关联企业个人信息共享也须过“同意关”

个人信息跨境处理行为的合法性审查

——左某与爱利琴商务咨询（上海）有限公司、ACCOR SA公司个人信息保护纠纷案

　　【案例索引】

　　广州互联网法院（2022）粤0192民初6486号

　　广州市中级人民法院（2023）粤01民终33217号

　　【主办法官】

　　邵山，广州互联网法院副院长。

　　【案情摘要】

　　被告爱利琴商务咨询（上海）有限公司（以下简称“爱利琴公司”）是被告雅高股份有限公司（ACCOR SA，以下简称“雅高公司”）在中国的关联公司，运营微信公众号“雅高A佳”。雅高公司是注册地在法国的跨国酒店管理集团，运营“ACCOR ALL”APP（移动互联网应用程序）。2021年10月29日，已为雅高酒店集团会员的左某通过“雅某A佳”公众号使用其本人招商银行信用卡向爱利琴公司支付2588元，购买雅高A佳卡两张，约定持该卡能够以会员优惠价格享受雅某公司提供的酒店食宿服务。2022年2月24日，左某通过雅某客服电话咨询业务，经客服指引通过“雅某A佳”公众号下载“ACCOR ALL”APP。左某在注册会员及进入“ACCOR ALL”APP界面时，点击勾选了雅某公司《客户个人数据保护章程》（以下简称《章程》）的选项。2022年2月27日，左某在“ACCOR ALL”APP预定了同年3月8至9日缅甸仰光世界和平塔美居酒店，并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后，左某发现《章程》中载有将其个人信息传送共享至全球多个地区接收主体的内容。由此，左某认为，被告通过“ACCOR ALL”违法跨境处理中国公民个人信息，无限制扩大个人信息境外接受主体的国家范围、主体范围，未能实现真实、准确、完整的告知，并明示个人信息处理的目的、方式和范围，致其知情决定权受到侵害，从而致个人信息权益受到侵害，在此基础上，左某主张对其个人信息的查询、删除的权利，并向法院提起诉讼。

　　广州互联网法院经审理判定被告个人信息处理行为侵害了原告左某的个人信息权益，并作出如下判决：一、被告ACCOR SA（雅高股份有限公司）于本判决发生法律效力之日起十五日内，向原告左某致书面赔礼道歉，致歉声明内容经本院审核；二、被告爱利琴商务咨询（上海）有限公司、ACCOR SA（雅高股份有限公司）于本判决发生法律效力之日起十五日内删除原告左某在两被告及相关个人信息接收方处的全部个人信息，并出具相关凭据；三、被告ACCOR SA（雅高股份有限公司）于本判决发生法律效力之日起十日内赔偿左某财产损失20000元（含合理开支）；四、驳回原告左某的其他诉讼请求。被告雅高公司向广州市中级人民法院提出上诉，广州市中级人民法院审理后作出判决，除因被告自动履行一审判决主文第二项“删除全部原告个人信息”而撤销该项外，维持其余一审判决。

　　【推荐理由】

　　本案系《个人信息保护法》出台后法院公布的首宗跨境传输个人信息纠纷案件。数据跨境流动已经成为全球资金、信息、技术、人才等资源要素交换、共享的基础，个人信息的跨境流动关乎个人、社会和国家利益。当前，跨境数据处理平台的个人信息处理章程普遍存在信息收集范围表意不清、信息处理方式含糊不明等问题，不仅严重侵害个人信息权益，更不利于行业健康发展和国家数据安全。本案旗帜鲜明地支持了个人信息主体就个人信息保护向法院提起诉讼的诉权，充分发挥司法裁判的“火警”作用，引导“沉默大多数”的个体参与个人信息治理，推动《个人信息保护法》赋予的个人信息权益真正落地。同时，本案明确了个人信息处理章程若不符合公开、透明原则，则用户点击勾选隐私政策不产生同意的法律效力。对于超出合同所必需的跨境个人信息处理行为，数据处理者应当进行增强告知并取得用户单独同意，从而确保个人信息知情决定权的实现。本案划定了个人信息跨境处理的行为边界，规范了个人信息跨境处理的流程，要求向境外提供个人信息应取得单独同意，促推跨境数据处理平台与时俱进完善个人信息处理规则，为丰富全球个人数据跨境流动处理的实践探索提供司法范本。[来源于2025年3月29日召开的“西南政法大学长三角研究院揭牌仪式暨科技法前沿论坛系列活动”中正式揭晓发布的中国互联网司法十大典型案例（2023-2024）]