北京市环球律师事务所

评析澳大利亚《消费者数据权利规则》及对我国立法与产业的启发

作者:孟洁


澳大利亚的《消费者数据权利规则》(“Consumer Data Right rules”,以下简称“CDR规则)于上周202025日生效,而此前(即2019年8月)澳大利亚已经通过了《消费者数据权利法案》(“Treasury Laws Amendment(Consumer Data Right) Bill”,以下简称“CDR 法案”)。因此,本次生效的CDR规则可视为CDR法案的具体实施细则,由澳大利亚竞争与消费者委员会(“Australian Competition& Consumer Commission”,以下简称“ACCC”)制定并监督实施,目前主要针对银行业的相关举措进行了规定。

 

我们先来了解一下CDR法案及其规则的基本内容。

 

一、CDR法案及规则的主要内容

 

CDR允许消费者个人“拥有”其个人数据,方法是法律授予消费者对银行、能源、通信和互联网交易的开放访问权,从而拥有并控制消费自己的个人数据。

 

CDR法案的主要内容包括:数据持有者(如四大银行)必须向消费者或经消费者许可的数据接收者分享消费者数据。同时数据持有者必须公开自己的产品参数,包括利率、费用和收费等信息,以及申请信用卡和抵押等银行产品需要符合的相关资质要求。该法案一并要求数据持有者在分享消费者数据时实施隐私保护的相关措施。

 

CDR规则主要是对CDR法案进行了细化规定,包括对产品参数请求、消费者数据请求、代表消费者提出请求的认可人员、争端解决、数据标准在内的重要问题提出操作方案。值得一提的是,对受到广泛关注的消费者隐私保护措施也提出了具体规定:(1)数据持有者和数据接收者必须公开化和透明化其对数据管理的政策;(2)数据接收者允许数据持有者以匿名或者假名方式提供消费者数据;(3)禁止非法使用数据;(4)禁止数据接收者通过数据对用户进行精准营销等。另外还提出了将这些规则逐步应用于银行业的时间表,以及今后还可能修改这些规则以解决其他问题。

 

为了更好的了解CDR以及ACCC批准其规则的意义,需要进一步回顾澳大利亚关于消费者数据权利法案及规则的立法历程,并且给大家介绍CDR规则生效后的推进时间表。

 

二、立法历程与推进时间表

 

2017年7月20日,澳大利亚时任财政部长Scott Morrion(2018年当选总理)委托Scott Farrel主持“澳大利亚开放银行评估”工作,即为澳大利亚开放银行业务推荐最合适的运作模式。随后,澳政府在2017年11月26日宣布引入消费者数据权(“Consumer Data Right”,以下简称“CDR”)。政府决定在银行业率先引入CDR作为“开放银行”的一项策略,随后将会在能源行业、通信行业效仿并实施,以更好地从竞争角度上促进产业发展。

 

如上所述,CDR数据包含了(1)产品参数和(2)消费者数据两类共享数据,此次生效的规则对这两类数据又提出了进一步分类完成共享给其他数据平台的时间表。

 

对于产品参数,包括利率、费用和收费等信息,以及申请信用卡和抵押等银行产品需要符合的相关资质要求。CDR法案要求四大银行与经认可的数据接收者进行共享,且自2019年7月起,银行已经开通API接口提供此类信息的共享了。

 

对于消费者数据,CDR规则要求银行(在消费者提出要求的情况下)将消费者数据共享给其他数据平台,但可以分以下阶段进行:(1)与信用卡和借记卡、存款账户和交易账户有关的消费者数据将从2020年7月1日起开放共享;(2)与抵押和个人贷款数据有关的消费者数据将从2020年11月1日起开放共享。(注:2019年12月, ACCC曾宣布出于隐私保护与信息安全的考虑,与信用卡和借记卡、存款账户和交易账户有关的消费者数据共享将从2020年2月1日推迟至2020年7月1日;与抵押和个人贷款数据有关的消费者数据共享将从2020年7月1日延迟至2020年11月1日)。尽管比原计划时间表略有延迟,但是澳大利亚在开放银行计划上的步伐是相当进取的,尤其与其他许多国家相比,例如最先带动开放银行节奏的英国。

 

三、CDR对金融业和消费者的影响

 

澳大利亚政府积极推进CDR立法,将对澳大利亚金融业产生极大影响。目前澳大利亚有超过五百家分布在资本市场、支付、保险、私人理财、贷款、电子货币等专业领域的金融科技公司。数据对于金融科技公司来说至关重要。举例来说,金融科技公司可以通过大量客户数据,更加全面地了解客户(个人或小型企业)的财富状况、消费习惯、风险态度和信贷情况,从而准确评估其资信状况,为其提供相对应的信贷服务或其他个性化服务。在控制风险的同时,为公司创造收益。而传统的澳大利亚四大银行目前占据着80%的市场份额,公开产品参数、共享消费者数据可能让他们流失大量的客户,将产生巨大冲击。但从整体上说CDR的根本目标是尽快实现“开放银行”,刺激行业竞争,促进澳大利亚金融创新与发展。

 

加剧金融业竞争,加快产业转型升级当然也会给消费者带来好处。更加透明的市场信息可以帮助个人和小型企业选择更合适的产品。市场竞争可能促使银行或其他金融机构推出条件更加优惠的信贷产品,使个人和小型企业都从中受益。

 

但是,无论是CDR法案还是其刚刚生效的规则,在草案制定期间曾饱受争议。人们最担忧的是数据开放同时可能产生隐私泄露问题。澳大利亚隐私基金会(APF)在2019年3月时指出,针对CDR的隐私保护措施并不充分,政府“严重”低估了其在整个立法进程中需要进一步思考的必要性。APF认为澳大利亚信息专员办公室(OAIC)应当参照GDPR模式,为一个严厉的隐私监管机构提供充足的资金,而目前OAIC被认为“严重缺乏资源”并且在监管方面“不太活跃”。可以看出,数据共享是一把“双刃剑”,给人们带来便利,同时也引起人们在隐私安全方面的担心。

 

对于这些顾虑,ACCC已经有所回应。除了适用隐私保护的一般性原则和举措(如数据最小化原则,被认可的第三方只能要求收集和使用与提供产品或服务相关的消费者数据;删除消费者数据(或去标识化))外,ACCC在本次生效的CDR规则中专门提出了特别的隐私安全保障措施。ACCC认为, CDR规则第7部分规定的13项措施覆盖了CDR数据收集、处理、诚信与安全、更正等方面,具体包括要求数据持有者和接收者公开CDR数据的管理规则、允许以匿名或假名的方式提供CDR数据、CDR数据收集的通知、受认可的数据接收者资质、及时删除冗余数据、及时回应数据更正请求等多项内容,应当足以保护消费者的隐私。人们相信并期待,CDR在增强和保护消费者权益,推动参与方竞争和创新,带动国家金融发展等方面将有良好的表现。

 

四、CDRGDPR下数据可携带权的比较

 

实现CDR需要区分对产品参数的请求和对消费者数据的请求。针对产品参数的请求,无论消费者还是代表消费者的第三方机构均可以提出。根据CDR规则,有两种消费者数据请求服务:(1)消费者直接请求服务:符合资格的消费者可以直接请求数据持有者(如四大银行)披露自己的消费者数据,数据持有者需要以人类可读的形式提供CDR数据;(2)受认可的第三方请求服务:受认可的第三方可以代表符合资格的消费者向数据持有者请求披露该消费者数据,第三方的请求需要符合相关数据标准,数据持有者需要以机器可读的形式提供CDR数据。

 

GDPR第20条第1款规定数据主体有权以结构化、常用地和机器可读的形式接收数据控制者提供有关数据主体的个人数据,并有权将这些数据传输给另一个数据控制者,不受前者的任何限制。第20条第2款规定,在技术可行的情况下,数据主体在行使第1款规定的数据可携权时,也可以要求数据控制者直接将其个人数据传输至另一个数据控制者。这个规则能够实现消费者数据不被一个数据控制者“锁定”,让消费者真正获得数据的权能。通过相关立法保障数据分享请求的许可,给予消费者控制权,可要求数据控制者以安全可靠的方式分享其个人数据。

 

上述GDPR下“数据可携权”体现了数据主体实现对自身数据的重要权能。消费者有权访问自己的数据,有权决定向谁开放自己的数据,以获取更好的产品或服务。CDR的实现方式与GDPR可携权的相关机制非常接近,都是消费者有权要求获取自身数据副本或者将自己的个人数转移到另一个新的数据平台。

 

但是这两者的权利范围有所区别。GDPR规定中,数据主体,即消费者可以得到机器可读版本的个人数据,并且有权将这些数据发给其所认可的第三方数据控制者。即,数据主体有权获取自己的数据副本,并将副本进行迁移。在CDR中,消费者可以直接请求获得人类可读的个人数据,也就是获得一个人类可读懂的数据副本,或者通过请求被认可的第三方向数据控制者提出传输机器可读版本的消费者数据请求,因此CDR对消费者权利的保护更加人性化。但是对比于GDPR均是由个人数据主体控制者提出获取数据副本或者数据迁移的请求,CDR多出了一类情况,即个人数据主体可以要求另一个数据控制者直接向持有消费者数据的原控制者提出数据共享的请求,也因此CDR对受认可的代表提出了严格的资质审查要求和相关隐私安全保障措施要求,从而来提升消费者数据迁移的安全性与可靠性。

 

另外我们注意到,GDPR下数据可适用携带权的行业范围远比CDR要大。CDR目前只被引入银行业(当然随着CDR的进一步推广,还可能扩展至其他行业),但是从GDPR的适用性上来看并没有对某一个行业做出专门的允许或者限制,换言之,GDPR项下的数据可携带权是一个适用于全行业的方案。另外,在设计可携权方案时,两者的目标和理论基础也是不同的。CDR的颁布是为了促进银行间部分数据开放,本质上是鼓励竞争。我们可以看到,虽然人们对CDR的讨论停留在消费者保护层面,但CDR的本质其实是财产权问题。然而,将GDPR数据可携带权上升到基本权利层面 ,就会产生基本权利与其他权利优先性的问题。一般来说,基本权利具有人格属性,不可让渡,具有当然的优先性。但不可否认的是,是在数字经济时代,个人数据还具有财产权的属性。将数据可携带权作为基本人权,可能在根本上损害到一些对用户个人数据进行了加工和处理的公司的利益,甚至对整个产业发展也可能存在不利之处,因此GDPR可携权的实施一直是个执行上很不好落地的问题。

 

五、CDR与我国相关立法的比较

 

2019年12月底刚刚出台的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》(以下简称《实施办法(征求意见稿)》)第三十六条规定,鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。这一条规定与CDR中“消费者可以请求第三方请求数据持有者披露消费者数据,第三方的请求需要符合相关数据标准,数据需要以机器可读的形式提供”的部分内涵比较接近。我们可以看到中国和澳大利亚在构建“开放银行”问题上也有相似的努力。

 

当然两者有很大不同。其一,CDR是一项消费者权利,消费者有权访问、提取或者要求转移自己的消费数据,只要符合相关要求,并由数据持有者和接收者共同保障数据安全。但是《实施办法(征求意见稿)》中仅提出了对消费者金融信息进行跨机构转移的探索,并没有提到消费者对自己的消费数据拥有的相关权利。在《实施办法(征求意见稿)》中甚至没有提到消费者可以要求查询自己的消费数据。其二,CDR法案及其规则提出了一系列可操作的标准,以实现不同数据平台共享这一目标,例如在数据分享形式上要求以机器可读形式。并且提出了争端解决规则,便于在数据持有者和接收者之间分配责任。实现数据共享,需要政府及其相关部门和企业的共同努力,需要解决包括在联合控制数据情况下的责任分配、技术上可兼容的或者存在至少无传输障碍的系统等在内的大量问题。澳大利亚已经完成了大量工作,而我国目前尚处于探索尝试的阶段。

 

CDR的法案和规则,以及将来的具体实践都对我们有很高的参考借鉴价值。CDR是一项不同于GDPR可携带权的方案,在这一方案中,消费者对自己的数据拥有控制权,数据控制者和接收者共同保障数据安全,人们期待以这样的方式实现经济价值与数据安全的双赢。

 

对我国而言,构建开放银行,推动数字经济发展是我们的目标。同时我们要注重个人信息保护。怎样在消费者和金融从业者之间准确划分权利范围,怎样在金融从业者之间进行责任分配,怎样把消费者数据与个人隐私进行区分是我们当下面临的主要课题。相信CDR的实际执行可以给我们带来更多启发。

 

六、对中国法律与企业实践的启示与意义

 

首先,CDR的相关规定对我国在开放银行和数据共享方面的立法具有较高的参考意义,至少在以下几个方面值得进一步思考与借鉴:

 

第一,坚持消费者拥有其个人数据的总体理念,通过法律更强地保障消费者对个人数据的控制权。

 

第二,廓清消费者数据共享的范围。通过行业细则的方式明确哪些类型的消费者数据可以共享和开放。数据利用需要充分,但是数据开放也需要节制,也要考虑到经过企业加工和衍生后的数据权益。因此,开放可共享的数据类型需要既有确定性,又要兼顾平衡各方得益。CDR中明确规定了可以共享产品参数和消费者数据两类数据。能否从中概括为,为了节省社会资源,保护企业与消费者的权益,如注册类信息、产品参数类信息和消费者信用信息等可以考虑在消费者同意的前提下由不同机构间进行共享呢?对每类数据如何共享可以在具体实施细则中得到体现。例如,信用信息需要有更高的保护强度,在提出共享迁移申请时应有更高的验证标准等。

 

第三,共享数据实现方式的创新。CDR规则的实现方式是可以通过消费者直接请求,也可以通过由消费者受认可的第三方在消费者要求下,向数据控制者提出请求。企业与个人往往实力不对称,如何由消费者对第三方的资质和相关安全措施保障情况进行审核,也是一个需要考虑的问题。比如说是否可由第三方公布其Code of Conduct或者经过相关权威机构颁布的Certificate来表明已经符合接收标准呢?在我国或许还可以考虑建立一个专业的消费者金融数据平台,根据消费者的请求,统一通过平台向各银行或其他金融机构提出消费者数据交互的要求并进行一致性管理。此外,对于这样一个平台本身来说需要有更高的安全保障要求,因为它更大程度上实现了各机构间数据的汇集,那么是否可由行业组织或者金融机构的直接主管机构人民银行来牵头,可能人行也已经开始在尝试了,因篇幅所限,本文不再进一步展开叙述了。

 

第四,对共享数据格式的要求。GDPR规定可携带权相关的数据迁移仅以机器可读版本提供。CDR规定了二条路径,即向机构迁移数据的,需提供机器可读版本;向消费者提供其个人数据的,则需提供人类可读版本。这增强了消费者对数据的了解程度,从实际意义上保障消费者的权利并加强其对个人数据的控制能力。我国《实施办法(征求意见稿)》仅规定了在消费者提出要求向其认可的第三方金融机构提供数据时,控制者需要以机器可读的形式提供数据。那么,除了推荐性国家标准《个人信息安全规范》有提到在个人信息主体提出获取四类个人信息副本的请求时,数据控制者需要满足以外,我国是否可以从立法上进一步明晰个人信息主体有权向银行等金融机构请求获取其个人数据,并明确要求金融机构需要以人类可读的版本向个人信息主体提供个人信息副本呢?值得进一步思考与讨论。

 

第五,在不涉及特定消费者的问题上,CDR规则要求数据控制者应当以匿名或假名的方式向数据接收者提供消费者数据。数据匿名化或脱敏处理可以在极大程度上提高数据分享的安全性。这也是对数据最小化原则的贯彻。这点也应当建议被将来我国的立法所吸取,这将在极大促进社会的整体效率的同时,能够最大程度地保护单个消费者的个人信息安全和其内心的安全感。

 

第六,确立禁止性规定。共享与数据开放是为了让数据成为资产的流动性更强,提升客户更个性化的服务。但是为了避免有些企业和人浑水摸鱼,将共享来的数据另作他用,需要建立一套完善的数据共享机制。比如事先授权、事中管理与跟踪、事后审计与追责,建立透明且合理的数据流通措施与流程,不得将共享的数据用于非法用途和对消费者进行营销等,设置开放银行的禁止性要求,划定合规红线。

 

第七,高度重视并提前防范数据泄露风险。CDR规则中采取了安全控制措施与隐私保护措施相结合的方式。如果某一共享数据不停地在不同机构之间进行共享,那么链条一长,就需要充分考虑在数据共享机制中设计防数据泄露的防护体系,加强数据接口间的安全,提升系统级别与应用层安全的双重防护,建立开放银行统一平台的可信环境,通过实施数据共享全流程的安全控制措施来充分保障消费者隐私安全与业务的可连续性。

 

第八,尽快建立行业统一标准。银行之间、银行与金融科技公司之间,银行与各大企业平台之间,甚至金融公司与企业平台之间,如果需要真正实现数据共享,从单一银行业务转化为多层次多业态联通的综合系统,就需要建立统一的行业标准,包括技术类标准、数据管理类标准、数据质量标准、风险评估标准等,这是都是实现数据共享与多场景融合的基本要求。只有遵循同一标准与要求,才可能构建一体化的开放银行体系。

 

但是CDR的做法未必能够完全符合我国的监管要求与社会环境的土壤。首先我们需要考虑,我国可能需要实现多大范围内的数据共享,是特定一个或几个行业,还是全行业的数据流通。比较于全行业的计划,实现在特定行业内部的数据共享将会相对容易。但是不同行业之间也有区别。举例来说,与社交软件数据共享相比,银行业的数据共享可能还算容易得多。想象如果我们可以从“微信”提取所有的转账记录并要求实时分享到“支付宝”,这会是怎样的场景。如果我们可以跨行业分享数据,金融科技公司(假设经过授权)可以通过提取“微信”的聊天记录来判断一个人的信用状况,这又是怎样的情景。这些情况意味着更激烈的行业竞争,虽然一定程度上企业、消费者都可能从中获益,但是那时我们可能会更加深入地去思考数据安全和隐私保护的问题了。

 

其次,如何保障实现开放数据共享的这些银行以及企业获得相应的收益与回报。CDR以重视消费者权利为中心切入,要求银行公开产品参数和消费者的相关数据,这对传统占据垄断地位的银行业是构成巨大挑战的。试想,他们要从其本来垄断的资源中分一块奶酪给对其可能构成竞争的第三方,那肯定需要被反馈其认为更有诱惑力的回报,否则单纯为顺应政府监管或者通过立法强压而形成的模式是不稳定和持久的。因此,我国需要慎重考虑以怎样的方式分配和平衡好消费者、数据持有者和新兴企业之间的利益分配机制?

 

另外,我们还应该考虑如何在不同企业间分配责任。数据共享的目标是刺激竞争,同时促进银行业务形态多样化并帮助金融科技企业有所发展,便利个人和小型企业获得更合适的信贷项目,解决融资难题。但是大银行与小金融公司之间实力悬殊,如果对金融科技企业课以过高的数据合规义务可能反倒会极大阻碍其发展,但如果安全标准定得过低就有可能发生数据泄露,产生侵犯消费者隐私的风险。因此,我们应当考虑到各参与方间的实力差距,也应当考虑到消费者信贷需求和其提供个人数据意愿的平衡。比如在开放银行生态打开前,大银行、大企业可以适当地多承担数据安全能力适配、安全标准研发、行业规则制定等社会义务与责任,当然在这过程中,这些大企业从趋利的角度出发,可能会在政策标准中向自己倾斜更多的利益;这就要求在生态开放后,请这些大企业和银行多共享数据,并接受首当其冲的消费者隐私保护合规性审查,对其进行利益与责任的适当分配。

 

再有,我国应该设立怎样的监管机构实现有力监督。如前文所述,澳大利亚有其独特的监管模式,ACCC与澳大利亚信息专员办公室(OAIC)和数据标准机构(DSB)合作开发和实施CDR。OAIC负责接受CDR计划下的投诉、调查和执行,以处理隐私投诉并开展其他有关隐私的监管活动。我国目前尚无统一的隐私监管机构,因此从保护消费者隐私角度来说,由谁来承担监管机构的角色并实施有效监管最合适?是与行业监管机构(如人民银行)合一,还是单独对消费者隐私保护和数据安全另设一套监管机构?另外,在有监管的情况下,应该配套怎样的处罚标准和措施(民事、行政或刑事),这一系列问题都有待回答与进一步思考和探索。

 

当然,CDR法案与规则对我国企业赴海外投资也可能产生重大影响和启发。目前来看,CDR可能促进竞争,动摇澳大利亚银行业原本的“锁定效应”,对金融科技企业的发展提供法律支持,让更多消费者具有更丰富的选择。同时,对传统银行业而言,这必然是巨大的挑战但也蕴藏着另一层巨大的机遇。在大数据时代,通过分析消费者数据,了解更加全面的信息,提供个性化服务是一个企业乃至许多产业发展的方向。



对于中国中小企业赴澳投资,CDR可能是一个利好消息,我们有机会获取更低价格的信贷产品。对于中国在澳大利亚的金融科技企业,如能尽早获取牌照,通过CDR可能会争取更多新用户,创造新一轮的业务增长点。澳大利亚政府在很大程度上希望帮助金融科技企业不断壮大发展。

 

虽然存在着机遇,我们还是需要提醒中国的金融科技企业需要高度重视在澳大利亚关于个人隐私保护、数据安全方面的合规工作。CDR在给消费者数据带来更大透明度和流动性的同时,对数据安全提出更高的要求。澳大利亚政府也将为相关监管配备充足资金支持。从银行业起头,后面的数据开放步骤会越来越密,因此在实施数据共享的过程中,金融科技企业需要提前做好一系列合规准备工作。

 


近期新闻

更多新闻