北京大成（西城区）律师事务所合伙人，专注于为企业提供知识产权与不正当竞争、网络安全与数据合规交易、民商事争议解决和公司投融资与并购、常年法律顾问等法律服务。

　　跨境数据流动在推动数字经济的同时，面临法律冲突、安全风险与合规成本三重挑战。首例左某诉雅某公司个人信息跨境侵权案中，法院认定企业通过APP勾选《数据保护章程》的笼统告知不符合《个人信息保》的公开透明原则，未有效取得用户同意；将数据共享至境外营销公司超出“履行合同必需”范围，构成侵权。判决确立三项规则：告知同意需实质审查、跨境传输需证明客观必要性、违法责任优先适用侵权赔偿。案件揭示企业合规须从“形式勾选”转向分层动态告知，构建全流程风控体系。本文从司法实践出发，提出通过技术加密、DPO制度及国际协作破解跨境数据治理困局，为数字经济全球化下的合规重构提供路径参考。

　　在全球数字经济高速发展的背景下，数据跨境流动已成为推动国际贸易、技术创新的核心动力。数据显示，2024年前三季度我国可数字化交付的服务进出口额达2.13万亿元，跨境电商进出口同比增长11.5%。然而，数据跨境流动亦面临多重挑战：

　　1. 法律冲突：各国数据保护规则差异显著，如欧盟GDPR与我国《个人信息保》对“同意”效力、数据主体权利的规定存在根本性分歧；

　　2. 安全风险：2023年青岛首例跨国侵犯公民个人信息案中，犯罪团伙通过境外服务器非法获取1658万条个人信息，暴露出跨境传输的技术漏洞与监管盲区；

　　3. 合规成本：企业需同时满足安全评估、标准合同备案等要求，中小型企业面临“合规难、成本高”的困境。

　　二、案情回溯：左某诉爱某商务咨询（上海）有限公司、雅某股份有限公司个人信息保护纠纷案的争议焦点与裁判逻辑

　　爱某商务咨询（上海）有限公司（以下简称爱某公司）是雅某股份有限公司（以下简称雅某公司）在中国的关联公司，运营微信公众号“雅某A佳”。雅某公司是注册地在法国的跨国酒店管理集团，运营“ACCOR ALL” APP（移动互联网应用程序）。2021年10月29日，左某通过“雅某A佳”公众号使用其本人招商银行信用卡向爱某公司支付2588元，购买雅某A佳卡两张，约定持该卡能够以会员优惠价格享受雅某公司提供的酒店食宿服务。2022年2月24日，左某通过雅某客服电话咨询业务，经客服指引通过“雅某A佳”公众号下载“ACCOR ALL” APP。左某在注册会员及进入“ACCOR ALL” APP界面时，点击勾选了雅某公司《客户个人数据保护章程》（以下简称《章程》）的选项。2022年2月27日，左某在“ACCOR ALL”APP预定了同年3月8至9日缅甸仰光世界和平塔美居酒店，并提交了姓名、国籍、电话号码、电子邮箱地址、号等个人信息。事后，左某发现《章程》中载有将其个人信息传送共享至全球多个地区接收主体的内容。

　　左某诉称：爱某公司、雅某公司通过“ACCOR ALL” App违法跨境处理中国公民个人信息，无限制扩大个人信息境外接受主体的国家范围、主体范围，未能实现真实、准确爱游戏中心、完整的告知，并明示个人信息处理的目的、方式和范围，致左某知情决定权受到侵害，从而致个人信息权益受到侵害，故请求法院判令爱某公司、雅某公司提供境外接收方信息并删除左某全部个人信息、公开赔礼道歉和赔偿损失。

　　爱某公司、雅某公司共同辩称：其收集、处理、向境外传输左某个人信息是为了签订和履行会员服务及酒店预定服务合同所必需的行为。

　　诉讼中，爱某公司、雅某公司提交了“境外接收方及信息传输列表”。雅某公司的境外接收方和信息传输列表显示，雅某公司基于管理中央预订系统、处理个人预定、客户服务管理、营销传播管理、业务分析活动、信息存储等处理目的，分别向位于法国、缅甸、英国、美国、荷兰、爱尔兰六个国家的七个境外接收方传输信息，其中，基于营销传播目的向位于美国和爱尔兰的某公司实施了信息传输及信息处理行为。

　　二、爱某商务咨询（上海）有限公司、雅某股份有限公司于本判决发生法律效力之日起十五日内删除左某在爱某商务咨询（上海）有限公司、雅某股份有限公司及相关个人信息接收方处的全部个人信息，并出具相关凭据；

　　三、雅某股份有限公司于本判决发生法律效力之日起十日内赔偿左某财产损失人民币20000元（含合理开支）；

　　• 裁判观点：一揽子笼统告知不符合《个人信息保》第7、17条的“公开透明原则”“个人信息处理者应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关事项”，用户点击勾选不产生法律效力；

　　• 裁判观点：酒店集团将数据共享给非必要第三方（如境外营销公司），超出合同目的最小必要范围，需重新取得同意；

　　• 裁判观点：APP提供个人数据保护章程不符合个人信息保第七条和第十七条规定的公开、透明原则和告知规则的，用户点击勾选该个人数据保护章程不产生“个人同意”的法律效力。未取得个人同意，且超出“履行合同所必需”范围向境外提供个人信息的行为，构成对个人信息权益的侵害。

　　3. 传输阶段：优先选择通过安全评估或标准合同备案的通道，如新加坡要求传输前需取得特别批准；

　　1. 法律依据：《个人信息保》第70条明确赋予检察机关提起公益诉讼权，2023年青岛案已实现刑事附带民事公益诉讼；

　　首例跨境个人信息侵权案的裁判，标志着司法对数据合规提出更高要求：“一揽子告知”失效、企业需自证“不可替代性”、合规重点转向实质风险控制。跨境个人信息处理已从技术问题演变为法律、商业与交织的复杂命题。企业需从“形式合规”转向“实质风险控制”，通过技术（如加密、访问日志）与管理（如DPO设置）的结合构建纵深防御体系，以技术与管理双轮驱动，方能在数字经济全球化浪潮中行稳致远。