摘要：北京大成（西城区）律师事务所合伙人，专注于为企业提供知识产权与不正当竞争、网络安全与数据合规交易、民商事争议解决和公司投融资与并购、常年法律顾问等法律服务。

以下文章来源于大成李慧辉律师，作者李慧辉

大成李慧辉律师.

北京大成（西城区）律师事务所合伙人，专注于为企业提供知识产权与不正当竞争、网络安全与数据合规交易、民商事争议解决和公司投融资与并购、常年法律顾问等法律服务。

摘要

跨境数据流动在推动数字经济的同时，面临法律冲突、安全风险与合规成本三重挑战。首例左某诉雅某公司个人信息跨境侵权案中，法院认定企业通过APP勾选《数据保护章程》的笼统告知不符合《个人信息保护法》的公开透明原则，未有效取得用户同意；将数据共享至境外营销公司超出“履行合同必需”范围，构成侵权。判决确立三项规则：告知同意需实质审查、跨境传输需证明客观必要性、违法责任优先适用侵权赔偿。案件揭示企业合规须从“形式勾选”转向分层动态告知，构建全流程风控体系。本文从司法实践出发，提出通过技术加密、DPO制度及国际协作破解跨境数据治理困局，为数字经济全球化下的合规重构提供路径参考。

一、当下跨境数据流动的机遇与挑战

在全球数字经济高速发展的背景下，数据跨境流动已成为推动国际贸易、技术创新的核心动力。数据显示，2024年前三季度我国可数字化交付的服务进出口额达2.13万亿元，跨境电商进出口同比增长11.5%。然而，数据跨境流动亦面临多重挑战：

1. 法律冲突：各国数据保护规则差异显著，如欧盟GDPR与我国《个人信息保护法》对“同意”效力、数据主体权利的规定存在根本性分歧；

2. 安全风险：2023年青岛首例跨国侵犯公民个人信息案中，犯罪团伙通过境外服务器非法获取1658万条个人信息，暴露出跨境传输的技术漏洞与监管盲区；

3. 合规成本：企业需同时满足安全评估、标准合同备案等要求，中小型企业面临“合规难、成本高”的困境。

二、案情回溯：左某诉爱某商务咨询（上海）有限公司、雅某股份有限公司个人信息保护纠纷案的争议焦点与裁判逻辑

基本案情：

爱某商务咨询（上海）有限公司（以下简称爱某公司）是雅某股份有限公司（以下简称雅某公司）在中国的关联公司，运营微信公众号“雅某A佳”。雅某公司是注册地在法国的跨国酒店管理集团，运营“ACCOR ALL” APP（移动互联网应用程序）。2021年10月29日，左某通过“雅某A佳”公众号使用其本人招商银行信用卡向爱某公司支付2588元，购买雅某A佳卡两张，约定持该卡能够以会员优惠价格享受雅某公司提供的酒店食宿服务。2022年2月24日，左某通过雅某客服电话咨询业务，经客服指引通过“雅某A佳”公众号下载“ACCOR ALL” APP。左某在注册会员及进入“ACCOR ALL” APP界面时，点击勾选了雅某公司《客户个人数据保护章程》（以下简称《章程》）的选项。2022年2月27日，左某在“ACCOR ALL”APP预定了同年3月8至9日缅甸仰光世界和平塔美居酒店，并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后，左某发现《章程》中载有将其个人信息传送共享至全球多个地区接收主体的内容。

左某诉称：爱某公司、雅某公司通过“ACCOR ALL” App违法跨境处理中国公民个人信息，无限制扩大个人信息境外接受主体的国家范围、主体范围，未能实现真实、准确、完整的告知，并明示个人信息处理的目的、方式和范围，致左某知情决定权受到侵害，从而致个人信息权益受到侵害，故请求法院判令爱某公司、雅某公司提供境外接收方信息并删除左某全部个人信息、公开赔礼道歉和赔偿损失。

爱某公司、雅某公司共同辩称：其收集、处理、向境外传输左某个人信息是为了签订和履行会员服务及酒店预定服务合同所必需的行为。

诉讼中，爱某公司、雅某公司提交了“境外接收方及信息传输列表”。雅某公司的境外接收方和信息传输列表显示，雅某公司基于管理中央预订系统、处理个人预定、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的，分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息，其中，基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。

广州互联网法院做出判决：

一、雅某股份有限公司于本判决发生法律效力之日起十五日内，向左某致书面赔礼道歉；

二、爱某商务咨询（上海）有限公司、雅某股份有限公司于本判决发生法律效力之日起十五日内删除左某在爱某商务咨询（上海）有限公司、雅某股份有限公司及相关个人信息接收方处的全部个人信息，并出具相关凭据；

三、雅某股份有限公司于本判决发生法律效力之日起十日内赔偿左某财产损失人民币20000元（含合理开支）；

四、驳回左某的其他诉讼请求。

争议焦点：

1. 告知同意的效力：被告通过APP勾选《客户数据保护章程》是否构成有效同意？

• 裁判观点：一揽子笼统告知不符合《个人信息保护法》第7、17条的“公开透明原则”“个人信息处理者应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关事项”，用户点击勾选不产生法律效力；

2. “履行合同必需”原则的适用：跨境传输是否为合同履行的必要条件？

• 裁判观点：酒店集团将数据共享给非必要第三方（如境外营销公司），超出合同目的最小必要范围，需重新取得同意；

3. 责任认定：违法跨境传输的民事责任如何界定？

• 裁判观点：APP提供个人数据保护章程不符合个人信息保护法第七条和第十七条规定的公开、透明原则和告知规则的，用户点击勾选该个人数据保护章程不产生“个人同意”的法律效力。未取得个人同意，且超出“履行合同所必需”范围向境外提供个人信息的行为，构成对个人信息权益的侵害。

三、核心法律问题评析

1. 告知同意的“形式化陷阱”

2. 实质性审查标准

3. 客观必要性标准

4. 商业营销的排除规则

四、违法跨境传输的民事责任竞合问题

1. 责任类型

2. 责任竞合处理

五、合规指引：分层告知与动态同意的操作路径

1. 分层告知框架

2. 动态同意机制

技术实现：通过可信时间戳或区块链存证技术确保可追溯性；

场景适配：根据用户行为（如频繁使用某功能）动态调整告知内容。

六、数据跨境传输的全流程风控体系

1. 收集阶段：仅采集实现合同目的的最小数据，避免过度收集（如酒店预订无需生物信息）；

2. 存储阶段：对敏感数据加密存储，设置访问权限日志，定期审计数据留存期限；

3. 传输阶段：优先选择通过安全评估或标准合同备案的通道，如新加坡要求传输前需取得特别批准；

4. 删除阶段：建立自动化删除机制，用户撤回同意后24小时内完成数据擦除。

七、企业合规体系建设与跨境争议应对策略

1. 合规体系构建

2. 争议应对策略

八、延伸思考：国际数据规则冲突下的司法管辖协调

1. 现存困境

2. 破局路径

九、个人信息保护公益诉讼的可能性

1. 法律依据：《个人信息保护法》第70条明确赋予检察机关提起公益诉讼权，2023年青岛案已实现刑事附带民事公益诉讼；

2. 实践价值：通过个案推动行业整改，如左某案促使酒店集团修订《数据保护章程》。

结语

首例跨境个人信息侵权案的裁判，标志着司法对数据合规提出更高要求：“一揽子告知”失效、企业需自证“不可替代性”、合规重点转向实质风险控制。跨境个人信息处理已从技术问题演变为法律、商业与国家安全交织的复杂命题。企业需从“形式合规”转向“实质风险控制”，通过技术（如加密、访问日志）与管理（如DPO设置）的结合构建纵深防御体系，以技术与管理双轮驱动，方能在数字经济全球化浪潮中行稳致远。

●参考文献：

1. 中国裁判文书网 广东省广州市中级人民法院（2023）粤01民终33217号

2. 《中国跨境数据流动安全治理白皮书（2024）》

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

1.李慧辉：AI企业融资背后的专利暗礁：开源代码使用法律风险全解析

本文作者

来源：大成律动