吟一字拈数须——首例个人信息跨境纠纷解读

近期，广州互联网法院公布了一份个人信息保护纠纷的民事判决书〔（2022）粤0192民初6486号〕，涉及跨境传输个人信息纠纷，于2023年9月审结。本案系个人信息保护纠纷，是《个人信息保护法》出台后法院公布的首个有关跨境传输个人信息纠纷的司法裁判，我们将逐一分析解读其中涉及的四个法律问题，以供社会各界参考。

原告左某于2021年10月29日向某琴公司（被告之一）支付2588元购买某高A*卡两张，持有该卡可以会员优惠价格享受某高公司（被告之二）提供的酒店食宿服务。2022年2月27日，左某在“A*”移动应用（APP）预定了2022年3月8日至9日缅甸某酒店，并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后，左某发现被告《客户个人数据保护章程》中将其个人信息传输至全球多个地区和接收主体，认为两被告通过“A*”移动应用（APP）违法跨境处理其个人信息，而两被告无法证明其跨境传输行为的合法性。两被告在其《客户个人数据保护章程》中无限制扩大个人信息境外接受主体的国家范围、主体范围，左某无法知悉其个人信息在哪些国家和地区被哪些境外主体处理，其作为消费者和数据主体的知情权无法得到切实保障。两被告虽然表面上提供了行使和维护其数据主体权利的路径，但是仅限于发送电子邮件至法国。两被告以高自动化的方式来传输和共享左某的个人信息，却只向左某提供人工的、无受理期限、无处理期限的行权渠道，未能向客户提供相应撤回授权、行使权利的便捷渠道。

左某诉求：1.判令两被告提供境外接收左某个人信息的全部接收方信息，包括接收方姓名（名称）、联系方式、处理目的、处理方式、个人信息的种类，并判令两被告及全部接收方在各自数据储存的原始载体中删除左某全部个人信息，并出具相关证明凭证，或由法院监督执行；2.判令某琴公司在其运营的微信公众号“某高A*”公开向左某赔礼道歉，具体道歉内容由法院与左某共同确认；3.判令某高公司在其运营的“A*”移动应用（APP）首页公开向左某赔礼道歉，具体道歉内容由法院与左某共同确认；4.判令两被告共同向左某赔偿经济损失5万元；5.判令两被告共同赔偿左某误工费9600元、左某聘请两名律师的费用各9600元，以及翻译费2500元；6.判令两被告共同承担本案案件受理费。

法院一审判决如下：1.被告A*（某高股份有限公司）于本判决发生法律效力之日起十五日内，向原告左某致书面赔礼道歉，致歉声明内容经本院审核；2.被告某琴商务咨询（上海）有限公司、A*（某高股份有限公司）于本判决发生法律效力之日起十五日内删除原告左某在两被告及相关个人信息接收方的全部个人信息，并出具相关凭据；3.被告A*（某高股份有限公司）于本判决发生法律效力之日起十日内赔偿左某财产损失20000元（含合理开支）；4.驳回原告左某的其他诉讼请求。

《个人信息保护法》第三条规定：

“在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

从《个人信息保护法》第三条来看，我国个人信息保护在空间适用范围问题上采取了以属地管辖为原则，辅之以必要的保护性管辖[1]的立法思路。第三条第一款规定系属地原则的体现， 凡在中国境内发生的处理自然人个人信息的活动均应受《个人信息保护法》管辖。第三条第二款则可以理解为与《通用数据保护条例》（General Data Protection Regulation）中“目标市场”原则（“targeting criterion”）相类似的保护性管辖条款，也即，为保护我国及我国国民利益，发生在中国境外的针对中国境内自然人个人信息的处理活动在满足相应条件时也应由《个人信息保护法》管辖。

本案中，法院经审理认为，某高公司为外国法人，本案属于涉外案件。根据《个人信息保护法》第三条规定，本案所涉个人信息处理行为，属于“向境内自然人提供产品或者服务为目的”的行为，且庭审中各方当事人均同意本案适用中国法律处理，故最终适用《个人信息保护法》等法律处理本案。

法院未依据《个人信息保护法》第三条第一款，而是依据第二款确定适用法，可以推论某高公司在中国境内并无实体（判决书亦载明某高公司的住所地为法国），某高公司应是在境外处理原告的个人信息。鉴于各方当事人均同意本案适用中国法律处理，法院并未据此展开分析。但是，《个人信息保护法》第三条第二款所确定的“目标市场”管辖原则，具有重要的实践意义。虽然本案中法院未作分析，但本案涉案主体亦可作为“目标市场”管辖原则的参考案例。同时，还需注意的是，《个人信息保护法》第五十三条规定，本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

判决书中归纳的争议焦点之一是“本案是否可诉”。之所以有此问题，是因为《个人信息保护法》第五十条第二款规定：个人信息处理者拒绝个人行使权利的请求后，个人可以依法向人民法院提起诉讼。本案中，两被告亦依据该款辩称，左某应先行向个人信息处理者主张权利，遭拒绝后才可以提起诉讼。因此，本案不具备可诉性。

根据前述左某诉求“1.判令两被告提供境外接收左某个人信息的全部接收方信息，包括接收方姓名（名称）、联系方式、处理目的、处理方式、个人信息的种类，并判令两被告及全部接收方在各自数据储存的原始载体中删除左某全部个人信息，并出具相关证明凭证，或由法院监督执行”，似为查阅权和删除权的诉求，应适用《个人信息保护法》第五十条第二款规定，将个人向个人信息处理者主张权利作为前置条件。

不过，法院给出了不同看法。法院认为，《个人信息保护法》所保护的“个人信息权益”是一种与隐私权、名誉权并列的人格权益，其中“个人信息知情权和决定权”是个人信息权益的最核心内容，“个人信息查阅权、复制权”等则是工具性权能，两者不属于同一层级。当个人主张其个人信息知情权和决定权受到侵害时，也即是其个人信息权益受到侵害，此时当事人有权基于《中华人民共和国民法典》第一百二十条、第九百九十五条、第一千一百六十七条规定，直接请求侵权人承担侵权责任。而在个人纯粹以个人信息查阅权、复制权等工具性权能未能得到行使为由提起诉讼时，当事人负有证明其个人信息权益具体权能不得实现的举证责任，此时才应适用《个人信息保护法》第五十条第二款之规定进行判断。

具体到本案，左某提起本案的诉因是其认为两被告处理其个人信息时未进行真实、准确、完整的告知，致使其知情决定权受到侵害，故本案并非单纯行使查阅权及删除权的诉讼，而是个人信息权益受侵害之诉，故法院最终认定本案无前置程序要求，具有可诉性。

值得一提的是，国内首例个人信息查阅、复制权纠纷案例中（周某诉某电子商务公司个人信息保护纠纷案，广州互联网法院（2021）粤0192民初17422号），原告即向被告公司主张权利无果后，再向法院提起诉讼，该案与本案中法院认定查阅、复制权等工具性权能的维权路径形成了统一。

本案中，法院对个人信息处理的合法性进行了审查，从而判定是否侵害个人信息权益，焦点问题包括告知同意、履行合同所必需和单独同意。

1. 关于告知同意

法院首先分析了“左某对某高公司的《客户个人数据保护章程》的点击勾选动作是否取得告知同意的法律效力”。判决书认为，我国《个人信息保护法》规定，处理个人信息的合法性基础以个人同意为核心，以履行合同必需等其他六种合法性基础为辅助。“告知”“同意”需分开理解，个人处理行为既需要向个人告知（除例外情形），也需要取得个人同意（基于同意的合法性基础）。法院认为，本案中，某高公司在客户端呈现的《客户个人数据保护章程》近两万字，就个人信息出境共享的接收主体范围，表述为多个国家的集团内部人员和部门，商业合作伙伴以及营销部门等，人员范围和地域范围均指示不清，未清晰告知个人信息将被传输到何地做何种处理。因此，不符合《个人信息保护法》第七条和第十七条相关规定，未能体现公开透明原则，未能使用户或者消费者通过清晰易懂的语言真实、准确、完整的获取告知内容。

对于告知同意机制，判决书总结了三方面的理解：①告知同意机制是个人信息处理者与个人（用户或消费者）之间实现友好、合理、有效的意思交互，保障个人对个人信息的知情权和决定权的一系列规范措施；②数字时代，个人与个人信息处理者在技术能力上、权力分配上处于不平等关系，告知同意机制重点在于个人信息处理者的告知义务。《个人信息保护法》第十七条要求个人信息处理者以显著方式、清晰易懂的语言真实、准确、完整地向个人告知，也是强化个人信息处理者自我合规的重要方式；③告知的展示界面或告知渠道、合理的告知时机和频率等机制的设置，可以为用户（消费者）提供个人信息保护的相关知识，加强个人信息保护意识，并体现对个人信息权益的充分尊重。

对于“同意”的法律效力，判决书认为，就我国目前的个人信息保护及个人信息处理的现状而言，用户（消费者）对各移动应用（APP）展示的隐私政策采取点击勾选动作，不必然对隐私政策发生“同意”的法律效力。法院进一步归纳了具备“同意”法律效力的判断要件：后续个人信息处理行为是否需要增强告知同意。如果后续个人信息处理行为需要增强告知同意，勾选隐私政策不能产生“同意”的法律效力。反之，则具有“同意”的法律效力。

2. 关于履行合同所必需

某高公司辩称，其个人信息处理的合法性基础是《个人信息保护法》第十三条第一款第二项履行合同所必需，不需取得个人的同意。法院对此并不同意。

左某通过被告某高公司运营的A*移动应用（APP）预订位于缅甸的酒店，双方就酒店预订建立合同关系，某高公司将左某的个人信息传输至位于缅甸的酒店，以及传输至位于法国总部的酒店中央预订系统用于管理运营。对此，法院认为其行为具有正当性和必要性。但是，法院认为两被告个人信息出境共享的接收方人员范围、处理目的均不合理。

在接受人员范围方面，某高公司《客户个人数据保护章程》中对共享个人数据列举了七类人，其中包括商业合作伙伴和营销部门人员，这超出了履行合同所必需的范围。履行合同所必需应是客观上的必需，即个人信息处理者委托共享处理的主体范围对履行合同来说应当是正当且必要的。本案中，酒店集团的所有商业合作伙伴和营销部门人员的共享，不应为履行合同所必需。值得注意的是，本案中两被告章程所列接收主体范围并未实际发生，但法院认为其章程作为合规依据，不符合处理个人信息应遵循公开、透明原则的规定，且根据其提供的境外接收方及信息传输列表，实际也已超出履行合同所必需。

在处理目的方面，某高公司的《客户个人数据保护章程》显示其处理行为包括“商业和营销服务”，某高公司也事实上向位于美国和爱尔兰的某公司基于营销传播目的实施了信息传输及信息处理行为。法院认为，除履行合同所必需的处理范围和处理目的之外，未经同意的对个人信息的商业营销行为，不能认为是履行合同的必要。同时，判决书亦进一步结合《个人信息保护法》第二十四条第二款之规定“通过自动化决策方式向个人进行消息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式”，认为既可以拒绝，则必定不是履行合同所必需。

3. 关于单独同意

《个人信息保护法》第三十九条规定，向境外传输个人信息应当取得个人的单独同意。

本案中某高公司并未采取单独同意措施，而值得注意的是，法院根据某高公司的主张，分析了《个人信息保护法》第十三条第二至七项合法性基础与“单独同意”之间的关系。判决书认可，如果向境外提供个人信息具有《个人信息保护法》第十三条第二至七项所规定的合法性基础，则既不需要告知，也不需要取得个人的单独同意。这与《个人信息保护法》第十三条第二款的规定是一致的，“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意”。

综上，法院认为某高公司的信息处理行为未取得用户同意/单独同意，且超出履行合同所必需，不具备合法性基础，属于违法处理个人信息的行为。

1. 关于责任主体

被告某琴公司是某高公司在国内设立的关联公司，属于独立法人主体。法院认为，本案争议的个人信息出境行为是由被告某高公司实施的，不支持左某提出的某琴公司与某高公司共同实施侵权行为的主张。

2. 关于赔偿数额

左某的诉讼请求中涉及两项损害赔偿：经济损失5万元；误工费9600元，聘请两名律师的费用各9600元，以及翻译费2500元。共计71700元，而一审法院支持了20000元的损害赔偿。

《个人信息保护法》第六十九条第二款规定，前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

本案中，法院进一步依据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件使用法律若干问题的规定》第十二条第一款的规定，“被侵权人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将符合国家有关部门规定的律师费用计算在赔偿范围内”，在判决书中指出，“左某主张的翻译取证费和律师费，以及主张律师费的最低计算标准，结合考虑该费用的合理性、必要性，某高公司的过错程度及损害后果，以及对左某个人信息的具体使用方式、数量、范围、程度等因素，本院依法酌定某高公司赔偿左某经济损失20000元（含合理开支）”。

从上述判词来看，法院似未支持左某关于经济损失5万元的诉讼请求，又或者是将个人信息权益损害与制止侵权行为所支付的合理开支进行了合并。因此，法院并未具体释明如何确定个人信息权益损害的方法。一般而言，计算个人信息权益损害的方法包括“基于数量”和“基于效果”两种途径。前者是将涉案个人信息数量与每条个人信息损害数额相乘所得，后者是根据案件情况酌定总数。本案中，法院并未审查涉案个人信息数量，可以推论其没有采用“基于数量”的判定方法。不过，结合本案特点，这是否是未来个人信息保护纠纷裁量的通行方法，还有待观察。

3. 关于赔礼道歉

左某诉求某高公司在其移动应用（APP）首页向左某公开道歉。判决书指出，根据《民法典》第九百九十八条、第一千条的规定，某高公司承担的民事侵权责任，应当考虑本案双方当事人的职业，影响范围，过错程度，以及侵权行为的目的、方式、后果等因素，某高公司因侵害左某个人信息权益承担的赔礼道歉的民事责任，应当与行为的具体方式和造成的影响范围相适应。据此，法院认为某高公司的赔礼道歉不适合以公开形式进行，而适宜采取由某高公司以书面形式向左某赔礼道歉。

判决书最后指出，“我国《个人信息保护法》实施以来，各移动应用（APP）运营者积极作出合规整改，但仍然有相当数量的个人信息处理者未能正确理解点击勾选隐私政策的法律意义，以及单独同意与告知同意的关系，对于个人信息处理的合法性基础理解与执行不当，对此，需引起业内高度重视”。该判决书形成于2023年9月8日，而其所涉及的关于隐私政策合规、个人信息处理合规等问题，也还是当前业内个人信息保护合规的重点问题。我们亦观察到，部分企业的隐私政策还存在合规风险，比如告知的不规范、强迫同意等问题，这不仅违反了《个人信息保护法》的相关要求，也与有关监管部门的专项整治要求不符，值得相关企业重视并及时做好合规调整。结合本案，建议有关企业在合规过程中注意以下几点：

1. 完善隐私政策

诚如判决书所称，“告知同意机制是个人信息处理者与个人（用户或消费者）之间实现友好、合理、有效的意思交互”，而隐私政策往往是告知同意机制的主要载体乃至于唯一载体。因此，隐私政策并非简单的文本堆砌，而是对个人信息处理活动的全面反映。制定隐私政策并非单纯的文本写作，而是基于合规活动的文字呈现。并且，隐私政策亦应根据经营活动的变化而适时调整，以防范和降低个人信息保护合规风险。本案判决书对“告知-同意”原则进行了详细论述，反映了司法实践中法院对隐私政策的评价及观点，是企业数据合规制度建设的重要参考材料。从本案判决书来看，法院对企业隐私政策的撰写提出了较高要求，企业在撰写隐私政策时，应注意做到清晰、具体、明确。以信息传输为例，判决书认为企业隐私政策对信息传输事宜的告知应达到使用户阅读隐私政策后可以“清晰获知自己的个人信息将被传输到何地做何种处理”之程度。同时，实践中企业出于告知效率等考虑通常倾向于将“可能发生”的信息传输共享事项均在隐私政策中进行列举，但此种隐私政策撰写方式在本案中被认为“不符合处理个人信息应遵循公开、透明原则的规定”。该种告知方式也确实容易引起用户误解，使用户认为自己的个人信息已实际在如此宽泛的范围内进行传输共享，从而导致用户不满，为企业招致诉累。企业应以本案为鉴，最好结合实际情况对此类告知条款进行调整。

2. 注意“同意”的合规

《个人信息保护法》第十三条确立了以个人同意为核心的合法性基础，并在相应条款进一步规定了“单独同意”“书面同意”。因此，企业合规过程中宜明确个人信息处理场景，对于需要“单独同意”“书面同意”的场景，需要格外重视，结合相关标准指引或者行业实践，选择合适的“单独同意”“书面同意”方式。比如，本案中涉及的跨境传输个人信息，就属于典型的需要“单独同意”的场景。

3. 保障用户个人信息权利

《个人信息保护法》第四章规定了“个人在个人信息处理活动中的权利”，包括查阅、复制权，携带权，更正权，删除权，解释说明权，死者近亲属权等。个人信息权利是《个人信息保护法》的重要内容之一，也是个人信息保护纠纷的常见诱因。企业合规过程中，宜做好权利响应机制、方法的合规部分，以及做好危机应对，确保发生纠纷时能够妥善、有效处理。特别是，本案中法院确定，纯粹的权利主张是个人起诉的前置条件。因此，如果在个人信息权利响应方面做好合规，在很大程度能够有效避免陷入诉讼纠纷。

4. 关注政策动向

本案中，法院在对被告收集信息范围是否符合《个人信息保护法》规定进行评价时，参照《常见类型移动互联网应用程序必要个人信息范围的规定》中旅游、酒店类移动应用的个人信息收集范围规定进行了认定。由此可见，此类行政监管文件是司法实践中对个人信息处理者行为合规性评判的重要参考标准。目前，我国各行业数据管理规则正在构建、完善过程之中，建议企业关注所涉行业数据管理规定变化动态，及时依据要求对自身合规情况进行自检和完善。

脚注：

[1] 程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第51-54页。

转载声明：好文共赏，如需转载，请直接在公众号后台或下方留言区留言获取授权。

封面图源：画作·林子豪