一、网络安全事件问题

澳大利亚企业正成为网络犯罪分子的目标。外包、离岸外包和数字化转型项目,包括使用人工智能(AI)等现代技术,都可能会带来信息安全风险,即使对于资源充足的公司来说,这些风险也可能难以应对。

澳大利亚政府在数据隐私改革4中增加了对隐私干扰的民事处罚并降低触发门槛,预计未来会采取更多执法行动。监管机构最近宣布对澳洲著名电信商(Optus)的2022年数据泄露事件5启动民事处罚程序。这是澳大利亚第三大数据泄露事件,同时也标志着监管机构待办事项清单上的动向。

机构必须采取在当时情况下合理的措施来保护个人信息。在最近的数据隐私改革之后,这些步骤包括实施技术和组织信息安全措施的义务。例如,供应链的信息安全风险是一个复杂的合规领域,由复合的风险缓解实践构成,解决供应链风险的一些高级合规策略可能包括:

  • 强大的供应链风险管理框架,由负责指定职责的合格专业人员运营;
  • 预先确定一个标准一致的补救要求,并对每个服务提供商的信息安全成熟度进行全面的尽职调查。如果仅审查ISO 27001:2022 7或SOC 2® 8证书,而没有进一步的审查,这是远远不够的;
  • 通过成熟的业务系统控制评估(Business System Control Assessment)工具,最好地促进定期有效的信息安全审计;
  • 通过软件物料清单(software bill of materials/SBOM)和供应商列表调查和了解服务提供商自身的供应链(第四方)风险;
  • 安全的数据共享协议,包括至少具有传输层安全性协议(TLS 1.3)和进阶加密标准(AES-256)的加密控制、密钥轮换策略和安全密钥管理;
  • 服务提供商对个人信息的访问仅限于其特定任务所需的内容,但受最低权限的约束——任何人都不应拥有足够的权限(和技术能力)来访问和导出大量数据;
  • 在供应链、多因素身份验证、具有端点检测和响应(Endpoint Detection and Response/EDR)解决方案的托管设备以及日志记录和监控中实施零信任架构(Zero Trust Architecture/ZTA)原则;
  • 只有可靠且经过适当培训的人员才能访问数据。应在适当和合法的情况下对工作人员进行审查。员工培训应涵盖常见的人为错误风险,包括定期网络钓鱼模拟和防止人工智能增强渗透尝试的其他风险;
  • 微分段以隔离系统并在发生损害时限制横向移动;
  • 在端点、电子邮件网关和云服务上应用数据丢失防护(Data Loss Prevention/DLP)策略,以监控和限制未经授权的数据传输;
  • 事件响应、业务连续性和灾难恢复计划和流程;
  • 定期的演习和渗透测试侧重于供应链攻击媒介,包括针对供应商人员的社会工程和网络钓鱼模拟;
  • OAIC重申:“机构需要主动解决与第三方服务提供商签订的合同协议中的隐私风险。” 

根据作者的经验,服务协议应包括:

  • 服务提供者处理的个人资料的描述,并详细说明哪些信息是由该组织提供的,哪些信息是由该组织收集或生成的;限制性数据使用许可证;
  • 关于数据最小化和有限数据保留的具体规则;
  • 详细的信息安全义务,包括根据定期风险评估提供信息安全专题和措施的实质性清单;
  • 供应链变化的可视性;
  • 事件报告义务——不应有延误阻碍组织向 OAIC 报告10 应通报的“合格数据泄露”;
  • 在组织和提供商之间合规跨境数据传输所需的反映澳大利亚隐私原则的义务;
  • 合作义务、应要求提供信息和审计权;
  • 审查权和干预权;
  • 提供商的有意义的责任风险与处理大量个人信息相称,与商业责任上限无关。

二、澳大利亚的数据隐私法

简而言之,数据隐私法保护个人的“不受干扰的权利”,也称为“隐私权”。这一权利源自于通信保密和个人住所隐私传统理念,并在二战后通过欧洲的多个国际公约逐步确立。

然而,在数据隐私同样适用的网络空间里,却没有这些“屏障”。数据隐私法的作用就是为了在网络空间中创建相应的保护机制。因此,企业必须定期审查数字服务和功能对数据隐私的影响,因为隐私保护不力可能会引起用户不满,进而导致投诉和负面评价。

(一)数据隐私法如何保护个人

数据隐私法规范了个人信息用于商业目的的方式。任何违反这些规范的行为,都可能构成数据隐私侵扰。

个人有权了解其数据被如何收集和处理,访问和更正其数据,向澳大利亚信息专员办公室 (OAIC) 或其他监管机构投诉,向法院寻求赔偿,以及加入对违规组织的代表投诉或集体诉讼。无论风险源于数据泄露还是其他数据隐私侵扰,这对组织声誉和持续运营能力的影响都可能十分严重。

《澳大利亚隐私原则》(Australian Privacy Principles)规定了以下核心要求:

  • 向个人说明收集了哪些数据及其用途;
  • 仅在指定的合法目的需要下使用数据;
  • 没有误导个人且公平地收集数据;
  • 未经合理的保障,不得将数据传输到澳大利亚境外;
  • 采取适当措施保护数据;
  • 确保数据的准确性;
  • 允许个人访问和更正数据;
  • 未经事先同意,不得将数据用于新目的;
  • 未经事先同意,不得使用包括生物特征数据在内的敏感信息;
  • 所有同意必须是自愿、知情且具体的。

此外,身份证明文件、税号和消费者信用信息中的信息受到更严格的限制。联网设备需遵守特定的网络安全义务,遭遇勒索软件攻击后必须通知澳大利亚信号局(ASD)。

(二)数据隐私对企业意味着什么

数据隐私影响企业在线上和线下空间的运营模式。它关系到用户所需提供的信息、用户之间能如何互动、数据的用途、数据的共享方式,以及数据的保护措施。

企业合规的主要领域包括:

  • 治理架构、内部指导,和隐私影响评估流程;
  • 员工培训;
  • 网站、平台或应用程序的隐私政策;
  • 合适的用户界面设计,提供恰当的用户选择和即时通知;
  • 投诉机制;
  • 跨境数据传输安排;
  • 员工隐私政策;
  • 与技术、软件、云服务和其他供应商签订的数据安全相关合同条款;
  • 定期对所有供应商进行安全和数据使用尽职调查;
  • 监督、监控和审计机制。

良好的数据隐私合规状况会带来回报,并有利于企业赢得客户和监管机构的信任,从而降低风险。

(三)此法律对中国企业是否适用

答案是肯定的,澳大利亚的数据隐私法是跟着数据,而不是企业本身走的。如果您将数据传输到澳大利亚境外,则必须遵守这些法律。如果您在国内向澳大利亚民众销售商品或提供服务,也必须遵守该法律。就算您的企业不在澳大利亚境内,也无法免责。澳大利亚信息办公室 (OAIC) 以针对境外企业进行执法而著称。

三、在澳大利亚经商:履行数据隐私义务

对于在澳大利亚开展业务的中国公司来说,数据隐私合规并非可选项——它既是一项法律义务,也是一项商业要务。根据1988年《隐私法》(澳大利亚),在澳大利亚开展业务的组织(包括位于海外的组织)在收集、使用、存储和披露个人信息方面负有严格的义务。近期法律改革赋予澳大利亚隐私监管机构更广的授权和更大的权力,不合规行为可能导致监管审查、巨额罚款、商誉损害和赔偿诉讼。随着消费者期望和监管监督的不断增长,数据隐私合规对于中国企业在澳大利亚市场运营中保密和建立信任至关重要。

参考文献:

4.《隐私法规修正案(执法和其他措施)法》(2022年)(联邦)和《隐私和其他立法修正案》(2024年)(联邦)。

5.《澳大利亚信息专员对Optus采取民事处罚行动》,2025年8月8日。

7.ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 — 信息安全管理体系要求》,国际标准化组织 (ISO)。

8.系服务组织控制(SOC) 报告( II 类型),美国注册专业会计师协会(AIPCA)。

9. 《〈数据泄露报告〉强调了供应链风险》,2024年2月22日。

10.定义见《隐私法》(1988年) (联邦)。

12.《2025年-2026年OAIC监管优先事项》,2025年7月29日。

(原标题:澳大利亚数据隐私合规——中国企业出海必须面对的法律挑战与应对策略|德恒成都研析)

(来源:德恒成都律师事务所,作者:Alex Dittel、环英智)

声明:本文由律所律师基于理论与实务的专业研究文章,仅代表作者本人观点,不得视为律所正式法律意见或律师书面专业建议。任何依照本文全部或部分内容所作出的行为、或产生的任何后果,均自行承担。