一、案例来源

人民法院案例库，编号2025-07-2-008-001。

二、案件事实

2021年10月29日，左某通过雅某公司在中国的关联公司——爱某商务咨询（上海）有限公司（下称“爱某公司”）运营的微信公众号“雅某A佳”，购买了两张雅某A佳卡，支付2588元，约定享有会员优惠价格预订酒店服务的权利。2022年2月24日，左某在客服指引下下载“ACCOR ALL” APP，并在注册会员时勾选同意《客户个人数据保护章程》（下称《章程》）。随后，左某通过该APP预订缅甸仰光某酒店，提交了姓名、国籍、电话、邮箱、银行卡号等个人信息。

事后，左某发现《章程》中载有将其个人信息传输至全球多个地区接收主体的内容，认为其知情权和决定权受到侵害，遂诉至法院，要求爱某公司、雅某公司提供境外接收方信息、删除其全部个人信息、公开赔礼道歉并赔偿损失。

爱某公司、雅某公司共同辩称，其收集、处理及跨境传输个人信息系为履行会员服务与酒店预订合同所必需，无需另行取得个人同意。诉讼中，雅某公司提交了“境外接收方及信息传输列表”，显示其将信息传输至法国、缅甸、英国、美国、荷兰、爱尔兰等六个国家的七类接收方，其中部分信息传输系基于“营销传播目的”。

广州互联网法院一审判决认定雅某公司侵害左某个人信息权益，判令其书面赔礼道歉、删除个人信息、赔偿损失2万元（含合理开支）。雅某公司上诉后，广州市中级人民法院维持一审判决中赔礼道歉、赔偿损失等项，撤销删除个人信息项（因已自动履行）。

三、法律关系分析

本案为典型的个人信息保护纠纷，核心争议在于个人信息处理行为的合法性基础是否成立，具体涉及两大问题：一是用户勾选同意是否构成有效同意；二是个人信息处理是否属于“履行合同所必需”。

（一）“告知-同意”原则的实质性审查

《中华人民共和国个人信息保护法》（下称《个保法》）第七条规定，处理个人信息应遵循公开、透明原则，明示处理目的、方式和范围。第十七条进一步要求，告知内容应真实、准确、完整，以显著方式、清晰易懂的语言向个人呈现。

本案中，雅某公司虽在APP中设置了《章程》勾选界面，形式上取得了用户的“同意”，但法院审查认为，该《章程》关于个人信息出境共享的表述笼统、模糊，如“多个国家的集团内部人员和部门”“商业合作伙伴及营销部门人员”等，未能清晰指明接收方身份、地域及具体处理目的。用户即便阅读，亦无法真实、准确地了解其个人信息将被如何使用、传输至何处。因此，该告知行为不符合《个保法》对“公开、透明”和“明确告知”的要求，用户的勾选动作不构成有效的“个人同意”。

（二）“履行合同所必需”的界限认定

《个保法》第十三条第一款第二项规定，为订立或履行个人作为一方当事人的合同所必需，个人信息处理者可不经个人同意处理个人信息。但该“必需”应具备客观必要性，且符合“最小必要原则”。

1.信息收集范围的必要性

法院认为，左某为预订酒店而提供的姓名、电话、邮箱、银行卡号等信息，属于《常见类型移动互联网应用程序必要个人信息范围规定》中明确的酒店类APP必要信息范围，符合“履行合同所必需”的范畴。

2.信息出境共享范围的必要性

然而，雅某公司将个人信息传输至境外七类接收方，其中部分用于“营销传播目的”，明显超出了履行酒店预订合同的必要范围。法院指出，酒店集团的所有商业合作伙伴及营销人员并非均为履行合同所必需，尤其是在未取得用户明确同意的情况下，该等跨境传输行为不具备合法性基础。

四、裁判要旨及裁判结果

（一）裁判要旨

APP提供的个人数据保护章程如不符合《个保法》第七条、第十七条规定的公开、透明原则和告知要求，用户勾选同意的行为不产生“个人同意”的法律效力。未取得有效同意，且超出“履行合同所必需”范围向境外提供个人信息的行为，构成对个人信息权益的侵害。

（二）裁判结果

一审法院判决雅某公司向左某书面赔礼道歉、删除其全部个人信息、赔偿损失2万元。雅某公司上诉后，二审法院维持一审判决中赔礼道歉、赔偿损失等项，撤销删除个人信息项（因已履行）。

五、指导意义

本案对个人信息处理者尤其是跨国企业具有重要的合规启示，也为个人信息主体维权提供了明确的法律支持：

一是“告知-同意”必须实质有效，而非形式过关。企业应在个人信息处理前以清晰、具体、易懂的方式告知用户处理目的、范围、方式及接收方信息，避免使用笼统、模糊的表述。仅有勾选界面而缺乏实质告知内容的，不构成有效同意。

二是“履行合同所必需”应有明确边界。企业不得滥用“履行合同所必需”条款扩大个人信息处理范围，尤其是涉及跨境传输、营销用途等非核心服务场景，必须另行取得用户同意。

三是个人信息出境需审慎合规。跨境传输个人信息应严格遵循《个保法》第三章规定，履行安全评估、认证或标准合同等法定程序，确保传输行为合法、正当、必要。

四是司法实践强化个人信息保护力度。本案体现了法院对个人信息处理行为的实质性审查倾向，强调程序合规与实体正义并重，为类案裁判提供了重要参考。

结语

在数字经济与全球化背景下，个人信息跨境流动日益频繁，企业合规责任愈发重大。左某诉爱某公司、雅某公司一案，不仅明确了“告知-同意”原则的实质内涵与“履行合同所必需”的适用边界，也警示企业：唯有真正尊重用户知情权与选择权，才能在法律框架内稳健运营，赢得用户信任。

附：关联法律索引

《中华人民共和国个人信息保护法》第6、7、13、17、50条

《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）

一审：广州互联网法院（2022）粤0192民初6486号民事判决

二审：广州市中级人民法院（2023）粤01民终33217号民事判决

作者简介

蒋文昌

北京市京师（郑州）律师事务所

党委政府法律顾问事务部

律 师

专业领域：合同纠纷、公司纠纷、建设工程纠纷、侵权纠纷、劳动争议。