个人信息跨境传输，用户点击同意就有效吗

个人信息跨境传输，用户点击同意就有效吗

本文为法律科普，案例来源于《人民司法》，人物已做脱敏处理。

裁判要旨

如果互联网平台的隐私政策没有按照个人信息保护法的要求做到公开透明，或者法律要求必须单独取得用户同意，那么用户只是点击勾选隐私政策，并不算真正同意。平台需要先进行更明确的告知，再取得用户同意。如果是“履行合同所必需”的情况，告知同意发生在签合同的过程中，合同履行时不需要再重复告知。平台因履行合同需要向境外提供个人信息的，必须按照个人信息保护法第三十九条告知用户，但根据第十三条第二款，不需要再单独取得用户同意。

案情简介

左某通过某酒店集团的公众号和移动应用，购买会员卡并预订了缅甸的酒店，提交了姓名、电话、银行卡号等个人信息。注册时，左某勾选了该集团的客户个人数据保护章程。该章程写明，其个人信息可能会被共享给全球多个国家和接收方，包括酒店工作人员、IT部门、商业合作伙伴、外部律师等。左某发现后认为，该集团违法跨境处理个人信息，没有真实、准确、完整地告知信息处理的目的、方式和范围，侵犯了他的知情权和决定权，于是起诉要求提供境外接收方信息、删除个人信息、赔礼道歉并赔偿损失。被告辩称，收集和传输信息是为了履行合同，且左某已经勾选同意。

律师解读

本案的核心争议有两个：一是用户因个人信息被侵权能否直接起诉，二是平台处理个人信息的行为是否合法。法院的判决厘清了几个关键问题。

首先，个人信息权益受到侵害后，用户可以直接向法院起诉，不需要先走其他前置程序。被告曾主张左某必须先向平台投诉才能起诉，但法院认为，个人信息保护法第五十条第二款赋予的是用户的实体权利，不是诉讼前提。这意味着，只要用户认为自己的个人信息被违法处理，就可以寻求司法救济，不必被“先投诉再起诉”的门槛拦住。

其次，平台处理个人信息的行为是否合法，要看是否满足“告知-同意”规则。本案中，左某点击勾选的客户个人数据保护章程属于一般告知，但该章程对信息共享的范围描述过于宽泛，比如将信息发送给外部律师、调度员、印刷工等，这些主体与履行合同没有直接关系。法院认为，这些信息处理目的超出了“履行合同所必需”，平台没有进行增强告知并取得左某单独同意，因此勾选行为不产生法律效力。同时，平台向美国、爱尔兰等国家的第三方传输信息用于营销传播，也违反了个人信息保护法第三十九条关于跨境提供信息必须告知的规定。

最后，关于“履行合同所必需”的边界，法院指出，只有与合同目的直接相关的信息处理才属于这个范围。比如，为预订酒店而收集姓名、联系方式是必需的，但将信息共享给无关的第三方或用于营销，就不能再用“履行合同”来免责。平台需要区分不同场景，对超出合同必需的部分单独取得用户同意。

王德林律师提示：

对普通用户来说，使用互联网平台时，不要轻易点击勾选隐私政策。如果发现平台处理信息的目的、范围不明确，或者信息被共享给很多不相关的主体，建议先仔细阅读条款，必要时可以拒绝勾选。如果已经遭受侵权，可以直接向法院起诉，不必等平台处理。对文山地区的企业来说，尤其是涉及跨境业务的酒店、电商等平台，务必确保隐私政策公开透明，对超出合同必需的信息处理行为，要单独取得用户同意，避免因告知不充分而承担侵权责任。

来源：《人民司法》2025年第01期

---

王德林 律师

云南八谦（文山）律师事务所 · 副主任

专业领域：企业法律顾问、交通事故纠纷、保险纠纷、建设工程纠纷、医疗纠纷、劳动争议

电话：15987555284

邮箱：418537189@qq.com

地址：云南省文山壮族苗族自治州文山市