案例分析：中国跨境数据传输争议的里程碑

fabiha01

广州互联网法院最近审结了一起违反《中华人民共和国个人信息保护法》的跨境数据传输违法案件，这一重要裁决凸显了中国对个人数据保护的日益重视。该案编号为（2022）粤0192民初6486，案中中国公民Z先生起诉两家被告：上海A商务咨询有限公司（A公司）及其母公司B，一家总部位于欧洲的跨国酒店管理公司（B母公司）。

案件背景
Z先生的案件围绕着他的个人信息未经授权的跨境转移。原告从 A 公司购买了会员卡，这使他能够以折扣价在母公司 B 的会员计划下预订世界各地的酒店。 2022年2月，他使用母公司B的手机应用程序预订了缅甸仰光的一家酒店，并提供了姓名、国籍、电话号码、电子邮件地址和信用卡详细信息等个人信息。

随后，Z先生发现他的个人信息在没有适当的法律保障的情况下被跨地区和实体转移和共享，违反了最近实施的《个人信息保护法》。具体而言，他声称被告没有获得必要的认证、没有进行强制性的安全评估或没有签订跨境数据传输所需的中国标准合同条款（SCC）。此外，被告未能告知其数据的具体海外接收者、处理目的或方法。

原告的诉讼请求和法律论点
Z先生最初向法院寻求了几项补救措施，包括：

信息披露：要求被告提供所有接收其个人数据的海外实体的详细信息，包括这些实体的身份、联系方式、处理目的和方式。
删除数据：命令被告和所有海外接收者从其数据库中删除其个人数据并提供删除证明，必要时由法院监督。
公开赔礼道歉：要求被告在各自平台（微信、手机APP）上公开赔礼道歉，赔礼道歉内容经法院认可。
赔偿：经济损失、法律费用、翻译费用和工资损失的经济补偿。
诉讼费用：要求被告承担所有诉讼相关费用。
被告人的辩护
被告辩称，收集、处理和传输 Z 先生的个人数据对于履行与会员和酒店预订服务相关的合同义务是必要的。他们坚称这些行为符合国际酒店业标准，澳大利亚商业传真列表 并不违反中国法律。此外，被告坚称，Z 先生在其平台上点击同意即表示同意其数据政策，因此无需对跨境数据传输进行单独同意。

他们还辩称，根据《公共利益法》第 13 条，由于数据处理对于履行合同是必要的，因此无需获得单独的同意。因此，他们辩称自己的行为完全符合中国法律。

法院的裁决和关键法律问题
法院对该案的审查集中在三个关键问题上：

案件的可诉性：被告辩称，根据《隐私权法》第五十条的规定，Z先生应当在提起诉讼之前，先向数据控制者（被告）请求行使数据主体权利。然而，法院澄清，当原告声称其隐私权受到侵犯，例如未经授权的数据处理时，他们有权直接寻求司法救济，而无需数据控制者事先拒绝。只有当索赔的唯一目的是行使数据主体权利（例如访问权和获取副本的权利）时，数据主体才应首先联系数据控制者。仅当数据控制者未能满足数据主体的权利时，数据主体才可以对数据控制者提起诉讼。
侵犯个人信息权利：法院裁定被告未遵守 PIPL 的透明度和同意要求。具体而言，法院发现母公司 B 未能提供关于数据处理范围和目的的清晰、具体和易于理解的信息，尤其是关于跨境数据传输的信息。法院指出，对于此类敏感问题，仅通过一次点击即可获得一般性协议是不够的，尤其是在法律要求加强同意的情况下。
被告的责任及后果：法院裁定，母公司B进行的跨境数据传输超出了履行服务合同所需的数据处理必要范围。法院还发现，母公司 B 未能获得跨境数据传输所需的单独同意。因此，跨境数据传输缺乏适当的法律基础。但A公司作为位于中国的关联企业，并未被认定对母公司B的具体数据处理行为承担责任。
法院判决及影响
法院作出了多方面的判决，涉及补救措施和赔偿：

书面道歉：责令B公司向Z先生书面道歉，道歉内容经法院审查同意。
数据删除：两名被告均被勒令从其数据库及其合作伙伴的数据库中删除 Z 先生的个人信息，并提供删除证明。
赔偿： B公司赔偿Z先生2万元人民币（约合2551欧元），用于经济损失及合理开支。
驳回其他诉讼请求：法院驳回了Z先生的部分补充诉讼请求，因为这些诉讼请求被认为超出了被告的责任范围或缺乏证据。
诉讼费用：法院判决母公司B承担500元人民币（约合64欧元）的诉讼费用。
案件意义
《私法典》实施后，实践中对很多定义、法律文书的解释存在争议，导致法律的不确定性和法律实施的不尽如人意。这项裁决是对《公共利益法》的重要解读，强调了透明度和严格遵守同意要求的必要性，尤其是在跨境数据传输方面。该案例凸显了以下重要的法律原则：

透明度和增强同意要求：公司必须提供有关数据处理活动的清晰、具体和易于理解的信息，尤其是在跨境传输数据时。对跨境数据传输的非常笼统的提及并没有为数据主体提供有关跨境数据传输的透明信息。特别是，如果跨境数据传输的法律基础是增强的单独同意，那么隐私政策的一般措辞和隐私政策的简单点击是不够的。为了安全起见，公司应该列出第三国的具体数据接收者，以及每次传输的范围和目的，以使增强的单独同意有效。
增强同意与正常同意的关系：长期以来，人们一直在争论增强单独同意是否应被视为一种同意，从而仅作为《公共利益法》明确规定的 6 个法律依据之一，即，如果可以依赖另一个法律依据，则不需要同意/增强单独同意。一些学者认为，如果《公共利益诉讼法》提到了加强单独同意，那么即使其他法律依据可以适用于该案件，也始终需要单独同意。这是跨境数据传输的一个主要障碍，因为在某些情况下根本无法获得同意，或者有其他更合适的法律依据。该决定首次明确，如果可以依赖其他法律依据，例如合同履行，则无需同意，即使在 PIPL 要求在使用同意作为法律依据时进行加强单独同意的情况下也是如此。
数据主体权利：个人有权知道他们的数据在何处被处理以及用于何种目的。组织必须尊重这些权利并确保适当的沟通和记录以避免法律纠纷。单纯行使数据主体权利应首先向数据控制者提出。仅当数据控制者未能满足数据主体的权利时，数据主体才可以向法院起诉以执行数据主体的权利。