智库快讯·隐私保护专栏丨澳大利亚消费者数据权利隐私评估简介
2021年11月23日,澳大利亚发布其首个消费者数据权利(Consumer Data Right,CDR)隐私评估。澳大利亚信息专员办公室(Office of the Australian Information Commissioner,OAIC)通过规范组织遵守个人信息处理义务来保护个人隐私,其中就包括CDR的隐私方面。CDR使消费者能够更好地控制他们的消费者数据,使消费者能够指示数据持有者以符合CDR的格式将其CDR数据提供给经认证的数据接收者。
OAIC表示,隐私评估的重点是识别隐私风险,主要内容是评估实体遵守隐私保护的情况,目标是帮助实体改进CDR政策以及相关的内部实践、程序和系统。隐私保护要求CDR实体(包括数据持有人)制定一项政策,说明其如何管理CDR,以及如何维护内部实践、程序和系统,以确保合规性。该项内容是最基本的隐私保护,也是遵守所有其他隐私保护的基础。
此次发布的隐私评估中有13项具有法律约束力的隐私保障措施,规定了消费者的隐私权以及收集和处理其数据的供应商的义务:包括1)数据的公开透明管理;2)匿名和假名;3)寻求收集数据;4)处理参与者主动提供的数据;5)收款通知;6)数据的使用或披露;7)直接营销;8)数据的海外披露;9)采用或披露政府标识;10)披露通知;11)数据质量;12)数据安全和冗余数据的处理;13)数据更正。
目前,OAIC正在积极评估隐私实践,通过对系统中供应商的严格审核与监控,确保供应商的隐私保护措施能够真正落地。OAIC的第一次CDR评估侧重于CDR数据持有人遵守隐私保护的情况。因为隐私保护的目标是确保CDR实体以公开透明的方式处理CDR,遵守隐私保护会导致在处理CDR时嵌入隐私,从而通过“设计隐私”(privacy-by-design)方法实现更好的整体隐私管理、实践和合规性。而澳新银行、联邦银行、澳大利亚国家银行和西太平洋银行是最初的CDR数据持有者,因此,第一次隐私评估就在四大银行展开。此次审计结果显示,四大银行以公开透明的方式处理消费者数据权下的消费者数据,并采取了良好的隐私做法,没有发现任何存在高隐私风险的领域。
OAIC在评估报告中将隐私风险分为高风险、中风险或低风险。其中,高风险是指可能导致违反立法义务的风险,针对此类风险,组织应当立即采取行动应对这些风险;中等风险是指可能导致违反立法义务或满足特定义务的部分(不是全部)要求的风险,针对此类风险,组织应采取措施及时应对这些风险;低风险是指组织可以改进其合规方式,建议管理层进一步关注该类风险。
关于如何管理CDR,主要包括两部分。首先,所有数据持有者必须有一个CDR政策,概述其如何管理CDR,且CDR政策必须满足公开、免费、随时可用、保持最新、明确表达等条件(需要注意的是,CDR政策必须与实体的其他隐私政策不同,即CDR政策独立于现有隐私政策,一方面是管理对象不同,另一方面是CDR政策中还通常包含强制性信息);其次,CDR政策必须包含以下内容:1)消费者如何访问和更正其CDR;2)消费者如何投诉数据持有人未能履行其义务,以及数据持有人将如何处理投诉;3)数据持有人是否接受自愿产品或消费者数据的请求,以及数据持有人是否对此类请求收取费用(如果是,具体内容是什么)。
在评估完成后,OAIC会向评估实体提供评估结果,明确指出需要改进的内容,评估实体也应当对相关改进意见与建议做出反应。在评估结果完成6个月后,OAIC还要与评估实体一同再次针对意见与建议是否得到充分落实进行检查。
信息来源:
https://www.oaic.gov.au/updates/news-and-media/oaic-publishes-first-consumer-data-right-privacy-assessment
https://www.oaic.gov.au/privacy/privacy-assessments/summary-of-cdr-assessment-1
快讯总主编由数字丝路安全智库专家委员会主任马民虎教授担任,由智库秘书长朱莉欣担任副主编,智库副秘书长谢永红担任责任编辑。
快讯合作单位:西交苏州信息安全法学所、西交科教院网络安全法治研究所、公安三所网络安全法律研究中心、360集团、西安四叶草信息技术有限公司、荣耀终端有限公司。
隐私保护是一个全球性的命题。随着我国《数据安全法》、《个人信息保护法》等法律法规的出台,我国个人隐私的保护制度更加完善,对数据处理者的隐私保护要求也更细更高。然而“徒法不足以自行”,要实现我国隐私保护立法的宗旨,还需要从守法、执法和司法层面予以努力。本专栏拟通过报道国际隐私保护的法律事件,为我国个人隐私保护合规和遵从提供实践经验和具体执法的参考,并为我们了解和借鉴国外隐私保护制度提供第一手的资料。
随着数字经济蓬勃发展,数据在经济社会发展中起着空前重要的作用。中国将数据定义为生产要素、欧盟制定数据战略、美国促进数字经济法案等等,都在从立法、产业政策、技术标准和产业平台等领域积极推动数据经济发展,在促进数据流通利用和安全保护的平衡上寻找最佳解决方案。
2020年10月,无名论坛和SSC安全峰会联合其他相关机构,在充分认识到数字安全发展的全局性和重要影响基础上,经调研,并与有关部门专家协商沟通,以华山论剑·2020网络安全大会的盛大召开为契机,联合发起成立“数字丝路安全智库”。
“数字丝路安全智库”,旨在响应国家“一带一路”倡议,遵循数字经济发展规律,为数字丝路的建设提供有特色的网络安全政策法规、技术方案,为网络安全研究人员搭建合作研究、交流平台,促进数字丝路网络空间的繁荣发展。
“苏州信息安全法学所”