一、网络安全事件问题

每周都有新闻关于数据在暗网上被曝光,这些数据指向澳大利亚组织的数据泄露。最近的数据泄露提醒人们社会工程1和供应链风险等重大网络安全风险2。也许很少见,但很热门的是未受保护的公共网站和应用编程接口(API)连接到没有层安全或身份验证要求的数据库的风险3——一个相当关键的疏忽。

澳大利亚企业正成为网络犯罪分子的目标。外包、离岸外包和数字化转型项目,包括使用人工智能(AI)等现代技术,都可能会带来信息安全风险,即使对于资源充足的公司来说,这些风险也可能难以应对。不幸的是,每当网络犯罪分子发现企业防御中的漏洞时,澳大利亚公司就会在媒体和董事会中颜面尽失。

在数据隐私改革4增加了对隐私干扰的民事处罚并降低触发门槛之后,我们预计未来澳洲政府会采取更多执法行动。监管机构最近宣布对澳洲著名电信商(Optus)的2022年数据泄露事件5启动民事处罚程序。这是澳大利亚第三大数据泄露事件,同时也标志着监管机构待办事项清单上的动向。

而法律要求哪些信息安全呢?机构必须采取在当时情况下合理的措施来保护个人信息。在最近的数据隐私改革之后,这些步骤包括实施技术和组织信息安全措施的义务。诚然,《隐私法》(1988年)(联邦)只对此说了三句话(重复针对信用信息),但实际的法律要求是由优秀的行业惯例规定的,这反映在各种技术标准、澳大利亚信息专员办公室(OAIC)的个人信息保护指南6和其他材料中。例如,供应链的信息安全风险是一个复杂的合规领域,由复合的风险缓解实践构成。解决供应链风险的一些高级合规策略可能包括:

  • 强大的供应链风险管理框架,由负责指定职责的合格专业人员运营;
  • 预先确定一个标准一致的补救要求,并对每个服务提供商的信息安全成熟度进行全面的尽职调查。如果仅审查ISO 27001:2022 7或SOC 2® 8证书,而没有进一步的审查,这是远远不够的;
  • 通过成熟的业务系统控制评估(Business System Control Assessment)工具,最好地促进定期有效的信息安全审计;
  • 通过软件物料清单(software bill of materials/SBOM)和供应商列表调查和了解服务提供商自身的供应链(第四方)风险;
  • 安全的数据共享协议,包括至少具有传输层安全性协议(TLS 1.3)和进阶加密标准(AES-256)的加密控制、密钥轮换策略和安全密钥管理;
  • 服务提供商对个人信息的访问仅限于其特定任务所需的内容,但受最低权限的约束——任何人都不应拥有足够的权限(和技术能力)来访问和导出大量数据;
  • 在供应链、多因素身份验证、具有端点检测和响应(Endpoint Detection and Response/EDR)解决方案的托管设备以及日志记录和监控中实施零信任架构(Zero Trust Architecture/ZTA)原则;
  • 只有可靠且经过适当培训的人员才能访问数据。应在适当和合法的情况下对工作人员进行审查。员工培训应涵盖常见的人为错误风险,包括定期网络钓鱼模拟和防止人工智能增强渗透尝试的其他风险;
  • 微分段以隔离系统并在发生损害时限制横向移动;
  • 在端点、电子邮件网关和云服务上应用数据丢失防护(Data Loss Prevention/DLP)策略,以监控和限制未经授权的数据传输;
  • 事件响应、业务连续性和灾难恢复计划和流程;
  • 定期的演习和渗透测试侧重于供应链攻击媒介,包括针对供应商人员的社会工程和网络钓鱼模拟;
  • OAIC重申:“机构需要主动解决与第三方服务提供商签订的合同协议中的隐私风险。” 

根据作者的经验,服务协议应包括:

  • 服务提供者处理的个人资料的描述,并详细说明哪些信息是由该组织提供的,哪些信息是由该组织收集或生成的;限制性数据使用许可证;
  • 关于数据最小化和有限数据保留的具体规则;
  • 详细的信息安全义务,包括根据定期风险评估提供信息安全专题和措施的实质性清单;
  • 供应链变化的可视性;
  • 事件报告义务——不应有延误阻碍组织向 OAIC 报告10 应通报的“合格数据泄露”;
  • 在组织和提供商之间合规跨境数据传输所需的反映澳大利亚隐私原则的义务;
  • 合作义务、应要求提供信息和审计权;
  • 审查权和干预权;
  • 提供商的有意义的责任风险与处理大量个人信息相称,与商业责任上限无关。

在过去的五年里,发生了很大变化。在没有额外人员和资源的情况下任命一个数据隐私主管可能在2019年可行,但在2025年可能不会让监管机构满意。如今,大多数澳大利亚组织都明白,管理数据隐私和网络风险确实需要大量称职的人力和资源。未来几年将感受到的后果,将是数据泄露会给个人和组织带来痛苦。当局应收集情报并提供预警,并为受影响的组织提供全面支持。犯罪分子可以使用渗透的数据来建立有关受害者的档案,这些档案与公共领域和暗网上可用的其他数据相结合。人工智能可用于在几秒钟内链接身份。被泄露组织的客户在数据泄露时以及未来任何时间都可能受到诈骗活动的影响。随着网络钓鱼、语音诈骗、短信诈骗和捕鲸式诈骗等新兴人工智能攻击的出现,消费者和企业都可能成为下一个受害者。被数据泄露的组织可能会遭受不利的媒体报道和公众讨论。最近,另一起网络事件可能促使司法部长公开评论她继续努力提出数据隐私改革的“第二阶段”。11

接下来可能是向 OAIC 提出代表投诉和集体诉讼。OAIC对是否违反法律的确定对于尽早解决客户索赔至关重要,但这种确定可能需要一些时间(例如,在Optus案中需要3年)。同时,被数据泄露的组织可能会向投诉人提供个人和解,以试图开始修复其资产负债表。遗憾的是,企业通过外包和现代化其业务基础设施而节省下的资金可能在未来会被会用于处理这些项目引起的网络事件。 

总体而言,有关合规性和数据隐私的业务的不恰当决策可能会产生严重后果。往往节省成本的数字化转型项目是合法的商业活动,但它们通常会带来更高的运营和合规负担,但企业必须满足这些负担,以避免未来的责任。即使是组织良好、符合所有法律标准的网络防御,也可能在越来越组织化和能力强的网络犯罪分子集团持续攻击的压力下失败。一项关键的风险缓解实践是数据最小化和有限数据保留。事实上,OAIC2025/26 年的优先事项之一是重新平衡因过度收集和保留数据而产生的权力和信息不对称。12 OAIC的执法并不特别针对大型组织,我们已经看到在最需要的地方采取了监管行动,特别是针对从事严重隐私干预的小型企业。然而,大型企业在正确保护数据隐私方面可以发挥作用,特别是当他们持有大量个人信息时,许多组织会从他们那里寻找应该如何做事的例子。

经过最近的改革,OAIC 已随时准备以有节制和战略性的方式对网络安全问题进行打击,以在保护澳大利亚人的个人信息方面带来积极的变化。

二、澳大利亚的数据隐私法

简而言之,数据隐私法保护个人的“不受干扰的权利”,也称为“隐私权”。这一权利源自于通信保密和个人住所隐私传统理念,并在二战后通过欧洲的多个国际公约逐步确立。就像信封保护信件的机密性,围墙和窗帘保护个人住所的隐私一样,这些都是现实中存在天然的隐私屏障。

然而,在数据隐私同样适用的网络空间里,却没有这些“屏障”。数据隐私法的作用就是为了在网络空间中创建相应的保护机制。因此,企业必须定期审查数字服务和功能对数据隐私的影响。因为隐私保护不力可能会引起用户不满,进而导致投诉和负面评价。没有网络安全,数据隐私就无法得到保障。数据泄露会导致个人信息在公共论坛上被公开和交易,可以说是最严重的数据隐私侵扰。因此许多网络事件会引起媒体关注,甚至引发政府行动。

(一)数据隐私法如何保护个人

数据隐私法规范了个人信息用于商业目的的方式。任何违反这些规范的行为,都可能构成数据隐私侵扰。

个人有权了解其数据被如何收集和处理,访问和更正其数据,向澳大利亚信息专员办公室(OAIC)或其他监管机构投诉,向法院寻求赔偿,以及加入对违规组织的代表投诉或集体诉讼。无论风险源于数据泄露还是其他数据隐私侵扰,这对组织声誉和持续运营能力的影响都可能十分严重。

《澳大利亚隐私原则》(Australian Privacy Principles)规定了以下核心要求:

  • 向个人说明收集了哪些数据及其用途;
  • 仅在指定的合法目的需要下使用数据;
  • 没有误导个人且公平地收集数据;
  • 未经合理的保障,不得将数据传输到澳大利亚境外;
  • 采取适当措施保护数据;
  • 确保数据的准确性;
  • 允许个人访问和更正数据;
  • 未经事先同意,不得将数据用于新目的;
  • 未经事先同意,不得使用包括生物特征数据在内的敏感信息;
  • 所有同意必须是自愿、知情且具体的。

此外,身份证明文件、税号和消费者信用信息中的信息受到更严格的限制。联网设备需遵守特定的网络安全义务,遭遇勒索软件攻击后必须通知澳大利亚信号局(ASD)。

(二)数据隐私对企业意味着什么

数据隐私影响企业在线上和线下空间的运营模式。它关系到用户所需提供的信息、用户之间能如何互动、数据的用途、数据的共享方式,以及数据的保护措施。

企业合规的主要领域包括:

  • 治理架构、内部指导,和隐私影响评估流程;
  • 员工培训;
  • 网站、平台或应用程序的隐私政策;
  • 合适的用户界面设计,提供恰当的用户选择和即时通知;
  • 投诉机制;
  • 跨境数据传输安排;
  • 员工隐私政策;
  • 与技术、软件、云服务和其他供应商签订的数据安全相关合同条款;
  • 定期对所有供应商进行安全和数据使用尽职调查;
  • 监督、监控和审计机制。

良好的数据隐私合规状况会带来回报,并有利于企业赢得客户和监管机构的信任,从而降低风险。

(三)此法律对中国企业是否适用

答案是肯定的,澳大利亚的数据隐私法是跟着数据,而不是企业本身走的。如果您将数据传输到澳大利亚境外,则必须遵守这些法律。如果您在国内向澳大利亚民众销售商品或提供服务,也必须遵守该法律。就算您的企业不在澳大利亚境内,也无法免责。澳大利亚信息办公室(OAIC)以针对境外企业进行执法而著称。

三、在澳大利亚经商:履行数据隐私义务

对于在澳大利亚开展业务的中国公司来说,数据隐私合规并非可选项——它既是一项法律义务,也是一项商业要务。根据1988年《隐私法》(澳大利亚),在澳大利亚开展业务的组织(包括位于海外的组织)在收集、使用、存储和披露个人信息方面负有严格的义务。近期法律改革赋予澳大利亚隐私监管机构更广的授权和更大的权力,不合规行为可能导致监管审查、巨额罚款、商誉损害和赔偿诉讼。随着消费者期望和监管监督的不断增长,数据隐私合规对于中国企业在澳大利亚市场运营中保密和建立信任至关重要。

参考文献:

1.19% 出自《数据泄露报告》(2024年7月至12月),澳大利亚信息专员办公室(OAIC)。

2.《数据泄露报告强调了供应链风险》(2023年7月至12月期间的OAIC数据泄露统计报告),2024年2月22日。

3.《Optus:大规模数据泄露如何暴露澳大利亚》,BBC,2022年9月29日。

4.《隐私法规修正案(执法和其他措施)法》(2022年)(联邦)和《隐私和其他立法修正案》(2024年)(联邦)。

5.《澳大利亚信息专员对Optus采取民事处罚行动》,2025年8月8日。

6.《个人信息保护指南》,OAIC,2024年12月11日更新。

7.ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 — 信息安全管理体系要求》,国际标准化组织 (ISO)。

8.系服务组织控制(SOC) 报告( II 类型),美国注册专业会计师协会(AIPCA)。

9. 《〈数据泄露报告〉强调了供应链风险》,2024年2月22日。

10.定义见《隐私法》(1988年) (联邦)。

11.《一份30秒的声明引发了澳大利亚隐私的下一阶段——营销、媒体和技术通知》,Mi3,2025年7月23日。

12.《2025年-2026年OAIC监管优先事项》,2025年7月29日。

(原标题:澳大利亚数据隐私合规——中国企业出海必须面对的法律挑战与应对策略|德恒成都研析)

(来源:德恒成都律师事务所,作者:Alex Dittel、环英智)

声明:本文由律所律师基于理论与实务的专业研究文章,仅代表作者本人观点,不得视为律所正式法律意见或律师书面专业建议。任何依照本文全部或部分内容所作出的行为、或产生的任何后果,均自行承担。