新西兰《2025年客户与产品数据法案》正式生效 银行业首当其冲​

新西兰《2025年客户与产品数据法案》（以下简称CDPA）今日在银行业正式生效，标志着该国数据治理体系迈入新阶段。该法案由新西兰商业、创新和就业部（MBIE）主导实施，旨在通过强制性数据共享机制提升市场竞争活力，同时赋予消费者对其数据的完全控制权。法案采用"双轨管辖"原则，覆盖境内所有涉及指定数据的商业实体，包括无实体存在的跨境服务提供商。

一、法案核心：重新定义数据权利与责任

CDPA首次在法律层面明确了三类主体的权责边界：

1. 数据持有者：包括银行、电力公司等掌握核心客户与产品数据的机构，需通过标准化接口提供数据服务。

2. 认证请求者：经MBIE授权可申请数据访问的第三方，如金融科技公司，须获得客户明示同意。

3. 客户：享有数据转移权、访问权及异议权，可要求持有者将数据直接传输至竞争对手平台。

法案特别规定，数据持有者必须部署具备六项关键能力的电子系统：

• 实时身份验证与反欺诈监测

• 99.5%以上的服务可用性

• 毫秒级API响应延迟

• 全链路操作日志记录

• 自动化合规报告生成

• 第三方审计接口

二、严苛罚则：最高30万美元违规成本

MBIE披露的监管框架显示，数据持有者面临三重合规压力：

1. 技术审计义务：需每年提交由认可机构出具的系统安全评估报告，未按期提交将触发最高30万美元罚款。

2. 服务响应标准：客户数据请求需在15秒内反馈，产品数据更新延迟不得超过24小时。

3. 拒绝请求门槛：仅限五种法定情形可拒绝数据申请，包括存在生命安全威胁或系统性风险等。

银行业作为首个试点领域，已有ASB、ANZ等五大行完成系统改造。据MBIE技术合规处数据，截至11月30日，全行业累计投入2.7亿新西兰元用于API网关和安全组件升级。

三、全球影响：长臂管辖引发跨国企业震荡

CDPA创新的"业务关联"管辖标准引发国际关注：

• 属地延伸：即使服务器位于海外，只要向新西兰居民提供服务即适用该法。

• 数据定位豁免：存储位置不影响义务履行，迫使跨国企业重构数据治理架构。

PayPal新西兰分公司合规总监透露，公司已成立专项工作组调整数据流架构，预计2026年Q1可满足"动态同意管理"要求。分析人士指出，该法案可能成为亚太地区数据流动协定的新基准。

四、争议与挑战：平衡创新与风险的博弈

尽管政府强调法案将降低市场准入门槛，但业界仍存两大忧虑：

1. 中小机构负担：区域性银行需承担与巨头同等的合规成本，可能加剧行业整合。

2. 安全边界模糊：第三方数据请求者的安全评级体系尚未完善，存在供应链风险传导隐患。

MBIE部长在今日发布会上回应，电力行业的实施细则将于2026年3月公布，届时将引入分级合规机制。独立监督机构Consumer NZ则呼吁扩大"可拒绝情形"范围，防止数据滥用导致骚扰升级。

五、中国企业的应对策略

对于在新西兰开展业务的中资机构，法律专家建议采取三步走方案：

1. 数据映射：识别所有涉及新西兰客户的交互触点与数据存储节点。

2. 网关部署：在本地或认可云区域搭建合规API中间层。

3. 同意管理：开发符合法案要求的动态授权撤回功能。

深圳数智引领科技有限公司（简称：深圳数智引领）是一家专注于信息科技风险管理领域的咨询和培训机构。公司基于“数智赋能，创新引领”的理念，在信息科技风险管理咨询（评估、审计、认证）、培训、系统开发部署积累丰富的案例，为客户提供专业的一站式服务。公司是EXIN（Exam Institute for Information Science，国际信息考试学会）的官方授权单位，DPO（Data Protection Officer，数据保护官）认证官方授权培训单位。多家数据交易所的专业数据服务单位，包括深圳数据交易所、广州数据交易所、北京国际大数据交易所、贵阳大数据交易所、杭州数据交易所、浙江数据交易所等等。公司技术团队凭借领先的方法论、丰富的实践经验、优秀的服务态度、专业的服务意识，持续为银行、保险、证券、基金、能源、电信、大型国央企、外资等诸多企业客户提供着优质的信息技术风险管理咨询培训服务，受到行业客户的一致认可和广泛好评。