[案情简介]

吴某在某商城购物时，为了获得当日折扣优惠，在客户服务台申请注册该商城的会员。吴某签署了《商城会员协议》，并按照协议要求提供了本人姓名、身份证号码、手机号码和Z银行的借记卡号等信息。商城员工在为吴某进行银行卡绑定时，误触了电脑显示屏列表中的H银行，得到了“暂无银行卡可以绑定”的反馈;商城员工与吴某再次确认银行卡信息后，成功进行了绑定。

过了几日，吴某收到了来自H银行的多条营销短信，不胜其烦之后拨打了H银行的客服电话，要求停止发送短信，并删除银行系统内的吴某本人信息。H银行回复表示，可以不再发送短信，但系统做不到删除。吴某自觉权利受损，于是向法院提起诉讼。

吴某认为，本人并未授权商城将自己的个人信息提供给H银行，H银行能够得知本人未在该行开卡又向其手机发送营销信息，系商城泄露信息所致。H银行不仅因此非法获得和使用了吴某的个人信息，还拒绝删除，属于侵害其个人信息权益的行为。吴某认为商城和H银行存在过错，应赔偿其精神损失。

[法院判决]

法院审理后认为：第一，商城并未向吴某告知会将收集的客户个人信息向合作银行提供，在会员协议中，也未就该行为向吴某告知说明，或以任何形式征求过吴某的同意。商城既违反了与吴某之间的约定，也不符合处理个人信息应遵循的知情同意规则，因此可以认定商城和H银行对吴某个人信息的处理行为缺乏合法性基础。第二，H银行未经吴某同意使用其个人信息对其开展营销活动，属于未经个人授权非法处理个人信息的行为;H银行无理由拒绝吴某删除信息，侵害了吴某在信息处理活动中享有的决定权、删除权。综上，法院判令H银行和商城向吴某书面道歉，并予以一定经济赔偿。

[案例启示]

业务合作是信息处理者获取客户个人信息的重要来源之一。与直接向客户收集个人信息相比，信息处理方增多，风险环节也更多。因此，《个人信息保护法》把在业务合作中处理个人信息作为规制的重点场景对象，并规定了严格的法律责任。银行需高度关注相关环节下的法律风险，依法操作。

在获取信息时，重视合作方管理，确保信息来源合法。《个人信息保护法》规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。在合作方收集客户一手信息并向银行提供的场景下，银行要特别注意与合作方约定好个人信息处理合作中各方的权利、义务、责任等，做好信息来源合法性的尽职调查和风险评估，以法律与合同为依据加强合作机构处理行为监督。

在使用信息时，严格限定在客户授权范围内，保障客户法定权利。《个人信息保护法》规定了信息主体对使用本人信息的决定权，银行处理合作方提供的客户信息，应严格限定在客户授权范围内，变更处理目的、方式的还应重新取得个人同意，以充分保障客户决定权得到真正实现。此外，法律赋予个人有权要求信息处理者在违反法律规定及合同约定时删除个人信息。因此，银行要不断完善服务措施，建立消费者权利响应机制，避免无正当理由拒绝消费者依法行使权利，进一步加重自身的法律责任。(王阳阳)