开物研究 |APP提供个人数据保护章程不符合个人信息保护法,用户点击勾选该个人数据保护章程不产生“个人同意”的法律效力。
发布时间:2025-04-10来源:点击:124
APP提供个人数据保护章程不符合个人信息保护法第七条和第十七条规定的公开、透明原则和告知规则的,用户点击勾选该个人数据保护章程不产生“个人同意”的法律效力。未取得个人同意,且超出“履行合同所必需”范围向境外提供个人信息的行为,构成对个人信息权益的侵害。
爱某商务咨询(上海)有限公司(以下简称爱某公司)是雅某股份有限公司(ACCORSA,以下简称雅某公司)在中国的关联公司,运营微信公众号“雅某A佳”。雅某公司是注册地在法国的跨国酒店管理集团,运营“ACCORALL”APP(移动互联网应用程序)。2021年10月29日,左某通过“雅某A佳”公众号使用其本人招商银行信用卡向爱某公司支付2588元,购买雅某A佳卡两张,约定持该卡能够以会员优惠价格享受雅某公司提供的酒店食宿服务。2022年2月24日,左某通过雅某客服电话咨询业务,经客服指引通过“雅某A佳”公众号下载“ ACCORALL” APP。左某在注册会员及进入“ACCORALL” APP界面时,点击勾选了雅某公司《客户个人数据保护章程》(以下简称《章程》)的选项。2022年2月27日,左某在“ACCORALL” APP预定了同年3月8至9日缅甸仰光世界和平塔美居酒店,并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后,左某发现《章程》中载有将其个人信息传送共享至全球多个地区接收主体的内容。 左某诉称:爱某公司、雅某公司通过“ACCORALL” App违法跨境处理中国公民个人信息,无限制扩大个人信息境外接受主体的国家范围、主体范围,未能实现真实、准确、完整的告知,并明示个人信息处理的目的、方式和范围 ,致左某知情决定权受到侵害,从而致个人信息权益受到侵害,故请求法院判令爱某公司、雅某公司提供境外接收方信息并删除左某全部个人信息、公开赔礼道歉和赔偿损失。 爱某公司、雅某公司共同辩称:其收集、处理、向境外传输左某个人信息是为了签订和履行会员服务及酒店预定服务合同所必需的行为。 诉讼中,爱某公司、雅某公司提交了“境外接收方及信息传输列表”。雅某公司的境外接收方和信息传输列表显示,雅某公司基于管理中央预订系统、处理个人预定、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的,分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息,其中,基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。 广州互联网法院于2023年9月8日作出(2022)粤0192民初6486号民事判决:一、雅某股份有限公司于本判决发生法律效力之日起十五日内,向左某致书面赔礼道歉;二、爱某商务咨询(上海)有限公司、雅某股份有限公司于本判决发生法律效力之日起十五日内删除左某在爱某商务咨询(上海)有限公司、 雅某股份有限公司及相关个人信息接收方处的全部个人信息,并出具相关凭据 ;三、雅某股份有限公司于本判决发生法律效力之日起十日内赔偿左某财产损失人民币20000元(含合理开支);四、驳回左某的其他诉讼请求。宣判后,雅某公司提起上诉。广州市中级人民法院于2024年6月28日作出(2023)粤01民终33217号民事判决,维持一审判决第一项、第三项、第四项,撤销一审判决第二项(被告已自动履行)。 本案的争议焦点为:爱某公司、雅某公司是否侵害了左某的个人信息权益。具体又涉及两方面的问题:一是左某对案涉《章程》的点击勾选动作是否取得告知同意的法律效力;二是爱某公司、雅某公司处理个人信息是否履行合同必需。 一、左某对案涉《章程》的点击勾选动作是否取得告知同意的法律效力本案中,雅某公司是外国法人,本案属于涉外案件。由于各方当事人均同意本案适用中国法律处理,故本案适用《中华人民共和国个人信息保护法》。 根据个人信息保护法规定,处理个人信息的合法性以个人同意为基础,征得个人同意的前提是个人信息处理者应向个人告知其处理行为。 本案中,雅某公司在APP客户端呈现的案涉《章程》勾选界面是一揽子的笼统告知,属于一般告知 ,用户的点击勾选动作不必然发生“个人同意”的法律效力。基于此,对于雅某公司是否取得处理左某个人信息的合法性基础,还应审查雅某公司的告知行为是否符合个人信息保护法有关告知的规定。 根据个人信息保护法第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围;根据第十七条规定,个人信息处理者应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关事项。经审查,案涉《章程》就个人信息出境共享的接收主体范围指示不清,表述为多个国家的集团内部人员和部门,商业合作伙伴以及营销部门人员等,即使左某阅读该章程,也不能清晰获知自己的个人信息将被传输到何地做何种处理。因此,案涉《章程》的上述内容未能体现公开透明原则,未能使用户或者消费者通过清晰易懂的语言真实、准确、完整的获取告知内容,不符合个人信息保护法第七条和第十七条的规定。故而,雅某公司未取得处理左某个人信息的合法性基础。 二、爱某公司、雅某公司处理个人信息是否为履行合同所必需 雅某公司辩称,其个人信息处理的合法性基础是个人信息保护法第十三条第一款第二项规定的“履行合同所必需”,不需取得个人的同意。 其一,就雅某公司收集处理的个人信息范围而言,依照个人信息保护法第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。本案中,爱某公司、雅某公司收集处理左某的姓名、电话号码、地址等基本信息,为预定酒店所必需的个人信息,可以认定为酒店服务业所需的最少类型、最少数量。根据国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号),对于酒店类移动应用(APP)必要个人信息包括注册用户移动电话号码;住宿人姓名和联系方式、入住和退房时间、入住酒店名称。其中,邮箱、地址属于上述规定的联系方式。此外,银行卡号作为支付手段,对此进行收集也有其必要性。因此,爱某公司、雅某公司收集处理的个人信息范围符合个人信息保护法的规定。 其二,就爱某公司、雅某公司出境共享个人信息的接收方人员范围而言,案涉《章程》对此列举了包括商业合作伙伴及营销部门人员等七类人员。根据个人信息保护法第十三条第一款第二项规定,“履行合同的必需”是客观上的必需,即个人信息处理者委托共享处理的主体范围对履行合同来说应当是正当且必要的。该必要性应基于合同目的来判断,即处理个人信息的范围及处理主体的范围均应当符合最小必要原则。本案中,从雅某公司出境共享个人信息的接收方的人员范围和地域范围看,不能认定酒店集团的所有商业合作伙伴及营销部门人员均为履行合同所必需,应当取得个人同意。根据雅某公司提供的境外接收方及信息传输列表,事实上已向位于美国和爱尔兰的某公司基于“营销传播目的”实施了信息传输及信息处理行为,该处理目的明显超出履行合必要,且未取得个人同意,因而不具备个人信息处理的合法性基础。 综上,爱某公司、雅某公司的个人信息处理行为侵害了左某的个人信息权益。 《中华人民共和国个人信息保护法》第6条、第7条、第13条、第17条、第50条; 一审:广州互联网法院(2022)粤0192民初6486号民事(2023年9月8日); 二审:广州市中级人民法院(2023)粤01民终33217号民事判决(2024年6月28日)。
- 上一篇:没有了
- 下一篇:开物荣誉|信任与温暖——邢玉洁、贾亚东两位律师获赠锦旗
