三年的疫情加速了各行业业务模式从线下向线上转移;加密货币、大数据、云计算与人工智能技术的火热也使得各国政府与企业更有兴趣对各类数据进行挖掘和利用。数字时代已经到来,而个人数据信息作为被普遍认可的“私人财产”如何受到保护也越来越受到关注。
在澳大利亚,1988 年澳大利亚隐私法(Privacy Act 1988)首次对数据保护作出了系统性规定,旨在尊重与保护个人隐私与促进数据合法传播。法案列举的13 项澳洲隐私原则(Australian Privacy Principles)从数据的收集、保存、使用、储存、披露各个方面进行了规定此后,澳洲联邦与各州也就信息保护不断通过更细化更严格的法案与政策规定以加强对数据权利保护的力度。最近的《2023-2030 澳大利亚数据安全策略讨论稿》(2023 – 2030 AUSTRALIAN CYBER SECURITY STRATEGY-Discussion Paper)明确指出澳洲要在未来十年内建立起政策层面、法律层面与合规治理层面相互支持的“数据生态系统”,对数据合规进一步提出了规划和要求。
企业合规风险
上述”强监管”信号增加了企业信息合规治理的压力,其主要体现在巨额违规罚款与多重监管两方面。如《2022 年信息保护修订草案》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022)将违反信息保护法的行政处罚额度上调至个人250 万澳元与公司最高5000 万澳元。其次,澳洲企业在信息搜集与处理过程中可能面对澳大利亚网络安全中心(ACSC)、澳大利亚证券与投资委员会(ASIC)、澳大利亚信息专员办公室(OAIC)乃至其他国家政府的的多重监管。监管机构的多重性与审查内容和标准的不统一对企业信息合规治理构成巨大挑战。
在ASIC 参与监管的信息合规里程碑案例ASIC v RI Advice Group Pty Ltd [2022] FCA 496 案中,被告系RI Advice Group 为持有澳洲金融服务牌照(AFSL)的金融公司,其在2016 年至2020年间遭受了多次网络攻击。攻击致使服务器中的敏感客户信息被多次窃取。但在此期间公司虽然收到了多次网络安全报告与整改建议却未实质遵循这些建议并作出相应补救措施。ASIC由此诉称RI 公司未能履行作为金融机构数据保护义务,以致公司与顾客蒙受了不可接受的风险与损失。
联邦法院在本案中明确了公司保证数据安全的义务并,确认了RI 公司未能有效保护网络信息与网络弹性的安全的违法行为,由此判令被告支付$750,000 罚款并责令其采取必要措施完善公司数据保护系统。法院认为:
- 金融服务牌照持有人应当确定在提供根据许可证提供金融服务过程中所面临的风险,包括与网络安全和网络弹性相关的风险。
- 牌照持有人必须制定文档、控制和风险管理系统,以管理其咨询网络中与网络安全和网络弹性相关的风险;
- 由于网络安全风险管理是一个技术领域,因此必须由具有该领域技术专业知识的人员提供风险管理的充分性建议;
- “合理的”信息管理的表现标准应根据该领域有资格的管理者的一般标准来评估,而不是根据一般公众标准。
董事个人责任风险
值得注意的是,董事与董事会作为澳洲企业的日常经营决策部门,澳洲法律同样要求董事在企业管理中对信息合规治理应尽到与其他业务经营决策行为同等的董事义务,因此董事对且合规治理的失职同样可能引发其个人的责任。
澳洲企业董事义务规定于普通法与成文法均有规定,简单而言主要包括三个方面:
- 谨慎和勤勉义务(Duties of Care and Diligence);
- 忠实和善意义务(Duties of Loyalty and Good Faith);
- 其他法定义务(Statutory Duties)。
于信息合规层面,董事与董事会的治理行为均可能触及上述义务:如金融公司对客户信息的收集、保存、使用与披露往往构成其主营金融业务的重要环节,而客户信息的保护当然构成了董事对公司经营决策不可分割的一部分。董事对信息合规治理的谨慎与勤勉能够有效保证合规性,保证公司利益;反之则可能因不合规增加公司违法风险、引发公司民事或者行政责任,进一步导致董事个人责任。
由此,我们建议董事在企业日常运营中应当采取如下信息合规治理措施,以避免企业与董事
合规风险:
- 董事会与律师对公司在外部信息数据在收集、保存、使用、储存、披露等方面的内外规定进行定期常态化评估,识别风险并进行相应整改。应注意,合规管理的董事标准应参照ASIC v RI 中法院采取的专业管理者标准,而非一般公众标准;
- 对企业内部数据资产的保护也至关重要。对企业关键数据的保护,董事会应及时透明地了解所有内部关键数据资产(包括数据关联的第三方合作伙伴和服务提供商)的情况,
制定监管与保护措施;
- 确保有足够的投资用于员工意识培训,因为这是风险的主要来源之一,员工信息数据合规意识的提升也能促使团队合规协作效率;
- 特别关注网络安全风险问题,聘请合格的网络安全专家作为员工或顾问,评估其公司的网络安全风险并予以消除;
- 建立相关应急与系统性响应计划,以最小化可能由成功的网络攻击造成的损害,包括备份系统;
- 完善争议解决机制,提高信息数据保护引发的纠纷处理效率,建议与律师进行密切沟通,以确保最大化保护公司利益;
- 经营中密切与法律顾问就合规性进行适时的监管与评估,以确保上述信息合规治理措施符合法律与监管规定的要求。
结语:
澳洲数据合规合法标准愈发严苛,这使得澳洲企业在数据治理面临更多挑战。企业除对自身信息合规应及时自查外,委托专业商业律师团队协助企业进行治理也至关重要:律师的参与能帮助企业更高效地结合相应法律法规对信息合规风险进行识别、评估、监管并准确地提出整改建议,为企业经营与董事管理保驾护航。
