正文

案例笔记:酒店集团为营销跨境传数据,赔偿2万元

admin
admin V管理员 /0 评论 /144 阅读
0830
此篇文章发布距今已超过21天,您需要注意文章的内容或图片是否可用!

一、背景信息

  • 案号:(2022)粤0192民初6486号

  • 裁判时间:2023年9月8日

  • 审理法院:广州互联网法院

  • 原告:左某

  • 被告一:某琴公司

  • 被告二:法国公司

  • 裁判结果:被告一在判决生效15日内删除原告左某的个人信息,并提供删除凭据;被告二向原告书面赔礼道歉、被告二赔偿原告财产损失2万元。

二、基本事实
被告一某琴公司是法国公司在中国的关联公司,是该品牌微信公众号的运营者。被告二法国公司是一家跨国酒店管理集团,与数千家酒店的业主签订了特许经营或管理合同。

左某是法国公司经营酒店集团的会员。2021年,左某通过公众号购买酒店卡,该卡能够以会员优惠价格享受某高公司提供的酒店食宿服务,后预订缅甸某酒店。左某在预定过程中下载该品牌App,进入该App界面时,会出现点击勾选《客户个人数据保护章程》的选项,左某做出了点击勾选。

在《客户个人数据保护章程》中,有数据出境的相关内容表述。诉讼进程中,两被告提交了“境外接收方及信息传输列表”,证明境外接收左某个人信息的接收方的名称、联系方式、处理目的、处理方式及处理的个人信息种类。

《客户个人数据保护章程》列表显示:被告二基于管理中央预订系统、处理个人预订、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的,分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息,其中,基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。

各方同意适用中国法进行审理。

三、法院观点

(一)可诉性

关于是否可诉,法院认为:“个人认为个人信息处理者的违法处理行为侵犯其个人信息权益而向法院起诉的,没有也不应当有任何前置程序。”同时,“个人纯粹以查阅权、删除权等权能未能得到行使而提起的诉讼,权利人负有证明其个人信息权益具体权能不得实现的举证责任,……”。

(二)合法性基础

法院对“告知”机制进行了详细的论证,法院认为:

更为关键的是,对“同意”机制的解释:

具体到本案,法院认为原告左某点击勾选《客户个人数据保护章程》的动作,并不意味着公司当然取得所有的个人信息处理行为的合法性基础。

在庭审时,法院轻易认可了法国公司将左某的个人信息传输至位于缅甸的酒店,以及传输至位于法国总部的酒店中央预订系统的管理运营的正当性和必要性。但对于传输至其他主体的必要性,法院进行了细致地审查。法院明确指出:

营销是每个公司的生命线,个人信息的收集、分析大多是为了营销目的。这也是本案讨论的重点问题。鉴于法国公司也事实上向位于美国和爱尔兰的公司基于营销传播目的实施了信息传输及信息处理行为,但庭审时法国公司没有举证证明其个人信息用于营销传播的正当性与必要性。法院据此认定:“在个人信息处理活动中,除履行合同必需的处理范围和处理目的之外,未经同意的对个人信息的商业营销行为,不能认为是履行合同的必要。”进一步,法院认定营销行为超出履行合同的必要性。

(三)单独同意

法院提出“单独同意意味着先行的单独告知,据此的同意也才是有效的单独同意。”更重要的是,法院认可:处理个人信息(包括出境)的合法性基础如果不是“同意”,就不需要单独同意。

基于营销行为超出履行合同的必要性,因此营销场景下的出境是需要单独同意支撑的。

(四)侵权责任

法院依据《民法典》第1182条与《个人信息保护法》第69条第2款认定了侵权责任。有意思的是,法院否决了公开道歉的诉请,仅支持书面道歉的形式。

关于赔偿金额,法院结合《个人信息保护法》第69条第2款与《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款,酌定法国公司赔偿原告左某2万元。

四、合规启示

  1. 本案构成某种意义的“长臂管辖”。本质上,本案法院审理的是:欧洲公司将中国境内自然人的个人信息从欧洲传输到英国、美国、缅甸的跨境活动,并且按照中国法进行审理。这在中国数据法的适用上或许是有里程碑意义的。
  2. 法院没有考察个人信息保护影响评估,也回避了安全评估、个人信息保护认证、签订标准合同的问题。
  3. 法院厘清了“单独同意”与同意之前其他合法性基础的关系,认可其他合法性基础下无须单独同意。
  4. 履行合同是一个非常好用的合法性基础,但营销活动为什么对履行合同来说必不可少恐怕会是一个论证的难题。有必要提升隐私政策合规的颗粒度,一份隐私政策里不同场景的合法性基础可能不同,有些时候无法用简单地履行合同或概括同意简单囊括。
  5. 本案赔偿金额为2万元,是该类型案件中金额较高的。本案的诉请是赔偿5万,误工费9600元、律师费19,200元、翻译费2500元(合计81,300元)。法院实际支持2万,支持了近25%的索赔金额。
  6. 更重要的是,本案也可能敲响了个人信息共同诉讼的大门(但还没打开)。本案酒店集团的其他会员如果如法炮制,也用同样的案由来诉讼,那么赔偿金额恐怕是天价,考虑到该酒店集团实际上用户众多,理论上法院可以启用《民事诉讼法》第57条第1款:“诉讼标的是同一种类、当事人一方人数众多在起诉时人数尚未确定的,人民法院可以发出公告,说明案件情况和诉讼请求,通知权利人在一定期间向人民法院登记。”这么看来,《个人信息保护法》中5%或5000万的罚金恐怕不再显得那么夸张。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网