事后，原告发现，根据隐私政策，其个人信息将被共享至多个境外地区和接收主体，且接收主体范围和地域范围均不明确。例如，隐私政策写道：“为了给您提供最好的服务，我们会向某高集团内部人员和部门提供授权，共享您的个人数据。下列人员可访问您的数据：……商业合作伙伴和营销部门人员；……”“适用于中国客户的隐私声明……我们使用位于法国的中央信息系统处理您的预定、住店信息以及会员信息。您的信息还可能会被传输至以下国家和地区的某高酒店集团各门店（特别是在预订过程中）：奥地利、比利时、保加利亚、克罗地亚等100个国家和地区。”据此，原告提起了诉讼。

经审理，法院认为，某高公司未能依法向原告告知境外接收方的详细信息。同时，某高公司基于营销目的将原告的个人信息共享给在美国和爱尔兰的实体的行为，超出了履行合同所必需的范围，且未获得原告的单独同意。某高公司的这两项行为均违反了《个人信息保护法》（“《个保法》”）的规定。

据此，法院认为，境外某高公司侵犯了原告的个人信息，应承担侵权责任，向原告赔礼道歉，并赔偿原告财产损失2万元（含合理开支）。此外，法院根据原告诉求，判令两被告向原告提供其个人信息境外接收方的详细信息，并删除其所有的个人信息。

对此，法院认为，个人信息权益是一种人格权益，其核心是知情权和决定权，查阅权和复制权等“工具性权利”只是保护这些核心权利的手段。在本案中，原告的诉因是被告未能真实、准确、完整地向原告告知其个人信息跨境传输的情况，也未获得原告的单独同意，因而侵犯了原告的知情权和决定权，而非单纯的工具性权利。因此，原告有权根据《民法典》直接提起侵权诉讼，没有也不应当有任何前置条件。

具体而言，在向境外传输个人信息前，个人信息处理者应当以清晰易懂的语言，真实、准确、完整地向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序。

在本案中，某高公司的隐私政策中对境外接收方的描述（详见案情简介部分）在人员范围和地域范围上均指示不清。原告即使阅读该隐私政策，也无法清晰获知其个人信息将被传输至何地做何种处理。此外，虽然隐私政策说明，原告的个人信息可能会被共享给100个国家和地区的实体和人员，但大部分传输实际并未发生。因此，法院认为，某高公司违反了《个保法》下的告知义务以及个人信息处理的公开、透明原则。

某高公司的隐私政策载明：“您的数据还可能会被传输至欧盟以外国家的某高酒店集团各门店（特别是在预订过程中），主要有：南非、阿尔及利亚、安道尔、安哥拉、沙特阿拉伯等69个国家。”从中可以看出，该隐私政策可能是某高公司对根据GDPR制定的隐私政策直接进行翻译并进行了少量调整的产物，这种做法在中国的跨国公司中较为常见。而本案表明，跨国公司在中国开展业务时，需要对GDPR隐私政策进行本地化调整，以确保符合《个保法》的合规要求。

（三）合法性基础：如以“履行合同所必需”作为个人信息跨境传输的合法性基础，个人信息范围、境外接收方范围和传输目的均需满足必要性要求

根据《个保法》，除“同意”外，“履行合同所必需”也可以作为个人信息跨境传输的合法性基础。在本案中，法院从个人信息范围、接收方范围和传输目的三个方面明确了“必需”的边界。具体而言：

1. 个人信息范围：符合国际通行行业实践在中国法下并不必然满足必要性要求

原告主张，预订酒店所必需的个人信息范围仅限于姓名、有效身份证号码和一个有效联系方式，不包括邮编、地址和银行账户。对此，被告列举、比较多个全球知名国际酒店管理集团的隐私政策，主张其收集的个人信息范围符合国际通行实践。

尽管法院最终认定被告收集的个人信息并未超出必要范围，但这一认定主要是基于中国国家互联网信息办公室（“网信办”）于2021年发布的《常见类型移动互联网应用程序必要个人信息范围规定》。该规定明确列出了酒店预订所必需的个人信息范围。

这表明，如果个人信息处理者收集额外的个人信息，如被告提到的、全球知名国际酒店隐私政策中常见的“偏好和兴趣”等信息，则可能会超出必要范围。因此，符合国际通行行业实践在中国法下并不必然满足必要性要求。

2. 境外接收方范围和传输目的：基于商业营销目的跨境传输个人信息不满足必要性要求，而使用境外全球统一管理系统可能满足

根据某高公司提供的信息，某高公司基于管理中央预订系统、处理个人预定、客户服务管理、营销、业务分析、信息存储等处理目的，将原告的个人信息传输给了六个国家的七个境外接收方。其中基于营销目的将原告的个人信息传输至了美国和爱尔兰。

在判决中，法院仅分析了某高公司的七个跨境传输活动中的四个的必要性。具体而言，法院认为，某高公司将原告的个人信息传输至原告预订的位于缅甸的酒店，以及位于法国总部的酒店中央预订系统，以处理原告的预订请求，具有正当性和必要性。然而，因为《个保法》允许个人拒绝商业营销，因此，基于营销目的将原告的个人信息传输至美国和爱尔兰不具有必要性。

需要注意的是，对于个人预定境内酒店，当前实践中，数据监管部门，即网信部门可能对将个人信息传输至境外总部酒店中央预定系统的必要性持否定态度。

本案首次在司法层面回答了这一问题，明确了单独同意只是同意的一种，是一种增强性同意。因此，如果个人信息跨境传输是基于其他合法性基础，而非基于同意，则无需取得个人信息主体的单独同意。这与网信办在《数据出境安全评估申报指南（第二版）》[ 根据《附件4：数据出境风险自评估报告（模板）》：“涉及个人信息出境的，需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料，包括告知义务和取得个人的单独同意等，若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的，不需取得个人同意。”]中表明的立场一致。

据此，法院认为，对于超出了履行合同所必需范围，基于营销目的跨境传输原告的个人信息的行为，某高公司需要取得原告的单独同意。法院还明确指出，单独同意不能仅通过简单勾选一揽子隐私政策来取得。单独同意的目的是引起个人信息主体对可能对其权利产生不利影响的活动的注意，因此，在实践中，单独同意通常需要通过弹窗或设置单独勾选框的方式取得。

此外，尽管原告主张，交易外观可能会使普通消费者合理地认为某琴公司是交易对方和个人信息的接收方，应将其认定为侵权行为的共同实施方，但这一主张被法院驳回。

如本案所示，完全符合GDPR的要求并不意味着必然符合《个保法》的规定。例如，相较GDPR，《个保法》对透明度、确定性和清晰性设定了更高的标准。比如，在个人信息跨境传输和共享等场景中，《个保法》要求个人信息处理者向个人信息主体准确、完整地告知境外接收方的名称、联系方式、传输目的、传输方式、个人信息种类，以及个人向境外接收方行使权利的方式和程序，并取得其单独同意。

此外，根据《个保法》，跨国公司在将个人信息传输至境外之前，必须进行个人信息保护影响评估（类似于GDPR的数据保护影响评估）。如果触发数据跨境传输监管机制，跨国公司还可能需要取得网信办的批准，或签订《个人信息出境标准合同》并备案。另外，与GDPR类似，《个保法》也具有域外管辖权，境外公司以向境内自然人提供产品或服务为目的处理其个人信息，也受其管辖。

随着中国对个人信息保护的重视程度的提高，为避免《个保法》规定的最高可达5000万元或上一年度营业额5%的罚款，并降低未来引发民事诉讼的风险，建议向中国境内个人提供产品或服务的跨国公司尽早对其基于GDPR制定的全球隐私政策进行本地化调整，开展个人信息保护影响评估，审慎评估是否触发数据跨境传输监管机制，并建立符合中国法要求的定制化数据合规体系。