澳大利亚网络安全法律与实践

1. 法律法规概述

1.1 网络安全监管战略

2023 年 11 月 22 日，澳大利亚政府发布了《2023-2030 年澳大利亚网络安全战略》（简称"该战略"），旨在加强澳大利亚的网络防御，并支持个人和企业抵御网络攻击并迅速从中恢复。

与该战略同时出台的还有《2023-2030 年澳大利亚网络安全战略：行动计划》（简称"行动计划"），该计划提出了三个"阶段"，最终目标是在阶段 3 中使澳大利亚成为全球网络技术发展和适应风险与机遇的前沿领导者。

去年标志着"地平线1"（"夯实基础"）计划的结束，该计划旨在弥补关键差距、构建安全防护体系并初步提升网络安全成熟度。2025年7月至8月，政府就"地平线2"（"扩大搜索范围"）计划开展了公众咨询。政府已开始与业界共同制定具体行动和举措；然而，目前尚未发布任何实质性公告。最初，"地平线2"计划旨在通过投资更广泛的网络生态系统和劳动力，提升澳大利亚"整个经济的网络安全成熟度"。

政府的愿景基于六重"盾牌"或"防御层级"，包括企业和公民、安全技术、世界一流的威胁共享和拦截、受保护的关键基础设施、主权能力以及具有韧性的区域和全球领导力。政府在其行动计划中针对每一层"盾牌"制定了不同的行动和目标。

虽然"地平线 2"的共同设计过程以及对战略和行动计划的任何修改仍在考虑之中，但预计澳大利亚的总体战略变化将在未来 12 个月内宣布。

1.2 网络安全法律

澳大利亚拥有广泛的联邦、州和领地法律体系，这些法律管辖数据保护、网络安全和网络犯罪。

数据保护

在澳大利亚处理个人信息的实体还应了解其在以下方面的义务：

1988 年《隐私法》（联邦）（以下简称"隐私法"），该法根据澳大利亚隐私原则 (APP) 规范"APP 实体"处理个人信息的行为。
《2024 年数字身份法》（联邦）（简称"数字身份法"）旨在《隐私法》之外，为数字身份服务和数据嵌入保障措施；
各州和领地颁布的隐私法；
《2012 年我的健康记录法》（联邦）（简称"《我的健康记录法》"）对澳大利亚国家在线健康数据库中收集和存储的健康信息规定了具体义务（除《隐私法》外）；
新南威尔士州、维多利亚州和澳大利亚首都领地颁布的州和领地健康记录立法；
联邦、州和地区的监控立法，对视频监控、计算机和数据监控、GPS跟踪以及对个人使用窃听设备进行监管。

《隐私法》的更多定义和详细信息见6.1 网络安全和数据保护。

网络安全

澳大利亚的网络安全法律主要受特定行业的联邦法律管辖，其中包括以下内容。

关键基础设施：该行业受《2018 年关键基础设施安全法》（联邦）（简称"SOCI 法"）监管，该法规定了关键基础设施的所有者和运营者必须履行注册、报告和通知义务，并授权澳大利亚政府在存在安全风险时收集信息并发布指令。更多详情请参见第 2 部分"关键基础设施网络安全法规"。
电信：该行业受双重立法监管，即：
1. 1997 年《电信法》（联邦）（以下简称"《电信法》"）对澳大利亚电信运营商施加了安全和通知义务，并授权澳大利亚政府收集信息和发布指令；
2. 1979 年《电信（拦截和访问）法》（联邦）（简称"TIA 法"）禁止拦截通信和访问存储的通信数据，但某些执法和国家安全目的除外。
公司：公司通常受《2001年公司法》（联邦）（简称"《公司法》"）监管，该法与网络安全领域密切相关。例如，董事履行"谨慎和勤勉"义务（第180条）同样适用于管理可预见的网络和信息安全风险。
金融服务：某些金融、保险和养老金机构受相关标准的监管，其中包括澳大利亚审慎监管局 (APRA) 发布的《信息安全审慎标准 CPS 234》（简称 CPS 234）。此外，金融服务机构还需遵守《公司法》规定的特定义务，例如建立完善的风险管理体系以持有金融牌照（第 912A 条）。

还有一些与网络安全领域高度相关的法律，这些法律的行业针对性较低，例如消费者法，特别是《2010 年竞争与消费者法》（联邦）（"消费者法"），该法涉及消费者事务，包括消费者数据保护和网络诈骗。

网络犯罪

以上内容之上，澳大利亚联邦、州和领地层面均有各种网络犯罪行为。这些犯罪行为大致可分为两类：

针对计算机或其他设备并涉及黑客活动的犯罪行为；以及
网络犯罪，其中此类设备被用作犯罪的关键组成部分，包括网络诈骗、网络虐待儿童犯罪和网络跟踪。

联邦层面，网络犯罪根据 1995 年《刑法典》（联邦）（"刑法典"）附表第 10.6 和 10.7 部分被定为犯罪，该附表列出了各种罪行，最高刑罚从罚款到终身监禁不等。

各组织应注意，除《刑法典》外：

《电信信息安全法》还规定，未经授权，任何人在未告知相关人员的情况下拦截或访问私人电信信息，均属联邦犯罪；
各州和领地法律将计算机犯罪定为刑事犯罪，类似于《刑法典》中规定的犯罪（例如，1900 年《犯罪法》（新南威尔士州）第 6 部分规定了多项与未经授权访问、修改或损害受限数据和电子通信有关的计算机犯罪）。

澳大利亚各州和领地也有自己的刑法来规范网络犯罪。

其他法律

与网络安全相关的领域还包括：

1992 年《广播服务法》（联邦）（以下简称"《广播法》"）对澳大利亚通过互联网和其他方式提供的广播服务进行监管，并允许制定行业行为准则来规范此类服务的内容；
2021 年《网络安全法》（联邦）（OSA）建立了针对网络欺凌儿童、未经同意分享私密图像、网络虐待成年人以及在线/社交媒体上出现受广播分级（限制级或 18 岁及以上）约束的内容的投诉系统；
2003 年《反垃圾邮件法》（联邦）（简称"反垃圾邮件法"）禁止使用电子通信方式向个人发送未经请求的营销材料；
2006 年《禁止来电登记法》（联邦）（简称"DNCR 法"）禁止向在"禁止来电登记册"上登记的电话号码拨打未经请求的电话推销电话。

1.3 网络安全监管机构

澳大利亚设有众多联邦、州和领地监管机构和部门来处理网络安全问题。

上级政府机构包括：

内政部（DoHA）；以及
澳大利亚信号局（ASD）。

主要监管机构和执法机构包括：

信息专员办公室（OAIC）；
关键基础设施中心（CIC）；
澳大利亚通信和媒体管理局（ACMA）
澳大利亚证券和投资委员会（ASIC）；
澳大利亚审慎监管局（APRA）；以及
澳大利亚竞争与消费者委员会（ACCC）。

具体到刑事执法方面，以下监管机构至关重要：

澳大利亚联邦警察（AFP）；
联邦公共检控署署长（CDPP）
澳大利亚安全情报组织（ASIO）；
澳大利亚交易报告和分析中心（AUSTRAC）；以及
澳大利亚刑事情报委员会（ACIC）。

以上各项内容将在下文中逐一解答。

政府上级机构

多哈

内政部是负责网络政策的政府牵头部门。内政部负责制定网络安全和网络犯罪法律及政策，实施澳大利亚国家网络安全战略，并应对国际和国内网络安全威胁与机遇，包括关键基础设施和新兴技术领域。内政部还负责监管包括澳大利亚联邦警察（AFP）、澳大利亚犯罪情报中心（ACIC）、澳大利亚交易报告和分析中心（AUSTRAC）以及澳大利亚安全情报组织（ASIO）在内的网络安全和网络犯罪行动机构。

ASD、ACSC 和 CERT

澳大利亚信号局（ASD）是澳大利亚网络安全领域的行动牵头机构，同时承担信号情报和信息安全职责。ASD负责网络威胁监测，并在境外开展防御性、干扰性和进攻性网络行动，以支持军事行动并打击恐怖主义、网络间谍活动和严重的网络犯罪。此外，ASD还负责就针对政府机构、关键基础设施、信息网络和其他国家重要系统的网络入侵事件提供建议并协调行动应对措施。

澳大利亚安全局 (ASD) 下设澳大利亚网络安全中心 (ACSC)。ACSC 致力于提升澳大利亚整个经济的网络安全韧性，涵盖关键基础设施、政府部门、大型企业、中小企业、学术界、非政府组织以及更广泛的澳大利亚社区。ACSC 向澳大利亚各组织和公众提供有关网络威胁的一般信息、建议和帮助，并与企业、政府和社区合作，共同提高澳大利亚的网络安全韧性。

ACSC 还运营计算机应急响应小组 (CERT)，该小组为行业提供有关影响澳大利亚关键基础设施和其他国家重要系统的网络安全问题的建议和支持。

其他主要政府机构

在此，还应注意以下机构：

总检察署（AGD）就网络安全政策和法律向政府提供建议，包括与人权、隐私、保护性安全、国际法、刑事司法管理以及对情报、安全和执法机构的监督相关的建议；
国防部 (DoD) 为澳大利亚政府整体网络安全政策和行动做出贡献，并设有澳大利亚安全局 (ASD)；国防部还设有信息战部门，该部门负责为澳大利亚国防军 (ADF) 开发信息战能力；
外交贸易部 (DFAT) 推进澳大利亚的国际网络事务议程，其中包括数字贸易、网络安全、网络犯罪、国际安全、互联网治理与合作、在线人权与民主以及技术促进发展。

数据保护和隐私

澳大利亚信息专员办公室 (OAIC) 是联邦隐私和信息监管机构，拥有广泛的职能和权力，包括调查和解决隐私投诉、强制执行隐私合规、做出裁决，以及根据可通知数据泄露 (NDB) 机制对违规行为提供补救措施。OAIC 的运作依据包括《隐私法》、《我的健康记录法》、《电信法》、《TIA 法》以及最近生效的《数字身份法》。

补救措施包括强制执行的承诺、最高 2,000 个罚款单位（约合 660,000 澳元）的民事罚款，以及监禁。自 2022 年 12 月起，严重且屡次侵犯隐私的行为可能面临最高以下罚款：

对于非法人实体，最高限额为 250 万澳元；或
对于法人团体------以下三者中较高者：5000 万澳元、该行为所致利益价值的三倍，或相关期间调整后营业额的 30%。

此外，各州和领地还设有隐私专员，负责执行各州和领地制定的隐私和健康信息法律。这些专员包括：

新南威尔士州信息与隐私委员会，其负责管理包括《1998年新南威尔士州隐私与个人信息保护法》和《2002年新南威尔士州健康记录与信息隐私法》在内的各项法律法规；
维多利亚州信息专员办公室负责管理《2014 年维多利亚州隐私和数据保护法》；维多利亚州卫生投诉专员负责处理违反《2001 年维多利亚州卫生记录法》的行为。

关键基础设施网络安全

CIC 是 DoHA 的一部分，是 SOCI 法案和电信法案某些条款的联邦监管机构，拥有调查、审计和强制执行合规事项的权力。

信息与通信管理局（CIC）还有权就内政部和内政部长是否应行使信息收集权和指令权向其提出建议。此外，CIC还拥有执法权，可以对违规行为处以处罚，包括强制执行令、可强制执行的承诺、最高可达120个罚款单位（39,600澳元）的民事罚款，或寻求两年监禁。

电信、广播和营销网络安全

澳大利亚通信和媒体管理局 (ACMA) 是澳大利亚广播、电信和特定在线内容的监管机构，并向行业供应商颁发许可证。ACMA 根据《电信法》、《电信信息法》、《反垃圾邮件法》和《禁止转载法》拥有特定的监管权力，负责调查和解决投诉并强制执行合规性。

在处理违规行为时，ACMA有权发出警告、违规通知、强制执行的承诺和补救指令。ACMA还可以取消许可证和认证，或对其附加条件。ACMA也有权提起民事诉讼或将案件移交刑事诉讼。

此外，网络安全专员办公室（以下简称"网络安全专员"）有权促进和监管电信、广播及其他在线行业的网络安全。但是，网络安全专员无权调查网络犯罪案件。处罚措施包括下架通知、屏蔽指令、侵权通知以及禁令程序。

企业、消费者和金融服务网络安全

澳大利亚证券与投资委员会（ASIC）是澳大利亚的企业、市场和金融服务监管机构。它根据《公司法》监管上市公司，并有权调查和处理公司、董事和高管违反《公司法》的行为，包括网络安全问题。

澳大利亚审慎监管局 (APRA) 负责监管某些金融、银行、保险和养老金机构，并发布监管指南（例如，信息安全标准 CPS 234）。APRA 有权监督、监测和干预受监管机构的网络安全事务，并拥有一系列执法权力来处理违反其标准的行为。这些权力包括 APRA 发出违规通知、提供指示或可强制执行的承诺、施加许可条件、取消高级官员的资格以及提起诉讼。

澳大利亚竞争与消费者委员会（ACCC）是澳大利亚的竞争监管机构和消费者保护机构，在适当情况下，可对违反《消费者法》的行为采取执法行动，包括涉及网络安全、网络犯罪和网络诈骗等问题的违规行为。此外，ACCC还：

负责管理消费者数据权利（CDR）制度；
与OAIC共同监管《数字身份法》；
托管 Scamwatch 网站，该网站提供有关各种消费者诈骗（包括网络诈骗）的公共信息、警报和投诉机制。

与金融行业相关的还有，OAIC 负责监管《隐私法》中有关信用报告义务和信用报告准则的条款，该准则对持有与信用相关的个人信息的实体施加了某些条件。

网络犯罪

联邦层面的网络犯罪由澳大利亚联邦警察 (AFP) 负责调查和执法，并由联邦检控署 (CDPP) 负责起诉。澳大利亚联邦警察设有一支专门的网络犯罪行动小组，由调查员、技术专家和情报分析员组成，他们在多个司法管辖区开展工作，进行网络评估，并对网络犯罪进行分类、调查和打击。

更具体地说：

ACIC是澳大利亚的国家犯罪情报机构；它拥有广泛的调查和强制权力，并在各级执法部门之间共享信息；
澳大利亚交易报告和分析中心（AUSTRAC）是澳大利亚国内反洗钱和反恐措施的监管机构；它支持涉及网络犯罪融资的执法行动；
ASIO负责调查涉及间谍活动、破坏活动和恐怖主义相关活动的网络活动；ASIO还参与调查针对澳大利亚系统的计算机网络行动。

各州和领地警察和检察机构负责调查、执法和起诉各州和领地的网络犯罪。

2. 关键基础设施网络安全监管

2.1 关键基础设施网络安全监管范围

澳大利亚的关键基础设施和资产受联邦、州和领地立法监管，其中《关键基础设施和资产保护法》（SOCI法案）尤为重要。尽管如此，还有一些范围更广的立法，例如《隐私法》和《网络安全法》，以及一些更具行业针对性的立法，例如《电信法》，这些都不容忽视。

《关键基础设施安全法》（SOCI法案）目前监管着11个行业中的特定资产：通信、数据存储和处理、金融服务、能源、食品杂货、医疗保健、高等教育和研究、空间技术、交通运输、水务和污水处理以及国防工业。2025年11月，电信安全义务（此前由《电信行业安全改革法案》（TSSR）负责）被纳入SOCI法案，这一变更由《2024年关键基础设施安全及其他立法修正案（加强响应和预防）法案》（联邦）（简称"2024年SOCI修正案"）实施。

尽管近期的改革澄清了《公司及企业投资法》（SOCI法案），但该法案的具体条款仍然宽泛而复杂，涵盖供应链中的各类参与者，包括"责任实体"、"报告实体"、"直接权益持有人"、"管理服务提供商"和"运营商"。其中一些定义与特定资产相关，但就本文而言，需要指出的是，"责任实体"通常是指拥有、获得许可或以其他方式负责运营该资产的实体。

此外，尽管《电信服务监管条例》（TSSR）及其义务即将转移至《电信行业监管法》（SOCI Act），但这些义务仍然有效，并按原样适用于相关基础设施。TSSR适用于运营商、电信服务提供商和电信服务中介机构。

网络安全法

此外，根据《网络安全法》，关键基础设施如果构成"报告业务实体"，则须承担网络安全义务。

"报告业务实体"是指符合以下条件的实体：

在澳大利亚开展业务，且上一财政年度的年营业额超过"该年度营业额门槛"（待定），但并非联邦机构、州机构或关键基础设施资产的责任实体；或
负责关键基础设施资产的实体"适用《2018 年关键基础设施安全法》第 2B 部分"------具体而言，这些实体列于《2022 年关键基础设施安全（应用）规则》（LIN 22/026）中，包括大多数基础设施资产。

2.2 关键基础设施网络安全要求

《SOCI法案》对各领域资产的所有者和经营者提出了要求。具体要求因资产/行业而异；但可能包括以下要求：

在关键基础设施资产登记册上登记；
提供所有权和运营信息；
将某些网络安全事件通知政府；
实施并遵守关键基础设施风险管理计划（CIRMP）；
如果他们将"业务关键数据"委托给第三方进行商业处理或存储，则必须采取合理措施通知该第三方。

此外，《国家重要系统法案》（SOCI Act）及其相关规则对被指定为"国家重要系统"（SoNS）的资产施加了更高的网络安全义务。这些资产必须是已被认定为"关键基础设施资产"的资产，并且还具有"国家重要性"。这些指定属于私人和保密信息，以避免其重要性被恶意行为者知晓。报告显示，迄今为止已有超过200个系统被指定为国家重要系统。

负责"国家安全准则"（SoNS）的实体可能需要：

履行法定应急计划义务；
开展网络安全演练（参见3.6 威胁主导的渗透测试）；
进行漏洞评估（参见3.6 威胁主导的渗透测试）；
该系统是计算机，或者需要计算机来操作系统，进行定期报告，提供基于事件的报告，或者安装将系统信息传输到 ASD 的软件。

值得注意的是，《社会保险法》还包括：

赋予内政部部长收集信息以监督合规情况的权力；
赋予内政部长指示权力，指示受监管实体采取或不采取为保护关键基础设施免受国家安全风险而合理必要的特定措施。

2.3 事件响应和通知义务

《SOCI法案》

《SOCI 法案》规定，关键基础设施资产的责任实体必须就网络安全事件提交强制性事件报告。

责任实体必须报告对其资产造成重大或相关影响的网络安全事件。换句话说，"责任实体"在知悉以下情况时必须提交报告。

根据第30BC条规定，如果"网络安全事件已经或正在对资产的可用性造成重大影响（无论是直接影响还是间接影响）"，则应提交报告。此处"重大影响"的定义为"该事件已实质性地中断了与该资产相关的必需商品或服务的可用性"。报告必须"在切实可行的情况下尽快提交，且无论如何必须在实体知悉该事件后12小时内提交"。如果初始报告是口头报告，则必须在口头报告后84小时内提交书面报告。
根据第30BD条规定，如果"网络安全事件已经、正在或可能对资产造成相关影响"，则应提交报告。此类"相关影响"的定义（针对关键基础设施资产）是指对资产的可用性、完整性、可靠性，或对有关资产的信息、存储在资产上的信息或构成资产的计算机数据的机密性造成的（直接或间接）影响。报告必须在"切实可行的情况下尽快提交，且无论如何必须在实体知悉后72小时内提交"。如果初始报告为口头报告，则必须在口头报告后48小时内提交书面报告。

根据第 12M 条的定义，"网络安全事件"是指：

未经授权访问或修改计算机数据或计算机程序；
未经授权干扰计算机与外界之间的电子通信（但不包括"仅仅拦截此类通信"）；或
未经授权损害计算机数据、计算机程序或计算机的可用性、可靠性、安全性或运行。

这两份报告中的任何一份都必须提交给澳大利亚信号局（除非规则中另有规定）。未提交报告、未以书面形式提交报告或未按规定格式提交报告，将被处以 50 个罚款单位（16,500 澳元罚款）。

网络安全法

无论网络安全事件是否达到上述重要性或相关性阈值，大多数关键基础设施资产（作为"报告业务实体"）根据《网络安全法》负有额外的报告义务。

总之，在以下情况下，有义务向ASD（或其他指定的联邦机构）报告：

发生网络安全事件，该事件已经、正在或可以合理预期会对报告业务实体产生（直接或间接）影响；
某个实体（勒索实体）索要利益；
报告实体（或其委托的第三方）支付勒索软件赎金。

此类报告必须在报告业务实体知悉付款后 72 小时内提交，并且必须包含某些信息。

就此而言，"网络安全事件"的定义比《网络安全法》下的定义更为广泛。根据《网络安全法》，"网络安全事件"是指《网络安全法》涵盖的行为、事件或情况，但如果涉及"未经授权损害计算机与外界之间的电子通信"（即使只是简单的拦截），也可以构成该行为、事件或情况。

然而，在后一种情况下，该事件必须涉及关键基础设施资产；涉及澳大利亚公司（符合宪法第 51(xx) 条的规定）；（实际发生或合理预期发生）通过"电报、电话或其他类似服务"造成；（实际发生、可能发生或合理预期发生）阻碍或损害"计算机连接到此类服务的能力"；或（可能发生或合理预期发生）损害澳大利亚的社会/经济稳定、国防或国家安全。

自愿事件报告义务

ACSC 设有网络安全事件报告门户网站，鼓励关键资产所有者自愿报告网络安全事件。

任何受影响的实体，或在澳大利亚开展业务的实体，或作为关键基础设施的责任实体，现在都依法被鼓励根据《网络安全法》向 NCS 协调员提交自愿报告，即使尚不清楚某个事件是否属于网络安全事件。

其他强制性报告义务

根据《关键基础设施投资法案》，关键基础设施资产的其他报告义务包括：

如果第三方实体以商业方式处理或存储"业务关键数据"，则应采取合理措施通知该第三方实体；
"报告实体"有持续义务报告与资产相关的"应报告事件"，通常应在事件发生后30天内报告，该事件涉及"董事权益持有人"的运营信息和权益/控制信息的变化，或实体作为报告实体的地位的变化；
如果危险对关键基础设施资产造成了重大相关影响，则需上报。

另请参阅6.1 网络安全和数据保护中的相关义务。

刑事犯罪

与基础设施相关的《刑法典》第 10.6 部分规定，内容或托管服务的提供者有义务将展示"令人憎恶的暴力行为"（如果发生在澳大利亚）的材料的存在通知澳大利亚联邦警察，并且无论如何，都必须迅速删除或停止托管此类材料。

值得注意的是，OSA 补充了这项报告义务，该法案授权网络安全专员发出删除通知，要求托管服务提供商在严格的法定时间内删除网络欺凌、网络虐待和其他有害材料。

2.4 国家责任和义务

澳大利亚政府认为，"确保澳大利亚经济和社会持续运营和提供基本服务的责任"是"关键基础设施的所有者和运营者、州和领地政府以及澳大利亚联邦政府"共同承担的。

一般来说，政府机构也可能受《隐私法》等法律法规的约束，因此与私营机构承担相同（或类似）的义务。但是，除非另有声明或规定，否则《社会保障和信息自由法》不适用于联邦政府或根据联邦法律设立的法人团体。

澳大利亚政府负责澳大利亚基础设施和网络安全的"最终防御"。为此，《网络安全和信息安全法》（SOCI Act）赋予部长在网络安全事件涉及已宣布的国家紧急状态，或存在网络安全事件已经、正在或可能严重损害澳大利亚社会或经济稳定、国防或国家安全等重大风险的情况下，采取最后手段的"政府援助措施"和权力。这些措施包括部长在相关实体不愿或无法应对网络安全事件时，请求授权机构介入计算机相关活动的权力，但该权力受到诸多限制。

此外，网络事件审查委员会 (CIRB) 已成立，作为一个独立的法定咨询机构，负责对澳大利亚发生的重大网络安全事件进行无过错事后审查。CIRB 的事后审查报告将向政府和行业提出建议，指导如何预防、检测、应对或最大程度地减少未来类似网络安全事件的影响。

为了维护国家团结，国家当局采取了以下措施。

ACSC致力于促进私营、公共和非政府组织之间的信息共享与协作，以增强集体网络韧性并应对网络安全事件。为此，ACSC已启动：一项涵盖私营、公共和非政府组织的伙伴关系计划，旨在实现信息共享和网络安全加固；以及一项预警服务，提供有关最新网络威胁的信息以及预防和缓解建议。
联合网络安全中心（JCSC）是国家级机构，与私营、公共和非政府组织部门的组织合作，共同应对网络安全和网络犯罪威胁及应对方案。

3. 金融领域的运营韧性

3.1 金融部门运营韧性监管的范围

即使是金融领域，也存在着涵盖金融行业运营韧性的立法体系，导致其适用范围各不相同。这些立法包括《公司法》、《公司法》、《1959年银行法》（联邦）和《1973年保险法》（联邦）。

公司法

首先，《公司法》规定所有公司董事和高级管理人员负有"谨慎勤勉"的义务（第180条），这自然涉及网络安全韧性方面的考量。更具体地说，《公司法》要求持有金融牌照的公司必须具备完善的风险管理体系（第912A条）。

CPS 234

除此之外，APRA 的 CPS 234 还对受 APRA 监管的金融、保险和养老金实体的信息安全标准进行了规定。

其他立法（《SOCI 法案》和《网络安全法案》）

此外，适用于金融业以外其他行业的法律法规也同样重要。例如，《关键基础设施和网络安全法案》（SOCI Act），因为金融服务和市场行业在其管辖范围内，涵盖了某些银行资产、养老金资产、保险资产和金融市场基础设施资产（参见第2点：关键基础设施网络安全法规）。这些资产均有明确定义，涵盖了由持有特定澳大利亚市场牌照、关键基础设施设施牌照、基准管理机构牌照等的实体拥有或运营的各类资产，但大多数资产都基于一个基本条件，即该资产"对金融服务和市场行业的安全性和可靠性至关重要"。

那些不在《SOCI 法案》适用范围内的实体可能属于《网络安全法案》的适用范围，该法案对"报告业务实体"规定了报告义务。参见2. 关键基础设施网络安全法规。

3.2 信息通信技术服务提供商合同要求

澳大利亚并未对信息和通信技术（ICT）服务提供商进行明确定义。然而，相关立法确实涉及"数据处理或存储"资产和提供商。此类资产本身可被视为关键基础设施资产，与其他关键基础设施有所区别，因此属于《关键基础设施法》（SOCI Act）的管辖范围。

具体而言，拥有或运营"数据存储或处理资产"的实体，如果符合以下条件，将被视为《SOCI法案》下的责任实体，且其资产将被视为"关键资产"：

该实体全部或主要提供与"业务关键数据"相关的数据存储或处理服务，这些数据是"个人信息"（根据《隐私法》------参见6.1 网络安全和数据保护），涉及至少 20,000 名个人，或者与关键基础设施资产的运营、运营所需系统或风险管理和业务连续性相关的任何研发信息；
这些服务主要提供给特定最终用户，包括以下两类用户：
1. 联邦、州、领地，或根据联邦、州或领地法律设立的法人团体；或
2. 关键基础设施资产的责任实体；
该实体知道上述最终用户正在使用该资产；
该资产不构成另一项关键基础设施资产。

此外，2024 年《关键基础设施资产修正案》进一步明确了《关键基础设施资产法案》的适用范围，使其涵盖持有与主要资产相关的业务关键数据的辅助资产。值得注意的是，这些修正案的目的并非旨在涵盖所有持有业务关键数据的非运行系统，而仅针对那些漏洞可能对关键基础设施资产造成重大影响的系统。相关的运行数据示例包括网络蓝图、加密密钥、算法、操作系统代码以及战术、技术和程序。

相关法规可能明确排除其他此类资产。有关其义务和责任，请参阅**《关键基础设施网络安全法规》第2条。**

3.3 关键运营韧性义务

目前还没有像欧洲司法管辖区那样针对金融行业的"数字运营韧性"制定专门的法律；然而，使金融行业能够在面对严重的运营中断时保持韧性并预防/减轻网络威胁的目标，体现在各种法律法规中。

《SOCI法案》

具体来看《关键基础设施和信息安全法》（SOCI法案）对金融行业的义务。虽然使用或构成关键基础设施资产的金融企业已承担相同的事件报告义务（参见2.3节"事件响应和通知义务"），但此类服务无需根据SOCI法案注册为关键资产并制定关键事件报告和通知计划（CIRMP）（支付服务除外）。此外，金融服务可根据SOCI法案被归类为"服务型国家"（SoNS），从而承担更严格的网络安全义务。

《公司法》

尽管《证券及投资公司法》（SOCI Act）另有规定，但金融服务机构很可能已被要求在澳大利亚审慎监管局（APRA）注册和/或获得某种形式的金融服务牌照；而后者要求金融服务机构除其他事项外，必须"高效、公平地"提供服务，并拥有完善的风险管理计划。澳大利亚法院已确认，此类风险管理计划必须确保在其业务范围内充分实施充分的网络安全和网络弹性措施。

CPS 234

APRA 的 CPS 234 要求受 APRA 监管的金融、保险和养老金实体遵守具有法律约束力的信息安全最低标准，包括：

明确实体董事会、高级管理层、管理机构和个人的信息安全角色和职责；
实施和维护适当的信息安全能力；
维护能够及时检测和应对信息安全事件的工具；
向APRA报告任何重大信息安全事件。

这些标准规定，实体的董事会最终对信息安全负责，并且董事会必须确保其实体以与其信息资产的规模和脆弱性相称的方式维护信息安全。

受 APRA 监管的实体必须对其组织遵守 CPS 234 的情况进行外部审计，并及时向 APRA 报告。

如果机构不遵守规定，可能会被要求发出违规通知并制定整改计划。如果机构在此流程后仍无法达到标准，APRA可能会采取更正式的执法程序，包括强制执行承诺或提起诉讼。

网络安全法

除了 CPS 234 规定的报告义务外，某些与"关键金融市场基础设施资产"（2.1 关键基础设施网络安全监管范围 ）相关的责任实体还根据《网络安全法》承担勒索软件报告义务（参见2.3 事件响应和通知义务）。

3.4 运营韧性执行

目前尚未对"数据处理或存储"提供商或其他信息通信技术服务提供商采取任何执法行动。事实上，尚未有任何关于违反《信息通信技术法》的执法行动报告。

根据CISC于2022年4月发布的《合规与执法战略》，CISC优先考虑与业界合作，并采取合作、教育和总体自愿的方式。尽管CISC拥有多种监管选项，但尚未采取任何惩罚性执法行动。

根据违规情况，其他监管机构（例如澳大利亚信息专员办公室）也可能对信息通信技术公司采取行动。

3.5 国际数据传输

政府转移支付

尽管《网络安全法》和《2001 年情报服务法》（联邦）对报告商业实体提供的网络安全信息的使用有所限制，但这些限制不太可能阻止澳大利亚安全局、国家网络安全协调员（"NCS 协调员"）或 CIRB 出于特定目的向外国当局或合资企业披露该信息。

例如，如果有人自愿提供与重大网络安全事件相关的信息，国家网络安全协调员可以出于"协调政府整体应对措施"或向联邦部长通报的目的披露该信息。这些部长随后可以出于"允许的网络安全目的"披露相同的信息，例如减轻可能损害澳大利亚社会/经济稳定、国防或国家安全的重大风险。这种后续披露可能包括与外国当局或协调的合作伙伴关系共享信息以及进行国际信息传输。

市场转移

《隐私法》

规范数据传输的主要法律是《隐私法》。个人信息的国际（跨境）披露主要由《澳大利亚隐私原则》（APP 8）第8章规定。

这些原则要求APP实体"采取在当时情况下合理的措施，以确保海外接收方不违反澳大利亚隐私原则"。何为"合理"取决于具体情况，但通常包括签订一份包含APP 8的合同，以及澳大利亚实体监控或至少评估海外实体的系统。重要的是，APP 8的适用范围不仅限于存在主动数据传输的情况，而是扩展到海外实体可以访问数据的任何情况（例如，数据存储在澳大利亚的服务器上，但海外实体可以访问）。

自2024年11月起，政府可以将一些国家列入"白名单"。该名单是一项具有约束力的机制，承认名单上的国家与APP 8的要求相当，因此可以豁免遵守这些要求。迄今为止，尚未公布任何新的白名单。

CDR制度

就数据传输而言，《消费者法》第四部分D款对消费者数据记录（CDR）的处理（包括共享）进行了规范。CDR分别于2020年和2022年推广至银行业和能源业。2023年，政府暂停了在养老金、保险和电信行业（以及随后的非银行贷款机构和"先买后付"产品）的推广，并自2024年8月的一份报告指出合规成本超出最初预估以来，一直处于暂停状态。执法工作仍在继续，澳大利亚联邦银行（CBA）已收到澳大利亚竞争与消费者委员会（ACCC）根据CDR计划发出的四份违规通知，总额达79.2万澳元。CBA未能启用对具有交易实体商业名称（TEBN）客户档案的账户的数据共享。

然而，澳大利亚各地的消费者事务部长近期重申了他们对建立强有力的国家消费者保护框架的承诺，包括推进全国范围内的改革，以保护消费者免受不公平交易行为的侵害。包括消费者政策研究中心在内的许多人认为，这意味着要解决通过订阅、数字设计策略或"暗黑模式"以及其他欺骗性手段进行的可疑的消费者数据转移和使用问题。这将对数据传输产生何种影响，还有待观察。

禁令

某些信息禁止被持有或带出澳大利亚，例如用于"我的健康记录"系统的记录。违反此项禁令最高可判处五年监禁和99,000澳元罚款；或495,000澳元民事罚款。

网络犯罪

为完整起见，还应指出，未经授权访问计算机系统（例如黑客攻击、强制传输等）在州和联邦法律中均属犯罪行为。例如，涉嫌未经授权访问计算机系统的人员将根据《刑法典》第478.1条被起诉，该条规定了"未经授权访问或修改受限数据"的犯罪行为。

这些罪行具有域外效力，这意味着即使在澳大利亚境外实施的行为，如果符合以下条件，仍可根据澳大利亚法律予以指控和起诉：

该犯罪行为涉及在澳大利亚境内和境外进行；
该犯罪行为对澳大利亚造成了伤害；
犯罪者是澳大利亚公民，或者是在澳大利亚注册成立的公司；或者
这起犯罪事件与澳大利亚发生的另一起犯罪事件有关。

数字身份

《数字身份法》和《2024年数字身份（过渡和后续条款）法》（联邦）限制了经认证的实体收集、使用和披露生物识别信息及其他个人信息。尽管《数字身份规则》可以规范信息在澳大利亚境外的存储和传输，并且预期会采取全面禁止（仅有少量例外）的形式，但目前尚未出台任何此类规则。

3.6 威胁主导的渗透测试

威胁驱动型渗透测试 (TLPT) 是指通过模拟实际威胁行为者所使用的方法来测试系统。一般来说，TLPT 在澳大利亚并非强制要求。

目前，只有被指定为国家安全体系 (SoNS) 的关键基础设施资产才可能需要承担以下责任：

开展"网络安全演练"，目的是测试实体应对网络安全事件的适当性、应对准备情况以及减轻相关影响的能力，并在此基础上编制一份可供审计的内部报告；
漏洞评估的目的是测试系统对相关网络安全事件的漏洞，然后编写漏洞评估报告。

TLPT 也是监管指导的一个组成部分（例如，ASD 部署安全可靠的 AI 系统的最佳实践）。

另一方面，未经请求/未经授权的渗透测试活动可能触犯《刑法典》第 478.1 条，该条规定了"未经授权访问或修改受限数据"的犯罪行为。

4. 网络韧性

4.1 网络韧性立法

澳大利亚没有专门针对网络安全韧性的立法。但是，网络安全韧性要求在多种情况下都具有法律效力，包括：

根据《SOCI 法》中已讨论过的针对关键基础设施资产责任实体的风险管理计划（2.2 关键基础设施网络安全要求 ）和《公司法》中针对金融许可证持有者的风险管理计划（3.3 关键运营弹性义务）；
某些责任实体在类似 TLPT 的要求方面的其他义务（3.6 威胁主导型渗透测试）；以及
针对各种类型的信息（例如"个人信息"）（6.1 网络安全和数据保护 ）以及医疗保健行业（6.3 医疗保健行业的网络安全）的数据保护标准。

根据《网络安全法》，政府正朝着智能设备强制性安全标准的方向发展，《2025年网络安全（智能设备安全标准）规则》（联邦）将于2026年3月4日生效。该框架将主要针对这些设备的制造商和供应商。

4.2 法律规定的主要义务

通过关键基础设施风险管理计划，某些关键基础设施资产的责任实体负有网络韧性义务，该计划必须得到采纳、审查和更新。这些计划的目的是识别每项具有实质性风险的危害，并最大限度地减少、消除或缓解该危害（或其实质性风险）。相关责任实体和这些计划的具体要求载于《2023年关键基础设施安全（关键基础设施风险管理计划）规则》（LIN 23/006）。

此外，对于受 APRA 监管的实体，审慎标准 CPS 234 规定了与信息安全能力相关的义务，包括对信息资产进行控制以及对第三方服务提供商进行监督。

本章其他部分将讨论关键基础设施、更广泛的金融部门和其他领域的其他网络弹性义务以及相关的执行机制。

5. 信息通信技术产品、服务和流程的安全认证

5.1 关键网络安全认证法规

澳大利亚目前没有一项立法专门针对广泛的信息技术和网络安全 (ITC) 认证程序。

然而，与信息技术中心 (ITC) 相关的认证规定也适用于《关键基础设施法案》(SOCI Act)。具体而言，如果负责实体持有与其关键基础设施资产相关的特定"托管认证（战略级别）证书"，则该实体无需制定关键基础设施风险管理计划。该证书必须根据联邦政府管理的"托管认证框架"(HCF) 颁发。

该高能力认证框架（HCF）仅面向数据中心提供商和云服务提供商开放；目前已有约11个数据中心设施和14项云服务获得认证。然而，内政部已暂停HCF注册流程，直至根据内政部于2025年7月24日发布的《保护性安全政策框架》和《联邦网络安全提升计划》第二阶段的改革完成相关工作。这些改革仍在进行中。

补充说明：自 2022 年 6 月 30 日起，所有政府托管服务合同必须与经过认证的服务提供商签订。然而，这项政策要求并非仅限于《SOCI 法案》规定的"战略级"认证。根据该法案，认证分为三个级别："战略级"、"保证级"和"非认证级"。政府部门可根据自身的风险状况和数据集，选择与"经认证的保证级服务提供商"签订合同。

目前，澳大利亚没有针对汽车行业等特定行业实施强制性的、行业特定的网络安全认证计划，网络安全认证通常也不是在政府采购范围之外进入市场的必要条件。

6. 其他法规中的网络安全

6.1 网络安全和数据保护

《隐私法》

范围

联邦层面，包含个人信息的数据受《隐私法》保护，该法规范"APP实体"对此类信息的处理。

在此，有必要指出两个定义。

《隐私法》对"个人信息"的定义非常广泛，指的是与已识别或可合理识别的个人有关的信息或意见。它无需真实，也无需以有形形式记录。个人信息还包括"敏感信息"，例如有关个人的种族、民族、政治观点、宗教信仰、性取向、健康状况、行业协会以及犯罪记录的信息或意见。敏感信息通常比其他个人信息享有更高程度的保护。
"APP实体"是指（除某些例外情况外）联邦政府机构、年营业额超过300万澳元的私营部门组织，以及数据密集型业务实践规模较小的实体（包括私人医疗服务提供商、出售或购买个人信息的企业以及联邦政府的服务提供商）。

《隐私法》附表1包含13项澳大利亚隐私原则，这些原则是澳大利亚隐私原则（APP）实体处理和使用个人信息的最低标准。《隐私法》还要求根据国家数据披露计划（NDB）强制报告某些违反APP的行为。违反《隐私法》的行为可能导致澳大利亚信息专员办公室（OAIC）进行调查和采取执法行动。

报告义务（NDB方案）

根据NDB机制，APP实体在有合理理由相信发生"符合条件的数据泄露"时，必须通知受影响的个人和OAIC。简而言之，根据《隐私法》第26WE(2)条，"符合条件的数据泄露"是指：

存在未经授权访问/披露个人信息的情况，且任何理性的人都会认为这"很可能对信息所涉及的任何个人造成严重损害"；或者
个人信息丢失的情况，是指一个理性的人会认为未经授权的访问/披露很可能发生，并且如果发生这种情况，"很可能对信息所涉及的任何个人造成严重伤害"。

然而，《隐私法》第 26WF 条规定，如果相关实体采取补救措施以确保违规行为不会对相关个人造成严重伤害，则无需报告此类事件。

值得注意的是，与某些健康记录相关的特定数据泄露不属于此计划的范畴，应根据《我的健康记录法》第 75 条予以处理（参见6.3 医疗保健行业的网络安全）。

ACSC在其《网络安全事件指南》中对网络安全事件给出了一个总体定义。该指南将网络安全事件定义为"系统、服务或网络状态的出现，表明可能违反安全策略、安全措施失效或存在先前未知但可能与安全相关的状况"。虽然目前尚无关于网络安全事件的通用立法定义，但《SOCI法案》第12M条提供了一个更为具体和复杂的定义。

法定侵权行为

自 2024 年起，《隐私法》规定了严重侵犯隐私的法定侵权行为，使个人可以通过法院寻求对隐私损害的赔偿。

州和领地报告义务

各州/领地层面也有相应的方案。例如，新南威尔士州和昆士兰州分别通过《2022年隐私和个人信息保护修正案》（新南威尔士州）（于2023年11月28日生效）和《2023年信息隐私和其他立法修正案》（昆士兰州）（生效日期将另行公告）引入了数据泄露强制通知机制。这些方案与联邦方案基本一致。

其他报告义务

还有其他与数据保护和报告义务相关的法律，包括与某些健康记录（见6.3 医疗保健行业的网络安全 ）、金融行业（3. 金融行业的运营弹性 ）和关键基础设施资产（2. 关键基础设施网络安全法规）相关的法律。

6.2 网络安全与人工智能

截至撰写本文时，还没有专门针对人工智能的法规；但是，现有的一系列法律法规涵盖了关键基础设施、隐私、消费者保护、数据安全等领域，这些法律法规都涉及人工智能的开发和使用。

此外，澳大利亚还有一些自愿性措施，包括以下这些。

伦理框架，包括澳大利亚人工智能伦理原则，该原则于 2023 年 6 月 15 日由 NAIC 的《实施澳大利亚人工智能伦理原则：一系列负责任的人工智能实践和资源》补充。
2024 年 9 月 5 日发布了一项自愿性人工智能安全标准，其中包括十项"人工智能护栏"形式的实用指导。
澳大利亚工业、科学和资源部于2025年10月21日发布了《人工智能应用指南》，概述了安全负责地管理人工智能的六项基本实践。根据该报告，澳大利亚的《人工智能伦理原则》于2025年12月2日进行了更新，以体现其中的建议。

同样，包括澳大利亚信号局（ASD）在内的监管机构，与美国国家安全局人工智能安全中心等外国机构合作，发布了关于部署、使用和开发人工智能系统的指南。2024年1月24日，澳大利亚信号局与国际合作伙伴共同发布了一份题为《与人工智能互动》的报告，其中指出了隐私问题，例如当组织向生成式人工智能系统提供客户数据时会引发的问题。

此外，ASD 还认可了网络安全和基础设施安全局 (CISA) 和国家标准与技术研究院 (NIST) 制定的网络安全绩效目标 (CPG)。

6.3 医疗保健领域的网络安全

在澳大利亚，医疗保健机构通常必须将与"我的健康记录"系统相关的潜在风险或实际数据泄露情况通知澳大利亚数字健康局 (ADHA)。

ADHA提供了一份指南，说明在存在风险或实际发生数据泄露时如何通知该机构。这四个步骤是：遏制、评估、管理通知和继续调查。

报告义务

与"我的健康记录"信息或系统本身相关的某些数据泄露事件，应根据《我的健康记录法》第 75 条进行报告（而不是通过《隐私法》下的 NDB 计划进行报告）。

《我的健康记录法》第75条规定，如果医疗服务对象"我的健康记录"中包含的健康信息遭到（实际发生或可能发生的）未经授权的收集、使用或披露，或者"我的健康记录"的安全性或完整性遭到（实际发生或可能发生的）损害，则必须提交报告。该报告必须提交给相关的系统运营商和/或澳大利亚信息专员办公室（OAIC）。随后，所有"受影响的医疗服务对象"也必须被告知此类损害或未经授权的披露情况。

除了《我的健康记录法》适用的数据泄露事件外，医疗数据通常属于个人信息，并受联邦 NDB 计划的保护（参见6.1 网络安全和数据保护）。