9月2日,广州互联网法院(以下简称“法院”)公布了一起审结的涉及个人信息跨境传输的民事纠纷案件。法院在判决书中对于个人信息保护的合规要点展开了充分的说理,为个人信息跨境传输的相关合规义务提供了具体的司法指引。
基本事实
2021年10月,王某通过某咨询公司(以下简称“某琴公司”)运营的微信公众号购买了某国际酒店公司住宿服务,并在某国际酒店公司(以下简称“某高公司”)的移动应用APP上预定了境外酒店。
预定过程中,王某点击勾选了某国际酒店公司的《客户个人数据保护章程》,并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。
事后,王某发现某国际酒店的《个人数据保护章程》中将其个人信息传送共享至全球多个地区和接收主体,认为某国际酒店向境外传输公民个人信息违反相关规定,遂向广州互联网法院提起诉讼。
诉讼中,两被告(某琴公司与某高公司)提交了“境外接收方及信息传输列表”,证明境外接收左某个人信息的接收方的名称、联系方式、处理目的、处理方式及处理的个人信息种类。
其中,某高公司的境外接收方和信息传输列表显示,公司基于管理中央预订系统、处理个人预定、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的,分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息,其中,基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。
案件争议点
本案核心在于两被告是否侵害了左某的个人信息权益,在个人信息知情权与决定权受到侵害的纠纷审理中,应当依照个人信息保护法总则及个人信息处理规则的相关法律规范对个人信息处理的合法性进行审查,主要涉及以下三个争议点:
1. 用户点击勾选动作是否等于平台告知同意?
我国《个人信息保护法》规定,处理个人信息的合法性基础以个人同意为核心,以履行合同必需等其他六种合法性基础为辅助。
本案中,左某在办理会员及预订酒店的过程中,某高公司均有在客户端呈现《客户个人数据保护章程》的勾选界面,对于用户或消费者而言,此种呈现方式是一揽子的笼统的告知,属于一般告知。
某高公司对左某的个人信息的处理目的、处理方式等,呈现在近两万字的《客户个人数据保护章程》中,该章程就个人信息出境共享的接收主体范围,表述为多个国家的集团内部人员和部门,商业合作伙伴以及营销部门人员等,其中,人员范围和地域范围均指示不清,即使左某阅读该章程,也不能清晰获知自己的个人信息将被传输到何地做何种处理。此亦是本案争议焦点。
该章程的上述内容,不符合《个人信息保护法》第七条和第十七条的相关规定,未能体现公开透明原则,未能使用户或者消费者通过清晰易懂的语言真实、准确、完整地获取告知内容。
从比较法的角度看,隐私政策在不同国家和地区具有合同、声明、合规文件等多重特征。就我国目前的个人信息保护及个人信息处理的现状而言,用户(消费者)对各移动应用(APP)展示的隐私政策的采取点击勾选动作,不必然对隐私政策发生“同意”的法律效力,个人信息处理者不能因为用户(消费者)对隐私政策的点击勾选就认为告知同意已完成,可以一劳永逸。
点击勾选隐私政策是否具有“同意”的法律效力,取决于个人信息处理者后续的处理行为是否需要增强的告知和同意。如果后续个人信息处理行为需要增强告知同意,勾选隐私政策则不能产生“同意”的法律效力。只有在不需要增强告知同意时,此种点击勾选动作才能够具有“同意”的法律效力。
结合本案,左某点击勾选某高公司的《客户个人数据保护章程》的动作,并不意味着某高公司当然取得所有的个人信息处理行为的合法性基础。
2.两被告处理个人信息是否为履行合同必需?
某高公司辩称,其个人信息处理的合法性基础是《个人信息保护法》第十三条第一款第二项履行合同所必需,不需取得个人的同意。
法院认为,本案是左某通过被告在预订境外酒店过程中发生的个人信息保护纠纷。左某与被告某高公司就酒店预订建立合同关系,某高公司将左某的个人信息传输至位于缅甸的酒店,以及传输至位于法国总部的酒店中央预订系统的管理运营,其行为具有正当性和必要性。
至于左某诉称,两被告无限扩大左某个人信息境外接受主体范围,致使左某的知情权、决定权无法得到保障。对此,法院从以下两个方面审查,一是被告收集处理的个人信息范围,以及共享出境给其他境外接收主体范围是否为履行合同的必需;二是被告处理目的是否为履行合同必需。
就个人信息的范围而言,本案中,左某在预定酒店的过程中,按照被告的要求,提交了姓名、电话、邮箱、邮编、地址、国籍、银行卡号的个人信息。两被告辩称,根据被告方对全球知名国际酒店管理集团隐私政策中的跨境数据传输条款的对比,并列举了Hyatt,Four Seasons,Marriott等多间国际酒店管理集团的隐私政策,认为收集案涉个人信息是符合国际酒店行业的习惯做法。
法院认为,依照法律规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。本案中,两被告收集处理左某的姓名、电话号码、地址等基本信息为预定酒店所必需的个人信息,不能认定上述个人信息不是酒店服务业所需的最少类型、最少数量。
从我国行政监管文件《常见类型移动互联网应用程序必要个人信息范围规定》对于旅游、酒店类移动应用(APP)搜集的个人信息范围看,除住宿人姓名、电话号码、入住和退房时间、入住酒店的名称外,还有联系方式。邮箱、地址可以认为是联系方式,银行卡号作为支付手段也有其必要性。
因此,两被告收集处理个人信息的范围也并无不妥。综合以上,两被告收集处理的个人信息范围符合《个人信息保护法》的规定。
就两被告个人信息出境共享的接收方人员范围,某高公司《客户个人数据保护章程》共列举了七类人,其中包括商业合作伙伴及营销部门人员。
对此,法院认为,“履行合同的必需”是客观上的必需,即个人信息处理者委托共享处理的主体范围对履行合同来说应当是正当且必要的。该必要性应基于合同目的来判断,即处理个人信息的范围及处理主体的范围均应当符合最小必要原则。
本案中,从某高公司出境共享个人信息的接收方的人员范围和地域范围看,不能认定酒店集团的所有商业合作伙伴及营销部门人员均为履行合同所必需。
尽管两被告辩称章程所列接收主体范围并未实际发生,但其章程作为合规依据,不符合处理个人信息应遵循公开、透明原则的规定,且根据其提供的境外接收方及信息传输列表,实际也已超出履行合同必需。
就处理目的而言,某高公司也事实上向位于美国和爱尔兰的某公司基于营销传播目的实施了信息传输及信息处理行为。法院认为,在个人信息处理活动中,除履行合同必需的处理范围和处理目的之外,未经同意的对个人信息的商业营销行为,不能认为是履行合同的必要。
某高公司出境共享个人信息的接收主体范围以及基于营销目的的个人信息传输处理行为,超出履行合同的必要性,不符合《个人信息保护法》第十三条第二项之规定认定的“履行合同必需”,也不具备该款第三至第七项的其他“合法性基础”,可以认定为某高公司具有违法处理个人信息的行为。
3. 两被告是否取得个人单独同意?
左某认为,依照《个人信息保护法》第三十九条之规定,两被告向境外传输个人信息应取得个人的单独同意。被告认为,为合同签订履行而向境外提供个人信息,依据第十三条第二项“履行合同必需”的规定,属于具有“其他合法性基础”,因此不需取得左某同意,也无需左某的单独同意。
对于告知同意机制中的单独同意在本案中的应用,具体分析如下:
第一,单独同意是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。单独同意意味着先行的单独告知,据此的同意也才是有效的单独同意。
参考即将生效的《信息安全技术个人信息处理中告知和同意的实施指南》(以下简称《告知同意实施指南》)中“点击或勾选同意产品或服务的个人信息保护政策,不构成针对具体个人信息处理活动的单独同意”。本案中,左某勾选《客户个人数据保护章程》的动作,亦不能认定为有效的单独同意。
第二,我国《个人信息保护法》在告知同意机制中特别规定了单独同意,如此规定,其要义在于,赋予个人信息处理者更高的注意义务,并采取有针对性的相关物理及技术等措施。这也是《个人信息保护法》对于个人的知情权决定权予以保障的具体措施。
需要明确的是,在我国以告知同意为基础模式下的个人信息保护制度下,单独同意只是同意的一种,是一种增强性同意。
第三,对于《个人信息保护法》第三十九条规定的单独同意的理解,某高公司认为,如果向境外提供个人信息具有《个人信息保护法》第十三条第二至七项所规定的合法性基础的,则既不需取得个人的同意,也不需要取得个人的单独同意。对此,法院予以认可。结合本案,若某高公司出境共享目的及范围确为履行合同必需,就无需取得左某单独同意。
但是,经法院审查,某高公司的信息处理行为超出履行合同必需,在此情况下,某高公司则应依据《个人信息保护法》第三十九条的规定,取得个人单独同意,从而才能获得合法性。由于某高公司没有采取单独同意措施,也没有其它能够豁免同意的合法性基础,因此属于违法处理个人信息的行为,某高公司对此具有过错。
审查与判决
广州互联网法院判决认为,被告公司为消费者预定域外酒店服务收集案涉个人信息,此种情况下的个人信息出境,属于履行合同必需,不须单独同意。
经审理查明,被告公司在其《客户个人数据保护章程》中,未遵循公开透明原则,真实、准确、完整告知其处理规则,未能依法正确履行告知义务。
另查明,被告公司基于商业营销目的,还向位于美国和爱尔兰的某第三方公司传输处理相关个人信息,该处理行为及其处理目的超出履行合同必需,也未向王某充分告知并取得其单独同意,属于违法处理行为,侵害了王某的个人信息权益,应当承担民事侵权责任。
最终,法院判处被告某高公司向左某致书面赔礼道歉;删除左某在两被告及相关个人信息接收方的全部个人信息;向左某赔偿财产损失2万元。
意义与启示
当前,跨境互联网平台的个人信息处理章程普遍存在信息收集范围表意不清、信息处理方式含糊不明等问题。本案的审理明确了个人信息跨境处理的合法性审查规则,为丰富全球个人数据跨境流动的实践探索提供了司法范本,法院的说理与判决对企业后续数据合规工作具有重要的指导意义。
以下事项需要引起相关企业足够的重视:
1.严格按照数据安全与个人信息保护相关法律法规、部门规章、国家标准、监管意见来制定隐私政策等法律文本。隐私政策关乎企业各项业务的数据处理内容,应当在对各项业务进行细致梳理的基础上,用清晰易懂、真实、准确、完整的语言呈现数据处理的细节。如果基于跨国企业全球版本的隐私政策,必须对其进行中国本土化改造,以确保其符合中国法律与监管要求。
2.按照个保法的要求落实“告知-同意”,特别是“单独同意”机制。具体落实方案应当由法律合规部门、业务部门与技术部门共同决策,重点参考包括告知同意指南在内的国家标准,跟踪并借鉴市场良好实践。
3.无论跨国企业在华运营还是中国企业出海业务,都应当重视数据跨境传输合规。确保数据出境具有正当性与必要性,且具备个保法规定的合法性基础。企业还应当严格遵循网信部门对于数据出境的行政监管要求,积极履行相关评估与备案义务,针对豁免场景也要完成企业内部的个人信息保护影响评估工作。同时,也要进一步关注网信部门与司法机关对于具体场景下数据出境必要性认定的异同。
4.对于包括酒店业在内具有“长服务链条”的行业,企业还应当重视各个交易环节中与各合作方(如境外数据接收方、酒店业主、旅行社、OTA平台等)签订的数据处理法律条款。明确各方在数据处理活动中的法律地位与义务,准确判断在各类数据处理场景中各方的数据合规义务与风险责任敞口。
5.对于酒店、零售与快消、网络平台等直接面对众多个人用户的行业,应当充分注重个人信息保护合规工作,防范共同诉讼、代表人诉讼所可能导致的巨额赔偿责任,以及对商誉带来的负面影响。
(来源:赛博研究院)