是的,澳大利亚的数据隐私法(DAA)可以适用于在新西兰运营的澳大利亚公司,但前提是该公司在澳大利亚境内有实质性的商业活动。

澳大利亚daa在新西兰
(图片来源网络,侵删)

下面我将详细解释这个逻辑、关键点以及企业需要注意的事项。

核心原则:基于“商业活动”的管辖权

澳大利亚《1988年隐私法》的管辖权基础不是数据主体的国籍或数据存储的位置,而是数据控制者(Data Controller,即公司)的活动

法律明确规定,如果一个组织在澳大利亚从事商业活动,那么它就必须遵守澳大利亚隐私原则,即使:

  • 该公司的总部或注册地在新西兰。
  • 其客户(数据主体)主要在新西兰。
  • 相关数据存储在新西兰的服务器上。
  • 该公司没有在澳大利亚设立实体办公室。

判断一家新西兰的澳大利亚公司是否受DAA约束,关键在于评估其是否在澳大利亚“从事商业活动”。

澳大利亚daa在新西兰
(图片来源网络,侵删)

如何判断“在澳大利亚从事商业活动”?

法律没有提供一个简单的“是/否”清单,而是需要根据具体事实进行综合判断,以下是一些法院和监管机构(澳大利亚信息专员办公室 - OAIC)会考虑的关键因素:

  1. 从澳大利亚产生收入:

    • 这是最直接的指标,如果公司从澳大利亚的客户那里销售商品、提供服务或收取费用,这强烈表明其在澳大利亚从事商业活动。
    • 例子: 一家在新西兰注册的电商,其网站允许澳大利亚用户下单并从新西兰发货,这显然属于在澳大利亚的商业活动。

  2. 在澳大利亚有营销或销售活动:

    • 公司是否针对澳大利亚市场进行广告宣传、搜索引擎优化、社交媒体营销或参加澳大利亚的行业展会?
    • 例子: 一家新西兰的软件公司,其网站主要使用英语,并且明确标价澳元,并宣传自己是“澳大利亚企业的首选解决方案”,这足以构成针对澳大利亚的商业活动。

  3. 在澳大利亚有员工或代理人:

    澳大利亚daa在新西兰
    (图片来源网络,侵删)
    • 公司是否有常驻澳大利亚的员工、销售代表或分销商?即使是偶尔的访问或远程为澳大利亚客户工作,也可能被认定为在澳大利亚开展业务。
    • 例子: 一家新西兰咨询公司的员工定期飞往澳大利亚为客户提供现场咨询服务。

  4. 与澳大利亚的供应链有联系:

    公司是否从澳大利亚供应商处采购原材料,或者向澳大利亚的合作伙伴提供服务?

  5. 网站和服务的可访问性:

    公司的网站是否明确面向澳大利亚受众(提供澳元定价、.au域名、澳大利亚联系方式、提及澳大利亚法律等)?

重要提示: “从事商业活动”是一个持续性的状态,而不是一次性事件,只要公司持续地、有目的地向澳大利亚市场提供产品或服务,它就持续地受到澳大利亚隐私法的约束。

实际影响与合规要求

如果一家在新西兰运营的澳大利亚公司被认定为在澳大利亚“从事商业活动”,那么它必须遵守澳大利亚隐私法,具体包括:

  1. 遵守澳大利亚隐私原则:

    公司在处理个人数据(包括新西兰客户的个人数据)时,必须遵循APPs的17项核心原则,这些原则涵盖了数据收集的同意、目的限定、数据质量、安全、使用限制、访问更正、透明度等各个方面。

  2. 承担OAIC的管辖:

    • 公司必须接受澳大利亚信息专员办公室的监督和管辖,这意味着:
      • 如果发生数据泄露,且可能对受影响的个人造成伤害,公司有义务向OAIC进行数据泄露通知
      • 个人可以向OAIC投诉其隐私侵权行为。
      • OAIC有权进行调查、审计,并对违规行为处以高额罚款(目前最高可达公司年营业额的5%,或最高$50,000,000澳元,以较高者为准)。

  3. 遵守《数据泄露通知法》:

    这是最重要的合规义务之一,只要公司在澳大利亚有商业活动,无论数据泄露发生在哪里(即使数据服务器在新西兰),只要泄露的数据与澳大利亚的业务相关,且可能对个人造成伤害,就必须在规定时间内通知OAIC和受影响的个人。

新西兰与澳大利亚法律的关系

值得注意的是,这家公司同时也必须遵守新西兰的隐私法,即《2025年隐私法》(Privacy Act 2025)。

  • 双重合规: 这意味着公司需要同时满足两套法律的要求,在某些方面,两套法律的要求相似(如获得同意、保障数据安全),但在细节上可能存在差异。
  • 高标准原则: 在实践中,公司通常会采取“高标准”策略,即遵循更严格的那套法律要求,以确保在两个司法管辖区都合规,澳大利亚隐私法中的罚款力度远高于新西兰,因此以澳大利亚DAA为基准进行合规通常是更安全的选择。

给企业的建议

对于在新西兰运营的澳大利亚公司,或者任何可能接触到澳大利亚市场的公司,应采取以下步骤:

  1. 进行自我评估: 诚实地评估公司是否在澳大利亚从事商业活动,参考上文提到的关键因素。
  2. 寻求专业法律意见: 如果评估结果不确定,强烈建议咨询同时熟悉澳新两国隐私法律的专家,以获得明确的合规指导。
  3. 制定合规策略: 如果被认定为需要遵守DAA,应立即着手:
    • 进行隐私影响评估。
    • 更新隐私政策,使其同时符合澳新两国的法律要求。
    • 建立数据泄露响应计划,并确保团队了解如何向OAIC报告。
    • 加强数据安全措施,确保技术和管理流程符合APPs的要求。
    • 对员工进行隐私培训,特别是处理客户数据的员工。
  4. 记录商业活动: 保留好公司在澳大利亚开展业务的证据(如销售记录、营销材料、客户沟通记录等),以备在需要时向监管机构证明自己的合规性。

澳大利亚DAA在新西兰的适用性,不是基于地理位置,而是基于公司的商业活动。 任何在新西兰注册但持续向澳大利亚市场提供产品或服务、从澳大利亚获取收入的澳大利亚公司,几乎可以肯定地受到澳大利亚《隐私法》的约束,并需承担相应的合规义务,包括向OAIC报告数据泄露和接受其监管,这类企业必须将澳大利亚隐私法作为其全球合规框架的重要组成部分。