59岁的王女士在某银行购买某金融产品后发现,自己曾在一张《个人信息授权书》上签了名。王女士认为,银行在其不知情的情况下取得其个人信息的授权,侵害其合法权益。经向银行申请撤销授权被拒绝后,王女士将某银行诉至北京市朝阳区人民法院,要求确认《个人信息授权书》不成立。法院经审理认定王女士在办理业务过程中,并未与某银行就《个人信息授权书》的内容达成一致的意思表示,确认《个人信息授权书》不成立。
2023年6月,王女士购买某金融产品后回家,发现其中一张客户回单上载有“个人信息授权”,王女士返回银行要求银行出示《个人信息授权书》,该授权书中分“非敏感个人信息授权”“敏感信息授权”“对外提供个人信息授权”和“其他”四大项,授权书上有王女士的签字,代表王女士对以上所有项目均已授权。
王女士表示,其办理业务过程中没有注意到有关个人信息授权的要求,银行工作人员也没有提示,仅要求其在多份电子文件上进行电子签字确认。银行的行为属于过度摄取个人信息,《个人信息授权书》严重侵害其切身利益,要求撤销授权,被银行拒绝。
某银行称,王女士办理业务时需要两次签字,根据《个人信息保护法》及银行内部管理规程,客户购买相关金融产品前需签署《个人信息授权书》,并形成《业务凭证》《客户回单》。完成个人信息授权后,认购金融产品,形成《组合交易凭证》。银行工作人员要求王女士签署《个人信息授权书》,是服务过程中必要的一项,银行的业务操作并无违法违规的情况。银行使用王女士的个人信息遵循保密原则,且仅向债券登记托管机构提供,不存在违法泄露及可能造成王女士人身和财产损害的情形。
庭审中,依王女士申请,法院向某银行调取了办理业务时的现场监控录像,录像显示,办理业务过程中王女士与业务员的对话中,并未提及“个人信息”“授权”。
法院经审理认为,结合现场录像及各方陈述,王女士在签署《个人信息授权书》时,虽然某银行称系统会进行提醒,在电子屏上会显示《个人信息授权书》全文、屏幕可放大且语音播报会提醒客户确认内容,但:
其一,该授权书内容较多,现场录像显示王女士在第一次签名时,并无滑动屏幕、放大屏幕内容或者停留阅读的动作,按常理来说,王女士年龄较大,其无法在极短的时间内不做停留即完成《个人信息授权书》的阅读;
其二,业务员仅指示王女士如何签名及确认,并未告知王女士其正在签署的文件内容为何;
其三,语音播报的内容为“请确认交易信息”“请核对屏幕信息并签名确认”等通用提醒,无法起到提示文件内容的效果;
其四,关于敏感个人信息的授权和对外提供个人信息的授权需要在“□”中打“√”,而本案中现场录像未见王女士有相关勾选的操作,亦未见业务员对于勾选上述选项的提示;
其五,某银行并未在签署《个人信息授权书》前后,向王女士提供纸质版《个人信息授权书》,纸质版《个人信息授权书》系王女士事后主动索要取得。
因此,应当认定王女士在办理业务过程中,并未与某银行就《个人信息授权书》的内容达成意思表示的一致,《个人信息授权书》的效力应当认定为不成立。法院依法判决《个人信息授权书》不成立。
一审判决作出后,原告上诉,二审维持原判,一审判决已生效。
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)明确规定处理个人信息应当遵循合法、正当、必要和诚信原则,构建了以“告知-同意”为核心的个人信息处理规则,保障个人在个人信息处理活动中的各项权利。
金融机构在展业过程中,不可避免地会处理大量个人信息,其处理活动与金融消费者的财产安全息息相关,故早在《个人信息保护法》出台之前,《国务院办公厅关于加强金融消费者权益保护工作的指导意见》和《中国人民银行金融消费者权益保护实施办法》中,就有保障金融消费者信息安全权和消费者金融信息保护的相关规定。《个人信息保护法》首次从法律层面对个人信息保护进行规定,也给金融机构保护金融消费者个人信息提出了更高的要求。
《个人信息保护法》第十三条将“告知+同意”作为处理个人信息的一般前提,并明确了“告知+同意”的例外情形,重点强调了个人信息主体的知情权和决定权。在此基础上,《个人信息保护法》第二十三条和第二十九条分别规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息以及处理敏感个人信息,均应当取得个人的单独同意。
在此规则体系下,金融机构应当根据具体业务所涉及的个人信息类型和对个人信息的处理情况,落实《个人信息保护法》提出的各项要求,若利用格式文本获得个人知情同意,在提供服务的过程中,应当尽到提示说明义务,确保金融消费者注意并理解个人信息处理规则。金融消费者也应当提高个人信息保护意识,在金融机构办理各项业务及签字时,注意阅读业务材料,防止个人合法权益受损。
注:以上内容摘自中国法院网,作者:黄硕。
广东申亭明条律师事务所
资深律师团队 涉及领域广泛
及时跟踪反馈 确保案件进度
广东省深圳市罗湖区国际贸易中心大厦35楼