澳大利亚隐私法：业务合规性和数据处理

澳大利亚《1988 年隐私法》（联邦）是保护澳大利亚人个人信息的主要联邦隐私立法。通过《2021 年隐私立法修正案（加强在线隐私和其他措施）法案》和《2024 年隐私和其他立法修正案法案》得到显着加强，澳大利亚的隐私框架正在经历自 2014 年引入澳大利亚隐私原则 (APP) 以来最实质性的改革。

2024 年的改革引入了针对严重侵犯隐私行为的法定侵权行为，大幅提高了处罚力度（目前每项违规行为最高可达 5000 万澳元），扩大了澳大利亚信息专员办公室 (OAIC) 的执法权力，并增加了数据保留、直接营销和算法透明度方面的新义务。了解现有的 APP 框架和新的改革对于在澳大利亚运营的任何组织都至关重要。

要点

• 《隐私法》适用于年营业额超过 300 万澳元的澳大利亚政府机构和私营部门组织（改革后门槛较低）
• 十三项澳大利亚隐私原则 (APP) 管辖个人信息的收集、使用、披露、质量、安全、访问和更正
• 应通报数据泄露 (NDB) 计划要求在发生合格泄露事件后 30 天内向 OAIC 和受影响的个人发出通知
• 2024 年推出的改革：法定隐私侵权、更高的处罚（5000 万澳元）、个人直接诉讼权以及新的儿童隐私义务
• 敏感信息（健康、种族、生物识别、宗教、性取向等）需要明确同意才能收集和使用
• 跨境披露限制要求个人信息海外接收者承担责任
• OAIC 可以进行审计、接受投诉并将严重事项提交联邦法院民事处罚程序
• 改革将为针对儿童的服务引入儿童在线隐私守则

---

谁必须遵守隐私法

覆盖阈值

隐私法适用于：

澳大利亚政府机构：所有联邦政府部门和机构，以及某些情况下的一些州/领地机构。

APP 实体（私营部门）：任何财政年度年营业额超过 300 万美元的组织。这一门槛一直是改革讨论的主题——降低或取消门槛以覆盖更多企业的提案正在进行中。

从事特定活动的小型企业：无论营业额如何，如果组织符合以下条件，则隐私法适用：

• 是医疗服务提供者（包括私人诊所）
• 个人信息交易
• 是澳大利亚政府的签约服务提供商
• 已选择加入《隐私法》
• 运营住宅租赁数据库
• 与该法案所涵盖的实体相关

域外范围：《隐私法》适用于澳大利亚组织及其海外活动。没有澳大利亚办事处、通过澳大利亚链接（例如澳大利亚服务器、澳大利亚业务关系）收集澳大利亚人个人信息的离岸实体也可能受到该法案的约束。

主要豁免

• 员工记录（针对与其雇佣关系有关的私营部门组织）
• 新闻和媒体（有关新闻活动的注册新闻机构）
• 澳大利亚公民/居民在澳大利亚境外实施的行为（复杂豁免）
• 低于营业额门槛的小型企业（上述例外）

---

澳大利亚隐私原则 (APP)

十三个APP构成了隐私合规的实质性框架：

APP 1 — 公开透明的管理：拥有明确表达的、最新的隐私政策。根据要求免费提供。

APP 2 — 匿名和假名：在合法且可行的情况下，让个人可以选择匿名或使用假名与您互动。

APP 3 — 收集请求的个人信息：仅收集对您的职能合理必要的个人信息。仅在征得同意（或在特定情况下）的情况下收集敏感信息。在合理可行的情况下直接向个人收集。

APP 4 — 处理未经请求的个人信息：如果您收到未经请求且根据 APP 3 不允许收集的个人信息，请尽快销毁该信息或取消其识别信息。

APP 5 — 收集通知：在收集时或之前（或收集后尽快），采取合理措施通知个人：您是谁、如何与您联系、法律是否要求收集、收集的目的、不提供信息的后果、还有谁可能收到该信息，以及如何访问/更正该信息。

APP 6 — 使用或披露个人信息：仅出于收集的主要目的、个人合理预期的相关次要目的、经同意或在特定 APP 6 例外情况下（法律、执法、健康/安全要求）使用或披露个人信息。

APP 7 — 直接营销：除非满足条件（由个人提供、同意敏感信息、提供取消订阅机制），否则不得使用或披露个人信息进行直接营销。个人可以请求选择退出。

APP 8 — 跨境披露：在向海外接收者披露个人信息之前，请采取合理措施确保接收者不会违反 APP。您仍需对海外收件人的处理负责。如果个人同意或接收者位于具有基本相似法律的国家，则允许披露。

APP 9 — 采用、使用或披露政府相关标识符：限制出于私营部门目的使用政府标识符（例如 Medicare 号码、Centrelink 参考）。

APP 10 — 个人信息质量：在收集、使用或披露个人信息之前，采取合理措施确保个人信息准确、最新且完整。

APP 11 — 个人信息安全：采取合理措施保护个人信息免遭滥用、干扰、丢失以及未经授权的访问、修改或披露。当不再需要时销毁或取消识别个人信息。

APP 12 — 访问个人信息：在 30 天内，按照合理要求的格式，向个人提供对其个人信息的访问权限。例外情况包括：如果访问会对他人的隐私造成严重威胁、不合理影响，则访问将是非法的。

APP 13 — 更正个人信息：根据要求（或您主动），更正不准确、不完整、过时、不相关或误导性的个人信息。如果您拒绝更正，请通知该个人并允许他们将更正声明与其记录相关联。

---

敏感信息

《隐私法》将敏感信息定义为需要更高标准保护的个人信息的子集。敏感信息包括：

• 健康信息
• 遗传信息
• 用于识别目的的生物识别信息
• 种族或民族血统
• 政治观点
• 宗教或哲学信仰
• 性取向或性行为
• 工会会员资格
• 犯罪记录信息
• 政府颁发的身份证明详细信息

APP 3.3：组织只能在以下情况下收集敏感信息：

• 个人已同意，且收集对于组织的职能而言是合理必要的； 或
• 八个特定例外之一适用（法律要求、防止严重威胁等）

健康信息：获得额外的保护——无论营业额如何，健康服务提供商都受到保护，并且适用 OAIC 发布的特定健康隐私指南。

---

应通报数据泄露 (NDB) 计划

NDB 计划（《隐私法》第 IIIC 部分）要求 APP 实体将符合资格的数据泄露情况通知 OAIC 和受影响的个人。

什么是合格的数据泄露？

符合条件的数据泄露发生在： 1.实体持有的个人信息存在未经授权的访问、披露或丢失； 和 2. 理性的人会得出这样的结论：访问/披露/丢失可能会对与该信息相关的任何个人造成严重伤害

严重危害评估：考虑信息类型、敏感性、是否应用安全技术、访问/接收信息的人员以及潜在危害（财务、身体、心理、声誉）。

通知时间线

紧急数据泄露（可能会造成严重损害并且实体立即意识到这一情况）应尽快通知 OAIC 和个人，而不是等待 30 天。

OAIC通知内容：

• 实体名称和联系方式
• 违规行为的描述
• 受影响个人的类别和大概数量
• 涉及的信息（记录类型和大致数量）
• 已采取或计划采取的应对措施

---

2024 年隐私法改革

《2024 年隐私和其他立法修正案》（2024 年 11 月颁布）引入了重大变化。主要改革包括：

侵犯隐私的法定侵权行为

新的法定诉讼事由允许个人直接在联邦法院起诉严重侵犯隐私的组织，而无需 OAIC 参与。补救措施包括损害赔偿（包括加重损害赔偿和惩戒性损害赔偿）、禁令和利润核算。这种私人诉讼权显着增加了企业的诉讼风险。

两种类型的入侵： (1) 隔离期间的入侵——对私人事务的物理或电子入侵； (2) 滥用私人信息——收集、使用或披露私人信息。

仅当合理的人认为入侵行为具有高度冒犯性，并且原告在这种情况下对隐私有合理的期望时，才可以对入侵提起诉讼。

更高的处罚

每次严重或重复侵犯隐私的最高民事处罚从 222 万澳元增至 5,000 万澳元。法院还可以根据违规行为所获得利益的三倍或违规期间澳大利亚营业额的 30% 处以罚款——以最高者为准。这些处罚符合澳大利亚竞争法中的最高级别处罚。

扩大 OAIC 的权力

OAIC 现在有：

• 有权自行进行调查而无需投诉
• 对于不太严重的违规行为的侵权通知权力
• 寻求初步发现和临时禁令的权力
• 能够与海外隐私机构共享信息

儿童在线隐私守则

2024 年法案为儿童在线隐私法规创建了一个框架——针对儿童（18 岁以下且达到服务相关年龄的人）的在线服务的强制性要求。该准则将对数据最小化、对家长的透明度以及适合儿童的设计施加具体义务。开发正在进行中；各组织应监督 OAIC 的发展。

直复营销改革

加强对直接营销的限制：个人可以根据个人信息选择退出定向广告，包括出于定向广告目的进行分析。

自动决策透明度

关于使用个人信息的重大自动化决策的透明度的新要求——组织必须能够解释对个人产生重大影响的自动化决策的逻辑。

---

跨境披露（APP 8）

APP 8是最容易被误解的APP之一。当您向海外接收者披露个人信息时：

默认规则：您必须采取合理措施确保海外接收者不会违反与该信息相关的应用程序。 您仍然对海外收件人的处理负责。

同意例外：如果您已明确告知该个人您可能会与海外接收者共享其信息，并且您可能不对海外接收者的处理负责，并且该个人同意，则您可以跨境披露而无需承担责任。

充分性例外：如果 OAIC 确定海外国家/地区具有基本相似的隐私保护，则允许披露。

对云和 SaaS 的实际影响：

• 如果您的云提供商将数据存储在澳大利亚境外，则 APP 8 适用
• 您不能简单地指出云提供商的条款 - 您必须采取合理的步骤（合同保护、安全评估）
• 如果数据存储在多个国际区域，则每个位置都有潜在的泄露风险

---

OAIC 执法和投诉流程

投诉途径：

1. 个人向组织投诉（组织有30天的答复时间）
2. 若未解决或单位未回应，个人可向OAIC投诉
3. OAIC 对投诉进行调解；如果未解决，OAIC 可以进行调查
4. OAIC可以做出包括订购赔偿在内的决定

民事处罚程序：

• OAIC 将严重问题提交联邦法院
• Court can impose civil penalties (up to $50 million)
• OAIC 也可以接受可执行的承诺

监管调查：

• OAIC 可以主动发起调查
• 可以要求实体提供信息、参加面谈、出示文件
• 可以进行审计（有计划的或突击的）

值得注意的执法行动： OAIC 已追查重大案件，包括 Uber Technologies（违反 NDB 计划）、RI Advice Group（安全性不足）和澳大利亚选举委员会（APP 11 安全故障）。 Optus 数据泄露（2022 年，影响 980 万澳大利亚人）和 Medibank 数据泄露（2022 年，970 万客户）引起了监管和立法的高度关注。

---

澳大利亚隐私合规清单

• 隐私法适用性已确认（营业额门槛、具体活动）
• 隐私政策已发布，最新，涵盖所有APP
• 在收集点提供 APP 5 通知（所有数据采集表格上的收集通知）
• 已识别敏感信息 — 已获得收集同意
• 审查数据最小化——仅收集合理必要的信息
• 记录 APP 6 二次使用/披露评估
• 实施直接营销选择退出机制（APP 7）
• 已完成海外披露评估——确保接收方 APP 合规的合理步骤（APP 8）
• 实施并记录数据安全措施（APP 11）
• 实施数据保留和销毁/去识别化政策（APP 11.2）
• 记录个人访问和更正程序（APP 12、13）
• 新开发银行响应程序已记录并经过测试（30 天评估时间表）
• OAIC 违规通知模板已准备好
• 审查儿童数据实践 — 为《儿童在线隐私守则》做好准备
• 进行自动化决策透明度审查
• APP 和 NDB 计划的员工培训已完成

---

常见问题

《隐私法》是否适用于我的小型企业？

一般来说，《隐私法》仅适用于年营业额超过 300 万美元的私营部门组织。但是，如果您是医疗服务提供商、个人信息交易者、政府承包商、运营住宅租赁数据库或与承保实体有关，则无论营业额如何，您都可能受到承保。此外，州/领地的隐私法可能适用于您的业务活动，特别是在昆士兰州、新南威尔士州和维多利亚州的特定行业。

根据澳大利亚法律，什么算作“敏感信息”？

敏感信息是一个明确的类别，包括健康信息、遗传信息、生物识别信息（用于唯一识别）、种族或族裔、政治观点、宗教或哲学信仰、性取向或做法、工会会员身份和犯罪记录信息。收集敏感信息需要征得同意，并且对于您的职能而言必须是合理必要的。健康信息受到 OAIC 最全面的保护和额外指导。

NDB计划下的30天评估期是多长？

当组织意识到可能发生数据泄露时，它有 30 天的时间进行评估并确定这是否是合格的数据泄露（可能会造成严重伤害）。在这 30 天的窗口期内，组织应调查发生了什么、涉及哪些信息、受影响的人员以及是否可能造成严重损害。如果发现符合条件的违规行为，必须尽快向 OAIC 和受影响的个人发出通知——一旦做出符合条件的违规行为判定，就不再有额外的等待期。

在澳大利亚使用AWS或Azure时APP 8如何适用？

如果您使用完全部署在澳大利亚数据中心内的 AWS 或 Azure 服务（AWS ap-southeast-2 Sydney、Azure Australia East），您可能不会遇到海外披露问题 — 数据保留在澳大利亚。如果您使用具有全球基础设施的服务（内容交付网络、全球复制、海外支持访问），您可能会在海外泄露数据。仔细查看云提供商的数据处理文档。许多提供商通过海外子处理的合同保护提供澳大利亚数据驻留保证和涵盖 APP 8 要求的数据处理协议。

新的隐私侵权法是什么？它对企业有何影响？

法定侵权行为（由 2024 年隐私法改革引入）为个人创造了直接权利，可以在联邦法院起诉严重侵犯隐私的组织，而无需通过 OAIC。有两类：隐秘入侵和私人信息滥用。如果一个有理智的人会认为这种侵犯行为具有高度冒犯性，并且该个人对隐私有合理的期望，则该侵权行为适用。可能的补救措施包括补偿性损害赔偿、加重损害赔偿、惩戒性损害赔偿、禁令和利润核算。这大大增加了处理个人信息的企业的诉讼风险——集体诉讼现在已成为严重数据泄露的现实前景。

---

后续步骤

澳大利亚的《隐私法》改革标志着向更强有力的执法、更高的处罚和更大的个人权利的转变——更紧密地与全球标准保持一致。无论您是首次评估合规性，还是更新计划以适应 2024 年的改革，ECOSIRE 的团队都可以帮助您设计适合您业务的隐私设计系统和合规流程。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。澳大利亚隐私法正在进行改革。请咨询合格的澳大利亚法律顾问，获取针对您的组织的具体建议。