澳大利亚数据合规要点
作为南半球经济最发达的国家,澳大利亚被称作“坐在矿车上的国家”、 “骑在羊背的国家”。中国一直以来是澳大利亚最大的贸易伙伴。澳洲有着中国工业发展所依赖的天然矿产资源,而中国则在农业、酒类、旅游、教育等领域与其形成互补关系。从1996年到2007年,澳大利亚与中国的贸易增长了526%。
近年来,受国际形式影响,中澳关系经历了一段时间的冷淡期。如今,两国关系已明显回暖。在2023年,两国贸易额达到了历史新高的2190亿澳元。六月,国务院总理李强对澳大利亚进行正式访问,并举行第九轮中澳领导人年度会晤。在新的全球化形势与产业格局下,两国在更多领域有着新的贸易合作机会。如当下如火如荼的汽车行业。比亚迪、上汽、长城等国产汽车领军企业均在澳大利亚进行了布局,中国对澳大利亚的出口量占中国汽车总出口量的约6%。再如Shein、Temu等电子商务平台,也开始在澳大利亚攻城略地,逐渐受到本土用户的接纳与喜爱。
但在当下的国际关系和地缘政治影响下,两国经贸往来仍然可能会存在一些干扰因素。对于在澳大利亚布局的中国企业而言,合规是一条关键生命线。而提起数据合规,欧盟、英美等国家地区往往是企业最重视的地方,但澳大利亚同样有着极高的数据合规要求与监管力度。2022年,谷歌因违法收集数据被处以6000万澳元的罚款。这是澳大利亚有史以来针对企业开出的最大罚单之一。因此,在面向澳大利亚的业务开展过程中,中国企业需要严肃对待数据合规的挑战。
澳大利亚主要数据保护法规简介 1. 澳大利亚数据合规法律框架 · 若无法确定所获价值,则在相关期间(至少12个月)占公司国内营业额的30%。 2. 隐私法适用范围 OAIC同时还会针对隐私法和APPs的实施发布相关准则和指南,包括: · 数据泄露准备和响应 · 去标识化决策框架 · 制定APP隐私政策指南 · 个人信息保护指南 · 隐私影响评估指南 APPs共有13条,这13条原则可视为隐私法的核心要求,企业的个人信息保护工作和日常经营应围绕13条APPs展开: 1) 公开透明管理(Open and transparent management of personal information):企业必须以公开、透明的形式管理所收集、处理的个人信息。 2) 匿名化和假名化(Anonymity and pseudonymity):个人信息主体在行使权利时,有权不披露其身份,即通过匿名或假名的形式行权。 3) 经请求后收集个人信息(Collection of solicited personal information):只有在请求个人信息主体并得到明确授权同意的情况下才能收集个人信息。 4) 未经请求收集个人信息的处理(Dealing with unsolicited personal information):当组织收到未经请求的个人信息时,应当根据情况采取合理的步骤,如在合理时间内评估是否本可以通过请求的形式收集该个人信息等,以确保这些信息符合隐私法规的要求。 5) 通知原则(Notification of the collection of personal information):在收集个人信息前或在收集信息后,企业尽快采取合理的措施告知信息主体处理目的、拒绝处理的后果、相关第三方、数据主体权利等信息。 6) 使用或披露个人信息(Use or disclosure of personal information):除非在信息主体同意或特定情况下,企业仅可以为特定目的处理或披露所收集的个人信息,不得出于其他目的使用或披露该个人信息。 7) 直接营销(Direct marketing):除特定例外情况,企业一般不得以直接营销目的使用或披露个人信息。 8) 个人信息跨境流动(Cross-border disclosure of personal information):在向澳大利亚境外的个人信息接收者披露个人信息时,必须采取合理的措施确保境外接收者符合隐私法和APPs。 9) 采用、使用或披露政府相关标识符限制(Adoption,use or disclosure of government related identifiers):除特殊情况外,组织不得采用与政府相关的个人标识符作为其内部的个人标识符。 10) 个人信息质量(Quality of personal information):组织应取合适的措施确保所收集个人信息的准确性、及时性、完整性和相关性。 11) 个人信息安全(Security of personal information):组织应采取合理措施来保护个人信息免遭滥用、破坏和未经授权的访问、修改或披露。 12) 个人信息访问(Access to personal information):组织应采取合理的措施,允许个人信息主体访问其个人信息。 13) 个人信息更正(Correction of personal information):组织应根据情况采取合理的措施来纠正数据质量低下的个人信息或个人信息主体请求更正的个人信息。 5. 主要合规义务 除上述隐私原则外,澳大利亚隐私法还提出了特定的合规义务,包括: 1) 数据泄露通知:隐私法要求,在发生数据泄露后,组织应尽快通知OAIC和所有受影响的个人信息主体; 2) 数据保留期限限制:除非有法律另行要求,组织应当在完成个人信息处理目的后删除或匿名化个人信息。 3) 满足数据主体权利:隐私法赋予了个人信息主体知情权、访问权、更正权、删除权、撤回同意权。 合规建议 澳大利亚数据合规要求有着诸多与其他国家、地区不同的地方,且执法严格、违法成本高昂。中国企业不论是在澳大利亚设置办事处,还是在其境外向澳大利亚境内提供服务,只要收集其境内居民个人信息,都应当采取必要的措施确保合规,避免给企业经营和商誉带来损失。 1. 设置数据保护官(DPO) 尽管澳大利亚隐私法并未强制要求企业设定DPO角色,但这一角色已成为澳大利亚本地企业的常见岗位设置。该岗位的设置也可确保相关工作的有效落地。因此,在澳大利亚经营的中国企业亦应当指定DPO。根据业务规模和个人信息处理数量的不同,企业可以灵活对该角色进行设置。如可以是其他地区的DPO兼任,也可以说是本土的第三方专业人员等。DPO应能在企业内部进行上下管理、沟通,处置个人信息保护相关工作、事件,并与OAIC进行有效沟通交流。 2. 建立完善的制度流程 针对个人信息主体权利、数据保存期限、隐私政策管理、安全事件处置等关键合规义务,企业应当建立完整的制度流程,并保留相关的审计记录。 3. 完善隐私政策 直接面向澳大利亚居民提供服务的企业,应针对隐私法和APPs并参考OAIC的制定APP隐私政策指南来撰写适用于澳大利亚本地的隐私政策,对数据处理活动、处理目的、数据主体权利、安全措施等方面进行充分说明。由于澳大利亚对于敏感个人信息的定义、数据主体权利、告知义务等方面有特定的要求,切忌直接套用其他国家、地区的隐私政策。 4. 隐私影响保护评估(PIA) 尽管澳大利亚隐私法并未对PIA作出强制性要求,但PIA能够帮助企业有效识别数据处理活动中的合规风险,因此,企业应当建立围绕十三条隐私原则的PIA流程,参考OAIC的隐私影响评估指南,对数据处理活动进行评估并对所识别的风险进行及时处置。 5. 个人信息处理活动记录(RoPA) 澳大利亚隐私法和APPs同样没有强制要求企业对其个人信息处理活动进行完整记录,但由于OAIC执法严格,企业应确保自身在在执法活动中有着充分的举证能力。因此,我们建议企业未雨绸缪,对数据处理活动进行有效梳理和记录。 6. 加强个人信息安全建设 企业应当对个人信息的访问权限、存储与传输安全、安全事件响应管理进行加强,并对个人信息安全事件响应设置专门的机制,确保发生事件时可以与OAIC、个人信息主体进行充分沟通。 7. 保持与OAIC的沟通 总结 在中澳两国关系回暖之际,可以预见,越来越多的中国企业将与澳大利亚的企业、居民进行更多、更充分的交流与业务开展,同时,数据的处理与流动也将日渐增多、日益复杂。在这个过程中,中国企业应当更加谨慎,严肃对待澳大利亚的数据合规要求,审慎经营,为两国的经贸往来和发展添砖加瓦。
