夜雨聆风
点击蓝字关注孙梦蛟律师
跨国订房,个人信息“裸奔”?法院:APP同意无效,跨境传输违法!
(人民法院案例库入库编号:2025-07-2-008-001)
核心导读:在跨国酒店的APP上预订房间,点击同意《个人数据保护章程》后,你的姓名、电话、邮箱甚至银行卡号,就可能被传送至全球多个国家。这样的“同意”真的有效吗?个人信息“跨境裸奔”合法吗?近期,一起入选2025年人民法院案例的典型判决,为所有消费者撑了腰,也给所有处理个人信息的企业划出了清晰的“红线”。
一、 案情回顾:一次缅甸订房,牵出个人信息“全球旅程”
2021年10月,左某通过微信公众号“雅某A佳”,购买了两张会员卡,以便以优惠价格享受跨国酒店集团雅某公司的服务。
2022年2月,左某在客服指引下,下载了雅某公司的官方APP“ACCOR ALL”进行会员注册。在注册和进入APP时,他点击勾选同意了该集团长达数页的《客户个人数据保护章程》。
几天后,左某通过该APP成功预订了缅甸仰光的一家酒店,并提交了姓名、国籍、电话、邮箱、银行卡号等必要信息。
然而,事后左某仔细阅读《章程》时惊觉:其中载明,他的个人信息可能被传送和共享给全球多个地区的接收主体。左某认为,这份《章程》的告知模糊不清,导致他在不知情、未明确同意的情况下,个人信息权益受到侵害,于是将雅某公司及其在中国的关联公司爱某公司告上法庭,要求其删除信息、赔礼道歉并赔偿损失。
被告方则抗辩称,收集和处理信息是“为签订和履行会员及订房合同所必需”,属于合法行为。
二、 法院判决:企业败诉!道歉、删信息、赔钱!
广州互联网法院一审、广州市中级人民法院二审均作出判决,支持了左某的核心诉求:
书面赔礼道歉:判决雅某公司向左某致书面赔礼道歉。
删除个人信息:判决两公司删除留存的左某全部个人信息,并出具凭据。
赔偿损失:判决雅某公司赔偿左某财产损失(含维权合理开支)人民币2万元。
三、 法官详解:为何企业“合规”操作仍违法?
本案判决书详细阐述了个人信息保护的两大核心原则,其说理对行业具有标杆意义:
争议焦点一:点击“同意”就真的同意了吗?—— 告知必须是“有效的告知”
法院明确指出,并非所有APP上的“点击勾选”都能产生法律上“个人同意”的效力。关键在于,个人信息处理者是否履行了真实、准确、完整的告知义务。
本案问题:雅某公司的《章程》对个人信息出境共享的接收主体范围描述笼统,仅模糊表述为“多个国家的集团内部人员和部门、商业合作伙伴等”。法院认为,即使用户阅读了,也无法清晰知道自己的信息具体会被传给谁、用在何处。
裁判要旨:这种“一揽子”、不透明的告知,不符合《个人信息保护法》规定的公开、透明原则。因此,用户的点击同意不产生法律效力,企业未取得处理个人信息的合法基础。
争议焦点二:什么是“履行合同所必需”?—— 范围必须是“最小的必要”
企业常以“履行合同所必需”作为处理信息的理由。但法院在本案中严格界定了其边界。
信息类型:法院认可,为预订酒店,收集姓名、联系方式、入住时间等信息是必要的。银行卡号作为支付手段,也具有必要性。这部分符合“最小必要”原则。
处理行为与接收方:然而,法院审查发现,雅某公司实际将信息传输给了位于美国、爱尔兰等地的公司,用于“营销传播”目的。
核心判决:法院强调,“履行合同的必需是客观上的必需”。将用户信息共享给全球众多“商业合作伙伴及营销部门人员”用于营销,明显超出了履行住宿合同本身的目的和必要范围。对于这部分超范围的处理,必须单独取得用户的明确同意,否则即构成违法。
四、 案例启示:给所有人和所有企业的提醒
这起案例被选入人民法院案例库,其警示意义远超个案:
对我们每个人(用户/消费者)而言:
警惕“一揽子”同意:在APP上点击同意前,尤其是使用跨国服务时,不妨花点时间浏览一下隐私政策或数据章程。如果发现其用模糊语言(如“可能向关联方或合作伙伴共享”)笼统概括信息去向,就要提高警惕。
勇于说“不”与维权:如果发现个人信息被超范围使用,可以像左某一样,依法提起诉讼维权。本案判决表明,司法坚定保护公民个人信息权益。
保留证据:注意保存好相关截图、协议文本和沟通记录。
对所有处理个人信息的企业(尤其是跨国企业)而言:
告知必须“透明化”:隐私政策不能再是“沉睡条款”。必须用清晰易懂的语言,明确、具体地告知用户:收集哪些信息、用于什么目的、共享给哪些具体的第三方、信息会传输到哪些国家。笼统模糊的告知在法律上无效。
“最小必要”是铁律:收集信息要最少,使用范围要最窄。不能打着“履行合同”的旗号,行“营销推广”之实。任何超出核心服务目的的信息处理,都必须获得用户的单独、明确授权。
跨境传输是“高压线”:向境外提供个人信息,是我国法律规制的重点。企业必须建立合规的跨境传输机制,履行安全评估、保护认证、订立标准合同等法定义务,并确保境外接收方达到同等的保护标准。
结语:
在大数据时代,个人信息不是企业可以任意攫取的“免费资源”。这起判决犹如一记响亮的法槌,宣告了“形式同意无效,实质合规方为根本”的司法态度。它保护的不只是一位消费者的信息,更是守护着数字经济时代每个人安宁与尊严的底线。企业与用户之间的信任,必须建立在透明、克制与尊重的基础之上。
扫描二维码
关注孙梦蛟律师
联系方式: 13161317965
新浪微博:@泰维孙梦蛟律师
