中澳数字经济合作中的数据跨境合规挑战与应对

文 / 柴裕红 肖佩遥

数据的跨境流动正成为国际经贸合作的核心议题。中国与澳大利亚两国是彼此重要的贸易伙伴，在数字经济领域的合作密切。但两国在数据治理理念、法律体系和监管实践上的差异构成数字经济领域合作的主要法律挑战。

中澳数据跨境合规现状及差异点

我国近年来出台的《网络安全法》《数据安全法》《个人信息保护法》构成我国数据治理体系的法律框架。该体系强调数据主权，对重要数据与个人信息的出境采取以安全评估、标准合同及保护认证为主的事前监管路径，旨在平衡数据利用与安全风险。相反，澳大利亚更侧重于个人权利保护，《隐私法》及《澳大利亚隐私原则》是澳大利亚数据治理体系的基石，该体系要求数据控制者确保海外接收方提供与其国内法“实质性相似”的保护水平，监管模式呈现出以风险为基础、事后问责为主的特征。两国体系在数据本地化存储义务、出境合法性基础、监管执法力度及跨境协作机制等方面有着显著差异。

（一）中国的数据出境监管框架

我国的数据出境监管框架可以概括为“三大法律、三大路径、一大原则”。“三大法律”即《网络安全法》《数据安全法》《个人信息保护法》；“一大原则”即安全可控、分类分级的基本原则；“三大路径”即安全评估、标准合同、保护认证的合规路径。“三大路径”中，安全评估强调体系核心的事前监管，主要适用于关键信息基础设施运营者或处理重要数据及大规模个人信息的数据处理者；标准合同则适用于更为普遍的个人信息出境；保护认证则是一种合规证明机制，由专业机构执行。

随着国际数字经济合作日益密切，中国的事前监管体系的最新实践体现在 “粤港澳大湾区标准合同”模式中。该模式在固有框架下，针对粤港澳大湾区一体化发展的战略需求进行多方面创新，如降低豁免出境数量门槛、简化评估内容、优化备案流程，在保护国家主权、安全、发展利益的前提下，通过这些层面的机制创新，显著提升区域内数据流动的效率。该实践表明，中国的数据跨境交易监管正探索监管体系的针对性与实践性，这也为中澳间构建相似的合作机制提供了方向指南与样本参照。

（二）澳大利亚的数据隐私监管

《隐私法》及《澳大利亚隐私原则》是澳大利亚数据治理体系的基石，“问责制”是该体系的核心特点，相关的数据跨境流动法律规定集中体现在《澳大利亚隐私原则》第8条。该原则对数据出境方与海外接收方的权利与义务作出了明确规定，其通常通过具有法律约束力的合同来实现。近年来，澳大利亚的数据流动监管体系同中国一样呈强化趋势，澳大利亚信息专员办公室的调查与执法权力范围扩大，2022—2023年罚款额度大大提高，随着法律不断修改，其法律适用的广泛性渐渐体现出来，只要企业或机构在澳大利亚开展业务，或者其业务活动涉及澳大利亚公民的个人数据信息，无论企业或机构实际运营单位在何处，都可能在澳大利亚信息专员办公室管理范围内，这就要求处理澳居民数据的海外组织必须主动评估并遵守其合规义务。

（三）核心合规障碍

中澳法律体系在理念、路径与管辖权上的结构性冲突构成了两国数据跨境流动的核心合规障碍。

在监管范式与法律基础层面，“安全可控”是中国数据流动法律体系的坚持方向，“三大法律、三大路径、一大原则”构成了以事前监督为核心的防御性体系；而澳大利亚《隐私法》则以“问责制”为基础，侧重于通过合同约束确保接收方提供“实质性相似”保护的事后追责模式。中澳两国在监管范式与法律基础层面的差别带来合规路径的叠加与冲突，一家中国企业或机构向澳大利亚传输或接受监管数据时，其行为往往受到中澳两国相关法律的监督与规范，这意味着企业或机构将面临双重程序，并存在着潜在的合同条款冲突。

在监管管辖权的重叠与域外效力层面，两国法律的域外适用性都十分广泛，一家涉及处理澳洲公民隐私数据的中国公司，可能同时接受中国网信部门与澳大利亚信息专员办公室的双重管辖与调查，任何一方的执法行动都可能引发复杂的连锁合规风险。因此，企业或者机构在中澳数据跨境交易中，其行为在符合两国相关的法律框架的同时还可能面临两国法律框架某些环节互不衔接的情况，从而使得企业或机构由于适用相关法律的复杂性显著增加带来运营成本大幅提升。

中企如何构建跨境数据合规框架

（一）合规路径选择与合同协调

合规路径的选择是合规的地基，企业首先必须对拟跨境的数据进行精准分类，根据中国法律去判断所涉跨境数据是否应归到需受监管的重要数据或敏感个人信息范围内，并由此选择合规路径。目前在跨国数据流动交易中，企业或机构选择的合同模式需符合中国的“标准合同”路径且满足澳大利亚“实质性相似保护”要求。这种合同模式需起草一份能够同时对接与协调两国核心法律要求的单一跨境数据传输协议，包含可以实现法律义务统一的关键条款。这意味着该项协议要整合数据最小化、安全保障、数据主体权利执行、安全事件联合响应机制及审计权等核心内容，除此之外，协议要明确约定各种事项的法律适用以及争议解决条款。

在合规路径选择与合同协调方面，企业可借鉴粤港澳大湾区的区域性合作经验，实现中澳间数字经济合作的制度互认，从制度上降低企业数字跨境合作的法律风险，实现中澳间数字经济合作的制度互认。

（二）内部治理体系化建设

内部治理有效化是衡量中澳数据跨境流动的重要指标，完整且高效的动态管理体系需要统一治理机构，包含法务、信息安全、IT及业务部门，负责制定核心战略或审批重要项目。除统一治理机构，还需完备的数据评估方案，能将中国的个人信息保护影响评估与澳大利亚的隐私影响评估要求相结合，从交易开始到交易结束，对所涉数据实现持续评估；同时，在跨境数据交易中如果涉及第三方供应商，企业必须加强对第三方供应商的资格审查，通过全面调查与持续审计，满足澳大利亚监管方对交易全方位的要求；再者，完整的动态管理体系还需建立安全事件应急机制，该机制需确保在发生数据泄露等危机时，能够向中国网信部门与澳大利亚信息专员办公室精准报告安全事件类型，并及时启动应急处理程序，控制跨境法律风险。

中澳在数据治理理念、法律体系和监管实践上的差异使得两国应保持中长期的监管对话，探索建立基于特定场景或行业的双边合作安排，最终建立兼顾数据安全、个人权利与商业效率、基于互信与创新的数据合作新范式。

（本文为2025年度法治甘肃省级课题《“一带一路”倡议下中国企业出海法律风险与应对策略研究》(2025FZKT128)研究成果之一。作者单位系兰州大学-甘肃省侨联涉外法治研究中心 ）