国内首例个人信息跨境传输的法院判决

案件背景

涉案公司是一家注册于法国的跨国酒店管理集团。2021年，原告左某通过该公司在中国的关联公司购买了一张会员卡。在2022年，左某通过该公司的APP预订了缅甸的一家酒店。在这过程中，左某提供了包括姓名、电话号码、电子邮箱和银行卡号等在内的个人信息，并接受了隐私政策。

事后，原告发现，根据该公司的隐私政策，其个人信息将被共享至多个境外地区和接收实体，且接收主体范围和地域范围不明确。

根据左某提起的诉讼，法院认为该公司未能告知左某境外接收方的详细信息；另外，该公司出于营销目的将左某的个人信息分享给位于美国和爱尔兰的实体，这一行为超出了履行合同所需的范围，而未获得左某的单独同意。

法院裁定该公司违反了《个人信息保护法》。除了赔礼道歉和赔偿，法院还要求该公司向左某提供其个人信息境外接收方的详细信息，并删除其所有个人信息。

重要启示

以“履行合同所必需”作为个人信息跨境传输的合法性基础时，个人信息的范围、境外接收方范围和传输目的都需满足必要性要求。

该公司将原告的个人信息传输至缅甸的酒店，以及位于法国总部的酒店中央预订系统，以处理原告的预订请求，具有必要性。然而，基于营销目的将原告的个人信息传输至美国和爱尔兰不具有必要性。

对于超出了履行合同所必需范围，基于营销目的个人信息跨境，该公司需要取得原告的单独同意；单独同意不能仅通过简单勾选一揽子隐私政策来取得。

私隐政策的本地化

跨国公司在中国内地开展业务时，需要对隐私政策进行本地化调整，以符合当地法规的要求。完全符合欧盟GDPR的要求并不一定符合《个人信息保护法》的要求。例如，在个人信息跨境传输和共享时，《个人信息保护法》要求个人信息处理者向相关个人完整地告知境外接收方的信息，并取得其单独同意。

根据《个人信息保护法》，组织在将个人信息传输至境外之前，需要进行个人信息保护影响评估；在一定条件下会触及数据跨境传输监管机制，相关组织可能需要取得网信办的批准、签订《个人信息出境标准合同》并备案。

《个人信息保护法》规定的最高罚款可达5000万元或上一年度营业额的5%。

进行隐私影响评估（PIA）的重要性

实施隐私影响评估（PIA）对于任何处理个人数据的组织至关重要。PIA有助于在发生数据泄露前识别和减轻隐私风险。其关键组成部分包括：

• 识别漏洞：定期评估可以揭示安全协议和数据处理实践中的弱点。
• 建立政策：组织必须制定全面的数据保护政策和指引，以确保遵守隐私法规。
• 培训与意识提升：教育员工有关数据隐私和安全的最佳实践，对于培养警觉和重视隐私的文化至关重要。

DQS 相关服务： 

• DQS 提供 ISO 27701 私隐信息管理体系认证 服务；
• DQS HK 提供 私隱影響評估 (PIA) 服務；
• DQS HK 提供 IT系统 渗透测试服务。