涉外法律 | 澳大利亚发布首个消费者数据权利隐私评估
关键词:大数据;智能合约;涉外法律服务;专业律师
本期关键词:澳大利亚;澳大利亚信息专员办公室(OAIC);消费者数据权利(CDR)
本文约1695字,大概需要阅读6分钟。
近期澳大利亚信息专员办公室(OAIC)发布了第一份消费者数据权利(CDR)隐私评估。OAIC表示,有13项具有法律约束力的隐私保护措施,规定了消费者的隐私权以及提供商收集和处理其数据的义务。
1:数据的公开透明管理
企业必须有适当的程序和系统,以确保其履行消费者数据权利规定的隐私义务。
2:匿名和假名
经认证的企业必须为消费者提供不表明身份或允许使用假名的选项。
这有一些例外。例如,如果企业无法与未表明身份或使用假名的消费者打交道,或者法律或法院命令要求他们与已确定身份的消费者打交道。
3:寻求收集数据
经认证的企业只有在得到明确同意的情况下才能从其他企业收集消费者数据。不得试图收集超出向提供产品或服务所需的数据,或收集超过必要时间的数据。
4:处理参与者主动提供的数据
在未经消费者同意的情况下,企业必须销毁其收集的数据,除非法律或法院命令要求保留该数据。
5:收集通知
经认证的企业在收集数据时,必须通过消费者仪表板进行通知。
消费者仪表板是一项在线服务,使消费者能够查看和管理数据收集、使用和披露许可。它可以内置于现有的在线门户或移动应用程序中。
6:数据的使用或披露
除非法律或法院命令另有要求,否则企业只能在消费者数据权要求或授权的情况下使用或披露数据,并且必须征得同意。
7:直接营销
除非消费者同意并且CDR规则允许,否则数据不能用于直接营销。
8:数据的海外披露
经认证的企业不得将数据发送到海外,除非有例外情况。
9:采用或披露政府标识
经认证的企业不得采用、使用或披露与政府相关的标识,除非根据其他法律、法院命令或隐私法规要求或授权。
10:披露通知
当一家企业向另一家企业披露数据时,他们必须通过更新消费者仪表板来进行通知。
11:数据质量
企业必须确保数据的质量。如果披露了不正确的数据,他们必须进行通知,并且必须根据消费者要求向收件人提供更正后的数据。
12:数据安全和冗余数据的处理
经认证的企业必须满足严格的信息安全要求。这包括确保数据不受滥用、干扰和丢失,以及未经授权的访问、修改或披露。
13:数据更正
业务部门必须响应数据更正请求,并采取措施更正或向数据中添加限定语句,以确保数据不会被误解。
第一次隐私评估检查了最初的CDR数据持有者如何遵守隐私保护,这要求提供商制定一项政策来描述他们如何管理消费者数据,并实施内部实践、程序和系统,以确保合规性。
OAIC在评估报告中将隐私风险评级设定为高、中、低三类:
高风险:可能导致违反立法义务的风险。OAIC希望该组织立即采取行动应对这些风险。
中等风险:可能导致违反立法义务或满足特定义务的某些(但不是全部)要求的风险。组织应采取措施及时应对这些风险。
低风险:组织可以改进其合规方式,OAIC建议管理层进一步关注的风险。
OAIC强调,在对四大银行的审计中发现,它们通常以公开透明的方式在CDR下处理消费者数据,并采取了良好的隐私实践。作为CDR的共同监管者,OAIC正在积极评估隐私实践,以确保提供商履行其义务。
从内部政策、做法和系统来看,良好的隐私实践包括:
银行正在采取措施,建立和推广一种在管理CDR数据时尊重隐私和良好信息处理实践的文化。
所有银行都任命了负责CDR制度战略领导的高级职员和负责CDR数据日常管理的官员。
三家银行在限制对CDR系统和数据的访问方面,要求有访问权限的员工才可以访问CDR系统和数据。
银行通常通过制定惯例、程序和系统,定期审查其CDR政策,并跟踪立法和运营变化。
最后,OAIC还发布了一份CDR总结报告和一段补充视频,详细解释了隐私保护。OAIC认为,其建议将有助于相关数据持有人和系统中的其他提供商进一步嵌入、审查和增强他们的隐私实践,以更好地保护消费者数据权利。
*来源:澳大利亚信息专员办公室(OAIC)
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾