2021年11月23日,澳大利亚发布其首个消费者数据权利(Consumer Data Right,CDR)隐私评估。澳大利亚信息专员办公室(Office of the Australian Information Commissioner,OAIC)通过规范组织遵守个人信息处理义务来保护个人隐私,其中就包括CDR的隐私方面。CDR使消费者能够更好地控制他们的消费者数据,使消费者能够指示数据持有者以符合CDR的格式将其CDR数据提供给经认证的数据接收者。
OAIC表示,隐私评估的重点是识别隐私风险,主要内容是评估实体遵守隐私保护的情况,目标是帮助实体改进CDR政策以及相关的内部实践、程序和系统。隐私保护要求CDR实体(包括数据持有人)制定一项政策,说明其如何管理CDR,以及如何维护内部实践、程序和系统,以确保合规性。该项内容是最基本的隐私保护,也是遵守所有其他隐私保护的基础。
此次发布的隐私评估中有13项具有法律约束力的隐私保障措施,规定了消费者的隐私权以及收集和处理其数据的供应商的义务:包括1)数据的公开透明管理;2)匿名和假名;3)寻求收集数据;4)处理参与者主动提供的数据;5)收款通知;6)数据的使用或披露;7)直接营销;8)数据的海外披露;9)采用或披露政府标识;10)披露通知;11)数据质量;12)数据安全和冗余数据的处理;13)数据更正。
目前,OAIC正在积极评估隐私实践,通过对系统中供应商的严格审核与监控,确保供应商的隐私保护措施能够真正落地。OAIC的第一次CDR评估侧重于CDR数据持有人遵守隐私保护的情况。因为隐私保护的目标是确保CDR实体以公开透明的方式处理CDR,遵守隐私保护会导致在处理CDR时嵌入隐私,从而通过“设计隐私”(privacy-by-design)方法实现更好的整体隐私管理、实践和合规性。而澳新银行、联邦银行、澳大利亚国家银行和西太平洋银行是最初的CDR数据持有者,因此,第一次隐私评估就在四大银行展开。此次审计结果显示,四大银行以公开透明的方式处理消费者数据权下的消费者数据,并采取了良好的隐私做法,没有发现任何存在高隐私风险的领域。
OAIC在评估报告中将隐私风险分为高风险、中风险或低风险。其中,高风险是指可能导致违反立法义务的风险,针对此类风险,组织应当立即采取行动应对这些风险;中等风险是指可能导致违反立法义务或满足特定义务的部分(不是全部)要求的风险,针对此类风险,组织应采取措施及时应对这些风险;低风险是指组织可以改进其合规方式,建议管理层进一步关注该类风险。
关于如何管理CDR,主要包括两部分。首先,所有数据持有者必须有一个CDR政策,概述其如何管理CDR,且CDR政策必须满足公开、免费、随时可用、保持最新、明确表达等条件(需要注意的是,CDR政策必须与实体的其他隐私政策不同,即CDR政策独立于现有隐私政策,一方面是管理对象不同,另一方面是CDR政策中还通常包含强制性信息);其次,CDR政策必须包含以下内容:1)消费者如何访问和更正其CDR;2)消费者如何投诉数据持有人未能履行其义务,以及数据持有人将如何处理投诉;3)数据持有人是否接受自愿产品或消费者数据的请求,以及数据持有人是否对此类请求收取费用(如果是,具体内容是什么)。
在评估完成后,OAIC会向评估实体提供评估结果,明确指出需要改进的内容,评估实体也应当对相关改进意见与建议做出反应。在评估结果完成6个月后,OAIC还要与评估实体一同再次针对意见与建议是否得到充分落实进行检查。(冯潇洒)
信息来源:
https://www.oaic.gov.au/updates/news-and-media/oaic-publishes-first-consumer-data-right-privacy-assessment
https://www.oaic.gov.au/privacy/privacy-assessments/summary-of-cdr-assessment-1
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
