中澳數字經濟合作中的數據跨境合規挑戰與應對

文?/?柴裕紅 肖佩遙

數據的跨境流動正成為國際經貿合作的核心議題。中國與澳大利亞兩國是彼此重要的貿易伙伴，在數字經濟領域的合作密切。但兩國在數據治理理念、法律體系和監管實踐上的差異構成數字經濟領域合作的主要法律挑戰。

中澳數據跨境合規現狀及差異點

我國近年來出臺的《網絡安全法》《數據安全法》《個人信息保護法》構成我國數據治理體系的法律框架。該體系強調數據主權，對重要數據與個人信息的出境采取以安全評估、標準合同及保護認證為主的事前監管路徑，旨在平衡數據利用與安全風險。相反，澳大利亞更側重于個人權利保護，《隱私法》及《澳大利亞隱私原則》是澳大利亞數據治理體系的基石，該體系要求數據控制者確保海外接收方提供與其國內法“實質性相似”的保護水平，監管模式呈現出以風險為基礎、事后問責為主的特征。兩國體系在數據本地化存儲義務、出境合法性基礎、監管執法力度及跨境協作機制等方面有著顯著差異。

（一）中國的數據出境監管框架

我國的數據出境監管框架可以概括為“三大法律、三大路徑、一大原則”。“三大法律”即《網絡安全法》《數據安全法》《個人信息保護法》；“一大原則”即安全可控、分類分級的基本原則；“三大路徑”即安全評估、標準合同、保護認證的合規路徑。“三大路徑”中，安全評估強調體系核心的事前監管，主要適用于關鍵信息基礎設施運營者或處理重要數據及大規模個人信息的數據處理者；標準合同則適用于更為普遍的個人信息出境；保護認證則是一種合規證明機制，由專業機構執行。

隨著國際數字經濟合作日益密切，中國的事前監管體系的最新實踐體現在 “粵港澳大灣區標準合同”模式中。該模式在固有框架下，針對粵港澳大灣區一體化發展的戰略需求進行多方面創新，如降低豁免出境數量門檻、簡化評估內容、優化備案流程，在保護國家主權、安全、發展利益的前提下，通過這些層面的機制創新，顯著提升區域內數據流動的效率。該實踐表明，中國的數據跨境交易監管正探索監管體系的針對性與實踐性，這也為中澳間構建相似的合作機制提供了方向指南與樣本參照。

（二）澳大利亞的數據隱私監管

《隱私法》及《澳大利亞隱私原則》是澳大利亞數據治理體系的基石，“問責制”是該體系的核心特點，相關的數據跨境流動法律規定集中體現在《澳大利亞隱私原則》第8條。該原則對數據出境方與海外接收方的權利與義務作出了明確規定，其通常通過具有法律約束力的合同來實現。近年來，澳大利亞的數據流動監管體系同中國一樣呈強化趨勢，澳大利亞信息專員辦公室的調查與執法權力范圍擴大，2022—2023年罰款額度大大提高，隨著法律不斷修改，其法律適用的廣泛性漸漸體現出來，只要企業或機構在澳大利亞開展業務，或者其業務活動涉及澳大利亞公民的個人數據信息，無論企業或機構實際運營單位在何處，都可能在澳大利亞信息專員辦公室管理范圍內，這就要求處理澳居民數據的海外組織必須主動評估并遵守其合規義務。

（三）核心合規障礙

中澳法律體系在理念、路徑與管轄權上的結構性沖突構成了兩國數據跨境流動的核心合規障礙。

在監管范式與法律基礎層面，“安全可控”是中國數據流動法律體系的堅持方向，“三大法律、三大路徑、一大原則”構成了以事前監督為核心的防御性體系；而澳大利亞《隱私法》則以“問責制”為基礎，側重于通過合同約束確保接收方提供“實質性相似”保護的事后追責模式。中澳兩國在監管范式與法律基礎層面的差別帶來合規路徑的疊加與沖突，一家中國企業或機構向澳大利亞傳輸或接受監管數據時，其行為往往受到中澳兩國相關法律的監督與規范，這意味著企業或機構將面臨雙重程序，并存在著潛在的合同條款沖突。

在監管管轄權的重疊與域外效力層面，兩國法律的域外適用性都十分廣泛，一家涉及處理澳洲公民隱私數據的中國公司，可能同時接受中國網信部門與澳大利亞信息專員辦公室的雙重管轄與調查，任何一方的執法行動都可能引發復雜的連鎖合規風險。因此，企業或者機構在中澳數據跨境交易中，其行為在符合兩國相關的法律框架的同時還可能面臨兩國法律框架某些環節互不銜接的情況，從而使得企業或機構由于適用相關法律的復雜性顯著增加帶來運營成本大幅提升。

中企如何構建跨境數據合規框架

（一）合規路徑選擇與合同協調

合規路徑的選擇是合規的地基，企業首先必須對擬跨境的數據進行精準分類，根據中國法律去判斷所涉跨境數據是否應歸到需受監管的重要數據或敏感個人信息范圍內，并由此選擇合規路徑。目前在跨國數據流動交易中，企業或機構選擇的合同模式需符合中國的“標準合同”路徑且滿足澳大利亞“實質性相似保護”要求。這種合同模式需起草一份能夠同時對接與協調兩國核心法律要求的單一跨境數據傳輸協議，包含可以實現法律義務統一的關鍵條款。這意味著該項協議要整合數據最小化、安全保障、數據主體權利執行、安全事件聯合響應機制及審計權等核心內容，除此之外，協議要明確約定各種事項的法律適用以及爭議解決條款。

在合規路徑選擇與合同協調方面，企業可借鑒粵港澳大灣區的區域性合作經驗，實現中澳間數字經濟合作的制度互認，從制度上降低企業數字跨境合作的法律風險，實現中澳間數字經濟合作的制度互認。

（二）內部治理體系化建設

內部治理有效化是衡量中澳數據跨境流動的重要指標，完整且高效的動態管理體系需要統一治理機構，包含法務、信息安全、IT及業務部門，負責制定核心戰略或審批重要項目。除統一治理機構，還需完備的數據評估方案，能將中國的個人信息保護影響評估與澳大利亞的隱私影響評估要求相結合，從交易開始到交易結束，對所涉數據實現持續評估；同時，在跨境數據交易中如果涉及第三方供應商，企業必須加強對第三方供應商的資格審查，通過全面調查與持續審計，滿足澳大利亞監管方對交易全方位的要求；再者，完整的動態管理體系還需建立安全事件應急機制，該機制需確保在發生數據泄露等危機時，能夠向中國網信部門與澳大利亞信息專員辦公室精準報告安全事件類型，并及時啟動應急處理程序，控制跨境法律風險。

中澳在數據治理理念、法律體系和監管實踐上的差異使得兩國應保持中長期的監管對話，探索建立基于特定場景或行業的雙邊合作安排，最終建立兼顧數據安全、個人權利與商業效率、基于互信與創新的數據合作新范式。

（本文為2025年度法治甘肅省級課題《“一帶一路”倡議下中國企業出海法律風險與應對策略研究》(2025FZKT128)研究成果之一。作者單位系蘭州大學-甘肅省僑聯涉外法治研究中心?）