言真实、准确、完整地向个人告知:个人信息处理者的名称和联系方式;个人信息的处理目的、方式、范围及保存期限;个人行使法定权利的方式和程序等。

关于“同意”,除《个人信息保护法》第13条规定的例外情形,个人信息处理者均应提前获得用户同意。在以下五种情形中还需取得用户单独同意:向其他个人信息处理者提供个人信息;公开个人信息;将在公共场所通过图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全之外的目的;处理敏感个人信息;向境外提供个人信息

3)用户在APP勾选同意个人信息处理规则是否一定产生“同意”的法律效力

广州互联网法院在该案中明确,用户对各移动应用(APP)展示的隐私政策的采取点击勾选动作,不必然对隐私政策发生“同意”的法律效力。点击勾选隐私政策是否具有“同意”的法律效力,取决于个人信息处理者后续的处理行为是否需要增强的告知和同意。如果后续个人信息处理行为需要增强告知同意(例如存在上述需要用户单独同意的情形),勾选隐私政策则不能产生“同意”的法律效力。只有在不需要增强告知同意时,此种点击勾选才能够具有“同意”的法律效力。


4. 结语

上述案件系目前中国个人信息跨境处理合法性审查领域的首例案件,为个人信息跨境传输的合法性审查提供了有益的司法实践探索。我们建议涉及个人信息跨境传输的数据处理主体结合本案例,在必要的范围内收集各类信息,并谨慎履行告知、获取同意等义务,提前对个人信息处理活动进行合法合规性审查,确保其处理信息传输中的合规性。

最新动态

点击阅读更多内容
本站使用百度智能门户搭建 管理登录
沪ICP备2021027594号-1