澳大利亚和新西兰作为亚太地区的重要经济体，与我国在贸易、投资、教育、旅游等多个领域有着密切的合作，中国已经连续多年成为澳大利亚与新西兰的第一大贸易伙伴。而在隐私保护、数据合规日益受到关注的当下，深入了解这两个国家的隐私保护法律体系，对于出海澳大利亚与新西兰的中国企业而言至关重要。

澳大利亚和新西兰在隐私保护方面有着各自的法律法规体系。澳大利亚于上世纪即通过了《1988年隐私法》（Privacy Act 1988），并经过多次修订，为个人信息的收集、使用和披露提供了严格的指导原则，旨在保护个人隐私权，同时平衡信息自由流通的需求。新西兰则通过《2020年隐私法》（Privacy Act 2020）更新了其隐私保护框架，以适应现代技术的发展，加强了对个人隐私的保护，并提高了对违规行为的处罚力度。本文将对澳大利亚、新西兰的隐私保护法律体系及部分要点进行介绍与分析，为出海企业提供实务指引。

一、澳大利亚隐私保护法律法规体系及要点解读

（一）法律法规体系

（二）要点解读

1. 澳大利亚信息专员办公室（Office of the Australian Information Commissioner，以下简称OAIC）

OAIC是澳大利亚总检察长下属的独立机构，主要职能是制定隐私、信息自由和政府信息政策，职责包括进行调查、审查决定、处理投诉以及提供指导和建议。

2. 个人信息与敏感信息

根据OAIC的解释，“个人信息"包括可以识别个人身份的广泛信息或观点，什么是个人信息具体取决于一个人是否可以被识别或在一些情况下可以合理地识别，典型的个人信息可以包括：姓名、签名、地址、电话号码、出生日期、敏感信息、信用信息等。“敏感信息"通常包括：种族或民族血统、政治观点或政党、宗教或哲学信仰、工会会员或协会、性取向或性行为、犯罪记录、健康或遗传信息以及生物识别信息的某些方面。[1]

3. 隐私原则

《1988年隐私法》规定了13项隐私保护原则（Australian Privacy Principles，以下简称APPs），适用于一部分私营部门组织和大多数澳大利亚政府机构，这些组织和机构统称为APP实体（APP entities）。这13项原则分别为：

（1）Open and transparent management of personal information（个人信息管理公开透明）：该原则的目的是保证APP实体以公开、透明的方式管理个人信息。

（2）Anonymity and pseudonymity（匿名和假名）：根据该原则的规定，在与APP实体就特定事项打交道时，个人必须可以选择不表明身份或使用假名。

（3）Collection of solicited personal information（收集经请求的个人信息）：APP实体只有在得到明确同意的情况下才能收集数据。

（4）Dealing with unsolicited personal information（处理未经请求的个人信息）：当组织收到未经请求的个人信息时，应当根据情况采取合理的步骤，以确保这些信息符合隐私法规的要求。

（5）Notification of the collection of personal information（关于收集个人信息的通知）：APP实体在收集个人信息前，或在收集信息后切实可行的情况下尽快采取合理的措施告知信息主体。

（6）Use or disclosure of personal information（使用或披露个人信息）：除非在信息主体同意或特定情况下，否则APP实体持有为特定目的（主要目的）而收集的个人信息，不得出于其他目的（次要目的）使用或披露该信息。

（7）Direct marketing（直接营销）：一般情况下，APP实体不得出于直接营销目的使用或披露该信息。

（8）Cross-border disclosure of personal information（个人信息跨境披露）：APP实体在向海外接收者披露信息时，必须采取合理的措施，以确保海外接收者不会违反APPs。

（9）Adoption, use or disclosure of government related identifiers（采用、使用或披露政府相关标识符）：组织不得采用与政府相关的个人标识符作为其自己的个人标识符，除非经法院命令或符合9.3规定的情况。

（10）Quality of personal information（个人信息的质量）：APP实体须采取合适的措施确保收集、使用、披露的信息是准确的、最新的、完整的和相关的。

（11）Security of personal information（个人信息安全）：APP实体必须采取合理措施来保护信息免遭滥用、干扰和丢失，未经授权的访问、修改或披露。

（12）Access to personal information（访问个人信息）：APP实体必须根据个人请求授予个人访问信息的权限。

（13）Correction of personal information（个人信息更正）：APP实体必须根据情况采取合理的措施（如有）来纠正其认为不准确、过时的、不完整、不想管、具有误导性的信息或信息主体请求更正的信息，以确保该信息是准确的、最新的、完整的、相关的且不具有误导性。

4. 数据跨境

根据APPs第8条“cross-border disclosure of personal information"，在APP实体向以下境外接收者披露有关个人的个人信息之前，必须采取在当时情况下合理的措施，以确保境外接收者不会违反与该信息相关的APPs（第1条除外）。第8.1条对境外接收者的定义为：不在澳大利亚或境外领土并且不是APP实体或个人。

但是第8.2条也规定了一些例外情况，包括：

（1）APP实体有理由认为接收者受法律或具有约束力的方案的约束，且该法律或方案总体上具有与APPs相似的保护效果，并且个人可以采取措施强制执行该法律或方案；

（2）在APP实体明确告知个人向海外接收者披露其信息的行为不再适用第8.1条，而个人在知晓该情况后仍明确同意的；

（3）澳大利亚法律或法院/法庭命令要求或授权披露信息；

（4）在APP实体披露信息方面，存在允许的一般情况（但不包括法律索赔、衡平法索赔、保密性的替代争议解决程序所必要）

（5）该实体是一个机构，并且披露信息是由澳大利亚作为缔约方的与信息共享有关的国际协议要求或授权的;

（6）该实体是一个机构，并且：（i）该实体合理地认为，对于执法机构或代表执法机构开展的一项或多项执法相关活动，披露信息是合理必要的，以及（ii）接收方是履行与执法机构履行或行使的职能或权力相似的职能或权力的机构。

此外，需要注意的是，根据《2012年我的健康记录法》（My Health Records Act 2012），可识别特定主体的健康记录属于禁止出境的数据。

二、新西兰隐私保护法律法规体系及要点解读

（一）体系

（二）要点解读

1. 隐私专员（Privacy Commissioner）

《2020年隐私法》延续了《1991年隐私专员法》（Privacy Commissioner Act 1991）的规定，保留了隐私专员这一职务。除隐私专员外，总督（Govenor-General）可根据负责部长的推荐任命一名副隐私专员。在专员的控制下，副专员可以履行或行使专员的所有职能、职责和权力，当专员职位空缺或专员缺勤时，副专员可以履行或行使专员的所有职能、职责和权力。《2020年隐私法》第17条规定了隐私专员的职责，包括执行《2020年隐私法》等相关法律法规，调查个人对隐私侵犯的投诉，对系统性隐私问题进行调查，对发现违反隐私法律的组织采取执法行动，就隐私保护意识的提升开展宣传教育，修订隐私原则，与国际隐私监管机构开展合作等。[2]

2. 信息隐私原则（Information Privacy Principle，以下简称IPP）

《2020年隐私法》将个人信息定义为（1）有关可识别个人的信息；（2）包括总登记官（Registrar-General）根据《2021年出生、死亡、婚姻和关系登记法》（The Births, Deaths, Marriages, and Relationships Registration Act 2021）或任何以前的法案保存的与死亡相关的信息。

《2020年隐私法》制定了13项信息隐私原则（Information Privacy Principles，以下简称IPP），对如何收集、处理和使用个人信息进行了规定。这13项原则分别为：

（1）Purpose of collection of personal information（收集个人信息的目的）：机构不得收集个人信息，除非是为了与机构的职能或活动有关的合法目的而收集信息；如实现该合法目的不需要收集个人身份信息的，可以不要求收集个人身份信息。

（2）Source of personal information（个人信息来源）：机构应当从相关个人处直接收集个人信息，当出现相关个人授权、该信息是公开信息等特殊情况时，机构可以不从相关主体处直接收集信息。

（3）Collection of information from subject（从主体处收集信息）：机构在收集个人信息时，必须采取合理的措施，确保该主体知道收集信息的事实、收集信息的目的、信息接收的主体等信息。若机构无法在收集个人信息前向主体披露上述信息，则应当在收集信息后尽快采取措施使主体知晓上述信息。

（4）Manner of collection of personal information（个人信息收集方式）：机构只能以合法、公平且不得无理侵入的方式收集个人信息，特别是在收集儿童和青少年的个人信息时。

（5）Storage and security of personal information（个人信息的存储和安全）：机构必须确保采取合理的安全保障措施，以防止个人信息丢失、滥用或泄露。

（6）Access to personal information（访问个人信息）：个人有权确认机构是否持有关于他们的任何个人信息以及可以访问他们的个人信息，如果有关个人被允许访问个人信息，则必须告知该个人其可以要求更正信息。

（7）Correction of personal information（个人信息的更正）：个人信息被机构所持有的个人，有权要求机构更正信息。

（8）Accuracy, etc, of personal information to be checked before use or disclosure（使用或公开之前应检查的个人信息的准确性等）：在使用或披露个人信息之前，机构必须采取合理措施检查其准确性、完整性、相关性、最新性且不具有误导性。

（9）Agency not to keep personal information for longer than necessary（机构保留个人信息的时间不得超过必要时间）：机构保留个人信息的时间不得超过必要的时间。

（10）Limits on use of personal information（个人信息的使用限制）：机构通常只能将个人信息用于收集信息的目的。

（11）Limits on disclosure of personal information（个人信息披露的限制）：机构不得向其他机构或个人披露其持有的个人信息，除非其有理由认为该披露已得到相关主体的授权、披露符合收集信息的目的等。

（12）Disclosure of personal information outside New Zealand（在新西兰境外披露个人信息）：只有在信息受到充分保护的情况下，机构才能将个人信息发送给境外主体。

（13）Unique identifiers（唯一标识符）：机构只能在运营需要时向个人分配一个唯一标识符。一般来说，标识符不能与其他组织分配的相同。机构不得要求个人披露该唯一标识符，除非披露是为了与分配该唯一标识符相关的目的之一，或者是为了与这些目的之一直接相关的目的。

3. 跨境传输

根据《2020年隐私法》的规定，境外主体（overseas agency）是指不属于以下情况的境外人士、法人团体或非法人团体：（1）新西兰机构；（2）境外国家政府；（3）代表境外政府履行任何公共职能的境外政府实体；（4）新闻实体，只要其正在进行新闻活动。

根据第IPP12，如符合IPP11（a）（c）（e）（f）（h）（i），则A机构可以在满足以下条件时向境外主体B披露个人信息：

（1）A明确告知相关主体关于B可能不需要提供与本法总体相当的保障方式保护该信息后，相关主体仍授权向B披露信息；或

（2）B在新西兰开展业务，并且就该信息而言，A有合理理由相信B受本法约束；或

（3）A有合理理由相信B受隐私法约束，该隐私法提供与本法总体相当的保障方式；或

（4）A有合理理由相信B是指定的约束性方案（指根据第213条制定的法规中指定的约束性方案）的参与者；或

（5）A有合理理由相信B受指定国家（第214条规定的法规所规定的国家）的隐私法约束；或

（6）A 以其他方式有合理理由相信B需要以提供与本法总体相当的保障的方式保护信息（例如，根据A和B之间达成的协议）。

但是，如果根据IPP11（e）（f）需要向B披露个人信息，并且A在当时情况下不可能合理地遵守上述条款的要求，则上述条款不适用。

根据《2020年隐私法》第193条的规定，如果隐私专员基于合理理由确信以下情况，则隐私专员可以禁止将个人信息从新西兰转移到另一个国家：

（a）新西兰已经或将要从另一个国家收到该信息，并且很可能转移到不受提供与本法类似保障措施的法律约束的第三国；

（b）跨境传输传输可能会导致违反收集限制原则、数据质量原则、目的规范原则、使用限制原则、安全保障原则、开放原则、个人参与原则、问责原则的。

若隐私专员基于合理理由禁止机构向境外转移个人信息，需要向拟转让相关个人信息的机构发出转让禁止通知，在禁止通知发出后，如果专员在任何时候认为无需遵守禁止通知的全部或任何规定，则专员可以向有关机构送达通知，更改或取消禁止通知。

三、结语

澳大利亚、新西兰两国的隐私保护法律法规框架较为相似，但在具体规定上又有所不同。企业在澳、新两国进行个人信息收集、处理等行为时，应注意合规问题，以确保处理行为符合澳、新两国关于数据收集、储存、跨境传输等的规定，实现合规经营。

[注] 

[1] https://www.oaic.gov.au/privacy/your-privacy-rights/your-personal-information/what-is-personal-information

[2] The functions of the Commissioner are—

(a) to exercise the powers, and carry out the functions and duties, conferred on the Commissioner by or under this Act or any other enactment:

(b) to provide advice (with or without a request) to a Minister, a Parliamentary Under-Secretary, or an agency on any matter relevant to the operation of this Act:

(c) to promote, by education and publicity, an understanding and acceptance of the information privacy principles and of the objectives of those principles:

(d) to make public statements in relation to any matter affecting the privacy of individuals:

(e) to receive and invite representations from members of the public on any matter affecting the privacy of individuals:

(f) to consult and co-operate with other persons and bodies concerned with the privacy of individuals:

(g) to examine any proposed legislation (including secondary legislation) or proposed government policy that the Commissioner considers may affect the privacy of individuals, including any proposed legislation that makes provision for either or both of the following: (i) the collection of personal information by a public sector agency: (ii) the sharing of personal information between public sector agencies (including parts of public sector agencies):

(h) to monitor the use of unique identifiers: (i) to inquire generally into any matter, including any other enactment or any law, or any practice or procedure, whether governmental or nongovernmental, or any technical development, if it appears to the Commissioner that the privacy of individuals is being, or may be, infringed (for powers of the Commissioner in relation to inquiries, see section 203):

(j) to undertake research into, and to monitor developments in, data processing and technology to ensure that any adverse effects of the developments on the privacy of individuals are minimised:

(k) to give advice to any person in relation to any matter that concerns the need for, or desirability of, action by that person in the interests of the privacy of individuals:

(l) when requested to do so by an agency, to conduct an audit of personal information maintained by that agency for the purpose of ascertaining whether the information is maintained according to the information privacy principles:

(m) to monitor the operation of this Act and consider whether any amendments to this Act are necessary or desirable:

(n) to report to the responsible Minister on the results of— (i) any examination conducted under paragraph (g): (ii) the monitoring undertaken under paragraph (h): (iii) the research and monitoring undertaken under paragraph (j): (iv) the monitoring and consideration undertaken under paragraph (m):

(o) to report to the Prime Minister on— (i) any matter affecting the privacy of individuals, including the need for, or desirability of, taking legislative, administrative, or other action to give protection or better protection to the privacy of individuals: (ii) the desirability of New Zealand accepting any international instrument relating to the privacy of individuals: (iii) any other matter relating to the privacy of individuals that, in the Commissioner’s opinion, should be drawn to the Prime Minister’s attention:

(p) to gather any information that will assist in carrying out the functions in paragraphs (a) to (o).