一揽子勾选用户协议，算作个人信息的有效同意吗？法院这个案例说清楚了！

引言

通过微信公众号购买酒店会员卡，下载APP注册时勾选了个人数据保护章程，却发现个人信息被跨境传输至全球多个国家，还被用于营销传播——左某诉爱某公司、雅某公司个人信息保护纠纷案，直击用户在数字服务场景中普遍面临的 “信息知情权模糊、权益受损后维权无门” 的现实困境。而作为人民法院入库案例的参考案例，本案更以裁判实践明确了个人信息跨境处理的合法性边界，其裁判规则给出清晰答案：一揽子勾选不构成有效同意，超出“履行合同必需”的跨境信息处理行为构成侵权。掌握告知同意的有效要件与最小必要原则，能帮助个人守护信息权益，企业规避合规风险。

一、案例核心事实与争议焦点回顾

左某通过“雅某A佳”公众号（爱某公司运营，雅某公司关联方）购买酒店会员卡后，经客服指引下载雅某公司的“ACCORALL”APP，注册时勾选了《客户个人数据保护章程》，并提交姓名、电话号码、银行卡号等个人信息用于预订境外酒店。

事后左某发现，该《章程》约定个人信息将跨境传输至多个国家的接收方。雅某公司实际已向法、美、爱尔兰等六国的七家主体传输信息，其中部分用于营销传播。左某诉请提供境外接收方信息、删除全部个人信息、赔礼道歉并赔偿损失。

经广州互联网法院一审、广州中院二审，最终判决雅某公司书面赔礼道歉、赔偿2万元（含合理开支），两被告删除左某全部个人信息（已自动履行）。

本案核心争议焦点：1.用户勾选一揽子《章程》，是否构成个人信息处理的有效同意？2.个人信息跨境传输及用于营销，是否属于“履行合同所必需”？3.跨境处理个人信息的合法性标准是什么？

二、核心争议焦点裁判逻辑解读

1.告知同意的有效要件：公开透明+清晰易懂

法院生效裁判认为，个人信息处理的合法基础“个人同意”，需以“充分告知”为前提，仅勾选一揽子章程不产生有效同意效力：

•需遵循公开透明原则：告知内容需真实、准确、完整，明确信息处理的目的、方式、范围及接收方。本案中，《章程》仅笼统提及“多个国家的集团内部人员、商业合作伙伴”，未明确具体接收方及处理用途，用户无法清晰知晓信息流向；

•需采用显著、易懂方式：告知不能隐藏在冗长复杂的条款中，需以用户易获取、能理解的形式呈现。案涉《章程》未对跨境传输核心内容进行特别提示，不符合“显著方式”要求；

•一揽子勾选无效：仅通过点击勾选笼统章程，无法体现用户对跨境传输、营销使用等特定处理行为的单独同意，不构成合法授权。

2.“履行合同所必需”的认定：范围+主体双重限制

裁判逻辑明确，依据《个人信息保护法》第十三条，“履行合同所必需”是个人信息处理的合法情形，但需满足“最小必要”原则，核心包含两层限制：

•信息范围限制：仅能收集履行合同必需的最少类型、最少数量信息。本案中，姓名、联系方式、入住信息、银行卡号（用于支付）属于酒店预订服务的必要信息，符合规定；

•处理主体与目的限制：跨境传输的接收方需与履行合同直接相关，处理目的不得超出合同约定。雅某公司将信息传输给商业合作伙伴用于营销传播，明显超出酒店预订、客户服务等合同必需范围，且未单独取得用户同意，缺乏合法性基础。

3.跨境处理个人信息的特殊合规要求

裁判强调，个人信息跨境传输除满足一般合规条件外，还需明确告知跨境传输的接收方、地域范围及处理目的，确保用户的知情权与决定权。本案中，《章程》未清晰列明境外接收方具体信息，传输行为本身也未完全关联合同目的，故认定跨境处理行为违法。

三、个人信息保护合规与维权实操指南

.....

由于篇幅所限，本文为节选，阅读完整文章内容请点击：https://mp.weixin.qq.com/s/lmqbClcCHpXqkzbVWBWc1g    ，将跳转至作者微信公众号原文。

#个人信息保护 #一揽子勾选无效 #个人信息跨境传输合规 #个人信息维权指南 #企业个人信息合规 #最小必要原则 #个人信息保护法案例 #APP 个人信息处理规范