在数字化浪潮席卷全球的今天,个人信息的跨境流动日益频繁,而围绕个人信息处理的合法性审查,也成为司法实践中的热点与难点。企业在处理用户个人信息时,是否只需取得用户“点击勾选”的动作即可高枕无忧?“履行合同所必需”的免责条款边界又在哪里?
案件引入:一次酒店预订引发的“信息风波”
021年,消费者左某通过某酒店集团在中国的关联公司运营的微信公众号,购买了两张会员卡,约定持该卡能够以会员优惠价格享受雅某公司提供的酒店食宿服务。。数月后,左某通过客服指引下载了该酒店集团的官方APP,并在注册时勾选了《客户个人数据保护章程》。随后,左某通过该APP预订了境外酒店,并提交了姓名、电话、银行卡号等个人信息。
事后,左某发现该《章程》中载明,其个人信息将被传送共享至全球多个国家和地区的接收主体。左某认为,该酒店集团及其中国关联公司违法处理其个人信息,未实现真实、准确、完整的告知,侵害了其知情权和决定权,遂诉至法院,要求对方提供境外接收方信息、删除其个人信息、赔礼道歉并赔偿损失。
被告公司则辩称,其收集、处理和向境外传输个人信息,是为了签订和履行会员服务及酒店预订服务合同所必需,具有合法性基础。
焦点分析:合法性审查的两大核心维度
本案的争议焦点,在于被告处理个人信息的行为是否具备合法性。法院的裁判思路,围绕《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的两项核心规则展开:
一、告知同意:“点击勾选”不等于“有效同意”
《个人信息保护法》规定,处理个人信息应以个人在充分知情的前提下自愿、明确作出同意为基础。而“充分知情”的前提,是个人信息处理者应以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知处理目的、方式、范围等事项。
本案中,法院审查了被告APP中的《客户个人数据保护章程》界面,认为其存在以下问题:
1.笼统概括,缺乏透明度:章程对个人信息出境共享的接收主体范围描述不清,使用了“集团内部人员和部门”“商业合作伙伴”“营销部门人员”等模糊词汇,用户无法清晰获知其个人信息将被传输至何地、由谁处理。
2.未达“显著、清晰”标准:院指出,这种“一揽子”式的笼统告知,未能体现公开透明原则,用户即便点击勾选,也不能视为其已“充分知情”并作出了“明确同意”。
因此,用户的“点击勾选”动作,在该案中并未产生“个人同意”的法律效力,被告未能证明其已取得处理个人信息的合法性基础。
二、履行合同必需:“必需”的边界在哪里?
《个人信息保护法》第十三条第一款第二项规定,“为订立、履行个人作为一方当事人的合同所必需”而处理个人信息,无需取得个人同意。本案中,被告也以此为由主张其行为的合法性。
法院对此进行了严格审查,提出了“履行合同的必需”的判断标准:
范围上“最小必要”:处理的信息范围应与处理目的直接相关,且是对个人权益影响最小的方式。法院认可,被告收集的姓名、电话、地址、银行卡号等,确为履行酒店预订服务所必需的最少信息类型。
主体上“客观必需”:信息出境共享的接收方范围,同样必须限定在履行合同所客观必需的范围内。法院查明,被告实际上已基于“营销传播目的”,将个人信息传输至美国和爱尔兰的第三方,这一处理目的明显超出了履行酒店预订合同的必要范围,且未获得用户单独同意。
综上,法院认定,被告收集部分信息的行为虽属“履行合同必需”,但其超出合同目的、未经同意的信息跨境传输行为,不具备合法性,侵害了原告的个人信息权益。最终,法院判决被告赔礼道歉、删除相关信息并赔偿原告的财产损失。
实务指引:企业合规与个人维权的启示
一、对企业(个人信息处理者)的合规建议
1.告别“一揽子同意”,走向“分层、动态”告知
拒绝笼统:隐私政策、用户协议等文件应避免使用模糊、概括性语言。对于个人信息的收集、使用、对外提供(尤其是跨境提供),必须以清晰、具体的方式逐项说明,包括接收方身份、所在地区、处理目的、处理方式等。
显著方式:关键信息(如个人信息出境)应采用弹窗、加粗、下划线等显著方式进行提示,确保用户能够注意到并理解。
单独同意:对于敏感个人信息、向境外提供个人信息等高风险处理行为,应单独取得用户的明确同意,而非混同于一般性条款中。
2.严格界定“履行合同所必需”的边界
回归合同目的:在判断是否为“履行合同所必需”时,应严格审视处理信息的行为是否与实现合同目的直接且必然相关。
警惕“捆绑”行为:不得将以营销、数据分析等为目的的信息处理行为,捆绑在“履行合同所必需”的“大旗”之下。此类行为应另行取得用户同意。
最小必要原则:无论是信息收集的种类,还是对外共享的主体范围,都应严格遵循“最小必要”原则,并留存相关论证依据。
3.强化合规证据留存
企业应建立完善的个人信息处理活动记录,清晰记录信息的流向、处理目的、接收方情况等,以备监管审查或司法诉讼之需。
二、对个人(信息主体)的维权指引
1.重视“勾选”背后的内容:在注册APP、购买服务时,不要盲目点击“同意”按钮。应重点关注隐私政策中关于个人信息收集、使用、共享(尤其是跨境)的条款,对模糊、笼统的表述保持警惕。
2.积极行使法定权利:当发现个人信息被超范围处理或未经同意被共享时,可依据《个人信息保护法》向处理者提出查阅、复制、更正、删除等请求。若处理者无正当理由拒绝,可向网信、工信等监管部门投诉举报。
3.善用司法救济途径:如因个人信息处理者的违法行为导致权益受损,可向法院提起诉讼,要求对方停止侵害、赔礼道歉、赔偿损失(包括为维权支出的合理费用)。
结语
“同意”不应流于形式,“必需”不能成为滥用信息的借口。 对于企业而言,唯有将“合法、正当、必要、诚信”原则内化于心、外化于行,建立透明、合规的个人信息处理体系,才能赢得用户信任,规避法律风险。对于个人而言,这也是一次深刻的普法教育,提醒我们在数字时代,每一次“点击”都应基于审慎的思考,积极维护自身的数据权益。
