摘要：2024年8月，中国裁判文书网公布了一起广州互联网法院于2023年9月8日作出的判决。一家国际酒店集团因违法处理个人信息被判承担侵权责任，该案被称为中国司法领域“个人信息跨境传输第一案”。[1]一审宣判后，被告之一的某高公司提起上诉。2024年6月28日，广州

2024年8月，中国裁判文书网公布了一起广州互联网法院于2023年9月8日作出的判决。一家国际酒店集团因违法处理个人信息被判承担侵权责任，该案被称为中国司法领域“个人信息跨境传输第一案”。[1]一审宣判后，被告之一的某高公司提起上诉。2024年6月28日，广州市中级人民法院（以下简称“广州中院”）作出二审判决，维持一审判决结果。[2]

2025年2月，人民法院案例库收录该案。[3]该案在个人信息跨境传输司法实践中具有标志性意义，澄清了《个人信息保护法》（以下简称《个保法》）适用中的部分误区与模糊地带，为跨国公司根据我国法律要求制定针对性合规策略提出了更清晰的指引。

一、主要事实与涉案数据跨境传输行为

某高公司为一家注册地在法国的跨国酒店管理集团。2021年，原告左某通过某高公司的关联公司某琴公司运营的公众号“某高A*”，购买了该集团运营的酒店会员卡。2022年，左某通过某高公司的APP“A*”预订了位于缅甸的某酒店，在预订过程中提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息，并勾选了“A*”APP的《客户个人数据保护章程》（以下简称《章程》）。

事后，左某发现，根据该《章程》，其个人信息将被共享至全球多个地区和接收方，但并未明确具体主体和地域范围，且未提供撤回授权或行使相关权利的便捷渠道。左某认为上述安排已侵害其个人信息权益，遂诉至法院，请求判令某高公司、某琴公司（合称“两被告”）提供接收方信息、删除个人信息、公开赔礼道歉并赔偿经济损失。

一审法院支持了左某的部分诉求，判令被告书面赔礼道歉、删除原告个人信息并赔偿其合理支出2万元。二审中，因被告已自动履行删除义务，广州中院遂撤销一审关于删除全部个人信息的判令，其余部分则维持原判。

二、本案判决对若干法律技术问题的澄清

本案一审法院围绕本案是否具备可诉性、点击勾选是否构成有效告知同意、涉案个人信息处理活动是否属于履行合同所必需、是否已取得单独同意等问题，逐一展开分析。二审法院则进一步聚焦于告知同意的法律效力及是否属于履行合同所必需，对一审裁判意见予以补充和肯定，最终维持原判。

责任主体：向境内个人提供服务的境外企业亦应承担《个保法》项下法律责任

被告某琴公司系某高公司在国内设立的具有独立法人资格的关联企业。一审中，原告主张，某琴公司构建的商业外观使普通消费者合理相信其为交易相对方及个人信息接收方。然而，法院最终认定，本案争议的个人信息出境行为系由某高公司实施，除删除原告个人信息的义务外，其余侵权责任均由某高公司单独承担。

需要注意的是，我国《个保法》第三条规定了该法的域外效力。尽管某高公司注册地位于法国，其以向中国境内自然人提供产品或服务为目的而实施的个人信息处理活动，同样落入《个保法》的管辖范围。

可诉性：“核心权益”的侵权之诉不以行权被拒为前置条件

针对案件可诉性问题，两被告主张，依据《个保法》第五十条第二款规定，仅在被告拒绝原告的行权请求后，原告才可以提起诉讼。一审法院对此不予采纳，认为该条规定针对的是《个保法》第四章所列各项工具性权利在行使受阻时的司法救济机制。

法院进一步指出，个人信息权益属于人格权范畴，其核心是知情权和决定权，查阅权和复制权等仅为实现核心权利的工具性权利。本案中，原告诉请系基于两被告未能真实、准确、完整告知个人信息处理情况，也未取得单独同意，侵害了原告的知情权和决定权，属于人格权侵权之诉，无需以前置的行权请求被拒为提诉条件。故原告有权根据《民法典》直接提起侵权诉讼。

“告知-同意”的效力：告知应准确完整，勾选一揽子隐私政策不构成单独同意

根据《个保法》的规定，除法律、行政法规另有规定或紧急情况外，事前告知是个人信息处理者的一项基本义务。

本案中，关于告知的形式，两审法院均认为，被告某高公司在客户端呈现的《章程》勾选界面属于“一揽子”式的笼统告知，构成一般告知而非单独同意。就告知的内容而言，《章程》仅将境外接收方表述为“多个国家的集团内部人员和部门，商业合作伙伴以及营销部门人员等”，相关接收主体与地域范围均未予以明确。原告即使阅读该隐私政策，亦无法清晰知悉其个人信息将被传输至何地以及将被如何处理。此类笼统模糊的表述未能体现《个保法》的公开透明原则，侵犯了个人信息主体的知情权和决定权。

根据《个保法》第三十九条，个人信息处理者在向境外提供个人信息前，应取得个人信息主体的单独同意。对于法定的五种需要单独同意的情形，以及其他对个人权益有重大影响的个人信息处理活动，处理者负有通过增强告知形式取得单独同意的义务。法院明确指出，单独同意不能仅通过简单勾选一揽子隐私政策来取得，某高公司未就境外传输事项单独提示用户，也未提供单独勾选机制，其取得的同意不符合法律要求，因而无效。实践中，单独同意通常需要通过弹窗或设置单独勾选框等形式实现。

“履行合同所必需”的边界：最小必要原则的刚性约束

某高公司依据《个保法》第十三条第一款第二项辩称，其处理原告个人信息的行为的合法性基础为“履行合同所必需”，故无需取得个人同意。对此，两审法院结合《个保法》第六条的“最小必要原则”及相关条文，从个人信息范围、境外接收方范围及处理目的等三方面分析并明确了“必需”的边界。

就个人信息的范围而言，法院基于国家网信办发布的《常见类型移动互联网应用程序必要个人信息范围规定》认定，对于旅游、酒店类APP而言，必要个人信息包括用户姓名、联系方式、入住和退房时间、入住酒店名称等，银行卡号作为支付手段也有其必要性。因此，某高公司在此部分的信息处理行为符合《个保法》规定。

就境外接收方的范围及处理目的而言，法院指出，“履行合同的必需”是客观上的必需。本案中，某高公司基于管理中央预订系统、处理个人预订、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的，分别向六个国家的七个境外接收方传输信息。其中，为就酒店预订建立合同关系将个人信息传输至位于缅甸的酒店，以及位于法国总部的中央预订系统，具有正当性和必要性。但基于营销传播目的向位于美国、爱尔兰的境外主体传输个人信息并非履行合同所必需，需要取得单独同意。

需要注意的是，在当前实践中，对于仅预订境内酒店的用户，个人信息传输至境外总部中央预订系统是否属于履行合同所必需，在现行实务中存在争议，网信部门对此可能持否定态度，相关处理行为亦存在合规风险。

三、实践启示：跨国公司需进行在华隐私政策本地化，不应机械套用全球隐私政策

目前，跨国公司通常以欧盟《通用数据保护条例》（GDPR）为基础制定统一的隐私政策。然而，GDPR合规并不必然意味着符合《个保法》的合规要求。以本案涉及的个人信息跨境传输场景为例，《个保法》就对告知与单独同意的取得提出了更严格的要求。

跨国公司实施个人信息跨境传输前，应按照《个保法》进行个人信息保护影响评估，并依据《个保法》及《促进和规范数据跨境流动规定》等配套规章，全面评估数据跨境传输活动可能适用的监管程序，依法申报数据出境安全评估，或签订《个人信息出境标准合同》并向网信部门备案。此外，适用于跨境传输场景的个人信息保护认证制度亦在逐步完善，企业应保持密切关注。

本案入选人民法院案例库，进一步彰显了其在司法实践中的示范效应。案件所传递出的裁判规则，为跨国公司合规经营提供了明确的指引。对于在华开展业务的跨国公司而言，应以《个保法》等法律法规为基础，制定具有针对性的本地化隐私政策及数据保护合规方案。否则，企业可能面临《个保法》下最高可达5000万元人民币或上一年度营业额5%的行政处罚风险，以及由此引发的民事侵权诉讼风险。

●注释：

[1]广州互联网法院（2022）粤0192民初6486号。

[2]广州市中级人民法院（2023）粤01民终33217号，目前二审判决全文尚未公布。

[3]人民法院案例库入库编号2025-07-2-008-001。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

本文作者

来源：大成律动