Quyền Dữ Liệu Người Tiêu Dùng và quyền riêng tư của bạn
Quyền Dữ liệu Người tiêu dùng là gì?
Quyền Dữ liệu Người tiêu dùng (Consumer Data Right, CDR) cho phép bạn kiểm soát dữ liệu của mình tốt hơn, bao gồm cả khả năng chia sẻ dữ liệu một cách an toàn với một bên thứ ba đáng tin cậy. Quyền này áp dụng cho người tiêu dùng từ 18 tuổi trở lên, và cho các doanh nghiệp.
Mục đích của CDR là giúp bạn giám sát tài chính, các dịch vụ sinh hoạt và các dịch vụ khác, đồng thời so sánh và chuyển đổi giữa các chào bán khác nhau dễ dàng hơn.
CDR còn có mục đích là khuyến khích đổi mới và cạnh tranh giữa các nhà cung cấp dịch vụ, giúp bạn tiếp cận các sản phẩm và dịch vụ phù hợp với nhu cầu của mình.
CDR sẽ được triển khai trong lĩnh vực ngân hàng từ tháng 7 năm 2020. Sau đó sẽ được triển khai tới các lĩnh vực khác của nền kinh tế, gồm cả năng lượng và viễn thông.
Hệ thống CDR được thiết kế để bảo mật dữ liệu của bạn. Hệ thống tích hợp các biện pháp bảo vệ chặt chẽ quyền riêng tư, và nhà cung cấp chỉ có thể truy cập dữ liệu của bạn nếu họ được công nhận và bạn đã chấp thuận.
Văn phòng Ủy viên Thông tin Úc (Office of the Australian Information Commissioner, OAIC) thực thi các khía cạnh bảo mật của hệ thống CDR và giải quyết các khiếu nại về cách quản lý dữ liệu CDR của bạn.
Ủy bạn Cạnh tranh và Người tiêu dùng Úc (Australian Competition and Consumer Commission, ACCC) chịu trách nhiệm công nhận các nhà cung cấp và tuân thủ các Quy tắc của CDR.
Dữ liệu CDR là gì?
Dữ liệu CDR của bạn bao gồm các thông tin về bạn, chẳng hạn như tên và thông tin liên lạc, cũng như thông tin chi tiết về việc sử dụng sản phẩm hoặc dịch vụ cụ thể của bạn.
Dữ liệu CDR của bạn do một ‘nhà lưu giữ dữ liệu’, chẳng hạn như ngân hàng hoặc một nhà cung cấp dịch vụ khác lưu giữ.
Tôi truy cập và chia sẻ dữ liệu CDR của mình như thế nào?
Theo CDR, bạn có thể chia sẻ dữ liệu của mình một cách an toàn với một nhà cung cấp được công nhận mà bạn chọn. Các nhà cung cấp cũng được gọi là ‘người nhận dữ liệu được công nhận’.
Bạn có thể sử dụng dữ liệu CDR của mình để kiểm tra, so sánh và tiếp cận các dịch vụ mới. Ví dụ, bạn có thể chọn chia sẻ dữ liệu của mình với nhà cung cấp chào bán ứng dụng lập ngân sách hoặc ứng dụng tiết kiệm.
CDR cho phép bạn chọn:
- nhà cung cấp nào có thể xem và sử dụng dữ liệu của bạn
- chuyển loại dữ liệu nào
- mục đích sử dụng dữ liệu của bạn
- thời gian ngừng chia sẻ dữ liệu của mình
- yêu cầu xóa dữ liệu của bạn khi không còn cần nữa.
Ngay khi bạn chọn một nhà cung cấp được công nhận, họ sẽ hướng dẫn bạn quy trình truy cập dữ liệu CDR của bạn từ một ‘nhà lưu giữ dữ liệu”, chẳng hạn một ngân hàng.
Bạn sẽ cần chấp thuận cho phép cả hai doanh nghiệp có liên quan chia sẻ dữ liệu của mình
Tôi chấp thuận như thế nào?
Chấp thuận cho phép truy cập dữ liệu của bạn là một phần quan trọng trong việc bảo vệ quyền riêng tư của bạn. Một nhà cung cấp được công nhận chỉ có thể truy cập dữ liệu CDR của bạn nếu được bạn chấp thuận.
Chấp thuận của bạn phải là tự nguyện và được đưa ra một cách cụ thể cho mục đích đã thỏa thuận. Chấp thuận đó không thể là ngụ ý hoặc đoán chừng, hoặc thông qua cài đặt mặc định hoặc các tùy chọn đã chọn sẵn.
Bạn phải được cung cấp đầy đủ thông tin về việc dữ liệu của mình sẽ được sử dụng như thế nào trước khi đưa ra chấp thuận.
Bạn có thể chọn chia sẻ dữ liệu nào, cách dữ liệu sẽ được sử dụng và bạn muốn chia sẻ bao lâu thông qua hệ thống CDR.
Bạn có thể ngừng chia sẻ dữ liệu của mình bất cứ lúc nào. Chấp thuận cho phép sử dụng dữ liệu CDR của bạn sẽ hết hạn sau 12 tháng.
Một nhà cung cấp được công nhận chỉ nên đề nghị bạn chấp thuận cho phép thu thập dữ liệu cần thiết một cách hợp lý để cung cấp hàng hóa hoặc dịch vụ.
Tôi có thể chia sẻ dữ liệu CDR từ một tài khoản chung không?
Nếu bạn muốn truy cập hoặc chia sẻ thông tin liên quan đến một tài khoản chung, trước hết cả bạn lẫn chủ tài khoản kia phải đồng ý cho phép. Nhà cung cấp dịch vụ của bạn sẽ cho phép bạn thể hiện những tùy chọn của mình thông qua dịch vụ quản lý tài khoản trực tuyến.
Thông qua dịch vụ này, cả bạn lẫn chủ tài khoản kia đều có thể quản lý các tùy chọn của bạn, gồm cả việc bạn có hài lòng để chủ tài khoản kia thay mặt bạn yêu cầu chia sẻ dữ liệu CDR hay không.
Tôi có thể quản lý dữ liệu CDR của mình như thế nào?
Các nhà cung cấp CDR phải cấp cho bạn quyền truy cập bảng điều khiển người tiêu dùng trực tuyến, bảng này sẽ cho phép bạn quản lý hoạt động chia sẻ dữ liệu của mình.
Bạn sẽ nhận được thông tin qua bảng điều khiển trực tuyến này về những gì bạn đã chấp thuận và mục đích sử dụng dữ liệu của bạn.
Bảng điều khiển trực tuyến này cũng sẽ cho phép bạn rút lại chấp thuận của mình, và yêu cầu xóa dữ liệu CDR của bạn nếu dữ liệu đó không còn cần nữa.
Các doanh nghiệp trong hệ thống CDR phải có sẵn ‘chính sách CDR’ cho bạn. Chính sách này phải chứa thông tin chi tiết về cách quản lý dữ liệu CDR của bạn. Nó cũng sẽ cho bạn biết phải làm gì nếu bạn nghĩ dữ liệu của mình đã bị sử dụng sai mục đích.
Tôi có thể sửa lại dữ liệu CDR của mình như thế nào?
Bạn có quyền yêu cầu sửa lại dữ liệu CDR của mình nếu dữ liệu đó không chính xác, lỗi thời, không đầy đủ hoặc dẫn đến nhầm lẫn.
Nếu bạn nghĩ dữ liệu CDR của mình không chính xác, bạn có thể liên hệ với doanh nghiệp để yêu cầu họ sửa lại.
Nếu doanh nghiệp không sửa lại dữ liệu CDR của bạn, họ phải cho bạn biết lý do và giải thích về cách bạn có thể khiếu nại nếu bạn không hài lòng với phản hồi của họ.
Quyền riêng tư của tôi được bảo vệ như thế nào?
Một doanh nghiệp chỉ có thể quản lý dữ liệu CDR của bạn nếu họ được ACCC công nhận và đáp ứng các yêu cầu nghiêm ngặt về:
- thu thập, sử dụng và lưu trữ dữ liệu
- bảo mật thông tin
- bảo vệ quyền riêng tư của bạn
- xin chấp thuận của bạn.
Nếu họ không đáp ứng được những yêu cầu này, chứng nhận của họ có thể bị treo hoặc bị hủy bỏ, hoặc họ có thể bị phạt hoặc đối mặt với hành động pháp luật khác.
Bạn là người duy nhất có thể yêu cầu chuyển dữ liệu đến một doanh nghiệp được công nhận, và kiểm soát dữ liệu bạn chia sẻ cho mục đích gì và trong bao lâu.
Ngay khi bạn chấp thuận, dữ liệu CDR của bạn sẽ được chuyển thông qua một hệ thống trực tuyến bảo mật.
Dữ liệu của tôi được bảo mật như thế nào?
Hệ thống CDR tích hợp các yêu cầu về bảo mật dữ liệu. Những nhà cung cấp được công nhận phải tuân thủ các yêu cầu bảo mật thông tin nghiêm ngặt về quản trị, kiểm soát hệ thống tối thiểu, thử nghiệm, giám sát, đánh giá và báo cáo. Nhìn chung, họ phải hủy dữ liệu hoặc bỏ nhận dạng danh tính của bạn khỏi dữ liệu nếu dữ liệu đó không còn cần nữa.
Các nhà cung cấp cũng phải tuân thủ chương trình Notifiable Data Breaches (Các vi phạm Dữ liệu Phải Thông báo), bằng cách thông báo cho bạn và OAIC về mọi vi phạm dữ liệu nghiêm trọng.
Dù có sẵn các biện pháp bảo vệ mạnh, bạn cũng luôn phải tự bảo vệ trực tuyến. Một nhà cung cấp được công nhận sẽ không bao giờ yêu cầu bạn cung cấp mật khẩu cá nhân để chia sẻ dữ liệu CDR.
Tôi khiếu nại như thế nào?
Nếu bạn lo ngại về cách doanh nghiệp quản lý dữ liệu mà bạn đã yêu cầu hoặc doanh nghiệp bạn gửi dữ liệu đến, bạn có thể gửi khiếu nại cho chúng tôi.
Trước tiên, bạn phải gửi khiếu nại đến doanh nghiệp bạn nghĩ đã quản lý sai dữ liệu của bạn hoặc đã vi phạm quyền riêng tư của bạn và cho họ thời gian hợp lý để phản hồi. Chúng tôi nghĩ 30 ngày là khoảng thời gian hợp lý.
Nếu họ không phản hồi khiếu nại của bạn, hoặc bạn không hài lòng với phản hồi của họ, bạn có thể khiếu nại với chúng tôi.
Chúng tôi có thể điều tra và cố gắng giải quyết các khiếu nại về quyền riêng tư của cá nhân và các doanh nghiệp cụ thể.
Nhìn chung, khiếu nại phải về vấn đề đã xảy ra cách đây trong vòng 12 tháng.
Chúng tôi có thể chuyển các khiếu nại đến một hệ thống giải quyết tranh chấp bên ngoài hoặc Ủy ban Cạnh tranh và Người tiêu dùng Úc (ACCC) nếu chúng tôi nghĩ đó là những nơi tốt nhất để xem xét vấn đề.
Theo hệ thống CDR, bạn cũng có quyền kiện ra tòa cho những thiệt hại nếu bạn đã chịu thiệt hại hoặc mất mát do việc vi phạm các biện pháp bảo vệ hoặc Quy tắc về quyền riêng tư gây ra.
Bạn có thể gửi khiếu nại cho chúng tôi tại địa chỉ oaic.gov.au/cdr-complaints
Tìm hiểu thêm về CDR tại địa chỉ cdr.gov.au và oaic.gov.au/cdr
