澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)
8月初,澳大利亚政府通过一项消费者数据权利法案(Consumer Data Right,简称CDR)。在本月底正式生效之前,该法案还需获得澳大利亚竞争与消费者委员会(Australian Competition and Consumer Commission,简称ACCC)的许可。ACCC和澳大利亚信息专员办公室(Office of the Australian Information Commissioner,简称OAIC)以及新成立的数据标准机构(Data Standards Body)将负责CDR的具体实施并制定信息传输安全标准。以下对该法案作出简要评析:
一、法案重点内容
(1)重点规范数据可携权的问题
根据新法案,消费者将在与第三方金融科技平台或数字银行分享个人数据方面拥有更多自由,例如,消费者个人“拥有”自己的数据,可以自主决定对哪些数据以何种条件进行共享,可以访问自己的银行、能源、电话和互联网交易信息,也可以决定谁可以拥有并使用这些数据。此外,该法案允许新数据集的添加,从而使得消费者所受保护的数据范围可以动态变化。
(2)增加隐私和信息安全保护条款
该法案规定了诸多隐私和信息安全条款,以保证消费者数据安全。根据这些条款,只有受信任和得到认证的第三方才可以按照客户指令进行数据访问,该第三方需要为数据的安全性提供足够的技术支持。同时,法案赋予了消费者一系列救济途径,包括内部、外部争议解决以及直接提起诉讼的权利。OAIC将负责对隐私保护进行监管,并对违反隐私保护措施的行为提供投诉处理。
(3)构建开放银行模式下的数据共享框架
在法案正式生效后,银行将有一段过渡期(到2020年2月为止),在此期间,银行将继续推动开放银行的商业模式并搭建用于共享信用卡、借记卡、存款、交易和抵押账户等数据的API【笔者注:API的本质是一些预先定义的函数,目的是给予开发人员基于某软件或硬件得以访问一组例程的能力并且无需访问源码,或理解内部工作机制的细节。作为供应方的企业/个人可以将自己特定的技术服务以API的形式开放出来供需求方企业/个人按照参数调用接口,从而达到数据流通和共享的目的。】。
该法案为开放银行(Open Banking)的监管奠定了法律基础。早在2017年8月,澳大利亚政府发布《Review into Open Banking in Australia》,该报告详细阐述了澳大利亚如何选择合适的开放银行模式,提出监管框架、推行范围、数据传输标准和实施计划四个具体实施步骤。其中,对于监管框架的搭建,明确将推动CDR立法作为实施开放银行的重要环节。
二、法案实施的影响
(1)充分保护消费者数据权利
法案的出台,将使消费者拥有对数据的自主决定权,消费者可以根据自身情况,在不同产品和服务之间进行选择,从而更好地使用自己的数据。而该法案也会激励企业充分尊重消费者的数据选择权,并以消费者为中心进行创新,使消费者进一步参与到新兴的数字经济中。
(2)引导产业优化对数据资源的利用和保护
澳大利亚消费者数据权立法是具有重大意义的改革,它可以促进竞争,改善宏观经济中的信息资源配置。法案虽然把银行业作为实施消费者数据权的首个部门,但它也为不同领域的数据监管提供了较为可行的标准。在此基础上,行业内部可以根据不同的数据集、不同的风险、不同的客户需求制定具体标准。从这个角度来说,CDR法案具有较强的示范意义。
三、CDR法案对澳个人信息保护立法的创新之处
澳大利亚1988年《隐私权法》(the Privacy Act 1988)是关于个人信息保护的一项法律,该法对隐私权保护原则,以及个人信息的收集、使用、持有和披露进行了规定。在《隐私权法》框架内容下的《澳大利亚隐私保护原则》(Australia Privacy Principle,简称APP)进一步在个人信息保护中发挥了重要作用。本次通过的《消费者数据权利法案》,则是在数字经济的大背景下,从实践层面探索数据共享与数据保护的新方案。与原有法律相比,CDR主要有以下创新:
(1)在立法目的上,CDR“积极赋权”,《隐私权法》“消极限权”
《隐私权法》着眼于限制数据持有者以保护信息安全,强调个人信息采集必须合法,并且必须遵循直接目的必要且相关、资料内容准确且完整、使用范围有限且安全等原则;而CDR则侧重于赋予个人作为数据主体以积极选择权,消费者决定个人信息流向,从而维护自身的数据权利。
(2)在保护范围上,CDR扩充了原有个人信息权范围
和原有《澳大利亚隐私保护原则》相比,CDR做了更大的补充,在原有框架下,仅允许个人访问关于自己的个人信息;而CDR适用的访问及其他权利还包括企业数据,如个人可要求服务提供商提供与本人相关的服务和产品的使用信息。
(3)在约束主体上,CDR所涉范围较窄,措施更具针对性
原有的《隐私权法》不仅涉及私营组织,而且包括政府机构,因为在收集、使用、存储、持有和披露个人信息方面,无论政府机关还是私营组织都有可能侵害到信息主体的相关权利。因此,该法所约束的主体更为宽泛;而CDR核心内容涉及消费者个人访问自己在企业中的数据,以及企业如何保护消费者隐私和信息安全,因而主要涉及对企业的规制。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点