个人数据跨境流动监管国际经验及启示

个人数据跨境流动监管国际经验及启示
随着全球数字经济快速发展，数据跨境流动愈发频繁，对其监管逐渐成为各国个人信息保护管理的重点领域，澳大利亚数据跨境流动的法律法规较为完善。

一、数据跨境流动的国际和区域性框架
目前，国际社会关于数据跨境流动的基本格局以欧盟和美国两大立法范式为主，其他国家基本将其作为参照标准。

美国方面，其主导的经合组织《隐私指南》及亚太经合组织《隐私框架》注重机构的商业利益；无论个人数据的地理位置如何，美国规则要求数据控制者应当确保数据跨境传输过程的安全，即遵循以数据控制者为主的“问责制”。

欧盟方面，对于个人数据跨境流动的限制则较为严格，《第108号公约》《个人数据保护指令》《通用数据保护条例》3个文件构成欧盟个人数据跨境流动的法律框架体系；对于欧盟成员国而言个人数据可以自由流动，而对于其他国家则需要达到欧盟认可的保护水平，才可进行数据转移，即以地理区域限制个人数据跨境流动，遵循“充分性”原则。

（一）经合组织《隐私保护和个人数据跨境流动指南》。

1980年，经合组织（OECD）发布《隐私保护和个人数据跨境流动指南》（以下简称《隐私指南》），是首个国际商定的隐私原则；2013年经合组织对《隐私指南》进行了更新。

更新后的《隐私指南》第一部分第1条第5款对个人数据跨境流动的定义为个人数据跨国界的转移；第四部分第16和17条对数据跨境流动做出规定：一是无论个人数据位置在哪里，控制者都应当对个人数据负责，
即强调数据控制者的“问责制”，二是规定了成员国应避免对个人资料的跨境流动施加限制的两种情况。

《隐私指南》虽为指导性意见、不具有强制执行力，但其对经合组织成员国的数据保护立法，乃至亚太经合组织隐私框架的发展产生了一定影响。

（二）亚太经合组织《隐私框架》。

2005年，在与经合组织《隐私指南》核心观点相符的基础上，亚太经合组织（APEC）建立了《隐私框架》，在于促进亚太地区电子商务便利和数据自由流动，是亚太地区达成的首部数据跨境流动区域性指导文件。

2011年，亚太经合组织构建完成跨境隐私规则体系（Cross-Border Privacy Rules），包含隐私权执法机构、问责代理机构和企业三方，其目标是促进消费者、企业和监管机构之间对于个人信息跨境流动问题的相互信任。

截至目前，美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚和中国台湾八个经济体加入该体系。

（三）欧盟《第108号公约》等文件。

1981年，欧洲理事会成员国签署《欧洲系列条约第108号条约：个人数据自动化处理中的个人保护公约》（以下简称《第108号公约》），该公约是欧洲第一部针对数据跨境流动进行规制的区域性法律文件。

2018年5月，为更好地应对不断发展的信息和通讯技术，增强《第108号公约》的执行力度，欧盟对原有公约进行修订并发布《现代化的108号公约》。

修订后的公约包含了透明性、相称性、问责制、数据最小化、在设计阶段纳入隐私考量等一些被公认为个人数据保护机制关键性因素的原则。

《现代化的108号公约》第十四条对个人数据跨境流动进行了规定，目的为在确保处理个人
数据时对信息主体给予适当保护的前提下，促进数据不分国界自由流动。

公约规定：成员国不得仅以保护信息主体隐私为由，禁止或以特殊授权的方式限制数据转移；如果数据接收方不属于公约成员国管辖范围，那么只有在达到《第108号公约》规定的保护水平时，才能进行个人数据跨境流动活动。

1995年，欧盟发布《个人数据保护指令》(Directive 95/46/EC)，规定只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下，才可以进行数据转移；目前，欧盟认可包括澳大利亚在内的十二个国家具有充分的数据保护能力。

2018年，欧盟《通用数据保护条例》（GDPR）生效，该条例第五章对数据跨境流动政策进行大幅优化改革，规定数据跨境流动应当遵循充分性和适当保护原则，并增加了更多可进行个人数据跨境流动的豁免条件。

此外，《通用数据保护条例》还提出多种要求，以确保数据接收方满足适当保护能力，保障数据安全性的数据跨境传输机制，包括直接向通过欧盟充分性认定的第三国传输数据、实施被认可的行为准则、签署符合相关要求的格式合同、通过相关认证等方式；同时，属于征得数据主体明示同意、基于公共利益、履行有利于数据主体合同、或基于组织正当利益的情况，也均满足数据跨境传输要求。

二、澳大利亚数据跨境流动管理情况
个人数据跨境流动立法方面，澳大利亚是较为中立的国家，既遵循经合组织《隐私指南》和亚太经合组织《隐私框架》的原则，也符合欧盟认可的数据跨境流动标准。

具体来说，澳大利亚是经合组织的成员国，其《隐私法》（Privacy Act 1988）及数
据跨境流动原则均基于《隐私指南》制定，允许数据跨境流动并对特殊情况加以限制，2014年修订后的《隐私法》中的“问责原则”源自经合组织的2013年《隐私指南》。

2018年11月，澳大利亚成为亚太经合组织的跨境隐私规则体系成员，此后澳大利亚政府将与隐私监管机构、澳大利亚信息专员办公室（OAIC）及企业合作，落实跨境隐私规则体系要求，确保澳大利亚企业和消费者的长期利益。

在符合欧盟有关框架标准方面，欧盟将澳大利亚纳入《个人数据保护指令》中认可的具有适当水平保护个人数据跨境转移的国家。

《隐私法》和《通用数据保护条例》均强调信息处理的透明度和企业责任。

（一）澳大利亚联邦和州层面数据保护立法情况。

澳大利亚的隐私数据保护条例由联邦、六个州和两个领地共同制定。

联邦层面，澳大利亚信息专员办公室是数据跨境流动的主要监管机构；监管依据为《隐私法》及其中的13项《澳大利亚隐私原则》(Australian Privacy Principles，简称《隐私原则》)，对个人信息的采集、使用、储存和披露进行了规定；该法律适用于澳大利亚联邦政府机关和大多数私营部门，上述部门被称为“澳大利亚隐私原则实体”（APP Entities）。

在新南威尔士州，新州信息和隐私委员会负责管理州内公共部门个人信息处理和健康服务提供者及其分包商，保护隐私权的法律包括《隐私与个人信息保护法（1998）》和《健康记录和信息隐私权法（2002）》。

在维多利亚州，监管机构为维州信息专员办公室和维州健康投诉专员；有关法律包括《隐私和数据保护法案2014》《健康记录法案2001》；监管内容包括州内公共部门个人信息处理和健康服务提
供者及其分包商。

在昆士兰州，由州信息专员办公室依据《信息隐私法案（2009）》对州内公共部门的个人信息处理进行规定。

南澳州的隐私委员会负责监督州内公共部门机构对于《信息隐私原则指引》的执行情况。

塔斯马尼亚州由州政府调查专员依据《个人信息保护法案（2004）》对公共部门进行监管。

西澳洲暂无对于针对公共部门的隐私立法。

首都领地的相关立法包括《信息隐私法案（2014）》和《健康记录法案》。

北领地由北领地信息专员依据《信息法案（2002）》对隐私和数据保护进行监管。

（二）澳大利亚个人数据跨境流动制度情况。

澳大利亚关于个人信息保护的法律为1988年颁布实施的《隐私法》，对个人信息隐私、信用报告等内容做出了规定。

2014年《隐私法》重新修订，引入《隐私原则》，该原则规定了私营机构和澳大利亚政府部门对个人信息处理、使用和收集的方式；《隐私原则》替带了原来的国家隐私原则（NPPs）和信息隐私原则（IPPs）；同时，澳大利亚信息专员办公室还发布了《澳大利亚隐私原则指南》（APPs Guideline）。

《隐私法》第三章16C部分和《隐私原则》第八项构成了联邦层面的个人数据跨境流动监管框架；框架要求澳大利亚隐私原则实体（以下简称“隐私原则实体”）应当确保海外接收方按照隐私原则处理个人信息，并在海外接收方信息处理不当时，由隐私原则实体承担相应责；此规定反映出了《隐私法》的核心目标，即在确保尊重个人隐私的情况下，促进国家间的信息自由流动。

隐私原则第八项对个人数据跨境流动从涉及机构类型、覆盖数据类型、以及对于海外接收方的要求等方面做出了详细规定。

1.隐私原则第八项涉及的机构类型。

2014年改革后的《隐私法》引入“澳大利亚隐私原则实体”的概念，即指机构或组织。

根据《隐私法》16C部分规定，同时满足下列条件的隐私原则实体受到该法律约束并应当承担“问责责任”，包括：向海外接收方披露个人信息；所披露信息适用于隐私原则第8.1项；隐私原则不适用于海外接收方对于信息处理的行为；若海外接收方对于信息处理的行为适用于隐私原则，那么该行为会违反除隐私原则第一项以外的其他隐私原则。

相应地，如果某机构不属于隐私原则实体，那么尽管该机构在澳大利亚境内采集了数据并向海外接收方披露，隐私原则第8.1项也不适用于信息披露且数据采集者也不受到问责原则的约束。

此外小型经营者在符合下列条件时也被视为隐私原则实体，包括：营业额达到300万美元以上；向他人提供健康服务，并持有除雇员外的健康信息；为谋取利益、服务泄露他人个人信息；是联邦合同签约的服务提供商；是信用报告机构。

2.隐私原则第八项覆盖的数据类型。

《隐私法》将个人信息定义为“有关已识别的个人或合理可识别的个人信息或意见，无论所提供信息或意见是否属实，且无论资料或意见是否以实质形式记录。

”此定义符合国际标准且较为中立。

“个人信息”一词含义广泛，在《隐私法》中很多不同类型的信息都被明确认定为个人信息，例如：敏感信息、健康信息、信用信息、员工记录信息、税务档案号信息等。

同时，个人信息的定义不仅仅限于私人信息或家庭生活信息，还包括个人可以合理识别的任何信息或意见，如个人工作信息；信息范围可从敏感信息到公开信息；无论信息
真实与否，都可属于个人信息。

此外，澳大利亚信息专员办公室指出与个人身份识别无关或者与个人联系过于微弱的信息不属于个人信息范畴，包括：商业信息、已故人士信息和去身份识别信息等。

3.海外接收方。

隐私原则第8.1项将海外接收方定义为：从隐私原则实体接收个人信息的个人，且该人不在澳大利亚或其外部领地境内、不是披露个人信息的隐私原则实体、且所披露信息与海外接收方无关。

也就是说，如果位于澳大利亚的隐私原则实体将信息发送至该实体的海外办事处时，由于海外接收方与数据发送方属于同一实体，因此隐私原则第八项不适用于此情形。

然而，另一种情形是，位于澳大利亚的隐私原则实体向境外“相关法人团体”发送个人信息，这种情况下，由于“相关法人团体”是一个海外接收方，与澳大利亚的隐私原则实体不属于同一实体，因此隐私原则第八项适用于此情形。

4.隐私原则实体应当采取合理措施确保海外接收方不会违反澳大利亚隐私原则。

隐私原则第8.1项规定，隐私原则实体应当采取合理措施确保海外接收方不违反澳大利亚隐私原则。

一般而言，隐私原则实体将与海外接收方签订享有强制执行权利的合同，要求接收方根据澳大利亚隐私原则处理个人信息，合同内容可包括：信息披露类型和目的、海外接收方在收集、使用、披露、存储和销毁或注销个人信息方面遵守澳大利亚隐私原则的规定、隐私处理投诉程序、要求接收方制定数据泄露响应机制。

然而，海外接收方是否需要签订合同以及隐私原则实体是否需要采取措施进行监督，取决于以下情况：个人信息的敏感程度、隐私原
则实体与海外接收方的关系、海外接收方信息处理不当对个人造成不良后果的可能情况、海外接收方保障个人信息隐私的技术水平、对于接受信息所需时间和成本的衡量。

5.向海外接收方披露个人信息的几种例外情况。

一是相似的隐私原则。

《澳大利亚隐私原则指南》规定，隐私原则实体可在符合以下两种情形时，不根据隐私原则第8.1项原则向海外接收方披露信息，具体情形包括：海外接收方遵循与澳大利亚隐私原则具有同等信息保护效力的法律法规，以及个人可利用各种机制来执行有关保护的法律。

二是明确告知并获得信息主体同意。

《澳大利亚隐私原则指南》规定，隐私原则实体可以在符合以下情况时，不根据隐私原则第8.1项向海外接收方披露个人信息，具体情形包括：隐私原则实体明确告知信息主体如果其同意披露信息，则第8.1项原则就不适用，并且在获得告知后同意披露。

这里，“明确告知”是指隐私原则实体应当向信息主体提供一份明确的书面或者口头声明，告知提供同意带来的潜在后果。

“同意”是指明示或默许的同意，其中的四个要素包括：在做出同意前，即明示前，信息主体已充分知晓潜在后果；信息主体自愿同意；同意是当前的且具体的，同时信息主体有能力理解并传达他们的同意。

此外，隐私原则实体可在明确告知信息主体潜在后果后，针对向同一海外接收方以同一目的披露信息主体的某类信息，一次性获得信息主体同意；而不需要在每次跨境信息传输时都取得信息主体的同意。

三是法律另有要求或授权。

隐私原则第8.2c项规定，在澳大利亚法律、法院或法庭的要求或授权的情况下，隐私原则实体可以在不遵守8.1的情况下向海外收件人披露个人信息；然而，海外管辖区的要求或授权不适用于本内容。

四是部分例外情况。

隐私原则8.2d规定在一些被允许的情况下，可以不遵循隐私原则第8.1项原则。

《隐私法》第16A项列出了五种一般情况，包括：跨境信息披露可以减轻或防止对生命、健康或安全的严重威胁；跨境信息披露有助于对涉嫌非法活动或严重不当行为采取适当行动；跨境信息披露可以确定失踪人员的位置；跨境信息披露是为外交或领事职能或活动所必需；跨境信息披露对澳大利亚境外的某些国防活动是必要的。

五是国际协议要求或授权。

隐私原则第8.2e项规定，当澳大利亚是一项信息共享国际协议的缔约方，且该协议要求或授权信息共享时，可以不遵循隐私原则8的规定。

“国际协议”在《隐私法》中没有明确的定义，《澳大利亚隐私原则指南》对“国际协议”进行了定义，包括如条约、公约的国际法律文件，以及如谅解备忘录、正式书信往来的不受国际法约束的正式书面文件，这些文件为机构和海外接收方提供信息共享。

六是与执法有关的个人信息。

隐私原则第8.2f项规定，跨境信息披露对于执法机构进行执法活动是合理必要的，并且数据接收方是与执法机构功能相似的机构。

（三）澳大利亚关于禁止部分个人数据跨境流动的规定。

在澳大利亚，《个人控制电子健康记录法》（PCEHR Act 2012）规定个人健康数据的跨境流动在一般情况下是被禁止的。

该法案对于
健康数据的定义是有关个人健康或残疾的信息、或者个人对于未来医疗服务的意愿、或者向个人提供或即将提供的健康服务。

该法案第77条规定禁止个人健康数据向澳大利亚以外地区传输；然而该法案也规定了个人健康数据可以进行跨境流动和加工处理的特殊情况，即跨境流动的信息不包括可识别个人身份的数据，或者该信息不包括不在健康记录系统中的个人。

综上，澳大利亚在个人信息跨境流动传输方面兼顾了数据开放与数据安全。

《隐私原则》对一般性个人数据和敏感个人数据的采集、使用、披露确立了原则；个人健康数据则属于最为私密和敏感的个人数据的范畴，《个人控制电子健康记录法》对个人健康数据的采集、使用、披露方面采取更加严格的要求，在数据跨境流动方面一般情况下采用禁止性原则。

三、对我国个人数据跨境流动监管的启示
我国个人信息保护起步较晚，尚无专门的数据保护机构，有关数据跨境流动的立法较为分散。

国家层面的《中华人民共和国网络安全法》、行政法规层面的《征信业管理条例》、部门规章层面的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等对数据跨境流动进行了规定，总体而言是限制国内数据向境外转移。

目前，我国已经全面迈入互联网时代，以加强个人数据保护和信息安全为目的，完善我国数据跨境流动规则和监管框架极为重要。

为此，建议：一是完善数据跨境流动立法。

确立我国数据跨境流动的监管框架，制定并完善立法，明确数据保护监督管理部门，针对数据跨境流动传输提供指引，包括数据提供者和海外接
收方的责任和义务、数据跨境传输应当遵循的原则等。

二是对跨境数据实施分类管理，实施数据分类监管，加强个人信息保护，对涉及医疗、健康等个人敏感信息禁止跨境传输。

三是积极参与国际合作，提高标准制定方面的影响力。

在寻求国际或区域性合作的同时，积累有关标准制定和原则执行等方面的经验，提高我国关于数据跨境流动规则制定的话语权。

11。