澳大利亚隐私法及其保护义务

投资者需对澳大利亚隐私法律项下个人信息的保护义务有所了解。该义务可能涉及包括尽职调查和营销活动等的一系列公司行为。我们将在下文集中对私有领域的相关规定予以介绍。

4.5.3.1　隐私法主要概念

联邦1988年《隐私法》是澳大利亚适用于大多数私营机构的主要隐私法律。该法律的适用也有一些例外，如不适用于与员工记录相关的行为以及年营业额少于300万澳元的组织的行为。《隐私法》包含了有关处理税务登记号码和信用信息实体的特别规定。此外，除《隐私法》的规定外，个别州和领地的法律对私营机构的健康信息处理也进行了规定。政府机构和向政府提供服务的公司则受限于更为广泛的隐私法律管辖。

《隐私法》设置了13项澳大利亚隐私原则（Australian Privacy Principles，APPs），作为处理个人信息的最低标准。隐私原则对个人信息（即有关识别或可合理识别个人的任何信息或观点）的收集、使用、披露和处理进行了规范。特殊限制则适用于“敏感信息”的使用，“敏感信息”包括涉及以下方面的信息或意见：个人健康、种族或族群血缘、政治党派、专业组织、商业组织或工会组织的成员资格、性取向、宗教和政治信仰、犯罪记录、遗传信息、生物信息和模板。

4.5.3.2　隐私政策

各个实体必须备有明确和最新的隐私政策，并可无偿获得。隐私政策必须包含隐私原则下的相应事项，包括个人信息是否可以向境外方披露（如果可以，境外方所在的国家），以及个人如何获得并更正该实体记载的个人信息，以及个人如何就某一实体违反隐私原则的行为进行申诉。

（1）信息收集

一个实体只有在采集个人信息用于记录或使用于公开出版物的情形下，才被视为“收集”个人信息。收集个人信息的实体应采取合理的步骤，在收集个人信息之前、之时或之后尽快通知该人。通知中必须说明若干事项，包括收集的目的、特定的披露及信息是否会披露至澳大利亚之外。该人员必须被告知其可在实体隐私政策中找到的有关获取、纠正数据和提出申诉的信息。该要求在间接自其他实体而非相关个人获取个人信息的情况下依然适用。

只有在采集个人信息对相关实体的一项或多项功能或活动确有合理必要的情况下，该实体才可以采集个人信息。相关实体在采集个人敏感信息时通常需要得到被采集人的同意。

（2）信息使用和披露

尽管《隐私法》并未对“使用”和“披露”个人信息予以定义，通常接受的理解是，一家实体在其有效的控制下处理并管理相关个人信息之时即为“使用”该个人信息，该实体使信息可以被除该实体之外的第三方获得并将该信息从其有效的控制下释放给该第三方之时，即为“披露”该个人信息。与其他的国家不同的是，澳大利亚法律项下个人信息的控制人和处理人并无区别。

一般来讲，信息可被用于或披露于信息所收集的主要目的，而无须就此获得同意，若非为主要目的，则需要获得相应的同意。个人信息也可无须同意，用于或被披露于与主要目的相关的（在敏感个人信息的情况下为直接相关的）、个人可合理预见的信息使用或披露的次要目的。同时，在特定情形下（如法律的强制规定），个人信息也可以被用于或披露于其被收集的目的之外的目的。

（3）直接营销

个人信息用于直接营销（单独规定的邮件或电话营销除外）是禁止的，但符合特定情形的情况除外。该特定情形取决于信息的收集情况，但在所有情况下均需向个人提供决定退出的机制。如个人不能合理预见其个人信息用于直接营销，或信息是间接收集，而非自个人收集，则应就直接营销获得同意，除非存在不可行的情形。

敏感信息须在取得相关方同意后才可为被使用于直接营销。

2003年，联邦《垃圾邮件法》适用于源自澳大利亚或有其他“澳大利亚联系”（如法律中所定义）的商业电子信息的发送。《垃圾邮件法》规定了商业电子信息的选择接收（基于明示或默示同意）制度。其要求商业电子信息包含“退订”功能，以及授权发送信息的人员的信息。同时，该法案还禁止使用电子地址获取软件及使用该类软件获取的地址列表。

2006年，联邦《拒绝来电登记法》禁止向已在拒绝来电登记册中登记的固定家庭电话拨打未请求的营销电话。

（4）海外披露

除少数特定的例外情形，在澳大利亚之外披露个人信息时，实体应采取合理步骤确保海外接收方遵守《隐私法》项下的隐私原则，且可因海外接收方对《隐私法》的违反承担责任。

（5）同意

在须取得相关方同意的情形下，该同意的相关方必须知情、自愿且明确地做出该同意。同意的做出方须有能力理解其做出的同意并就该同意进行沟通。同意可以明示或默示的方式做出。(www.xing528.com)

（6）个人信息的公开和透明的管理

实体必须采取合理步骤确保其收集的个人信息准确、最新且完整，并保护个人信息免于滥用、干扰、丢失、擅自获取、修改或披露。个人信息在不需要的情况下必须销毁或使其不具有识别性。除某些例外情况外，实体必须使个人能够查阅实体所持有的该人员的信息，且更正不正确、过时的、不完整、不相关或有误导性的信息。如果实体拒绝提供信息或更正信息，则该实体需提供拒绝原因的书面说明。

（7）豁免情形

《隐私法》规定了数种豁免情形，包括最为典型的相关公司实体之间的信息分享和员工信息处理。作为一般准则，相关公司实体可在不违反隐私原则项下的收集和披露限制的前提下分享个人信息（敏感信息除外）。但集团成员需在所有其他方面遵守隐私原则。

实体对直接涉及现存或先前雇佣关系的员工记录的处理是《隐私法》项下的例外情形。“员工记录”是与雇佣员工有关的个人信息，包括个人和紧急联系人详细信息、雇佣条件、业绩、纪律处分记录和银行信息。该豁免不适用于承包商或将来的员工。

（8）《隐私法》在国外的适用

在以下情况下，《隐私法》的适用可扩展至实体在澳大利亚之外的行为和业务。

● 实体在澳大利亚成立或设立；或

● 实体在澳大利亚开展业务，且信息在该行为或业务开展之前或之时由位于澳大利亚的实体收集或持有。

（9）信用报告

《隐私法》的第IIA部分（基于2013年《隐私规定》和2014年《隐私（信用报告）准则》）规定了与商业征信有关的个人信息的收集、使用和披露。信用报告机构和信用提供机构的收集、使用和披露信用信息的行为也应该遵循相应的要求。

4.5.3.3　违反《隐私法》的法律后果

就《隐私法》的违反行为而言，隐私专员有权自行或应个人提起的诉求进行相关调查，并决定对相关实体进行审计、接受其可执行的承诺、制定隐私准则并对其进行登记。隐私专员也可向联邦法院或联邦巡回法院申请最高为210万澳元的民事罚款（适用于公司），或申请强制执行一项决定或一项可执行承诺、申请禁令、赔偿令和其他降低损失和损害的实际措施。个人可向隐私专员投诉，并启动禁令程序。

《垃圾邮件法》和《拒绝来电登记法》规定了一系列监管者和澳大利亚通信和媒体机关可采用的灵活的民事处罚措施，包括警告、侵权通知和适用于公司的最高为210万澳元的罚款。

于近期生效的《2016年隐私权修订（通知数据违规）法》明确规定相关实体须在发生“符合条件的数据违规”的情况下通知澳大利亚信息专员办公室（OAIC）、受影响的个人和有被影响风险的个人。“符合条件的数据违规”指的是任何“合理的人”会认为将对个人造成严重伤害的任何未经授权的访问、披露或信息丢失。如果一个实体意识到可能发生符合条件的数据违规，则必须在切实可行的范围内尽快向OAIC提供一份声明的副本，列出违约的细节。该实体必须随后通知任何受到符合条件的数据违规影响或有风险会受到影响的个人。

4.5.3.4　《隐私法》的执行情况

隐私专员过去通常采用温和的方法实施《隐私法》。但在2011年的一项决定中，隐私专员称被告必须向原告书面道歉，对个人信息处理的员工培训项目进行审查，将审查的结果告知隐私专员，并向原告支付赔偿金。此事件以及上述民事处罚于2014年3月12日的引入和其他的执行制度被认为是《隐私法》将来会被更为严格执行的一个信号。

根据OAIC的2016—2017年度报告^[4]，截至2017年6月30日，OAIC共收到2 492项投诉，回复了16 793项隐私方面的咨询。OAIC于2016—2017年共做出了9项侵犯隐私的决定。典型的救济措施包括道歉、审查对员工的培训、完成相应的程序并予以记录，以及赔偿（幅度为2 000澳元至2万澳元），上述救济措施被单独或共同适用。在上述提到的时间里，OAIC启动了29起由隐私专员提起的调查，14起隐私评估（其中涉及22家实体），并收到了149个侵犯隐私安全的通知（其中114个自愿发出的通知）。

自2014年3月的《隐私法》改革之后的第一个可执行承诺，于2015年3月由一家实体与隐私专员达成（2015—2016和2016—2017年分别有两家和一家实体达成了类似安排）。该种可执行承诺通常要求相应实体执行对该实体的实践、执行程序和系统是否足以合理地保护其持有的个人信息方面提出的建议，并就相应的缺陷予以修正。