观韬解读 | 数海灯塔：企业出海数据合规实务要点Q&A（澳大利亚篇）

作者：王渝伟 余扬 胡双域

近年来，澳大利亚正在将数字经济置于国家竞争力与产业转型的重要位置。无论是云服务、人工智能、金融科技，还是跨境电商与数据驱动型服务，都被纳入其对外贸易与产业政策的重要议程之中。[1]中国长期以来一直是澳大利亚最重要的经贸伙伴之一[2]，在这一背景下，越来越多的中资企业开始以电商平台、智能硬件、在线教育、医疗健康应用、企业软件以及云服务等形式进入澳大利亚市场，数据流动随之成为中澳数字合作中最基础，也最敏感的问题之一。

从制度背景来看，中澳之间并不存在专门的数据合作协定，但数字贸易规则已经被嵌入更广泛的经贸框架之中：《中澳自由贸易协定》[3]与《区域全面经济伙伴关系协定》[4]均对电子商务、在线消费者保护、无纸化贸易以及数据相关议题作出原则性安排，为两国数字经济往来提供了基本的规则框架。也正因此，澳大利亚的数据保护制度并不是孤立存在的，而是与数字贸易、消费者权益保护以及跨境服务监管共同构成其数字治理体系的一部分。

值得注意的是，澳大利亚法律更强调“个人信息保护（personal information protection）”而非广义上的“数据保护（data protection）”。在数字贸易与跨境服务不断扩张的背景下，个人信息处理已逐渐成为中资企业进入澳大利亚市场必须面对的核心合规问题。本篇将以Q&A的形式，对澳大利亚个人信息保护的核心规则进行系统梳理，帮助中国出海企业快速把握主要合规要点。

Q1：澳大利亚立法中主要的数据保护法律法规有哪些？

澳大利亚的数据保护法律体系以联邦层面的《1988年隐私法》为核心，并辅以监管机构法、消费者数据制度及行业专项规则。

1.《1988年隐私法》（Privacy Act 1988）及《澳大利亚隐私原则》（Australian Privacy Principles）

《1988年隐私法》是澳大利亚联邦层面的核心个人信息保护立法，其目标包括保护个人隐私、建立统一的数据保护框架、促进负责任和透明的数据处理，并在保护隐私的同时促进跨境信息自由流动。

《1988年隐私法》的核心行为规则为《澳大利亚隐私原则》（Australian Privacy Principles，以下简称“APPs”）。APPs规定于《1988年隐私法》附表1中，对个人信息的收集、使用、披露、跨境传输、数据安全、访问与更正等事项作出系统规范。此外，《1988年隐私法》还包括信用报告规则、可通知数据泄露（Notifiable Data Breaches）机制以及严重侵犯隐私的法定侵权制度等内容。

2. 专项数据制度

除一般隐私制度外，澳大利亚还建立了若干重要专项数据制度：

（1）《2010年竞争与消费者法》（Competition and Consumer Act 2010）中的“消费者数据权”（Consumer Data Right，以下称为“CDR”）制度，主要适用于开放银行、能源、电信等领域，建立了澳大利亚的数据可携和开放数据体系；

（2）《2003年垃圾信息法》（Spam Act 2003）规制商业电子营销行为；

（3）《2006年拒绝电话营销登记法》（Do Not Call Register Act 2006）规制电话营销行为；

（4）《2012年我的健康记录法》（My Health Records Act 2012）和《2010年医疗识别码法》（Healthcare Identifiers Act 2010）则主要适用于医疗健康领域。

3. 州与领地层面的补充规则

由于澳大利亚是联邦制国家，州和领地法律也会并行存在。《1988年隐私法》第3条明确，其不影响可与联邦法并行运行且涉及个人信息收集、持有、使用、更正或披露的州/领地法律。

Q2：澳大利亚的数据监管机构是什么？

联邦层面的主要隐私监管机构是澳大利亚信息专员办公室（Office of the Australian Information Commissioner，以下称为“OAIC”）。OAIC依据《2010年澳大利亚信息专员法》设立，主要负责《1988年隐私法》的实施与执法，其核心职能包括：

（1）制定和解释隐私监管规则与指南；

（2）监督APPs实施情况；

（3）受理个人投诉并调查隐私违规行为；

（4）开展隐私保护教育和合规宣传；

（5）对严重违规行为采取执法与处罚措施。

OAIC既可以在收到投诉后开展调查，也可以主动启动调查程序。对于违反《1988年隐私法》的行为，OAIC可以要求企业采取整改措施、停止违规行为、发布声明、赔偿损失等；对于严重隐私干扰行为，还可以向法院申请民事处罚。

近年来，随着大型数据泄露事件频发，澳大利亚持续强化隐私执法与监管力度，OAIC对数据泄露、网络安全措施不足以及大型平台数据处理问题的关注度明显提升。

在部分专项领域，还存在其他并行监管机构。例如：澳大利亚通信与媒体管理局（Australian Communications and Media Authority，以下称为“ACMA”）负责监管垃圾邮件与电话营销；在消费者数据权（CDR）制度下，OAIC与澳大利亚竞争与消费者委员会（Australian Competition and Consumer Commission，以下称为“ACCC”）共同承担监管职责。

Q3：如何判断《1988年隐私法》是否适用于企业？

判断《1988年隐私法》是否适用，首先看主体是否属于“隐私原则主体”（以下简称“APPs主体”）。根据《1988年隐私法》第6条的规定，APPs主体主要包括政府机构以及符合条件的组织；其中，“组织”通常包括个人、法人、合伙、非法人协会或信托。“小型企业经营者”是澳大利亚法中的重要例外，通常情况下，上一财年营业额不超过300万澳元的企业属于小型企业经营者。

对于境外主体，如其在澳大利亚开展业务，也可能被认定具有“澳大利亚关联”（Australian link），从而适用《1988年隐私法》。

此外，《1988年隐私法》还规定了若干豁免场景，例如：纯粹个人、家庭或家务活动、与当前或过往员工记录直接相关的雇佣行为、符合条件的新闻活动等。

Q4：《1988年隐私法》中与个人信息保护相关的定义有哪些？

（1）“个人信息”（Personal Information）：关于已识别个人或可合理识别个人的信息或意见，无论其是否真实、是否以物质形式记录。

（2）“敏感信息”（Sensitive Information）：属于个人信息中更敏感的类别，包括种族或民族来源、政治观点、政治团体成员身份、宗教信仰或归属、哲学信念、专业或行业协会成员身份、工会成员身份、性取向或性行为、犯罪记录，以及健康信息、部分基因信息、用于自动化生物识别验证或识别的生物识别信息和生物识别模板。

（3）APPs主体（APPs Entity）：指机构或组织。“组织”包括个人、法人、合伙、非法人协会和信托，但不包括小型企业经营者、注册政党、机构、州/领地机关和被规定的州/领地机构。

（4）持有（Hold）：指实体对包含个人信息的记录具有占有或控制。

（5）去标识化（De-identification）：指个人信息不再能够识别相关个人。

Q5：《1988年隐私法》对数据保护官（Data Protection Officer，以下简称“DPO”）任命有哪些要求？

《1988年隐私法》未像《通用数据保护条例》（General Data Protection Regulation，以下称为“GDPR”）那样设置一般性的数据保护官任命条款，澳大利亚法更强调APPs主体自身的治理体系。APPs第1条原则要求APPs主体采取合理措施，建立与其业务活动相适应的实践、程序和制度，以确保其遵守APPs并妥善处理相关投诉或咨询。

尽管澳大利亚法并未普遍强制任命DPO，但在实践中，大型企业、跨国公司以及涉及大量个人信息处理的企业，通常仍会设置隐私负责人、数据保护团队或合规负责人，以满足内部治理和监管沟通需要。

Q6：《1988年隐私法》中数据处理的合法性基础有哪些？

《1988年隐私法》并不采用并列合法性基础框架，而是围绕收集是否必要、方式是否合法公平、使用或披露是否限于目的或例外展开。

对于非敏感信息，APPs主体仅在该信息对其职能或业务活动属于合理必要的情况下方可收集。

对于敏感信息，原则上APPs主体只有在取得个人同意，且该信息与其职能或活动具有合理必要关联的情况下方可收集。在部分情形下，即使未取得同意，也可在法律授权或特定公共利益情形下收集，例如依据澳大利亚法律或法院、仲裁庭命令的要求，或在特定“允许的一般情形”及“允许的健康情形”下进行处理。

收集方式也有独立要求。APPs第3.5条原则要求个人信息的收集必须通过合法且公平的方式收集；APPs第3.6条原则要求在通常情况下信息应只能从个人本人获取，仅在取得同意、存在法律授权，或在直接收集不现实或不合理的情况下，方可从第三方获取。

在使用与披露阶段，规则主要由APPs第6条原则进行规范。APPs主体在收集个人信息时需明确“主要目的”，并原则上仅能在该主要目的范围内使用或披露信息；如拟用于“次要目的”，通常需要满足个人同意，或符合合理预期、法律授权及特定例外情形。

在例外机制方面，《1988年隐私法》通过“允许的一般情形”与“允许的健康情形”对严格规则进行补充，包括紧急情况下为保护生命、健康或安全而进行的数据处理，针对违法或严重不当行为的调查与应对，法律程序中的权利主张与抗辩，以及公共卫生、医疗服务与相关研究活动等典型场景。

Q7：《1988年隐私法》中主要的合规义务有哪些？

（1）透明治理与合规体系义务

APPs第1条原则要求APPs主体以开放、透明的方式管理个人信息，并建立与其业务活动相适应的内部合规实践、程序与制度，同时制定并持续更新隐私政策，向个人提供清晰的信息披露。

（2）个人选择与信息收集义务

APPs第2条原则规定，个人在与APPs主体进行特定互动时，原则上应享有匿名或使用化名的选择权，但在法律要求或实际不可行的情况下可予以例外。

在信息收集方面，APPs第3条原则对主动收集个人信息作出规范，要求收集行为必须与机构职能或业务活动具有合理必要性，并符合相关合法与公平原则。

对于非主动取得的个人信息，APPs第4条原则要求APPs主体判断其是否本可依据APPs第3条原则合法收集；如不符合收集条件且继续持有不合理的，应及时销毁或去识别化处理。

APPs第5条原则进一步规定收集通知义务，即在收集个人信息时，应向个人明确告知相关事项，包括收集目的、使用方式及潜在披露情况等。

（3）使用、披露与营销规范

APPs第6条原则对个人信息的使用与披露进行核心规制，原则上要求仅在“主要目的”范围内使用或披露信息，超出范围需满足法定条件或取得同意。

APPs第7条原则对直接营销行为进行规范，要求在一定条件下尊重个人拒绝营销的权利。

APPs第9条原则限制对政府相关识别码（Government Related Identifiers）的收集、使用与披露，以防止不当关联与滥用。

（4）跨境传输、数据质量与安全义务

APPs第8条原则规范个人信息的跨境披露，要求APPs主体在向境外接收方披露信息前，采取合理措施确保其具备与APPs实质相当的数据保护水平。

APPs第10条原则要求APPs主体确保其持有的个人信息在收集、使用或披露时保持准确、完整、最新，并与使用目的相关。

APPs第11条原则要求APPs主体采取合理措施保护个人信息安全，防止未经授权的访问、使用、披露、丢失或篡改，并在信息不再需要且无法律保留义务时及时销毁或去识别化处理。

（5）个人权利响应义务

APPs第12条原则赋予个人访问其个人信息的权利，要求APPs主体在合理期限内（OAIC实践指南通常以30日作为重要参考期限）予以回应并提供相关信息。

APPs第13条原则规定更正义务，当个人信息不准确、不完整、过时或具有误导性时，APPS主体应采取合理措施进行更正，并对相关请求作出回应。

（6）数据泄露通知义务

《1988年隐私法》第IIIC部分建立“可通知数据泄露”（Notifiable Data Breaches）机制。

在该机制下：

• 第26WE条界定了“可通知数据泄露”的定义：指未经授权访问、披露或丢失个人信息，并且该事件很可能对相关个人造成严重损害的数据泄露事件；

• 第26WH条要求在合理怀疑发生数据泄露时进行评估，并在30日内完成判断；

• 第26WK条要求向澳大利亚信息专员办公室（OAIC）提交声明；

• 第26WL条要求通知受影响个人，或在无法逐一通知时发布公开声明。

Q8：《1988年隐私法》对数据跨境传输有什么规定？

澳大利亚并未建立类似部分国家的数据本地化要求。相反，《1988年隐私法》的立法目标之一，是在保护个人隐私的同时促进跨境信息自由流动。

个人信息跨境披露的核心规则主要体现在APPs第8条原则中。根据该原则，在向境外接收方披露个人信息前，APPs主体通常需要采取合理措施，确保境外接收方不会违反APPs。

在一般规则下，APPs第8.1条原则要求：当APPs主体向位于澳大利亚境外（或外部领地）且不属于该主体或数据主体本人的接收方披露个人信息时，必须在具体情境下采取合理措施，确保境外接收方对该信息的处理不会违反APP的相关要求（APPs第1条原则除外）。

在例外情形方面，APPs第8.2条原则对APPs第8.1条原则的适用进行了限制性豁免安排，主要包括以下几类情形：

（1）APPs主体合理认为境外接收方受法律或具有约束力的机制约束，且该保护机制整体上与APPs提供的保护水平“实质相当”，并且数据主体能够实际执行该权利；

（2）数据主体在充分知情的情况下明确同意跨境披露；

（3）披露行为由澳大利亚法律或法院、仲裁庭命令要求或授权；

（4）适用“允许的一般情形”等紧急或法定例外；

（5）基于澳大利亚参与的国际信息共享安排进行披露；

（6）为执法目的向境外执法机构进行信息共享。

在特定情形下，APPs第8.3条原则进一步明确，如果境外接收方所在国家的法律或机制已被法规指定认可，或其参与具有约束力的数据保护机制，则可在满足相关条件时适用APPs第8.2条原则的豁免效果，从而不适用APPs第8.1条原则的保障义务。

在责任结构上，《1988年隐私法》第16C条确立了重要的“责任承接机制”：如果APPs主体依据APPs第8.1条原则向境外接收方披露个人信息，而该境外接收方对信息的处理方式若适用APPs本应构成违规，则该行为将被视为由APPs主体自身实施，从而由APPs主体承担相应的合规责任。

在数据安全与跨境延伸义务方面，第26WC条建立了“拟制持有”机制：当APPs主体依据APPs第8.1条原则向境外接收方披露个人信息，且该接收方实际持有该信息时，在可通知数据泄露制度适用范围内，该信息在法律上将被视为仍由APPs主体持有，并据此触发APPs第11.1条原则项下的信息安全保护义务。

Q9：违反《1988年隐私法》可能面临什么样的处罚或责任？

根据《1988年隐私法》，违反APPs、违反数据泄露通知义务以及其他相关规则的行为，均可能构成“隐私干扰”（Interference with Privacy）。

首先，第13条对“隐私干扰”作出统一定义，将违反APPs、已注册的APPs行为规范、信用报告规则、税号规则以及可通知数据泄露相关义务的行为纳入同一违法类型。

在责任加重层面，“严重隐私干扰”的民事罚款标准为：对个人最高罚款为250万澳元；对法人而言，最高可达5000万澳元，或违法所得的三倍，或在无法确定收益时按违规期间调整后营业额的30%计算，以最高者为准。

对于未达到严重程度的隐私干扰，第13H条规定较轻层级的民事罚款机制，最高为2000个罚款单位。同时，在相关程序中，如法院认定存在隐私干扰但不构成严重情形，可依据第13J条调整适用较低等级的罚款框架。

在救济与执法层面，OAIC可在调查后作出多种行政性命令，包括要求停止相关行为、采取整改措施、实施风险控制与损害预防、发布声明或向受影响个人提供补偿等。法院在民事罚款程序中亦可进一步作出禁令、赔偿、行为限制及公开声明等救济措施。

在更高层级的私法救济方面，2024年修法后，《1988年隐私法》附表2新增“严重侵犯隐私”的法定侵权。该制度适用于两类核心情形：一是对私人空间的侵入，二是对个人信息的滥用。同时需满足合理隐私期待、行为具有故意或重大过失、侵权严重性以及公共利益衡量等要件。成立该侵权后，法院可判令损害赔偿、禁令、道歉、更正、销毁或交付相关材料及其他适当救济。

Q10：澳大利亚个人信息保护立法与欧盟GDPR有哪些主要区别？

总体而言，澳大利亚《1988年隐私法》与欧盟GDPR在制度结构与监管理念上存在明显差异。相比GDPR以“控制者—处理者”体系、统一合法性基础及强数据主体权利为核心的框架，澳大利亚法更强调以APPs为中心的行为规范模式，并保留小企业豁免、员工记录例外等具有本国特色的制度安排。与此同时，GDPR整体监管力度与域外适用范围更强，而澳大利亚则更注重在隐私保护与跨境数据自由流动之间保持平衡。

[1] 澳大利亚外交贸易部，Digital trade and the digital economy，https://www.dfat.gov.au/trade/services-and-digital-trade/e-commerce-and-digital-trade，最后访问于：2026/05/18。

[2] 澳大利亚外交贸易部，China country brief，https://www.dfat.gov.au/geo/china/china-country-brief，最后访问于：2026/05/18。

[3] 中华人民共和国商务部，《中国-澳大利亚自由贸易协定》 官方文本（中英文），https://melbourne.mofcom.gov.cn/zazmxd/jdzm/art/2015/art_6a31ab4c8d484bf98ae1f266c19a623e.html，最后访问于：2026/05/18。

[4] 中华人民共和国商务部中国自由贸易区服务网，《区域全面经济伙伴关系协定》（RCEP），https://fta.mofcom.gov.cn/rcep/rcep_new.shtml，最后访问于：2026/05/18。