国产草草浮力影院|亚洲无码在线入口|超碰免频在线播放|成人深夜视频在线|亚洲美国毛片观看|69无码精品视频|精品有码一区二区|69式人人超人人|国产人人人人人操|欧美久久天天综合

左某訴愛某商務咨詢（上海）有限公司、雅某股份有限公司（ACCOR SA）個人信息保護糾紛案-個人信息處理行為的合法性審查

人民法院案例庫 入庫編號：2025-07-2-008-001

關(guān)鍵詞

民事/個人信息保護/個人信息處理行為/告知同意/履行合同所必需

基本案情

愛某商務咨詢（上海）有限公司（以下簡稱愛某公司）是雅某股份有限公司（ACCOR SA，以下簡稱雅某公司）在中國的關(guān)聯(lián)公司，運營微信公眾號“雅某A佳”。雅某公司是注冊地在法國的跨國酒店管理集團，運營“ACCOR  ALL” APP（移動互聯(lián)網(wǎng)應用程序）。2021年10月29日，左某通過“雅某A佳”公眾號使用其本人招商銀行信用卡向愛某公司支付2588元，購買雅某A佳卡兩張，約定持該卡能夠以會員優(yōu)惠價格享受雅某公司提供的酒店食宿服務。2022年2月24日，左某通過雅某客服電話咨詢業(yè)務，經(jīng)客服指引通過“雅某A佳”公眾號下載“ACCOR ALL” APP。左某在注冊會員及進入“ACCOR ALL” APP界面時，點擊勾選了雅某公司《客戶個人數(shù)據(jù)保護章程》（以下簡稱《章程》）的選項。2022年2月27日，左某在“ACCOR ALL” APP預定了同年3月8至9日緬甸仰光世界和平塔美居酒店，并提交了姓名、國籍、電話號碼、電子郵箱地址、銀行卡號等個人信息。事后，左某發(fā)現(xiàn)《章程》中載有將其個人信息傳送共享至全球多個地區(qū)接收主體的內(nèi)容。

左某訴稱：愛某公司、雅某公司通過“ACCOR ALL” App違法跨境處理中國公民個人信息，無限制擴大個人信息境外接受主體的國家范圍、主體范圍，未能實現(xiàn)真實、準確、完整的告知，并明示個人信息處理的目的、方式和范圍，致左某知情決定權(quán)受到侵害，從而致個人信息權(quán)益受到侵害，故請求法院判令愛某公司、雅某公司提供境外接收方信息并刪除左某全部個人信息、公開賠禮道歉和賠償損失。

愛某公司、雅某公司共同辯稱：其收集、處理、向境外傳輸左某個人信息是為了簽訂和履行會員服務及酒店預定服務合同所必需的行為。

訴訟中，愛某公司、雅某公司提交了“境外接收方及信息傳輸列表”。雅某公司的境外接收方和信息傳輸列表顯示，雅某公司基于管理中央預訂系統(tǒng)、處理個人預定、客戶服務管理、營銷傳播管理、業(yè)務分析活動、信息存儲等處理目的，分別向位于法國、緬甸、英國、美國、荷蘭、愛爾蘭六個國家的七個境外接收方傳輸信息，其中，基于營銷傳播目的向位于美國和愛爾蘭的某公司實施了信息傳輸及信息處理行為。

廣州互聯(lián)網(wǎng)法院于2023年9月8日作出（2022）粵0192民初6486號民事判決：一、雅某股份有限公司于本判決發(fā)生法律效力之日起十五日內(nèi)，向左某致書面賠禮道歉；二、愛某商務咨詢（上海）有限公司、雅某股份有限公司于本判決發(fā)生法律效力之日起十五日內(nèi)刪除左某在愛某商務咨詢（上海）有限公司、雅某股份有限公司及相關(guān)個人信息接收方處的全部個人信息，并出具相關(guān)憑據(jù)；三、雅某股份有限公司于本判決發(fā)生法律效力之日起十日內(nèi)賠償左某財產(chǎn)損失人民幣20000元（含合理開支）；四、駁回左某的其他訴訟請求。宣判后，雅某公司提起上訴。廣州市中級人民法院于2024年6月28日作出（2023）粵01民終33217號民事判決，維持一審判決第一項、第三項、第四項，撤銷一審判決第二項（被告已自動履行）。

裁判理由

本案的爭議焦點為：愛某公司、雅某公司是否侵害了左某的個人信息權(quán)益。具體又涉及兩方面的問題：一是左某對案涉《章程》的點擊勾選動作是否取得告知同意的法律效力；二是愛某公司、雅某公司處理個人信息是否履行合同必需。

一、左某對案涉《章程》的點擊勾選動作是否取得告知同意的法律效力

本案中，雅某公司是外國法人，本案屬于涉外案件。由于各方當事人均同意本案適用中國法律處理，故本案適用《中華人民共和國個人信息保護法》。根據(jù)個人信息保護法規(guī)定，處理個人信息的合法性以個人同意為基礎(chǔ)，征得個人同意的前提是個人信息處理者應向個人告知其處理行為。本案中，雅某公司在APP客戶端呈現(xiàn)的案涉《章程》勾選界面是一攬子的籠統(tǒng)告知，屬于一般告知，用戶的點擊勾選動作不必然發(fā)生“個人同意”的法律效力?；诖?，對于雅某公司是否取得處理左某個人信息的合法性基礎(chǔ)，還應審查雅某公司的告知行為是否符合個人信息保護法有關(guān)告知的規(guī)定。

根據(jù)個人信息保護法第七條規(guī)定，處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍；根據(jù)第十七條規(guī)定，個人信息處理者應以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知有關(guān)事項。經(jīng)審查，案涉《章程》就個人信息出境共享的接收主體范圍指示不清，表述為多個國家的集團內(nèi)部人員和部門，商業(yè)合作伙伴以及營銷部門人員等，即使左某閱讀該章程，也不能清晰獲知自己的個人信息將被傳輸?shù)胶蔚刈龊畏N處理。因此，案涉《章程》的上述內(nèi)容未能體現(xiàn)公開透明原則，未能使用戶或者消費者通過清晰易懂的語言真實、準確、完整的獲取告知內(nèi)容，不符合個人信息保護法第七條和第十七條的規(guī)定。故而，雅某公司未取得處理左某個人信息的合法性基礎(chǔ)。

二、愛某公司、雅某公司處理個人信息是否為履行合同所必需

雅某公司辯稱，其個人信息處理的合法性基礎(chǔ)是個人信息保護法第十三條第一款第二項規(guī)定的“履行合同所必需”，不需取得個人的同意。

其一，就雅某公司收集處理的個人信息范圍而言，依照個人信息保護法第六條規(guī)定，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。本案中，愛某公司、雅某公司收集處理左某的姓名、電話號碼、地址等基本信息，為預定酒店所必需的個人信息，可以認定為酒店服務業(yè)所需的最少類型、最少數(shù)量。根據(jù)國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局發(fā)布的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》（國信辦秘字〔2021〕14號），對于酒店類移動應用（APP）必要個人信息包括注冊用戶移動電話號碼；住宿人姓名和聯(lián)系方式、入住和退房時間、入住酒店名稱。其中，郵箱、地址屬于上述規(guī)定的聯(lián)系方式。此外，銀行卡號作為支付手段，對此進行收集也有其必要性。因此，愛某公司、雅某公司收集處理的個人信息范圍符合個人信息保護法的規(guī)定。

其二，就愛某公司、雅某公司出境共享個人信息的接收方人員范圍而言，案涉《章程》對此列舉了包括商業(yè)合作伙伴及營銷部門人員等七類人員。根據(jù)個人信息保護法第十三條第一款第二項規(guī)定，“履行合同的必需”是客觀上的必需，即個人信息處理者委托共享處理的主體范圍對履行合同來說應當是正當且必要的。該必要性應基于合同目的來判斷，即處理個人信息的范圍及處理主體的范圍均應當符合最小必要原則。本案中，從雅某公司出境共享個人信息的接收方的人員范圍和地域范圍看，不能認定酒店集團的所有商業(yè)合作伙伴及營銷部門人員均為履行合同所必需，應當取得個人同意。根據(jù)雅某公司提供的境外接收方及信息傳輸列表，事實上已向位于美國和愛爾蘭的某公司基于“營銷傳播目的”實施了信息傳輸及信息處理行為，該處理目的明顯超出履行合同必要，且未取得個人同意，因而不具備個人信息處理的合法性基礎(chǔ)。

綜上，愛某公司、雅某公司的個人信息處理行為侵害了左某的個人信息權(quán)益。

裁判要旨

APP提供個人數(shù)據(jù)保護章程不符合個人信息保護法第七條和第十七條規(guī)定的公開、透明原則和告知規(guī)則的，用戶點擊勾選該個人數(shù)據(jù)保護章程不產(chǎn)生“個人同意”的法律效力。未取得個人同意，且超出“履行合同所必需”范圍向境外提供個人信息的行為，構(gòu)成對個人信息權(quán)益的侵害。

關(guān)聯(lián)索引

《中華人民共和國個人信息保護法》第6條、第7條、第13條、第17條、第50條

一審：廣州互聯(lián)網(wǎng)法院（2022）粵0192民初6486號民事（2023年9月8日）

二審：廣州市中級人民法院（2023）粵01民終33217號民事判決（2024年6月28日）