引言

2016 年11 月7 日第十二届全国人大常委会第二十四次会议通过了《中华人民共和国网络安全法》，数据跨境流动安全评估和重要数据境内存储是其中确立的重要制度。澳大利亚在立法中对数据采取了分类管理的方式，不仅出台独立的个人隐私立法，对个人健康数据跨境严加监管，还建立了完整的政府数据外包风险评估流程和办法。本文主要采取比较研究方法，希望能为我国完善跨境数据流动后续配套制度提供借鉴。

澳大利亚跨境数据流动管理框架

对数据“跨境”的界定

关于什么是数据“跨境”，目前国际上没有统一的定义方式。从国际组织以及其他国家对跨境数据流动的管理制度来看，跨境数据流动有两类理解：一种是数据跨越国界的传输和处理；另一种是数据虽然没有跨越国界，但被第三国的主体能够访问。澳大利亚1988 年《隐私法》虽未明确个人数据“跨境”的明确定义，但要求“海外接收者”需满足两个条件：

①位于澳大利亚及其附属领地外；②不是数据披露主体。换句话说，澳大利亚境外的第三方机构或个人，均被认为是数据的海外接收者，受到澳大利亚个人隐私原则（Australian PrivacyPrinciples） 约束。

根据澳大利亚法律改革委员会（ALRC）对《隐私法》的解释，跨境数据流动应当以是否被澳大利亚国界以外进行接入进行区分——如果个人数据存储于澳大利亚，但却在澳大利亚境外被访问的话，即可被视为跨境转移。如果个人数据仅仅因为路由缘故短暂存储于澳大利亚境外，却没有被访问的话，可以不受《隐私法》关于跨境数据流动原则的约束。但ALRC同时指出，考虑到跨境数据流动场景愈发复杂，解决不同场景下的跨境流动问题，涉及复杂场景时，最好参照澳大利亚议会咨询办公室（officeof parliamentary counsel）出台的相关指南和标准，并采取逐案审查的方式。

跨境流动涉及的数据类型

从澳大利亚现有法律法规来看，主要对以下三类数据（或信息）的跨境流动进行了规定：

政府数据

根据《1982年信息自由法》对政府数据的定义，政府数据指的是涉及公众的业务和权力的数据、机关工作手册、涉及公众的决策和建议的文件。该法要求政府机关为公众提供获取这些数据的渠道，适用于联邦政府的大多数文件。对于可能损害政府利益或损害与政府打交道的第三方利益的文件或数据可以豁免实施该部法令，其中包括：涉及国家安全、国防或国际关系、联邦政府与州政府关系、联邦政府财政和财产利益、含有个人或商业数据、可能引发轻视议会和法庭等文件。

健康数据

根据《个人控制的电子健康记录法》（PCEHR）、《1988 年隐私法》，健康数据指的是：

（1）关于个人健康或身体残疾的数据；

（2）个人目前或将来可能接受的治疗情况的数据；

（3）在治疗过程中收集或提供的数据；

（4）个人在与身体组织、器官捐献有关的数据；

（5）能够对个人健康状况起到预测作用的或可证明与其他人亲缘关系的个人基因数据。

隐私数据

根据《隐私法》对于个人数据的定义，个人数据指的是理论及实践中可识别个人身份的数据及观点，无论数据或观点是否真实或以物质形式记录。可识别的个人数据包括了个人的全名、别名或曾用名，个人生日，个人性别，个人目前的住址或曾经住址（之前两个），个人目前雇主或之前雇主姓名，个人的驾驶证件号码。

小结

从澳大利亚数据分类来看，政府数据、健康数据、个人隐私数据在不同的场景下，可能出现一定的重合。例如，个人健康数据在性质上同时属于隐私数据和健康数据，在其涉及政府公开事项时，又被称为政府数据。澳大利亚虽然对数据进行了不同分类和定义，但立法监管重点在于结合数据性质和数据用途对数据处理行为进行管理，而不仅仅是为了分类而分类。

跨境数据流动法律体系

经梳理，澳大利亚跨境数据流动的法律规定较为完善，体现为以下三个特点：

一是通过专门法律法规对不同类型数据进行规定。从上文澳大利亚对数据分类的情况来看，对于政府数据、个人数据、健康数据等跨境流动，均有不同的法律法规进行规制。

二是采取强制性规定与推荐性指南相结合的管理方式。以上法律法规规定了不同类型数据跨境转移的基本制度，而具体的操作性规定，则体现在澳大利亚数据安全法律框架体系（PSPF）下的不同政策、指南中。具体而言，法律规定了跨境数据流动的基本原则及主要制度，而指南和标准则进一步对制度进行细化，为企业和机构提供合规性操作指引。

三是与跨境数据流动国际规则保持协调。在参与国际规则方面，澳大利亚隐私法与欧盟指令基本是兼容的，不同点在于，澳大利亚规定了年营业额低于300 万澳元的小型企业可以免除运营者及雇员的信息留存等责任。由于澳大利亚是APEC 成员，现有隐私立法在APEC 隐私框架下制定，总体上与APEC 隐私原则一致，但澳大利亚并没有参与APEC 跨境隐私规则体系（APEC CBPRs），因此在跨境电子商务中并不受CBPRs 约束。

数据跨境监管机构

在联邦层面，数据跨境流动的主要监管机构是澳大利亚信息专员办公室（OAIC）, 主要职能包括四个：

一是推广政府信息的使用，包括人们根据《1982 年信息自由法》使用档案的权利；

二是确保对个人信息的处理符合《1988 年隐私法》和其他法规；

三是为澳大利亚政府提供有关信息政策的咨询，确保澳大利亚在信息政策方面的做法符合国际最佳实践。

四是处理用户投诉，监督有关机构管理，为公众、政府机构和企业提供咨询。从OAIC 职能可以看出，它是澳大利亚统一的数据监管机构，监管范围涵盖了政府数据、健康数据、隐私数据。此外，澳大利亚州层面也设立了相关机构，对本州的数据主体进行监管。

澳大利亚跨境数据流动主要制度

为政府数据添加保护性标识，控制影响国家安全数据跨境

澳大利亚政府官方数据分为两种：不需要额外安全保护的数据、需要额外安全保护的数据。对于后者，澳大利亚采取了保护性标识与不同管理措施结合的方式。

保护性标识的类型包括三种：一是安全分类标识7，二是传播限制标识（DLMs），三是警告标识。标识应包括数据需要保护的机密性，以及数据使用、存储、传输、发射和销毁需要满足的保护性措施。机构可出台自身的分类指南帮助相关人员对数据进行分级，从而实现对各类数据的保护。若数据不需要保护，则不标注或标注为“未分级”。澳大利亚采用保护性标识的理念，主要考虑是数据接收者是否“需要获知”（need to know）相关数据。

从数据保护性标识的来源来看，澳大利亚采取了“创始人”（Originator）的制度。创始人即负责在澳大利亚政府外生成数据的人，由其决定数据的保护标识。当数据生成时，创始人需要评估未经许可访问或不当使用数据所带来的损害及后续影响，如果评估结果反映对数据机密性造成负面影响，或该机构从法律上被要求保护此数据时，该数据应被施加保护标识。

需要注意的是，需要机构额外进行警告标识的数据，在披露或向机构外传输前，应重新被标识并采取适当措施。在这一过程中，添加“警告”标签的标识“创始人”机构应移除警告标识，若未移除，则此数据不得被披露。

根据保护性标识不同，澳大利亚规定了不同的保护措施要求。指南性文件《政府安全分类系统》规定了三种具体保护手段：一是程序性的，仅允许安全合格的雇员使用、处理、传输和访问；二是物理性的，例如对工作区域储存和访问进行限制；三是技术上，例如防火墙和数据匿名化。

建立政府数据外包风险评估制度，明确机构主体责任

除了保护性标识外，澳大利亚还构建了政府数据外包的风险评估制度，具体可见于PSPF法律法规的组成部分《澳大利亚数据安全管理指南——ICT 安排（包括云服务）外包风险管理》中。该管理要求为澳大利亚政府非机密数据外包安排中的保密性、完整性和适用性提供了安全风险管理方法。需要明确的是，此指南不涉及对澳大利亚政府安全机密数据的管制。

此指南目的是为政府数据ICT 外包过程中的存储和处理提供指南，特别关注云服务，要求各机构在ICT 外包安排时引入风险评估制度框架。指南制定了一套全新的风险评估流程，不仅仅适用于数据跨境流动，而是适用于整个政府数据外包过程中。每个机构需要根据不同业务要求和操作环境，确定其风险承受水平，人员、数据以及资产的具体风险，采用相应的保护措施以减轻风险。各机构开展风险评估应符合现有标准，采取环境建立、风险识别、风险评估、对治方案、制定总体风险评估方案五个关键步骤。在对以上方面进行评估后，各机构应估计意外披露政府数据对澳大利亚各项能力造成的影响，并给予风险评级（介于“最高程度”和“最低程度”之间）。

指南涉及跨境数据流动安排的具体规定,其主要目的为了规避承包商或分包商在涉及离岸数据的ICT 安排时可能出现的额外风险，需要在前述评估机制外考虑其他要素：

一是其他国家是否允许接入或限制接入数据。很多国家同澳大利亚一样，允许出于执法和国家安全的目的接入通信和存储数据，机构应在外包其数据前就外国立法的可适用性寻求法律意见。

二是数据跨境流动面临的复杂性。如由于供应商离岸，所以受不同国家的法律管辖；外国法律对位于澳大利亚的供应商有域外效力；供应商提供的服务覆盖外国司法管辖区域等。

三是透明度缺失带来的安全风险。各机构还需要考虑其他国家政府机构行为透明度的缺失，或在既定的法律框架外运作（例如外国情报机构）而带来的安全风险。

四是不同国家商业和法律文化可能存在区别。例如，各国对腐败和白领犯罪的容忍和接受程度不同，可能会影响机构用以确保澳大利亚政府数据的保密性、可用性和完整性的能力。

对个人隐私数据区别对待澳洲跨境，禁止健康数据跨境流动

首先，澳大利亚并不禁止一般个人数据的跨境流动。《1988 年隐私法》规定，“ 在APP 实体向澳大利亚海外数据接收者披露用户个人数据前，应根据情况采取适宜措施，确保自身和海外数据接受者的行为没有触犯澳大利亚隐私原则的规定。”

其次，个人健康数据跨境流动在一般情况下是被禁止的。《个人控制的电子健康记录法》（PCEHR）第77 章禁止可识别个人身份的健康数据向澳大利亚以外地区传输，但规定了部分例外事项。一是要求法律规范的主体不得将数据向澳大利亚以外传输，在澳大利亚以外处理或掌握上述数据，以及允许其他人从事上述事项。二是允许在一定条件下在澳大利亚以外传输、处理或掌握，如“与消费者有关的个人数据”等。由此看来，《隐私法》所规定的一般个人隐私数据不属于PCEHR 限制范围。

根据以上规定，外国公司处理健康相关数据，必须建设数据中心，或将相关服务外包至澳大利亚境内提供商。这也给希望从海外访问相关数据的用户带来了实质的影响，例如有澳大利亚本地的健康服务提供商担心此法案会难以实施，原因是澳大利亚人在海外使用移动设备将难以访问自身健康数据。2011 年该法案仍为草案阶段时，微软公司即表示了质疑和担忧。

考虑域外制度对本国主体约束力，保证数据跨境流动灵活性

个人数据方面，若外国或澳大利亚以外领地相关法律对数据跨境流动做出要求，并不被严格视为违反澳大利亚《隐私法》。对此澳洲跨境，澳大利亚国内曾有争论，2007 年出台的《离岸隐私保护法案》要求，澳大利亚境内处理个人隐私的机构，需要签订联邦协议，保证不在澳大利亚以外区域使用“可识别的个人数据”。但是，澳大利亚法律改革委员会(ALRC) 考虑到并不认可这种方式，原因是完全限制数据跨境流动到某个国家是不现实的，尤其是美国《爱国者法案》要求情况下，机构或企业难以执行。即使其他国家，相关机构的雇员也无法保证在他国法律要求下不进行数据的跨境流动，这将导致大量前述违反协议情况出现。因此，《隐私法》仍采用了原有表述。

政府数据方面，当数据通过双边安全文书希望实现互惠的分类数据保护时，需被采取于澳大利亚保护性安全标识类似的措施，以保证数据被置于不低于提供数据一方政府要求的保护水平。在外国政府数据在没有获得相关政府同意情况下，不得被提供给第三方国家。此外，指南性文件《数据安全分类系统》还规定，当收到来自未与澳大利亚签订双边安全文书的其他国家的安全分类数据时，是否采用澳大利亚安全分类制度，需要采取逐案审查的方式。

小结

关于政府数据，澳大利亚建立了政府数据的标识体系，对政府数据进行分级分类管理。对于敏感数据，指南认为可采用合同方式降低澳大利亚政府数据外包面临的风险。一方面，要求机构与服务商的合同中包括提供安全保护的条文；另一方面，对合同服务提供商是否符合依据条款履行合同进行检验。机构在外包符合规定的ICT 安排时，主要按照风险评估流程与服务提供商订立协议，由服务商对各项任务进行操作，机构判断其执行情况。对于机密数据，澳大利亚利用警告标识和安全性标识，通过数据创始人制度（Originator）对数据跨境的要求进行处理，只有获得Originator 授权并移除标记，相关数据才可跨境。

关于个人数据，澳大利亚订立了澳大利亚隐私原则（APP），作为机构或企业对一般性个人数据、敏感个人数据的收集、使用、披露的原则。个人健康数据属于最为私密的数据，属于敏感个人数据的范畴，在收集、使用、披露方面采取更加严格的要求，一般不得用于商业推广（Direct Marketing），在跨境数据流动方面是原则禁止的。一般性个人数据在跨境时涉及数据的收集、使用、披露，APP 实体都应遵守APP 各项原则规定，采取相关措施，违反APP 规定的也是不得进行跨境的。但是，《隐私法》也为一般性个人数据跨境流动开辟了一些例外情况，如国际协定要求、相关部门行使职权、其他法律中另有规定等。

总的来看，澳大利亚在数据收集、使用和披露方面兼顾了数据开放与数据安全，与OECD《关于隐私保护和个人跨境数据流动的指南》是有内在逻辑一致性。一是原则都鼓励数据的跨境流动，希望实现数据更大价值。《隐私法》指出个人数据跨境流动规则对外国法律来说可能是不适用的，OECD 指南也明确了成员国应当避免以隐私保护和个人自由为名义出台立法或政策限制数据的自由流动。二是均对特殊情况下的数据跨境流动进行限制，保障个人权益。澳大利亚对个人健康数据的跨境流动监管甚严，目的是为了更好保障国民隐私；OECD 指南第3 部分也规定国际适用层面数据跨境自由流动和正当限制的基本原则，特殊情况下可以限制跨境数据转移，特殊情况指的是成员国认为其他成员国未对特定类型数据采取同等保护。

澳大利亚制度对我国跨境数据流动管理的启示

从我国目前跨境数据流动面临挑战来看，一是跨境数据流动立法较为分散。虽然各行业发布了数据跨境流动的要求，但服务提供者应承担怎样的责任、违反规定应受到何种处罚、数据如何界定仍不明确。二是数据跨境安全评估规则尚未建立。《网络安全法》第37 条27 虽然要求建立跨境数据流动评估制度，但个人信息和数据进行界定、数据境内存储要求、数据跨境传输的评估机制和评估方法等细则尚未出台。三是重要行业数据跨境流动监管缺位。我国尚未对除港澳资以外的外资开放数据中心业务，但外资通过合作、技术授权等方式参与了云计算、数据中心业务的经营，掌握了大量的行业数据，行业安全存在隐患。

澳大利亚在上述方面具有较为完善的立法及实践经验，可供我国在制定数据跨境流动规则方面进行借鉴。

建立数据分级分类制度

数据分级分类可以按照多个维度来考虑。一是根据我国保密管理的规定，涉密信息严格禁止跨境流动。二是以《网络安全法》确立的关键基础设施标准来管理，关键基础设施中存储的数据进行跨境数据流动管控。三是以个人信息敏感程度来划分，对涉及医疗、健康、银行账户密码等涉及个人人身财产安全的信息，禁止跨境。

对政府数据建立跨境合同监管制度

建议由政府制定跨境数据流动标准格式合同。合同条款包含当事人双方应当遵守的数据保护规定，明确不得跨境的数据类型，要求境内企业对其数据进行分类管理，境外企业不得通过芯片后门等方式获得禁止跨境的数据，合作双方均应遵守我国相关数据保护法律规定。

要求合同应当适用于我国法律，并由我国法院管辖。涉及跨境数据流动业务的相关境内企业，应当依据标准格式合同签订与合作方的合作协议，将合同副本提供给主管部门备案。

对行业敏感数据加强安全评估

制定电信、金融、石油、电力等关键基础设施相关行业数据跨境流动的安全风险评估制度。明确安全风险评估的管理机构、第三方评估机构的认定、评估结果管理等内容。鼓励第三方机构对提供云计算、大数据业务的服务商、境外智能制造企业进行安全资质信用评级，为境内企业选择合作方提供参考。

作者简介：伦一，中国信息通信研究院互联网法律研究中心研究员。

参考文献：

[1] Definition of ‘transfer‘.[EB/OL].[2017-03-10].%20Cross-border%20Data%20Flows%20/definition-%E2%80%98transfer%E2%80%99.

[2]official website ofOPC[EB/OL].[2017-02-20].

[3] Freedom of Information Act 1982.[DB/OL].（2017-03-22）[2017-03-27].

[4] Personally Controlled Electronic Health RecordAct[DB/OL].（2012-06-26）.[2017-03-20].

[5] ‘Data protection regulations and international dataflows: Implications for trade and development’[R]. UNCTAD. 2016(4).58-59.

[6] Privacy Act1988[DB/OL].(2015-03-25).[2017-03-20].

[7]’current coverage of cross-border data flows’. Extraterritorial operation of the PrivacyAct[EB/OL].[2017-03-07].%20Cross-border%20Data%20Flows%20/current-coverage-cross-border-data-flows.

[8] 何波.跨境数据流动管理实践及对策建议研究[J].互联网天地.2016(12):30-31.

[9] 石月.数字经济环境下的跨境数据流动管理[J].信息安全与通信保密.2015(10):102-103.