59歲的王女士在某銀行購買某金融產(chǎn)品后發(fā)現(xiàn)，自己曾在一張《個人信息授權書》上簽了名。王女士認為，銀行在其不知情的情況下取得其個人信息的授權，侵害其合法權益。經(jīng)向銀行申請撤銷授權被拒絕后，王女士將某銀行訴至北京市朝陽區(qū)人民法院，要求確認《個人信息授權書》不成立。法院經(jīng)審理認定王女士在辦理業(yè)務過程中，并未與某銀行就《個人信息授權書》的內(nèi)容達成一致的意思表示，確認《個人信息授權書》不成立。

　　2023年6月，王女士購買某金融產(chǎn)品后回家，發(fā)現(xiàn)其中一張客戶回單上載有“個人信息授權”，王女士返回銀行要求銀行出示《個人信息授權書》，該授權書中分“非敏感個人信息授權”“敏感信息授權”“對外提供個人信息授權”和“其他”四大項，授權書上有王女士的簽字，代表王女士對以上所有項目均已授權。

　　王女士表示，其辦理業(yè)務過程中沒有注意到有關個人信息授權的要求，銀行工作人員也沒有提示，僅要求其在多份電子文件上進行電子簽字確認。銀行的行為屬于過度攝取個人信息，《個人信息授權書》嚴重侵害其切身利益，要求撤銷授權，被銀行拒絕。

　　某銀行稱，王女士辦理業(yè)務時需要兩次簽字，根據(jù)《個人信息保護法》及銀行內(nèi)部管理規(guī)程，客戶購買相關金融產(chǎn)品前需簽署《個人信息授權書》，并形成《業(yè)務憑證》《客戶回單》。完成個人信息授權后，認購金融產(chǎn)品，形成《組合交易憑證》。銀行工作人員要求王女士簽署《個人信息授權書》，是服務過程中必要的一項，銀行的業(yè)務操作并無違法違規(guī)的情況。銀行使用王女士的個人信息遵循保密原則，且僅向債券登記托管機構提供，不存在違法泄露及可能造成王女士人身和財產(chǎn)損害的情形。

　　庭審中，依王女士申請，法院向某銀行調(diào)取了辦理業(yè)務時的現(xiàn)場監(jiān)控錄像，錄像顯示，辦理業(yè)務過程中王女士與業(yè)務員的對話中，并未提及“個人信息”“授權”。

　　法院經(jīng)審理認為，結合現(xiàn)場錄像及各方陳述，王女士在簽署《個人信息授權書》時，雖然某銀行稱系統(tǒng)會進行提醒，在電子屏上會顯示《個人信息授權書》全文、屏幕可放大且語音播報會提醒客戶確認內(nèi)容，但其一，該授權書內(nèi)容較多，現(xiàn)場錄像顯示王女士在第一次簽名時，并無滑動屏幕、放大屏幕內(nèi)容或者停留閱讀的動作，按常理來說，王女士年齡較大，其無法在極短的時間內(nèi)不做停留即完成《個人信息授權書》的閱讀；其二，業(yè)務員僅指示王女士如何簽名及確認，并未告知王女士其正在簽署的文件內(nèi)容為何；其三，語音播報的內(nèi)容為“請確認交易信息”“請核對屏幕信息并簽名確認”等通用提醒，無法起到提示文件內(nèi)容的效果；其四，關于敏感個人信息的授權和對外提供個人信息的授權需要在“□”中打“√”，而本案中現(xiàn)場錄像未見王女士有相關勾選的操作，亦未見業(yè)務員對于勾選上述選項的提示；其五，某銀行并未在簽署《個人信息授權書》前后，向王女士提供紙質(zhì)版《個人信息授權書》，紙質(zhì)版《個人信息授權書》系王女士事后主動索要取得。

　　因此，應當認定王女士在辦理業(yè)務過程中，并未與某銀行就《個人信息授權書》的內(nèi)容達成意思表示的一致，《個人信息授權書》的效力應當認定為不成立。法院依法判決《個人信息授權書》不成立。

　　一審判決作出后，原告上訴，二審維持原判，一審判決已生效。

　　法官提示（李林強）：

　　《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）明確規(guī)定處理個人信息應當遵循合法、正當、必要和誠信原則，構建了以“告知-同意”為核心的個人信息處理規(guī)則，保障個人在個人信息處理活動中的各項權利。

　　金融機構在展業(yè)過程中，不可避免地會處理大量個人信息，其處理活動與金融消費者的財產(chǎn)安全息息相關，故早在《個人信息保護法》出臺之前，《國務院辦公廳關于加強金融消費者權益保護工作的指導意見》和《中國人民銀行金融消費者權益保護實施辦法》中，就有保障金融消費者信息安全權和消費者金融信息保護的相關規(guī)定?！秱€人信息保護法》首次從法律層面對個人信息保護進行規(guī)定，也給金融機構保護金融消費者個人信息提出了更高的要求。

　　《個人信息保護法》第十三條將“告知+同意”作為處理個人信息的一般前提，并明確了“告知+同意”的例外情形，重點強調(diào)了個人信息主體的知情權和決定權。在此基礎上，《個人信息保護法》第二十三條和第二十九條分別規(guī)定，個人信息處理者向其他個人信息處理者提供其處理的個人信息以及處理敏感個人信息，均應當取得個人的單獨同意。

　　在此規(guī)則體系下，金融機構應當根據(jù)具體業(yè)務所涉及的個人信息類型和對個人信息的處理情況，落實《個人信息保護法》提出的各項要求，若利用格式文本獲得個人知情同意，在提供服務的過程中，應當盡到提示說明義務，確保金融消費者注意并理解個人信息處理規(guī)則。金融消費者也應當提高個人信息保護意識，在金融機構辦理各項業(yè)務及簽字時，注意閱讀業(yè)務材料，防止個人合法權益受損。

        值班編輯：楊斌 審核：袁建領