该法案草案以澳大利亚消费者数据权立法为标杆，并针对新西兰的情况进行了调整。它是对新西兰现行的《2020年隐私法》的补充，保障客户安全可靠地访问、管理和与他人共享其数据，以充分释放数据价值。该法案草案在制定与数据交换有关的任何具有约束力的规定和标准时，均将与相关国际标准的一致性作为考虑因素，以支持系统间的互操作。例如，为“经认可的请求者”和“指定的数据持有者”设定与澳大利亚、英国认证标准类似的要求和限制。

二、《客户和产品数据法案》草案要点

草案建立了一个适用于整个经济体的战略框架，赋予客户要求一家企业以安全可靠的方式与另一家值得信赖的企业共享其客户数据的权利；希望访问数据的企业应获得认可，且仅在客户同意的情况下允许数据交换。

（一）法律定位

CPD法案草案以现有与数据和信息相关的法律为基础，增加了改进客户数据交换方式等要求。

一是CPD法案草案在现有《2020年隐私法》的基础上，对客户数据提出了更具体的要求，以确保对所有客户数据处理的一致性，使客户能够从其数据中获取价值，同时保护其隐私和数据安全，补充了现有《2020年隐私法》。

二是CPD法案草案与《2020年隐私法》《2015年认证和标准法》《2022年零售支付系统法》《2023年数字身份服务信托框架法（DISTF法）》《存款接受者法案》等现有立法相关规定保持一致。

三是CPD法案草案不会改变以下方面的现有规定：共享数据的方法（例如，屏幕抓取等）；使用或共享个人信息或其他信息相关规定；个人信息或商业信息的收集、存储、安全相关规定；数据所有权或数据存储位置的相关规定。

四是CPD法案没有为政府创造任何收集、共享或查看客户数据或商业信息的额外权力。不要求客户数据在交换时必须通过政府机构，一旦满足了必要的保障措施，这些交换就直接发生在数据持有者和认可的请求者之间。

（二）适用范围

1. CPD法案将适用于整个经济体

CPD法案将适用于整个经济体，CPD法案草案以现有的《2020年隐私法》为基础，《2020年隐私法》中的隐私保护相关规定适用于整个经济体（包括任何个人、企业或组织），CPD法案将不再对隐私保护相关内容进行重复规定，而直接适用。但CPD法案确立的CDR制度将通过“指定行业”开启，逐步适用于整个经济体。CPD法案通过规定“指定行业”，先将CDR制度应用于特定部门、特定产品数据类别和特定行为等。例如，法案草案规定，法规可以指定“银行”作为“数据持有者”；“交易记录”为“指定客户资料”；“住房贷款利率”作为“指定产品数据”；“付款或开设新账户”作为“指定行为”。

2. CPD法案将具有域外效力

与《2020年隐私法》一样，CPD法案将具有域外效力，适用于海外机构在新西兰开展业务过程中涉及指定客户和产品数据的行为，无论数据在何处收集或持有，或相关客户或产品位于何处。

（三）相关定义及权利、义务

1. 数据

CPD法案草案并未对术语“数据”做出明确定义。除规定“客户数据”将包括《2020年隐私法》含义内的个人信息外，并未详细规定哪些“客户数据”以及哪些“数据持有者”受CDR制度约束。法案草案附带的讨论文件对此的解释是，旨在将“衍生数据”以及“从衍生数据衍生的数据”纳入约束范围。但根据澳大利亚CDR相关制度的经验，这一规定可能引发争议，澳大利亚银行业协会认为这可能会侵犯数据持有者的知识产权（如，机构自己的内部模型或其他知识产权丰富的数据）等相关权益。

2. 数据持有者

数据持有者是指持有数据或能够执行“经认可的请求者”所请求的操作的企业。就法案草案而言，只有持有“指定数据”的“指定企业”才被视为“数据持有者”。

3. 经认可的请求者

经认可的请求者是指被授权请求数据持有者提供数据或进行某项操作的企业。虽然其他未经认可的企业也可以请求数据或操作，但数据持有者不必响应请求；仅当请求来自经认可的请求者时，数据持有者才需要响应请求。

4. 外包提供商

外包提供商是指帮助数据持有者或经认可的请求者履行CPD法案规定的职责或权力的企业。该定义很广泛，外包提供商可提供的帮助包括：帮助数据持有者确认客户的身份；帮助经认可的请求者从数据持有者处收集信息（在这种情况下，外包提供商本身也需要是经认可的请求者）；帮助数据持有者向经认可的请求者提供其数据。

5. 指定部门

CPD法案草案规定政府可以指定拟议的CDR制度适用的特定行业部门。在宣布该法案草案时，新西兰政府确认银行业将是第一个被指定的部门。根据讨论文件，指定部门数据持有者技术标准的设计将建立在现有的行业主导举措（例如新西兰支付API中心制定的标准）的基础上。根据2020年的磋商，电信或电力行业很可能成为下一个被指定的行业。

6. 行动启动

CDR制度将允许某些类别的经认可的请求者在客户指示的情况下遵守“更严格的要求”，代表客户采取措施并做出决定。这称为“操作启动”或“写入访问”（与“读取访问”相反，“读取访问”仅允许客户跨多个帐户查看数据）。新西兰政府认为，CDR制度实施的行动将带来多种好处，例如，促进新产品或服务、启用新的支付方式等。

7. 额外的隐私保护措施

CPD法案中将规定额外的隐私保护措施（例如，安全标准和强有力的同意程序），以确保传输给经认可的请求者的客户数据得到有效的保护。该法案草案还规定，法规可以规定客户同意的最长期限，且在此之后，所有同意都必须设置有效期，到期之前应及时更新同意。目前正在针对更新同意不得超过的最长周期征求公众意见。

（四）监管机构

CPD法案草案提出了与澳大利亚模式类似的多重监管机构模式，MBIE将负责标准制定、对请求者进行认证、促进受监管数据服务的使用和采用，以及合规和执行职能。如果违规行为涉及个人信息，隐私专员将根据《2020年隐私法》规定承担合规和执行职责，遵循现有权力、流程和系统进行处理。如果隐私专员无法解决问题，会将案件提交人权审查法庭进行进一步处理。

在隐私专员和MBIE的管辖权会重叠的情况下（例如，参与者没有遵守安全标准，从而导致未经授权披露个人信息），谅解备忘录将澄清两个监管机构在涉及隐私和非隐私情况下的角色和流程。隐私专员和MBIE必须能够共享信息以评估案件，并在适当的情况下相互转交投诉。未来将通过协商制定必要的信息共享条款，并将其纳入CPD法案。

根据法案草案对非隐私问题提出的投诉通常也可以根据其他立法（例如《消费者保障法》和《公平交易法》）或根据合同向拥有现有管辖权的争议法庭提起诉讼。

（五）执法权利及处罚措施

法律草案拟设立侵权责任、民事赔偿责任、罚款和刑事责任四种处罚措施。根据违规的严重程度给予不同的处罚，违反通知或披露要求的“侵权通知”（例如有关客户如何投诉的通知、数据传输已完成的通知等）和“侵权行为”（例如未能维护交易记录）最高分别可罚款2万和5万新西兰元；针对法人团体和个人的民事诉讼赔偿金额最高分别可达60万新西兰元和20万新西兰元；而对于鲁莽、故意或故意发生的严重违规行为（例如，一方欺诈性地声称自己是经认可的接收者）针对法人团体和个人的民事诉讼赔偿金额最高分别可达250万新西兰元和50万新西兰元；最严重的案件，对法人可处以以下两种情况取其高者的罚款（一是最高500万新西兰元的罚款；二是商业收益价值的三倍，或者如果无法确定商业收益，则为违规发生期间营业额的10%），对个人可处以不超过5年的监禁、最高100万新西兰元的罚款，或两者并罚。具体处罚规定将在主要义务和保护措施最终确定后起草。