答案:是
《隐私法》中没有 “第三国” 的概念,该法规范的是海外披露行为而非传输行为。
向第三国传输个人数据需满足以下条件:存在数据处理 / 传输的法律依据,且符合下列情形之一:
经认可的充分保护 / 白名单司法管辖区
持有相关数据保护和网络安全机构批准的特定认证的主体,或遵守经该机构批准的特定行为准则计划的主体(如欧盟 - 美国数据隐私框架)
其他解决方案
有关并非仅限于个人数据的数据本地化条款信息,请参阅单独问题。
除非符合例外情形,否则向海外接收方披露个人信息的 APP 主体,必须采取合理措施确保该海外接收方不违反 APPs 的要求(APP 第 1 条除外)(APP 第 8.1 条)。
例外情形包括:
实质相似制度例外
APP 主体有合理理由相信:
1.信息接收方受某一法律或有约束力的制度约束,该法律或制度对信息的保护效果总体上至少与 APPs 的保护效果实质相似;
2.个人可利用相关机制,采取行动执行该法律或有约束力的制度所提供的保护。
(目前尚无符合该例外情形的司法管辖区或有约束力制度白名单,但自 2024 年 12 月起,相关法律已明确规定政府可通过法规指定相关司法管辖区或制度。预计未来可能会指定适用 GDPR 的司法管辖区,或欧盟委员会已作出充分性认定的司法管辖区(如日本)。)
知情同意例外
需符合以下要求:
1.主体明确告知个人,若其同意信息披露,则 APP 第 8.1 条不适用于该次披露;
2.个人在被告知上述情况后,同意进行信息披露。
(由于对同意有严格要求,且同意可能被后续撤回,导致无法再依赖该例外情形,因此依赖该例外的情况相对少见。)
其他例外
1.信息披露是依据澳大利亚法律或法院 / 法庭命令的要求或授权;
2.APP 主体披露信息的行为符合许可的一般情形(与法律或衡平法主张或替代性争议解决相关的情形除外);
3.主体为政府机构,且信息披露是依据澳大利亚参与的信息共享相关国际协议的要求或授权;
4.主体为政府机构,且同时满足以下条件:
主体合理相信,该信息披露对于执法机构(或代表执法机构)开展的一项或多项执法相关活动具有合理必要性;
接收方是履行与执法机构相似职能或行使相似权力的机构。
APP 第 8.1 条的适用后果
1.对于海外接收方就所披露个人信息实施的任何违反 APPs 的行为,APP 主体需承担责任;
2.若其自身或海外接收方所持有的个人信息发生 “合格数据泄露”,APP 主体需遵守《隐私法》项下的 “可报告数据泄露计划”。
《隐私法》审查曾探讨是否调整海外信息披露的监管依据。如前所述,审查后《隐私法》的第一阶段更新引入了一项机制,可为 “实质相似制度例外” 之目的,指定提供与 APPs 实质相似保护的国家和有约束力的制度。政府提出并认可的其他建议包括:引入标准合同条款;强化知情同意例外,要求主体评估海外披露的风险,并告知个人若其同意,其信息可能不受隐私保护;加强与海外披露相关的透明度要求。《隐私法》审查报告还建议 —— 且政府已认可 —— 明确 “披露” 和 “合理措施” 的含义。
此外,消费者数据权利(CDR)数据的海外披露受《2010 年竞争与消费者法》(联邦)第四部分 D 中的隐私保障措施第 8 条约束,该条款与 APP 第 8.1 条略有相似但并非完全一致。同时,CDR 规则要求 CDR 数据的经认证接收方,在其 CDR 政策中就 CDR 数据的存储地点以及向海外未认证接收方的披露情况作出特定说明。
免责声明
法律及程序可能发生变更。本文仅提供一般性信息,不构成法律建议。若您在海外遭遇法律纠纷,请立即联系我们咨询专业涉外律师。
