广互个人信息跨境案对外企的合规启示

《个人信息保护法》明确，为订立、履行个人作为一方当事人的合同所必须处理个人信息的，无需取得个人同意。

本案有两点重要意义。

1、法院未否定因全球统一系统跨境传输个人信息的正当、必要性

被告的中央信息系统位于法国，因此相关预定、住店及会员信息均需被存储在法国。被告抗辩时亦强调了成为国际酒店会员并预定国际酒店时，个人信息跨境传输的必要性。

法院认定：“G公司将左某的个人信息传输至位于缅甸的酒店，以及传输至位于法国总部的酒店中央预订系统的管理运营，其行为具有正当性和必要性。”

但是，需要提示，广州互联网法院的观点，并不一定可以被数据出境主管部门，也就是网信部门认可。

2、商业营销行为非履行合同必需

被告事实上向位于美国和爱尔兰的某公司基于营销传播目的实施了信息传输及信息处理行为。

法院认为：“在个人信息处理活动中，除履行合同必需的处理范围和处理目的之外，未经同意的对个人信息的商业营销行为，不能认为是履行合同的必要。”

这与法工委观点一致，“必需”还是应该缩限解释。

个人观点，此种商业营销场景，亦不满足《促进和规范数据跨境流动规定》中为订立、履行个人作为一方当事人的合同确需向境外提供个人信息，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的条件。

本案从司法角度再次重申法工委、网信办此前已明确的“单独同意可以被其他合法性基础豁免”，并对外企数据跨境单独同意实现提出了要求。

一、单独同意可以被豁免

网信办在《数据出境安全评估申报指南（第二版）》中强调：

此前，法工委杨合庆的书籍中亦明确：

本次广州互联网亦是此观点：

自此，立法、司法、执法部门对于此问题均明确表态，单独同意可以被豁免再无疑义。

二、单独同意的实现

很多跨国企业在隐私政策中都会像被告一样有一个概括性的表述，之前我就吐槽过苹果：看完根本不知道哪些个人信息被跨境传输去哪了。

法院在本案中也是这么认为的：

实践中，外企顶多再在登录页多一个单独的勾选框“同意贵司基于《隐私政策》跨境传输本人个人信息”，但我理解这种方式确实不够友好。

用户依然无法知道，自己的哪些个人信息，被传给了谁。

下图是一个比较好的实践，也是酒店预定的场景，告知书模板+订单下单页具体告知。