ARTICLES
专业文(wén)章
澳、新(xīn)隐私保护法律法规解读
澳、新(xīn)隐私保护法律法规解读
澳大利亚和新(xīn)西兰作為(wèi)亚太地區(qū)的重要经济體(tǐ),与我國(guó)在贸易、投资、教育、旅游等多(duō)个领域有(yǒu)着密切的合作,中國(guó)已经连续多(duō)年成為(wèi)澳大利亚与新(xīn)西兰的第一大贸易伙伴。而在隐私保护、数据合规日益受到关注的当下,深入了解这两个國(guó)家的隐私保护法律體(tǐ)系,对于出海澳大利亚与新(xīn)西兰的中國(guó)企业而言至关重要。
澳大利亚和新(xīn)西兰在隐私保护方面有(yǒu)着各自的法律法规體(tǐ)系。澳大利亚于上世纪即通过了《1988年隐私法》(Privacy Act 1988),并经过多(duō)次修订,為(wèi)个人信息的收集、使用(yòng)和披露提供了严格的指导原则,旨在保护个人隐私权,同时平衡信息自由流通的需求。新(xīn)西兰则通过《2020年隐私法》(Privacy Act 2020)更新(xīn)了其隐私保护框架,以适应现代技术的发展,加强了对个人隐私的保护,并提高了对违规行為(wèi)的处罚力度。本文(wén)将对澳大利亚、新(xīn)西兰的隐私保护法律體(tǐ)系及部分(fēn)要点进行介绍与分(fēn)析,為(wèi)出海企业提供实務(wù)指引。
一、澳大利亚隐私保护法律法规體(tǐ)系及要点解读
(一)法律法规體(tǐ)系
(二)要点解读
1. 澳大利亚信息专员办公室(Office of the Australian Information Commissioner,以下简称OAIC)
OAIC是澳大利亚总检察長(cháng)下属的独立机构,主要职能(néng)是制定隐私、信息自由和政府信息政策,职责包括进行调查、审查决定、处理(lǐ)投诉以及提供指导和建议。
2. 个人信息与敏感信息
根据OAIC的解释,“个人信息"包括可(kě)以识别个人身份的广泛信息或观点,什么是个人信息具體(tǐ)取决于一个人是否可(kě)以被识别或在一些情况下可(kě)以合理(lǐ)地识别,典型的个人信息可(kě)以包括:姓名、签名、地址、電(diàn)话号码、出生日期、敏感信息、信用(yòng)信息等。“敏感信息"通常包括:种族或民(mín)族血统、政治观点或政党、宗教或哲學(xué)信仰、工会会员或协会、性取向或性行為(wèi)、犯罪记录、健康或遗传信息以及生物(wù)识别信息的某些方面。[1]
3. 隐私原则
《1988年隐私法》规定了13项隐私保护原则(Australian Privacy Principles,以下简称APPs),适用(yòng)于一部分(fēn)私营部门组织和大多(duō)数澳大利亚政府机构,这些组织和机构统称為(wèi)APP实體(tǐ)(APP entities)。这13项原则分(fēn)别為(wèi):
(1)Open and transparent management of personal information(个人信息管理(lǐ)公开透明):该原则的目的是保证APP实體(tǐ)以公开、透明的方式管理(lǐ)个人信息。
(2)Anonymity and pseudonymity(匿名和假名):根据该原则的规定,在与APP实體(tǐ)就特定事项打交道时,个人必须可(kě)以选择不表明身份或使用(yòng)假名。
(3)Collection of solicited personal information(收集经请求的个人信息):APP实體(tǐ)只有(yǒu)在得到明确同意的情况下才能(néng)收集数据。
(4)Dealing with unsolicited personal information(处理(lǐ)未经请求的个人信息):当组织收到未经请求的个人信息时,应当根据情况采取合理(lǐ)的步骤,以确保这些信息符合隐私法规的要求。
(5)Notification of the collection of personal information(关于收集个人信息的通知):APP实體(tǐ)在收集个人信息前,或在收集信息后切实可(kě)行的情况下尽快采取合理(lǐ)的措施告知信息主體(tǐ)。
(6)Use or disclosure of personal information(使用(yòng)或披露个人信息):除非在信息主體(tǐ)同意或特定情况下,否则APP实體(tǐ)持有(yǒu)為(wèi)特定目的(主要目的)而收集的个人信息,不得出于其他(tā)目的(次要目的)使用(yòng)或披露该信息。
(7)Direct marketing(直接营销):一般情况下,APP实體(tǐ)不得出于直接营销目的使用(yòng)或披露该信息。
(8)Cross-border disclosure of personal information(个人信息跨境披露):APP实體(tǐ)在向海外接收者披露信息时,必须采取合理(lǐ)的措施,以确保海外接收者不会违反APPs。
(9)Adoption, use or disclosure of government related identifiers(采用(yòng)、使用(yòng)或披露政府相关标识符):组织不得采用(yòng)与政府相关的个人标识符作為(wèi)其自己的个人标识符,除非经法院命令或符合9.3规定的情况。
(10)Quality of personal information(个人信息的质量):APP实體(tǐ)须采取合适的措施确保收集、使用(yòng)、披露的信息是准确的、最新(xīn)的、完整的和相关的。
(11)Security of personal information(个人信息安全):APP实體(tǐ)必须采取合理(lǐ)措施来保护信息免遭滥用(yòng)、干扰和丢失,未经授权的访问、修改或披露。
(12)Access to personal information(访问个人信息):APP实體(tǐ)必须根据个人请求授予个人访问信息的权限。
(13)Correction of personal information(个人信息更正):APP实體(tǐ)必须根据情况采取合理(lǐ)的措施(如有(yǒu))来纠正其认為(wèi)不准确、过时的、不完整、不想管、具有(yǒu)误导性的信息或信息主體(tǐ)请求更正的信息,以确保该信息是准确的、最新(xīn)的、完整的、相关的且不具有(yǒu)误导性。
4. 数据跨境
根据APPs第8条“cross-border disclosure of personal information",在APP实體(tǐ)向以下境外接收者披露有(yǒu)关个人的个人信息之前,必须采取在当时情况下合理(lǐ)的措施,以确保境外接收者不会违反与该信息相关的APPs(第1条除外)。第8.1条对境外接收者的定义為(wèi):不在澳大利亚或境外领土并且不是APP实體(tǐ)或个人。
但是第8.2条也规定了一些例外情况,包括:
(1)APP实體(tǐ)有(yǒu)理(lǐ)由认為(wèi)接收者受法律或具有(yǒu)约束力的方案的约束,且该法律或方案总體(tǐ)上具有(yǒu)与APPs相似的保护效果,并且个人可(kě)以采取措施强制执行该法律或方案;
(2)在APP实體(tǐ)明确告知个人向海外接收者披露其信息的行為(wèi)不再适用(yòng)第8.1条,而个人在知晓该情况后仍明确同意的;
(3)澳大利亚法律或法院/法庭命令要求或授权披露信息;
(4)在APP实體(tǐ)披露信息方面,存在允许的一般情况(但不包括法律索赔、衡平法索赔、保密性的替代争议解决程序所必要)
(5)该实體(tǐ)是一个机构,并且披露信息是由澳大利亚作為(wèi)缔约方的与信息共享有(yǒu)关的國(guó)际协议要求或授权的;
(6)该实體(tǐ)是一个机构,并且:(i)该实體(tǐ)合理(lǐ)地认為(wèi),对于执法机构或代表执法机构开展的一项或多(duō)项执法相关活动,披露信息是合理(lǐ)必要的,以及(ii)接收方是履行与执法机构履行或行使的职能(néng)或权力相似的职能(néng)或权力的机构。
此外,需要注意的是,根据《2012年我的健康记录法》(My Health Records Act 2012),可(kě)识别特定主體(tǐ)的健康记录属于禁止出境的数据。
二、新(xīn)西兰隐私保护法律法规體(tǐ)系及要点解读
(一)體(tǐ)系
(二)要点解读
1. 隐私专员(Privacy Commissioner)
《2020年隐私法》延续了《1991年隐私专员法》(Privacy Commissioner Act 1991)的规定,保留了隐私专员这一职務(wù)。除隐私专员外,总督(Govenor-General)可(kě)根据负责部長(cháng)的推荐任命一名副隐私专员。在专员的控制下,副专员可(kě)以履行或行使专员的所有(yǒu)职能(néng)、职责和权力,当专员职位空缺或专员缺勤时,副专员可(kě)以履行或行使专员的所有(yǒu)职能(néng)、职责和权力。《2020年隐私法》第17条规定了隐私专员的职责,包括执行《2020年隐私法》等相关法律法规,调查个人对隐私侵犯的投诉,对系统性隐私问题进行调查,对发现违反隐私法律的组织采取执法行动,就隐私保护意识的提升开展宣传教育,修订隐私原则,与國(guó)际隐私监管机构开展合作等。[2]
2. 信息隐私原则(Information Privacy Principle,以下简称IPP)
《2020年隐私法》将个人信息定义為(wèi)(1)有(yǒu)关可(kě)识别个人的信息;(2)包括总登记官(Registrar-General)根据《2021年出生、死亡、婚姻和关系登记法》(The Births, Deaths, Marriages, and Relationships Registration Act 2021)或任何以前的法案保存的与死亡相关的信息。
《2020年隐私法》制定了13项信息隐私原则(Information Privacy Principles,以下简称IPP),对如何收集、处理(lǐ)和使用(yòng)个人信息进行了规定。这13项原则分(fēn)别為(wèi):
(1)Purpose of collection of personal information(收集个人信息的目的):机构不得收集个人信息,除非是為(wèi)了与机构的职能(néng)或活动有(yǒu)关的合法目的而收集信息;如实现该合法目的不需要收集个人身份信息的,可(kě)以不要求收集个人身份信息。
(2)Source of personal information(个人信息来源):机构应当从相关个人处直接收集个人信息,当出现相关个人授权、该信息是公开信息等特殊情况时,机构可(kě)以不从相关主體(tǐ)处直接收集信息。
(3)Collection of information from subject(从主體(tǐ)处收集信息):机构在收集个人信息时,必须采取合理(lǐ)的措施,确保该主體(tǐ)知道收集信息的事实、收集信息的目的、信息接收的主體(tǐ)等信息。若机构无法在收集个人信息前向主體(tǐ)披露上述信息,则应当在收集信息后尽快采取措施使主體(tǐ)知晓上述信息。
(4)Manner of collection of personal information(个人信息收集方式):机构只能(néng)以合法、公平且不得无理(lǐ)侵入的方式收集个人信息,特别是在收集儿童和青少年的个人信息时。
(5)Storage and security of personal information(个人信息的存储和安全):机构必须确保采取合理(lǐ)的安全保障措施,以防止个人信息丢失、滥用(yòng)或泄露。
(6)Access to personal information(访问个人信息):个人有(yǒu)权确认机构是否持有(yǒu)关于他(tā)们的任何个人信息以及可(kě)以访问他(tā)们的个人信息,如果有(yǒu)关个人被允许访问个人信息,则必须告知该个人其可(kě)以要求更正信息。
(7)Correction of personal information(个人信息的更正):个人信息被机构所持有(yǒu)的个人,有(yǒu)权要求机构更正信息。
(8)Accuracy, etc, of personal information to be checked before use or disclosure(使用(yòng)或公开之前应检查的个人信息的准确性等):在使用(yòng)或披露个人信息之前,机构必须采取合理(lǐ)措施检查其准确性、完整性、相关性、最新(xīn)性且不具有(yǒu)误导性。
(9)Agency not to keep personal information for longer than necessary(机构保留个人信息的时间不得超过必要时间):机构保留个人信息的时间不得超过必要的时间。
(10)Limits on use of personal information(个人信息的使用(yòng)限制):机构通常只能(néng)将个人信息用(yòng)于收集信息的目的。
(11)Limits on disclosure of personal information(个人信息披露的限制):机构不得向其他(tā)机构或个人披露其持有(yǒu)的个人信息,除非其有(yǒu)理(lǐ)由认為(wèi)该披露已得到相关主體(tǐ)的授权、披露符合收集信息的目的等。
(12)Disclosure of personal information outside New Zealand(在新(xīn)西兰境外披露个人信息):只有(yǒu)在信息受到充分(fēn)保护的情况下,机构才能(néng)将个人信息发送给境外主體(tǐ)。
(13)Unique identifiers(唯一标识符):机构只能(néng)在运营需要时向个人分(fēn)配一个唯一标识符。一般来说,标识符不能(néng)与其他(tā)组织分(fēn)配的相同。机构不得要求个人披露该唯一标识符,除非披露是為(wèi)了与分(fēn)配该唯一标识符相关的目的之一,或者是為(wèi)了与这些目的之一直接相关的目的。
3. 跨境传输
根据《2020年隐私法》的规定,境外主體(tǐ)(overseas agency)是指不属于以下情况的境外人士、法人团體(tǐ)或非法人团體(tǐ):(1)新(xīn)西兰机构;(2)境外國(guó)家政府;(3)代表境外政府履行任何公共职能(néng)的境外政府实體(tǐ);(4)新(xīn)闻实體(tǐ),只要其正在进行新(xīn)闻活动。
根据第IPP12,如符合IPP11(a)(c)(e)(f)(h)(i),则A机构可(kě)以在满足以下条件时向境外主體(tǐ)B披露个人信息:
(1)A明确告知相关主體(tǐ)关于B可(kě)能(néng)不需要提供与本法总體(tǐ)相当的保障方式保护该信息后,相关主體(tǐ)仍授权向B披露信息;或
(2)B在新(xīn)西兰开展业務(wù),并且就该信息而言,A有(yǒu)合理(lǐ)理(lǐ)由相信B受本法约束;或
(3)A有(yǒu)合理(lǐ)理(lǐ)由相信B受隐私法约束,该隐私法提供与本法总體(tǐ)相当的保障方式;或
(4)A有(yǒu)合理(lǐ)理(lǐ)由相信B是指定的约束性方案(指根据第213条制定的法规中指定的约束性方案)的参与者;或
(5)A有(yǒu)合理(lǐ)理(lǐ)由相信B受指定國(guó)家(第214条规定的法规所规定的國(guó)家)的隐私法约束;或
(6)A 以其他(tā)方式有(yǒu)合理(lǐ)理(lǐ)由相信B需要以提供与本法总體(tǐ)相当的保障的方式保护信息(例如,根据A和B之间达成的协议)。
但是,如果根据IPP11(e)(f)需要向B披露个人信息,并且A在当时情况下不可(kě)能(néng)合理(lǐ)地遵守上述条款的要求,则上述条款不适用(yòng)。
根据《2020年隐私法》第193条的规定,如果隐私专员基于合理(lǐ)理(lǐ)由确信以下情况,则隐私专员可(kě)以禁止将个人信息从新(xīn)西兰转移到另一个國(guó)家:
(a)新(xīn)西兰已经或将要从另一个國(guó)家收到该信息,并且很(hěn)可(kě)能(néng)转移到不受提供与本法类似保障措施的法律约束的第三國(guó);
(b)跨境传输传输可(kě)能(néng)会导致违反收集限制原则、数据质量原则、目的规范原则、使用(yòng)限制原则、安全保障原则、开放原则、个人参与原则、问责原则的。
若隐私专员基于合理(lǐ)理(lǐ)由禁止机构向境外转移个人信息,需要向拟转让相关个人信息的机构发出转让禁止通知,在禁止通知发出后,如果专员在任何时候认為(wèi)无需遵守禁止通知的全部或任何规定,则专员可(kě)以向有(yǒu)关机构送达通知,更改或取消禁止通知。
三、结语
澳大利亚、新(xīn)西兰两國(guó)的隐私保护法律法规框架较為(wèi)相似,但在具體(tǐ)规定上又(yòu)有(yǒu)所不同。企业在澳、新(xīn)两國(guó)进行个人信息收集、处理(lǐ)等行為(wèi)时,应注意合规问题,以确保处理(lǐ)行為(wèi)符合澳、新(xīn)两國(guó)关于数据收集、储存、跨境传输等的规定,实现合规经营。
[注]
[1] https://www.oaic.gov.au/privacy/your-privacy-rights/your-personal-information/what-is-personal-information
[2] The functions of the Commissioner are—
(a) to exercise the powers, and carry out the functions and duties, conferred on the Commissioner by or under this Act or any other enactment:
(b) to provide advice (with or without a request) to a Minister, a Parliamentary Under-Secretary, or an agency on any matter relevant to the operation of this Act:
(c) to promote, by education and publicity, an understanding and acceptance of the information privacy principles and of the objectives of those principles:
(d) to make public statements in relation to any matter affecting the privacy of individuals:
(e) to receive and invite representations from members of the public on any matter affecting the privacy of individuals:
(f) to consult and co-operate with other persons and bodies concerned with the privacy of individuals:
(g) to examine any proposed legislation (including secondary legislation) or proposed government policy that the Commissioner considers may affect the privacy of individuals, including any proposed legislation that makes provision for either or both of the following: (i) the collection of personal information by a public sector agency: (ii) the sharing of personal information between public sector agencies (including parts of public sector agencies):
(h) to monitor the use of unique identifiers: (i) to inquire generally into any matter, including any other enactment or any law, or any practice or procedure, whether governmental or nongovernmental, or any technical development, if it appears to the Commissioner that the privacy of individuals is being, or may be, infringed (for powers of the Commissioner in relation to inquiries, see section 203):
(j) to undertake research into, and to monitor developments in, data processing and technology to ensure that any adverse effects of the developments on the privacy of individuals are minimised:
(k) to give advice to any person in relation to any matter that concerns the need for, or desirability of, action by that person in the interests of the privacy of individuals:
(l) when requested to do so by an agency, to conduct an audit of personal information maintained by that agency for the purpose of ascertaining whether the information is maintained according to the information privacy principles:
(m) to monitor the operation of this Act and consider whether any amendments to this Act are necessary or desirable:
(n) to report to the responsible Minister on the results of— (i) any examination conducted under paragraph (g): (ii) the monitoring undertaken under paragraph (h): (iii) the research and monitoring undertaken under paragraph (j): (iv) the monitoring and consideration undertaken under paragraph (m):
(o) to report to the Prime Minister on— (i) any matter affecting the privacy of individuals, including the need for, or desirability of, taking legislative, administrative, or other action to give protection or better protection to the privacy of individuals: (ii) the desirability of New Zealand accepting any international instrument relating to the privacy of individuals: (iii) any other matter relating to the privacy of individuals that, in the Commissioner’s opinion, should be drawn to the Prime Minister’s attention:
(p) to gather any information that will assist in carrying out the functions in paragraphs (a) to (o).
