|
项先权:浙江新台州律师事务所主任,法学博士,博士后 唐瑞雪:浙江新台州律师事务所疑案研究中心研究员,法律硕士 《民法典》对个人隐私权、个人信息保护进行了系统规定,《个人信息保护法》是针对个人信息保护而制定的专项法律。中国人民银行等部门出台的监管规定则细化了商业银行个人信息保护方面的义务。银行违反相关规定、侵害客户个人信息相关权利,将依法承担民事责任、行政责任,如构成犯罪还应承担刑事责任。那么,在司法实践中,银行使用留存的客户个人信息进行商业广告营销是否侵犯客户的个人信息权益?下文将结合审判实践分析之。
一、案情与裁判 案件名称:许×与×银行朝阳门支行个人信息保护纠纷案 案件来源:北京市第二中级人民法院(2024)京02民终12585号民事判决 案情简介: 2017年10月20日,许×(原审原告;上诉人)在×银行朝阳门支行(原审被告;被上诉人;下文简称“×银行”)办理了该行储蓄卡,并预留手机号。2024年3月1日15:06:27,×银行客服人员拨打了许×预留的手机号,通话内容为向许×推销备用金性质的消费贷款。通话中,许×询问如何知道该电话,工作人员表示因为许×系该行储蓄卡客户,是针对储蓄卡客户进行邀约的贷款。许×提交了×银行xxx4《中国×银行个人客户协议手册》,该版协议手册的生效日期是2024年5月9日,关于隐私政策方面,该协议手册载明,×银行将使用加密或去标识化技术处理客户的个人信息,以便更精确地推送相关产品或服务信息及优惠,银行会让客户选择是否同意其使用客户的信息进行营销,在客户同意的情况下才会发送营销信息。×银行陈述个人用户协议手册是有不同版本的,许×当时在柜员机上办理的储蓄卡,因柜员机已经迁移,目前无法确定许×是否授权×银行使用该手机号进行营销,无法提供带有许×签名的个人客户协议手册。一审庭审中,双方当事人均认可×银行仅拨打过一次许×的手机号进行贷款营销,之后未再向许×进行过电话营销。 一审判决 北京市西城区人民法院经审理认为:本案中,×银行未能提交证据证明已告知并取得许×的同意即以此种形式处理其个人信息,本案所涉情形也不符合法律、行政法规规定可以无须取得许×个人同意的情形,该处理行为侵害了许×对其个人信息的决定权,构成对许×个人信息权益的侵害。考虑到×银行进行电话营销的行为并非持续性的,该行为已经结束且未再次发生,故对于许×要求停止侵害个人信息行为的诉求不再处理,×银行仅向许×本人在该银行登记的手机拨打过一次电话,并未产生外溢的社会评价及影响,亦无证据证明许×的社会评价及影响因此降低,故不予支持许×要求书面赔礼道歉的请求。关于精神损害抚慰金,因许×未提交证据证明存在相应损失,亦不足以证明对其精神产生不利影响,故不予支持该项诉讼请求。 二审判决 北京市第二中级人民法院经审理认为:一审判决认定事实清楚,适用法律正确。驳回上诉,维持原判。 二、相关规定 《个人信息保护法》第4条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。” 《个人信息保护法》第13条第1款第1项:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人同意。” 《个人信息保护法》第17条:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (一)个人信息处理者的名称或者姓名和联系方式; (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (三)个人行使本法规定权利的方式和程序; (四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。” 《个人信息保护法》第69条第1款:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。” 《民事诉讼法》第67条第1款:“当事人对自己提出的主张,有责任提供证据。” 《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第30条:“银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的;金融消费者不同意的,银行、支付机构不得因此拒绝提供金融产品或者服务。银行、支付机构向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。” 《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》(法释〔2022〕11号)第90条:“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实,应当提供证据加以证明,但法律另有规定的除外。 在作出判决前,当事人未能提供证据或者证据不足以证明其事实主张的,由负有举证证明责任的当事人承担不利的后果。” 三、典型案例或做法
四、法理分析 ×银行使用留存的许×的个人信息进行贷款业务营销,由此引发本案诉讼,故本案的争议焦点为:×银行使用留存的许×个人信息进行贷款业务营销是否侵犯了许×的个人信息权益?下文将结合审判实践分析之。 首先,许×的留存的手机号码属于许×的个人信息。根据《个人信息保护法》第4条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息,其核心特征在于“可识别性”。本案中,许×留存的手机号码由许×实名注册,与许×本人特定相关,从该手机号码已识别或可识别出许×本人,故许×留存的手机号码属于许×的个人信息。 其次,×银行侵害了许×的个人信息权益。×银行使用许×留存的客户信息进行贷款业务营销的行为违反了法律的相关规定,侵犯了许×的个人信息自决权。根据《个人信息保护法》第13条第1款第1项,个人信息处理者处理个人信息时应取得个人的同意。根据《个人信息保护法》第17条的规定,个人信息处理者在处理个人信息前,应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知其名称和联系方式、处理目的、处理方式、处理的个人信息种类、保存期限等事项。《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第30条进一步明确,银行等金融机构处理个人信息应当按照“明确告知、授权同意”的原则实施,消费者对于是否授权使用个人信息具有自主选择权。本案中,×银行作为个人信息处理者,应遵循个人信息处理的法律规定,在使用许×留存的信息进行贷款业务营销时并未取得许×的授权。本案中,×银行未履行告知义务,未向许×提供充分的信息告知,侵犯了许×作为个人信息主体的知情权和决定权,构成对许×个人信息权益的侵害。 最后,×银行应承担停止侵害的侵权责任。根据《个人信息保护法》第69条第1款:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”根据《民事诉讼法》第67条第1款和《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》(法释〔2022〕11号)第90条之规定,当事人应当提供证据证明自己提出的诉讼请求,否则将承担举证不明的不利后果。本案中,×银行主张其使用许×个人信息进行贷款业务营销的行为已获许×授权,其应就该事实存在承担举证证明责任。因×银行表示无法就许×是否授权×银行使用个人信息进行贷款业务营销提供相应证据,故依证明责任原理应认定×银行使用留存的许×个人信息进行商业广告推送的行为并未获得授权。综上所述,×银行应立即停止侵权行为。 |
律博士微信公众号
项先权小程序
