近日，新西兰总督签署了《客户和产品数据法案》，意味着该法案正式成为法律，即《客户和产品数据法》。该法规范了企业之间访问和共享客户和产品数据，旨在实现数据价值，促进竞争和创新，以及推动安全、标准化且高效的数据服务。

该法进一步明确了消费者数据权（Consumer Data Right），旨在让客户更好地控制自己的数据，并允许数据持有者与经客户确认的经认可的请求者共享客户数据。其中，数据持有者是指持有指定的客户数据或指定的产品数据的主体；客户是指已经从数据持有者处获取、正在获取或试图从数据持有者处获取商品或服务的个人；经认可的请求者是指通过行政机关认证的请求者。同时，客户的明确授权需满足以下条件：客户明确给予授权且指明授权范围内的限制，客户已合理知悉与该授权相关的事项，该授权是以法律规定的方式给予的。

该法规定了数据持有者的相关义务。数据持有者应当向客户或者向经客户确认的经认可的请求者提供指定的客户数据。数据持有者应当根据客户的要求或者根据经客户确认的经认可的请求者的要求采取特定行动。然而，数据持有者在特定情况下可以或者必须拒绝客户或者经认可的请求者的请求。上述特定情况包括：如果数据的披露可能对任何个人的生命、健康或安全，或对公共卫生或公共安全构成严重威胁；如果数据持有者合理地认为数据的披露极有可能对个人造成严重骚扰；如果数据持有者合理地认为数据的披露极有可能对任何人造成严重的经济损失；如果数据持有者合理地认为该请求很可能是因欺骗而提出的；如果数据持有者合理地认为数据的披露可能对其信息系统或者登记册的安全性、完整性或稳定性产生重大不利影响；如果客户或者经认可的请求者的数据请求与其对数据持有者的债务有关；如果数据持有者合理地认为经认可的请求者在与该请求相关的事务中违反了该法规定的任何义务等。此外，该法还规定了数据持有者和经认可的请求者受理投诉的义务，要求数据持有者和经认可的请求者必须设有客户投诉处理程序。

该法规定明确了数据持有者的信息系统要求。数据持有者应当运营相应信息系统，以便使数据持有者能够接收对受监管数据服务的请求，且使数据持有者能够针对这些请求提供受监管数据服务或者以其他方式回应这些请求。该信息系统必须符合规定的技术或性能要求，包括安全和身份验证措施，回应请求的可靠性与及时性，可用性，易用性，可及性以及对使用情况和功能的监控等。

该法目前已经生效，相关制度将通过“指定行业”开启。根据新西兰政府官员介绍，银行业将是该法指定的第一个行业。

[1]https://bills.parliament.nz/v/6/770a5f4e-2185-4f1f-1395-08dc75512299?Tab=history

来源：中国信息通信研究院互联网法律研究中心，作者：杜安琪。中国信通院互联网法律研究中心工程师