查看原文
其他

澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

周洲 网安寻路人 2020-02-26

8月初,澳大利亚政府通过一项消费者数据权利法案(Consumer Data Right,简称CDR)。在本月底正式生效之前,该法案还需获得澳大利亚竞争与消费者委员会(Australian Competition and Consumer Commission,简称ACCC)的许可。ACCC和澳大利亚信息专员办公室(Office of the Australian Information Commissioner,简称OAIC)以及新成立的数据标准机构(Data Standards Body)将负责CDR的具体实施并制定信息传输安全标准。以下对该法案作出简要评析:

一、法案重点内容


(1)重点规范数据可携权的问题


根据新法案,消费者将在与第三方金融科技平台或数字银行分享个人数据方面拥有更多自由,例如,消费者个人“拥有”自己的数据,可以自主决定对哪些数据以何种条件进行共享,可以访问自己的银行、能源、电话和互联网交易信息,也可以决定谁可以拥有并使用这些数据。此外,该法案允许新数据集的添加,从而使得消费者所受保护的数据范围可以动态变化。


(2)增加隐私和信息安全保护条款


该法案规定了诸多隐私和信息安全条款,以保证消费者数据安全。根据这些条款,只有受信任和得到认证的第三方才可以按照客户指令进行数据访问,该第三方需要为数据的安全性提供足够的技术支持。同时,法案赋予了消费者一系列救济途径,包括内部、外部争议解决以及直接提起诉讼的权利。OAIC将负责对隐私保护进行监管,并对违反隐私保护措施的行为提供投诉处理。


(3)构建开放银行模式下的数据共享框架


在法案正式生效后,银行将有一段过渡期(到2020年2月为止),在此期间,银行将继续推动开放银行的商业模式并搭建用于共享信用卡、借记卡、存款、交易和抵押账户等数据的API【笔者注:API的本质是一些预先定义的函数,目的是给予开发人员基于某软件或硬件得以访问一组例程的能力并且无需访问源码,或理解内部工作机制的细节。作为供应方的企业/个人可以将自己特定的技术服务以API的形式开放出来供需求方企业/个人按照参数调用接口,从而达到数据流通和共享的目的。】。


该法案为开放银行(Open Banking)的监管奠定了法律基础。早在2017年8月,澳大利亚政府发布《Review into Open Banking in Australia》,该报告详细阐述了澳大利亚如何选择合适的开放银行模式,提出监管框架、推行范围、数据传输标准和实施计划四个具体实施步骤。其中,对于监管框架的搭建,明确将推动CDR立法作为实施开放银行的重要环节。


二、法案实施的影响


(1)充分保护消费者数据权利


法案的出台,将使消费者拥有对数据的自主决定权,消费者可以根据自身情况,在不同产品和服务之间进行选择,从而更好地使用自己的数据。而该法案也会激励企业充分尊重消费者的数据选择权,并以消费者为中心进行创新,使消费者进一步参与到新兴的数字经济中。


(2)引导产业优化对数据资源的利用和保护


澳大利亚消费者数据权立法是具有重大意义的改革,它可以促进竞争,改善宏观经济中的信息资源配置。法案虽然把银行业作为实施消费者数据权的首个部门,但它也为不同领域的数据监管提供了较为可行的标准。在此基础上,行业内部可以根据不同的数据集、不同的风险、不同的客户需求制定具体标准。从这个角度来说,CDR法案具有较强的示范意义。


三、CDR法案对澳个人信息保护立法的创新之处


澳大利亚1988年《隐私权法》(the Privacy Act 1988)是关于个人信息保护的一项法律,该法对隐私权保护原则,以及个人信息的收集、使用、持有和披露进行了规定。在《隐私权法》框架内容下的《澳大利亚隐私保护原则》(Australia Privacy Principle,简称APP)进一步在个人信息保护中发挥了重要作用。本次通过的《消费者数据权利法案》,则是在数字经济的大背景下,从实践层面探索数据共享与数据保护的新方案。与原有法律相比,CDR主要有以下创新:


(1)在立法目的上,CDR“积极赋权”,《隐私权法》“消极限权”


《隐私权法》着眼于限制数据持有者以保护信息安全,强调个人信息采集必须合法,并且必须遵循直接目的必要且相关、资料内容准确且完整、使用范围有限且安全等原则;而CDR则侧重于赋予个人作为数据主体以积极选择权,消费者决定个人信息流向,从而维护自身的数据权利。


(2)在保护范围上,CDR扩充了原有个人信息权范围


和原有《澳大利亚隐私保护原则》相比,CDR做了更大的补充,在原有框架下,仅允许个人访问关于自己的个人信息;而CDR适用的访问及其他权利还包括企业数据,如个人可要求服务提供商提供与本人相关的服务和产品的使用信息。


(3)在约束主体上,CDR所涉范围较窄,措施更具针对性


原有的《隐私权法》不仅涉及私营组织,而且包括政府机构,因为在收集、使用、存储、持有和披露个人信息方面,无论政府机关还是私营组织都有可能侵害到信息主体的相关权利。因此,该法所约束的主体更为宽泛;而CDR核心内容涉及消费者个人访问自己在企业中的数据,以及企业如何保护消费者隐私和信息安全,因而主要涉及对企业的规制。(完)




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. 评价GDPR一周年:一些正负面观点

  40. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  41. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  42. 英法两国对 AdTech和广告类SDK的监管案例分析

  43. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  44. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  45. IAPP新加坡会议上关于27701的Panel和PPT

  46. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  47. 人脸识别技术的法律规制研究初探(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存