在数字时代,个人信息的保护至关重要。2021 年 11 月 1 日,《个人信息保护法》正式实施,为公民个人信息加上了一道坚实的
“保护锁”。随着数字经济的不断发展,个人信息跨境处理的情况日益增多,其合法性审查也成为了司法实践中的重要课题。
以一起跨境处理个人信息的纠纷案件为例,A 公司是跨国酒店管理集团,B 公司是其在中国的关联公司。左某购买 A 公司会员卡后,在其 APP 预订境外酒店房间并提交了个人信息。然而,左某发现 A 公司的《客户个人数据保护章程》存在问题,认为其个人信息被无限制扩大境外接收主体范围,且无法知悉信息被哪些境外主体处理,亦缺乏撤回授权的便捷渠道,于是诉至法院。
本案的争议焦点主要有三个方面:一是案件是否具有可诉性;二是两被告是否侵害了左某的个人信息权益;三是两被告是否应当承担民事侵权责任。
关于案件的可诉性,法院认为个人对其个人信息处理的知情权与决定权在个人信息保护法律体系中占据基础性地位。左某提起的是基于两被告违法处理个人信息致其个人信息权益受侵害的诉讼,而非单纯行使查阅权及删除权的诉讼,因此本案具有可诉性。
在审查被告的个人信息处理行为是否侵害原告权益时,法院认定被告收集用户个人信息的范围在预订酒店所需范围内符合法律规定,但信息共享人员范围违反法律规定,信息处理目的超出履行合同必需且未取得个人同意,判定被告个人信息处理行为侵害了原告左某的个人信息权益。
对于两被告是否应当承担民事侵权责任,法院认为 B 公司暂未发现违法处理行为,而 A 公司应承担相应责任。左某主张的查阅权、删除权得到支持,A 公司应书面赔礼道歉并赔偿左某经济损失。
法官说法部分进一步深入探讨了个人信息权益侵权的可诉性和个人信息处理行为的合法性审查。个人信息是承载着人格尊严和自由利益的民事权益,个人有权向法院提起诉讼维护自身权益。前置程序可能会造成民事诉讼主体地位不平等,严重侵害个人诉权和个人信息权益,且将《个人信息保护法》第五十条第二款解读为前置程序存在逻辑谬误。
在个人信息处理行为的合法性审查方面,分为 “取得个人同意” 和 “履行合同所必需” 两种情形。在 “取得个人同意” 情形下,需进行一般告知是否符合规定以及是否存在需要单独同意的情形的两步审查;在 “履行合同所必需” 情形下,需满足合同本身体现民事主体意思自治、“必需” 限定在合同不成立范畴、履行阶段无需告知仅发生在履行阶段等条件。同时,司法审查应认识到个人信息告知同意的循环交互特征,从个人信息生命周期角度进行整体性审查。
数字经济的发展带来了新型个人信息处理行为的不断涌现,司法在个人信息保护中起着重要作用。通过激发个体参与个人信息治理的热情,发挥个案裁判的约束和规范作用,与时俱进完善个人信息处理规则,才能实现《个人信息保护法》的立法目的,推动数字经济持续健康发展。
在这个信息高度流通的时代,我们每个人都应关注个人信息的保护,而司法机关也应严格审查个人信息跨境处理的合法性,共同守护个人信息安全,为数字经济的发展营造良好的法治环境。
