一、核心法律框架
澳大利亚网络数据安全相关法律分为联邦与州 / 领地两个层级,同时遵循普通法原则,核心适用法律包括:
联邦层面:《1995 年刑法典》(Criminal Code Act 1995)、《1988 年隐私法》(Privacy Act 1988)、《2018 年关键基础设施安全法》(SOCI Act)、《2001 年公司法》(Corporations Act 2001)、《1979 年电信(拦截与访问)法》、《2012 年国防贸易控制法》等。
州 / 领地层面:以新南威尔士州《1900 年犯罪法》(NSW Crimes Act)为代表,涵盖计算机犯罪、信息滥用等相关条款,部分州还针对健康记录等特定信息制定了隐私保护法规。
普通法原则:重视法院判例,遵循 “禁止滥用机密信息” 的衡平法原则(如 ABC v Lenah Game Meats 案确立的规则)。
二、禁止性网络行为及法律责任
(一)主要禁止性行为及对应条款
1.黑客行为(未授权访问):违反《刑法典》第 478.1 条,需满足 “未授权访问 / 修改受限数据”“故意为之”“明知未授权” 三要素,最高可判 2 年监禁;州层面可依据《新南威尔士州犯罪法》第 6 部分追责。
2.拒绝服务攻击(DoS/DDoS):违反《刑法典》第 477.3 条,需满足 “未授权损害电子通信”“明知未授权” 二要素,最高可判 10 年监禁。
3.钓鱼诈骗:针对联邦实体的钓鱼违反《刑法典》,针对公众的钓鱼可依据州法(如《新南威尔士州犯罪法》第 192E 条)以欺诈罪追责,涉及财务得失的可适用《刑法典》第 134.2 (1)、135.1 等条款,最高判 10 年监禁。
4.恶意软件感染(含勒索软件、间谍软件等):违反《刑法典》第 478.2 条,需满足 “未授权损害数据可靠性 / 安全性 / 运行”“故意为之”“明知未授权” 三要素,最高判 2 年监禁。
5.网络犯罪工具相关行为:销售、分发、提供网络犯罪工具违反《刑法典》第 478.4 条,持有、控制相关工具违反第 478.3 条,均最高判 3 年监禁;州层面可参考《新南威尔士州犯罪法》第 308F、308G 条。
6.身份盗窃 / 欺诈:违反《刑法典》第 372 条,通过通信服务交易身份信息用于犯罪的,最高判 5 年监禁。
7.电子盗窃(含数据复制、版权侵权等):违反《刑法典》第 478.1 条,未授权复制、修改、删除计算机数据均构成违法。
8.未经授权渗透测试:可能触发《刑法典》第 478.1 条 “未授权访问 / 修改受限数据” 条款。
(二)法律适用范围
部分联邦法律(如《刑法典》第 10.7 部分第 477、478 分部)具有域外效力,满足以下条件时,境外实施的网络犯罪可适用澳大利亚法律:犯罪行为涉及澳境内外 conduct、在澳造成损害、行为人是澳公民或澳注册公司、与澳境内犯罪相关联。
三、安全防护与合规措施
(一)允许使用的防护工具
信标(Beacons):无专门禁止性法律。
蜜罐(Honeypots):无专门禁止性法律,可用于检测和抵御网络攻击。
Sinkhole 技术:合法用于防御 DDoS 攻击、网络攻击研究等,但恶意误导合法流量可能违反《刑法典》第 477.3 条。
(二)通信监控与技术进出口
企业可监控或拦截自身网络内的电子通信(如员工邮件、互联网使用),无法律禁止。
技术进出口受《2012 年国防贸易控制法》《1958 年海关(禁止出口)条例》约束,军用或军民两用技术(如特定加密软件 / 硬件、源代码等,列入《国防和战略物资清单》DSGL)需遵守出口管制。
(三)企业通用安全义务
1.依据《隐私法》,需采取合理措施保护信息安全,对不再需要的个人信息进行销毁或去标识化处理。
2.遵循三大监管机构指引:
澳大利亚网络安全中心(ACSC):提供 cybersecurity 事件响应、报告等咨询。
澳大利亚证券和投资委员会(ASIC):要求董事会定期审查网络战略、实施持续监控、管理第三方风险等。
澳大利亚信息专员办公室(OAIC):要求制定数据泄露响应计划,包含遏制、评估、补救等策略。
(四)关键基础设施企业特殊义务
1.适用范围:经 2022 年修正案扩展,涵盖国防、太空、交通、食品杂货、高等教育、医疗、能源、金融服务、数据存储 / 处理等多个行业。
2.核心义务:
事件报告:知晓 cybersecurity 事件后,12 小时内(紧急情况)或 72 小时内(一般情况)向 ACSC 报告,需说明事件时间、是否持续、受影响系统及事件类型。
制定并维护 cybersecurity 事件响应计划。
按要求参与 cybersecurity 演练,测试响应能力。
四、事件报告与法律责任
(一)报告义务
1.向监管机构报告:
关键基础设施企业:依据《关键基础设施安全法》向 ACSC 报告,触发条件为发生、正在发生或即将发生 cybersecurity 事件。
隐私相关实体(APP 实体):依据《隐私法》“可报告数据泄露计划(NDB Scheme)”,当个人信息未授权访问 / 披露 / 丢失可能导致严重损害,且无法通过补救措施避免风险时,需尽快向 OAIC 报告,报告内容包括企业信息、泄露详情、涉及信息类型及对个人的建议。
2.向受影响个人报告:APP 实体发生 “可报告数据泄露” 时,需向受影响个人提供与 OAIC 报告一致的核心信息,包括企业联系方式、泄露情况及应对建议。
(二)违规处罚
关键基础设施企业违反事件响应计划要求的,最高可处 200 penalty units(约 6.26 万澳元),法人企业为 1000 penalty units(约 31.3 万澳元)。
严重或重复违反隐私保护要求的,个人最高罚 2000 penalty units(约 62.6 万澳元),法人企业最高罚 1 万 penalty units(约 313 万澳元)。
(三)董事与高管责任
依据《公司法》,董事需以合理的谨慎和勤勉履行职责,忽视 cybersecurity 风险可能构成失职。如相关判例强调,有效的网络风险管理是企业风险管控的必要组成部分。
五、特定行业与国际合规
(一)特定行业特殊要求
金融服务:受 APRA《信息安全审慎标准 CPS 234》监管,信用报告机构需遵守《隐私法》第 IIIA 部分。
电信行业:《1997 年电信法》规范个人信息使用与披露,《1979 年电信(拦截与访问)法》要求保留特定数据至少 2 年,需向 ACSC 报告 cybersecurity 事件。
医疗行业:“我的健康记录” 系统相关信息受《2012 年我的健康记录法》保护。
(二)跨境数据传输
1.核心规则:依据《隐私法》APP 8 及 2024 年修正案,个人数据跨境传输需满足隐私保护等效要求。
2.具体要求:
政府将制定 “白名单”,列出隐私保护水平与 APP 实质相似的国家 / 地区。
企业需对接收数据的境外 jurisdiction 及端点进行风险评估。
政府数据跨境传输需遵守《2022 年数据可用性与透明度法》,不得违反国际义务,境外政府提供的数据需经其明确同意方可共享。
(三)国际合规协同
澳大利亚参与《欧洲委员会网络犯罪公约》(布达佩斯公约),并与 “五眼联盟” 等国际伙伴协作,企业需关注相关国际框架对澳国内法的影响。
六、争议解决与风险应对
(一)民事救济途径
禁令:可依据《隐私法》第 80W 条向联邦法院申请禁令。
违反保密义务:可通过衡平法主张救济,需证明信息具有保密性、存在保密义务且被未授权使用。
代表性投诉:可向 OAIC 提交针对批量隐私侵权的代表性投诉。
过失索赔:若企业未履行数据保护注意义务导致他人损失,可能面临过失侵权索赔。
(二)保险保障
企业可购买网络安全相关保险,适用《1973 年保险法》《1984 年保险合同法》等。
无法律禁止使用保险支付赎金,但需关注保险条款约定。
(三)执法与调查配合
执法机构(如 AFP、ACIC)可通过搜查令、设备扣押、数据解密、强制问询等方式调查网络事件,还可依据相关法律行使数据干扰、网络活动监控、账户接管等特殊权力。
企业可能被要求提供加密密钥、协助数据访问或转换,需配合合法的执法要求。
免责声明
法律及程序可能发生变更。本文仅提供一般性信息,不构成法律建议。若您在海外遭遇法律纠纷,请立即联系我们咨询专业涉外律师。
