企业出海与数据合规的双重趋势下,如何合法跨境传输数据成为企业出海必须考虑的问题。出于连锁企业的统一管理需求,海外门店可能需要将营业数据、消费者信息、门店员工信息等传回国内存储并处理,但许多国家对数据跨境传输有特殊监管要求,若违规传输,可能面临处罚风险。落地跨境数据传输,需提前了解当地的合规要求。本文主要对澳大利亚跨境数据合规进行介绍。
澳大利亚对跨境数据传输有专门的法律规定及操作指南,针对不同类别的数据分别制定不同的限制标准与传输要求。
澳大利亚不禁止一般个人数据的跨境流动,但数据跨境传输应遵循澳大利亚隐私原则的规定。
此外,个人健康数据跨境传输在一般情况下是禁止的。
一、澳大利亚跨境数据传输的立法情况
1. 立法
(1)法律法规
核心规范:澳大利亚的数据保护及合规主要受《1988年隐私法》(Privacy Act 1988)约束,尤其是附表一列出的13条澳大利亚隐私原则(Australian Privacy Principles, APPs),是企业应当重点关注并严格遵守的数据保护要求,其中第8条原则(cross-border disclosure of personal information)明确了数据跨境传输的具体要求。
2024年11月16日,澳大利亚议会发布了《隐私和其他立法修正案》,拟对隐私法部分内容进行修订,包括完善数据跨境流动规范、加强执法、明确侵权责任、打击“人肉搜索”行为等。
其他规范:根据数据类型不同,澳大利亚还有专门的立法对特定数据实施专门保护。
如:
针对政府数据颁布了《1982年信息自由法》,
针对健康数据颁布了《个人控制的电子健康记录法》(PCEHR)。
同时,在具体行业的立法中,也存在与隐私保护交叉的相关规定,如《澳大利亚竞争与消费者法》(Australian Consumer and Competition Act 2010),在该法附表二的《澳大利亚消费者法》(Australian Consumer Law,ACL)中也规定了有关企业向消费者提供服务、收集数据时需要遵守的告知、保障消费者权利等义务。
(2)政策指南文件
针对隐私原则的解释和适用,以及具体场景下的数据跨境传输问题,澳大利亚信息专员办公室(OAIC)还出台了相关指南和标准,如《澳大利亚隐私原则指南》(《APP指南》),为受规范的企业主体提供答疑说明。
(3)国际协作
澳大利亚是APEC成员国,并加入了亚太隐私机构 (APPA) 论坛、经合组织全球隐私执法网络 (GPEN)以及APEC 跨境隐私执法安排 (CPEA),现有隐私法在APEC隐私框架下制定。此外,OAIC还与爱尔兰数据保护专员签署了一份谅解备忘录(MOU)、与新南威尔士州信息和隐私委员会达成合作原则。
2. 法律责任
《隐私法》第80W条授权专员向联邦法院或联邦巡回法院申请命令,要求被指控违反该法中民事处罚条款的实体向联邦支付罚款。
《隐私法》中规定的处罚条款,严重或反复干涉隐私(第13G条),法人团体罚款金额不超过以下两者中的较高者:50,000,000澳元或该法人团体及任何有关连法人团体直接或间接获得的利益价值的三倍或如果法院无法确定利益的价值,则为法人团体在违规周转期内因违规而调整后营业额的30%。具体处罚规定可参考OAIC官网《隐私监管行动指南》。
3. 执法情况
(1)监管机构
澳大利亚数据跨境传输的主要监管机构是澳大利亚信息专员办公室(OAIC),该机构会处理用户相关投诉,也可为政府、企业等提供咨询服务。澳大利亚信息专员可以对侵犯隐私的行为实施民事处罚,可以包括约50万澳元的经济处罚。
(2)判例
澳大利亚竞争与消费者委员会(Australian Competition and Consumer Commission,ACCC)诉谷歌公司收集和使用消费者位置信息数据误导消费者案:
谷歌因收集数据时误导用户,让用户认为关闭了位置服务后,位置信息就不会被收集,但实际上后台仍在收集用户的位置数据,并用于优化广告投放,谷歌因此被认为违反了《澳大利亚消费者法案》(ACL)第18条、第29条以及第34条的规定,被处以6000万澳元(约合人民币2.88亿元)罚款。
二、澳大利亚跨境数据传输的具体要求
1.一般个人数据数据跨境要求
根据隐私原则(下称“APPs”)8.1条,满足以下两个条件的,即符合受《隐私法》所规范的“海外接收者”:
①位于澳大利亚及其附属领地外;
②不是数据披露主体。澳大利亚境内的实体向海外接收者传输个人数据前,有义务采取措施,确保自身和海外接收者的行为均不触犯APPs。
APPs内容主要包括:
1)公开透明管理;
2)匿名化和假名化;
3)请求后收集个人信息;
4)处理未经请求的个人信息的步骤;
5)通知原则;
6)个人信息的使用和披露;
7)个人数据不能用于直接营销;
8)个人信息的跨境披露;
9)政府相关标识的采用和披露;
10)个人信息质量;
11)个人信息安全性;
12)个人信息访问;
13)个人信息更正。
此外,APPs第8.2条规定了8.1条的例外情况,即满足以下条件的情况,不受APPs第8.1条的约束(可理解为实质上已达到8.1条的要求):
①海外接收者受到至少与APPs保护程度相当的法律或其他方案约束,并且个人可利用上述法律或其他方案保护其数据;或符合APPs8.3条情形(通过法规规定与澳大利亚隐私法实质相似的国家或认证体系);
②实体明确告知个人,且个人同意披露信息;
③澳大利亚法律或法院/法庭要求或授权披露该信息;
④该实体披露的信息为被允许的一般情况(即第16A条之规定,第16A(1)款表中第4或5项所述的情况除外);
⑤该实体为机构,且澳大利亚参与的相关国际信息共享协议要求或授权披露信息的;
⑥该实体为机构,以下两者均适用:
1)披露信息是执法机构或代表执法机构开展执法活动的必要;
2)信息接收方为执法机构。
2. 个人健康数据跨境传输
《个人控制的电子健康记录法》(PCEHR)第77章禁止可识别个人身份的健康数据跨境传输。
健康数据包括:
(1)关于个人健康或身体残疾的数据;
(2)个人目前或将来可能接受的治疗情况的数据;
(3)在治疗过程中收集或提供的数据;
(4)个人在与身体组织、器官捐献有关的数据;
(5)能够对个人健康状况起到预测作用的或可证明与其他人亲缘关系的个人基因数据。
健康数据属于敏感信息,需要额外的隐私保护(详见APPs3)。此外,隐私法规定了部分例外情况(详见《隐私法》第16B条)不适用于APPs的信息处理要求,包括:
(1)收集健康资料以提供健康服务;
(2)为某些研究及其他目的收集、使用或披露;
(3)使用或披露遗传信息;
(4)为次要目的向个人的负责人披露健康资料。
三、合规操作总结
1. 一般个人数据跨境传输要确保传输方和接收方均遵守APPs,符合APPs第8.2条的视为实质上达到APPs的要求。
2. 个人健康数据属于敏感数据的范畴,一般不得用于商业推广,原则上禁止跨境数据传输,《隐私法》第16B条情形除外。
3. 建议企业在公司内部建立完整的制度流程,设置数据保护官(DPO)岗位,专人负责对接数据合规事宜。
4. 企业可参考OAIC的隐私政策指南完善隐私政策。由于澳大利亚对于敏感个人信息的定义、数据主体权利、告知义务等方面有特定的要求,建议不要直接套用其他国家、地区的隐私政策。
5. 企业可参考OAIC的隐私影响评估指南,对数据处理活动进行评估并对所识别的风险进行及时处置,做好个人信息处理活动记录,加强个人信息安全建设,对个人信息安全事件响应设置专门的机制。
6. 澳大利亚的OAIC执法较为严格,建议建立与当地监管机构的有效沟通机制,并定期通过OAIC官网等渠道查询OAIC最新的指南、处罚案例,确保企业对监管动态和法律解读有着最新的准确理解。
参考链接
《1988年隐私法》(Privacy Act 1988)
https://www.legislation.gov.au/C2004A03712/2014-03-12/text.
《澳大利亚竞争与消费者法》
https://www.legislation.gov.au/C2004A00109/latest/text.
《澳大利亚隐私原则指南》
https://www.oaic.gov.au/privacy/australian-privacy-principles/australian-privacy-principles-guidelines
OAIC《与 APEC 就隐私执法机构的做法和活动发表的声明》
https://www.oaic.gov.au/about-the-OAIC/our-corporate-information/memorandums-of-understanding/other-agreements/statement-with-apec-on-privacy-enforcement-authority-practices-and-activities
《隐私监管行动指南》
https://www.oaic.gov.au/about-the-OAIC/our-regulatory-approach/guide-to-privacy-regulatory-action.
https://www.judgments.fedcourt.gov.au/judgments/Judgments/fca/single/2021/2021fca0367.
https://www.judgments.fedcourt.gov.au/judgments/Judgments/fca/single/2022/2022fca0942.
《个人控制的电子健康记录法》(PCEHR)
https://privatehealthcareaustralia.org.au/