数据跨境流动已经成为全球资金、信息、技术、人才等资源要素交换、共享的基础,个人信息的跨境流动关乎个人、社会和国家利益。近日,广州互联网法院审理了一起国际酒店集团跨境传输个人信息引发的个人信息权益侵权纠纷案,法院依法判决某公司删除酒店住客左某的个人信息,向左某书面赔礼道歉并赔偿2万元。
某跨国酒店集团的所属公司注册地在国外,运营具有订房等功能的某APP。左某于2020年前已经成为该酒店集团会员。2021年10月,左某购买该公司会员卡,持该卡能够以会员优惠价格享受该公司提供的酒店食宿服务。2022年2月,左某在某APP预订了位于境外的酒店房间,并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。
左某发现,该公司的《客户个人数据保护章程》中记载,会将其个人信息传送共享至全球多个地区和接收主体,故其认为该公司无限制扩大左某个人信息境外接收主体的国家范围、主体范围,无法知悉其个人信息在哪些国家和地区被何种境外主体处理。同时,该公司亦未能向客户提供相应撤回授权、行使权利的便捷渠道,侵害了个人信息权益。因此,左某诉至法院,要求该公司提供境外接收左某个人信息的全部接收方信息,删除左某全部个人信息,并承担赔礼道歉、赔偿损失的民事责任。
被告某公司辩称,其收集和处理左某个人信息、向境外传输左某个人信息是为了签订和履行与左某之间的会员服务及酒店预订服务合同所必需的行为,属于个人信息保护法第十三条第一款第二项所述情形,无需取得左某的同意。其收集和处理个人信息的行为,已获得左某同意和确认,充分保障了左某的知情权和决定权。
诉讼中,某公司提交了“境外接收方及信息传输列表”,列表显示某公司基于营销传播目的向位于万博体育下载和爱尔兰的公司实施了个人信息传输及处理行为。
法院审理后认为,一方面,本案诉因系左某基于个人信息被置于不安全境地,认为其知情权和决定权受到侵害,在此基础上主张对其个人信息的查询、删除权利。因此,左某提起的是基于被告违法处理个人信息致其个人信息权益受侵害的诉讼,而非单纯行使查阅权及删除权的诉讼。根据涉外民事关系法律适用法、民法典、个人信息保护法之规定,个人信息权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。信息主体以个人信息处理者违法处理行为侵犯其个人信息权益为由向法院起诉的,没有也不应当有任何前置程序。故此,本案具有可诉性。
另一方面,本案被告收集用户个人信息的范围是预订酒店所必需,符合法律规定。但信息共享人员范围违反法律规定,信息处理目的超出履行合同必需,需增强告知并经用户同意后才能发生法律效力。被告向位于万博体育下载和爱尔兰的公司基于“营销传播目的”实施了信息传输、处理行为,该处理目的明显超出履行合同所必需,且未取得个人同意,其行为不具备个人信息处理的合法性基础。因此,法院判定被告的个人信息处理行为侵害了原告左某的个人信息权益。一审法院据此作出前述判决。
某公司不服一审判决提起上诉。广州市中级人民法院二审判决除因被告自动履行一审判决“删除原告左某全部个人信息”而撤销该项外,维持一审其余判决。