在数字时代,随着人们消费行为逐渐转向数字化,社会对消费者数据管理和隐私保护的关切与日俱增。消费者数据权利的保护已经成为消费者权利保护的重要内容,同时也成为各国立法的新领域和法学研究的新议题。在澳大利亚,2019年通过了《消费者数据权利法案》,并于2020年发布了《消费者数据权利规则》。本报记者采访了澳大利亚悉尼新南威尔士大学法律与司法学院高级讲师安东·迪登科(Anton Didenko),对相关法规的最新发展进行探讨。
从消费者数据中提取价值
《中国社会科学报》:澳大利亚消费者数据权利框架及其主要目标是什么?
迪登科:消费者数据权利(Consumer Data Right,CDR)是澳大利亚的一个法律框架,它允许消费者授权服务提供商(如银行)安全、便捷地与其他提供商共享数据,以便使后者更好地服务消费者。CDR认可了消费者数据在现代经济中的高价值,并通过赋予消费者更大的数据控制权来释放这种价值。这个过程打破了消费者数据“信息孤岛”的状态,从而促进正当竞争。该法律框架包括法律规定、规则、标准并指定适用范围。CDR从最开始就在朝着跨部门的方向发展。尽管其最初是在银行业推出,但这一法律机制的设计理念旨在促进澳大利亚广阔经济领域内的数据共享。自推出以来,CDR已扩展到能源部门和非银行借贷机构。电信、保险、养老金等领域目前尚未实施这一机制,因为CDR需要时间来完善其生态系统,在关键部门实现既定目标。
CDR是一个复杂的框架,侧重于消费者与其他两类实体之间的互动:数据持有者和获得授权的数据接收方。前者指的是持有大量消费者数据的实体,如银行;后者则在完成认证流程后获得获取消费者数据的权利。CDR可被视为一个由许多“管道”组成的系统,管道就好比规定的数据传输通道,通过这些管道,有价值的消费者数据被输送到各个经济领域。这些传输通道必须是安全的,在征得消费者同意的前提下进行数据传输。在此,该机制可以被理解为“阀门”。
消费者很难在没有良好监管体制的情况下独自从其数据中提取价值,而传统的法律框架(如隐私法律)也无法胜任这项任务。因此,CDR最关键的目标是让更多的市场参与者(如规模较小的金融科技公司)能够访问有价值的消费者数据,从而促进经济领域中的良性竞争。简言之,其存在的目的是提升经济领域内消费者数据的共享数量和频率。此举将有助于减少信息不对称和化解新的市场参与者所面临的障碍。此外,CDR还能保护消费者,因为在其生态系统中共享的数据能得到安全保障。这是澳大利亚对消费者数据共享做出的重要举措,也是消费者数据共享方面有代表性的法律框架之一。
信任保障法律框架有效运转
《中国社会科学报》:消费者信任在CDR框架中起到什么作用?
迪登科:消费者信任对CDR框架的运转至关重要。如果消费者不信任该框架,就不会有消费者数据在其生态系统内得到传播。根据澳大利亚财政部的说法,CDR“应当服务于消费者、围绕消费者展开并且站在消费者的立场”。CDR运转的前提是消费者自愿选择与其他CDR参与方产生关联,并同意披露自己的数据。在CDR框架中,消费者不仅是需要保护的弱势方,更是推动系统运转的宝贵数据来源,消费者信任的关键特征包括了机构化和非个人化。这意味着,消费者无须验证数据接收方的计算机系统的质量,而消费者的授权意味着其信任整个数据权利生态系统及其他参与方。
从不精通法律的普通消费者到大型银行,离开利益相关方的信任,大多数法律框架都无法运转。要明确的是,“信任”是一个复杂多面的概念,在不同学科中具有不同含义。跨学科研究表明,信任的建立通常需要满足两个条件。首先是某种风险或脆弱性的存在,这为信任的“出场”创造了机会。其次,个人的利益需要仰仗他人的配合才能够实现。换言之,信任实际上代表了对脆弱性的接受以及对他人行为的积极期望。
为什么理解这一点有助于法律的起草及分析?鉴于信任的两个关键条件,我们可以得出这样的结论:法律框架中增进信任的元素指的是,那些能够使利益相关方通过依赖第三方来实现目标并最小化潜在风险的因素。因此,只要分别厘清法律工具试图解决的风险和涉及的相互依赖关系,就可以较快识别出某个法律框架中促进或抑制信任的因素。此外,信任应被视为一种存在于不同阶段的动态现象。这意味着,人们应该研究法律框架中有哪些促进信任的元素,从而更好地通过完善法律来提高社会信任水平。
《中国社会科学报》:目前,CDR框架有何不足之处?应如何改进?
迪登科:首先,最近的几次调整允许某些实体可以在不经过认证的情况下访问CDR数据,这可能导致不同的数据接收方对同一条消费者数据进行信息安全控制。我认为,由此带来的问题难以通过颁布CDR框架下的修正案来解决,需要加强整体经济循环中的消费者数据保护。搭建法律框架来规定哪些渠道有权传输消费者数据也是有必要的,而这需要充分的政治意愿支持才能得以实施。在政治意愿不足的情况下,或许可以先采用黑名单制度作为替代方案,打击屏幕抓取行为等违反消费者数据安全的数据共享手段。
其次,有必要引入一种高效的补偿制度。在发生网络安全事件后对消费者进行补偿,可以有效增强消费者信任。一个有力的论据是网络安全法规的“假定失陷”(assume breach)逻辑,这种逻辑认为,任何计算机系统都难免受到攻击,试图建立“不可攻破的网络堡垒”是徒劳的。如果遭遇网络攻击只是时间早晚的问题,那么,数据失守也是在某一刻必然会发生的事情。因此,保障消费者的追索权至关重要。
再次,必须确保法律法规的一致性和确定性,同时还要平衡好不同利益相关方的诉求。在目前的CDR框架中,为了保护服务提供商,有一些规定将剩余风险转嫁给了消费者。例如,“安全港”(safe harbours)规定。这个结果显然不尽如人意。尽管“安全港”可以保护服务提供商在某些时候免受监管处罚,但不应阻碍消费者从服务提供商那里获得赔偿。
最后,有必要通过不同方式保障消费者权利,提高消费者对于共享数据的风险意识。例如,允许消费者直接获取自己的CDR数据,这是目前澳大利亚消费者数据权利框架缺失的功能。
总结增强消费者信任的因素
《中国社会科学报》:从世界的视角看,澳大利亚的CDR框架应用可以为其他国家或地区提供哪些参考?
迪登科:这牵扯到几个要点。其中一点,我称其为“边界问题”。复杂的法律框架往往在不同法律领域的交汇处落地。消费者数据权利和竞争法、消费者权益保护法、数据保护法、隐私法之间有交叉之处。这几个法律领域本身也可能相互交叉重叠。决策者需要认识到这一点,并主动处理新法与现有法律的重叠问题。
CDR为设计跨部门、由消费者掌握数据共享权的法律框架提供了一个可行的案例。据我所知,近期新西兰在建立新的共享消费者数据的法律机制时,借鉴了这一框架。澳大利亚采取的方式在其他司法管辖区的吸引力可能并不大,一些国家或地区在消费者数据共享方面可能更倾向于强制性更低的策略。我认为,从长远来看,法定的框架是一种很好的解决方案,能有效解决之前提到的“边界问题”,有助于消除不安全的数据共享行为。
此外,不论其他国家或地区选择以何种方式来搭建自己的数据共享框架,消费者信任都应该是这些框架制定和修订的重要驱动因素。毕竟,如果抛开消费者信任,法律法规将缺失作用对象(即消费者数据),缺乏存在的意义。我总结了有助于增强消费者信任的五个方面因素,分别是:认证、信息安全与隐私、补救措施、消费者赋权、消费者体验及消费者意识,为其他消费者数据共享管理框架提供参考。
以战略眼光看待跨领域的法律框架
《中国社会科学报》:近期,与数据泄露和隐私保护相关的问题受到国际社会广泛关注。您如何看待消费者在数据共享和隐私法律方面的信任危机?
迪登科:某种程度上,法律框架中的信任是机构化的。在跨越多个经济领域的法律框架背景下,发生在某一领域的负面事件可能会影响消费者对整个框架的看法。我对此有几点建议。
首先,立法者应该以战略性的眼光看待跨领域的法律框架。为确保落实之后能够达成所有既定目标,同时避免消费者信任的进一步消耗,如有必要,可暂停新法的推行。例如,澳大利亚政府近期决定暂停扩充CDR框架,就体现了这种监管上的弹性。
其次,只要消费者数据共享框架适用于特定领域(如“开放银行”或“开放金融”),而非涵盖整个经济领域,上面提到的“边界问题”就将持续存在。这还会暴露“最薄弱环节”的问题:消费者数据风险最大的地方往往是信息安全控制最薄弱的环节。因此,政策制定者不能只关注数据共享框架,还应致力于全面提高消费者数据的保护标准。
再次,“假定失陷”逻辑表明,任何信息系统都不能保证免受网络攻击的威胁。因此,在设计消费者数据共享框架时,应更加注重修复和补偿这两个方面。最容易受到攻击的消费者,即个人消费者,需要得到额外的保护。这是因为,数据一旦被盗取,几乎可以被无限制地使用。换言之,数据泄露可能会使个人消费者长期面临身份信息被盗用的风险。同时,必须确保消费者不必经历诉讼就能便捷地获得赔偿。
最后,有必要强调,消费者信任有时可能会错位,比如,有的消费者并不了解相关风险。理论上,这可能会促使某些政策制定者和企业有意抑制消费者的风险意识,以维系消费者信任。这种做法非常不明智,因为,如果消费者只在风险显现并导致损害时才意识到其存在,由此产生的后果和消费者信任水平的下降可能是非常严重的。换句话说,抗拒提升消费者对相关问题的风险意识,可能给消费者信任水平带来更大的冲击。
