国枫观察 | 酒店管理系列九：国际型酒店集团跨境传输个人信息首案解读

1、事实过程

该案件当事人包括：原告左某，为本案消费者；被告一某琴公司，中国公司，运营国际酒店品牌的微信公众号“某高A❈”；被告二某高公司，系“注册地在法国的跨国酒店管理集团，截至2020年，该公司在110个国家经营着5100家酒店，涵盖39个不同品牌，与这些酒店的业主签订了特许经营或管理合合同。”[1]，某高公司也同时为“A❈”APP的运营者；某琴公司是某高公司在中国的关联公司。

原告左某于2020年前已经成为某高酒店集团会员，并于2021年通过“某高A❈”微信公众号，购买某高A*卡两张，约定持该卡能够以会员优惠价格享受某高公司提供的酒店食宿服务。2022年2月24日，左某通过“某高A❈”微信公众号，下载了“A❈”APP，并勾选某高公司《客户个人数据保护章程》。2022年2月27日，左某通过“A❈”APP预定了2022年3月8日至3月9日缅甸某高公司旗下酒店。

2、个人信息传输过程

本案中，两被告向法院提交了“境外接收方及信息传输列表”，证明境外接收左某个人信息的接收方的名称、联系方式、处理目的、处理方式及处理的个人信息种类。经审查，法院暂未发现某琴公司存在违法处理个人信息的行为，因此在本案判决书中并未展开描述左某购买会员卡阶段所提供的个人信息以及后续的个人信息传输过程。

至于左某通过APP预订酒店过程中的个人信息处理，法院查明的事实包括：1）左某在预定酒店的过程中，按照被告的要求，提交了姓名、电话、邮箱、邮编、地址、国籍、银行卡号的个人信息；2）某高公司收集左某得个人信息后，基于管理中央预订系统、处理个人预定、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的，分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息，其中，基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。

因为前述个人信息的跨境传输情况，以及“A❈”APP未能向客户提供相应撤回授权、行使权利的便捷渠道等原因，左某提起了本案诉讼。

原告左某在诉讼中调整了其诉讼请求，本案原告诉请及法院最终判决情况如下：

注：

1、原告诉请第1项中涉及查阅权的部分，案件审理过程中，两被告已向法院提交了境外接收方及信息传输列表。因此，原告该部分诉讼请求已经得以实现。

2、原告诉请第2项，经法院审查，某琴公司不存在违法处理个人信息的行为。

本案判决书中，法院对诸多个人信息保护的合规要点展开了充分的说理。其中，不乏有许多较为常见的合规观点，例如：用户点击同意隐私政策，并不必然意味着个人信息处理者当然取得所有的个人信息处理行为的合法性基础等。本文仅罗列对国际型酒店集团跨境传输个人信息、处理个人信息等相关的关键司法观点。

1、案件是否可诉？

本案中，两被告提出抗辩，其认为：依据《个人信息保护法》第五十条第二款“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”的规定，左某应先行向个人信息处理者主张权利，遭拒绝后才可以提起诉讼，因此，本案不满足《个人信息保护法》第五十条规定的起诉前置条件，本案不具备可诉性。

法院认为，《个人信息保护法》第五十条是对第四章各项工具性权利行使受到阻碍而寻求司法救济的规定。《个人信息保护法》所提出的“个人信息权益”是完整不可分的民事权益，是一种与隐私权、名誉权等并列的一种人格权益。《个人信息保护法》第四章规定“个人在个人信息处理活动中的权利”只是个人信息权益内容的具体化，其中，个人对其个人信息处理的知情权和决定权是个人信息权益最核心的内容，其他权利则是手段性或救济性权利，旨在保护知情权和决定权。基于此，法院进一步归纳出前述表格中笔者已汇总的法院观点。

2、某高公司处理个人信息是否为履行合同所必需？

本案争议焦点的第二项为两被告是否侵害了左某的个人信息权益，也是本案最为关键的争议焦点。法院在审理分析前述争议焦点的过程中，逐步归纳出前述观点。

本案中，虽然左某确认其已经点击同意了某高公司的《客户个人数据保护章程》，法院认为左某点击同意隐私政策，并不必然意味着两被告当然取得所有的个人信息处理行为的合法性基础。因此，在被告缺失“告知-同意”这一处理个人信息的合法性基础后，法院依次从两被告处理个人信息是否履行合同必需、两被告是否取得个人单独同意两个维度分析是否侵害了左某的个人信息权益，并得出了前述表格中笔者已汇总的法院观点。

本案的典型性也正在于此，本案的审理过程明确了个人信息跨境处理的合法性审查规则。

3、某琴公司是否承担责任？

本案中，左某认为某琴公司所构建出的外观，让普通消费者合理地认为某琴公司为交易对象及个人信息的接收者，并诉称某琴公司与某高公司共同实施了侵权行为。但经法院审查，某琴公司向境外接收方传输的信息，暂未发现违法处理行为，本案争议的个人信息出境行为是由被告某高公司实施的。

本案的前述认定有着其特殊性，主要原因是左某预订缅甸酒店所使用的APP是由某高公司直接运营，而非某高公司在中国境内的关联公司运营。

4、某高公司应当承担怎样的责任？

针对左某诉请的要求在“A*”移动应用首页公开向左某赔礼道歉的内容，法院给与了某高公司更为折中的赔礼道歉方式。法院结合本案案情，以及《个人信息保护法》实施以来各APP运营者对于告知同意机制的理解与执行的现实情况，判定某高公司的赔礼道歉不适合以公开形式进行，而适宜采取由某高公司以书面形式向左某赔礼道歉。同时，法院根据本案案情酌定某高公司赔偿损失2万元。

本案所涉及的案件事实、某高公司的侵权行为实际发生在2022年2月。此时，距离2021年11月施行的《个人信息保护法》才过去3个月。正因如此，法院才会在判决时考虑“运营者对于告知同意机制的理解与执行的现实情况”，酌情裁判。同时，本案涉及的个人信息也仅为左某一人，出境行为仅为一次缅甸酒店预订的个人信息。《个人信息保护法》执行至今，众多细化规定及标准的出台，已经明确了个人信息处理者的诸多义务。国际型酒店集团在面对越来越细化的规定、越来越多的个人信息和越来越频繁的出境场景下，若仍然存在违法行为，则被判决承担的责任将可能远超本案。

此外，对于国际型酒店集团而言，需避免一揽子笼统告知的方式获得用户的同意。如果酒店集团跨境个人信息处理行为超出笼统告知的处理目的，又不具备个人同意以外的其他法定的合法性基础，酒店集团必须履行增强告知义务并获得个人单独同意，从而确保个人信息知情权和决定权的实现。从履行合同必需的角度看，如果跨境个人信息处理的收集范围、处理方式、处理目的等确属履行合同所必需的，则不需要个人的单独同意，但仍应当依法履行告知义务。

注：[1] 本案判决书，案号（2022）粤0192民初6486号，法院认定的本案事实部分原文。