ЦБА и НАБ с тревогой отреагировали на предложение, которое позволило бы получателю банковских данных в рамках права на потребительские данные передавать их непосредственно другому получателю.
Предложение о передаче данных было выдвинуто Австралийской комиссией по конкуренции и защите прав потребителей (ACCC) в конце сентября среди ряда возможных изменений правил [pdf] для схемы защиты прав потребителей данных (CDR).
Изменения в правилах направлены на то, чтобы отменить участие в схеме и привлечь больше сторон, работающих с данными CDR. Они предлагают, среди прочего, новые уровни аккредитации для получателей данных.
Но, возможно, более спорным является то, что один из планов состоит в том, чтобы позволить получателям “собирать и раскрывать данные CDR между собой”, вместо того чтобы ограничивать потоки данных между держателем данных (например, банком) и получателем данных (например, финтехом).
ACCC заявила, что передача данных непосредственно между аккредитованными получателями может быть допустима, например, в тех случаях, когда веб-сайт сравнения рекомендует стороннюю услугу, а затем передает данные CDR, чтобы облегчить потребителю регистрацию на эту услугу.
ACCC сказал, что за передачу данных может взиматься плата, хотя интерпретации этого вопроса различны. Некоторые участники CDR считали, что первый получатель может взимать со второго плату за передачу данных; другие рассматривали это как возможность взимать плату непосредственно с потребителя для удобства.
Комиссия также заявила, что для передачи и получения данных CDR все стороны цепочки должны получить согласие потребителя.
Но банки отреагировали с тревогой, заявив, что потребителям может быть трудно распаковать или остановить такие механизмы обмена данными.
Кроме того, поскольку первоначальный владелец данных находится вне процесса передачи, он теряет представление о том, как обрабатываются данные, что, как утверждают банки, может быть проблематичным в случае нарушения данных.
“Чтобы доказать информированное согласие, потребители должны будут понимать передачу своих данных между аккредитованными получателями данных (ADR)”, — говорится в заявлении NAB, опубликованном в конце прошлой недели. [PDF-файл]
“С точки зрения пользовательского опыта потребители потребовали бы объяснения договоренности в рамках потока согласия, чтобы предоставить это согласие.
“Кроме того, существуют проблемы в случае отзыва согласия потребителя или нарушения данных.
“Поскольку DH [владелец данных] больше не является стороной обмена данными, в случае нарушения данных ADR DH не сможет проследить, были ли данные этого потребителя скомпрометированы.
“Чтобы справиться с утечками данных, OAIC [Управление Австралийского комиссара по информации] и ACCC должны будут провести анализ, чтобы позволить DHs отслеживать скомпрометированные личности, чтобы можно было ввести соответствующие меры контроля для защиты потребителей.”
Банк Содружества был также обеспокоен “передачей данных CDR способом, который ранее не рассматривался.”
ЦБА сказал, что изменение правила, если оно будет разрешено, означает, что потребители больше не смогут “управлять своими согласиями с панели мониторинга владельца данных”, поскольку владелец — ЦБА — больше не будет иметь видимости того, куда отправляются данные.
“Согласно предлагаемому проекту правил, потребитель должен будет войти в информационные панели нескольких аккредитованных лиц, чтобы прекратить [обмен данными]”, — сказал ЦБА. [PDF-файл]
“Особую озабоченность вызывает отсутствие каких-либо требований к аккредитованному получателю данных для обеспечения того, чтобы потребитель был информирован или мог выбрать, согласен ли он на продажу своих данных CDR.”
ЦБА также заявил, что если передача данных будет осуществляться таким образом, то к ней должны применяться “технические стандарты”.
Как предусмотрено ACCC, способ передачи данных CDR между сторонами будет оставлен на усмотрение “коммерческих договоренностей”.
ЦБА утверждал, что этого недостаточно.
“Очень важно, чтобы все звенья цепочки хранения данных CDR имели одинаковый уровень защиты», — сказал ЦБА.
“Без обязательных сквозных стандартов безопасности безопасность и конфиденциальность данных CDR не могут быть гарантированы”.
В целом ЦБА заявил, что не поддерживает идею о том, что третьи стороны могут обмениваться данными CDR друг с другом, “из-за риска причинения вреда потребителям и снижения существующей защиты конфиденциальности и безопасности”.
Измененная оценка воздействия на конфиденциальность (PIA), включающая проект изменений правил ACCC [pdf], рекомендовала провести дополнительную работу над предложением о передаче данных — и действительно над многими проектами правил.
Банки заявили, что измененные правила могут сделать CDR еще более сложным для реализации и запутанным для навигации для потребителей, что может быть нежелательно, учитывая младенческий возраст схемы.
