香港新浪網 MySinaBlog
« 上一篇 | 下一篇 »
岸仔 | 25th Feb 2012 | 時事看法律 | (143 Reads)

 Picture

銀行轉交個資需明示客戶

自從八達通將顧客的資料出售的事件之後,公眾對商業機構處理客戶資料之時是否符合〈個人資料(私隱)條例〉,變得十分敏感,而私隱專員的執法亦因而緊密了很多,下面的案件案情不複雜,甚而是常見,銀行將信用卡客戶的資料賣了給第三者,客戶投訴,銀行以信用卡上超細小的字體已經列名為理由抗辯,私隱專員發出執法通知(enforcement notice),銀行上訴但失敗了。

Wing Lung Bank Ltd V Privacy Commissioner For Personal Data [2010] 6HKC266

上訴者為永隆銀行,銀行與一間保險公司(CIGNA)簽了市場推廣協議,據協議銀行提供一些客戶的資料給保險公司,以助保險公司推廣保險產品。在07年11月,一位呂先生打電話給一位黃小姐,自我介紹為銀行的代表,黃小姐因被誤導以為保險產品來自銀行所以購買,直到她收到保單始發覺保險是與CIGNA購買,而並非購自銀行。黃小姐因而向私隱專員投訴,指銀行從未向她透露CIGNA會以銀行的身份接觸她推售保險,專員公署調查了事件並發出執法通知,銀行上訴到一行政上訴委員會,但被駁回,下面是上訴被駁回的法律理據:

(1) 信用卡是發給黃小姐作為客戶的身份,並非發給公司或個人以商業交易的形式。若然資料使用者有意圖將資料轉交給別人,這情況必須清楚以可讀的情況(in a legible manner)列明。細小的字體可說是很少或全無作用,如果條款是重要的條款,而且希望對顧客生效,是必須清楚可讀的條文。要顧客在細小的字裏行間困難地找尋與個人資料處理有關的條文,並不是合理的安排,不能期望顧客應該及必須這樣做。

(2) 作為消費者的顧客,有權期望銀行特別提醒顧客會被第三者的商業機構接觸的事實。明示的同樣應該在事前取得。〈私隱條例〉附件的原則列明:必須以可行的步驟保證資料提供者被清楚地通知(explicitly informed)於資料取得之前或當時,並有何類別(classes)的人會取得資料。

(3) 證據顯示,銀行並無採取足夠的行動以保證信用卡的條款及內容聲明已經被黃小姐所注意到。一般而言,明示的同意(express consent)是應該取得的,例如請顧客在一些格仔上打號(give a tick)。

(4) 據私隱手則的原則,引申的商業目的需與原來的目的相關,推廣另一類別的商業目的,例如保險實與原來信用卡的目的不符,自然亦與所收集的資料的目的不符。信用卡條款說「該等資料可不時用作直接推銷及/或推廣本行、本行的關聯人士及小心選擇的第三者的產品」,必須指與信用卡同類的產品。

(5) 呂先生由於有失實陳述,保險合約因而需撤回。任何長期的投資關係,例如保險合約,顧客須於簽約前全面了解情況,特別是保險公司的財政情況。◇