PII vs SPII vs 澳洲 Privacy Act
Foundations of Cybersecurity 课程从美国视角讲了 PII 和 SPII。 但如果你在澳洲做 SaaS,你的法律对照物不是美国术语,是 Privacy Act 1988。
这两套术语不完全对应。这篇是给在澳洲运营的人一份对照清单。
三套术语放在一起看
| 术语 | 来源 | 一句话 |
|---|---|---|
| PII(Personally Identifiable Information) | 美国 NIST / 课程 | 可以推断个人身份的信息 |
| SPII(Sensitive PII) | 美国 NIST / 课程 | 需要更严格保护的 PII 子集 |
| Personal Information | 澳洲 Privacy Act 1988 | 已识别 / 可识别 个人的任何信息或观点 |
| Sensitive Information | 澳洲 Privacy Act 1988 | Personal Information 中的特殊子集 |
看起来一一对应?有关键差异。
美国 vs 澳洲 — 哪些数据归类不同
完全一致的部分
澳洲范围更广,美国课程没强调的
| 数据 | 美国 | 澳洲 |
|---|---|---|
| 种族 / 民族出身 | 一般 PII | Sensitive |
| 政治观点 / 党派 | 一般 PII | Sensitive |
| 宗教信仰 / 哲学信念 | 一般 PII | Sensitive |
| 工会会员身份 | 一般 PII | Sensitive |
| 性取向 / 性生活 | 一般 PII | Sensitive |
| 犯罪记录 | 一般 PII | Sensitive |
| 遗传信息 / 生物识别模板 | SPII 的部分 | Sensitive |
结论:同样一份用户问卷,在美国可能只是”PII”,在澳洲可能直接进 Sensitive Information,法律要求高出一档。
澳洲 Privacy Act 关键点(给 SaaS 主)
APP — 13 个原则
Privacy Act 落地到 13 个 Australian Privacy Principles (APP),常被引用的几条:
| APP | 你必须做 |
|---|---|
| APP 1 | 公开 Privacy Policy(必须有) |
| APP 3 | 收集 sensitive information 前必须征得明确同意 |
| APP 5 | 收集时通知用户为什么收集、给谁 |
| APP 6 | 只能用于收集时声明的目的 |
| APP 8 | 跨境传输前需通知用户 + 第三方有相当保护 |
| APP 11 | 不再需要的数据必须销毁或去识别 |
| APP 12/13 | 用户有权访问 / 修改自己的数据 |
NDB Scheme — 数据泄露通报
Notifiable Data Breaches Scheme(2018 起生效)要求:
- 发生数据泄露且”可能造成严重伤害”时,必须通知:
- OAIC(Office of the Australian Information Commissioner)
- 受影响的用户
惩罚: 严重违反可罚 AU$50 million 或营业额 30%(以较高为准,2022 起加重)。
一个实操对照表 — 你的 SaaS 收什么,在澳洲属于哪类
假设你做面向澳洲用户的产品,常见数据字段对照:
| 字段 | 美国分类 | 澳洲分类 | 存储建议 |
|---|---|---|---|
| 姓名 | PII | Personal | 明文 OK,但要 access control |
| PII | Personal | 同上 | |
| 电话 | PII | Personal | 同上 |
| 地址 | PII | Personal | 同上 |
| 出生日期 | PII | Personal | 不收就最好;必须收要加密 |
| TFN(税号) | SPII | Sensitive | 加密 + 严格 access log |
| Medicare 号 | SPII | Sensitive | 不要存;实在要存得参照 PHI 标准 |
| 信用卡号 | SPII | Sensitive | 不要存 → 让 Stripe 处理 |
| 种族 / 母语 | PII | Sensitive | 只在业务必须时收,明确同意 |
| 健康问卷 | PII + 可能 PHI | Sensitive | 单独同意 + 加密 |
| IP 地址 | PII | Personal(争议) | 日志保留期短一些 |
| 浏览器指纹 | PII | Personal(看用途) | 不要跟身份关联 |
核心原则:收得少 = 风险小。每个字段问一句”我真的需要吗?“,能不收就不收。
你应该实际做的 5 件事
1. 写一份真的 Privacy Policy
不是抄一份模板放在 footer。
- 列出真实收集的所有字段
- 列出真实使用的第三方(SIEM、Supabase、Stripe、Sentry 等)
- 列出数据保留期限
- 列出用户怎么访问 / 修改 / 删除自己的数据
模板:OAIC 提供免费的 Privacy Policy guidance,搜 “OAIC privacy policy template”。
2. 把 sensitive information 隔离存
Personal information 和 sensitive information 不要混在一张表里。
- Personal:user 表(姓名、邮箱)
- Sensitive:独立表 + 单独加密 key + 严格 access log
这样万一 user 表泄露,sensitive 部分仍然安全。
3. 用 Stripe / Auth0 转移高风险数据
凡是 Sensitive 类(信用卡、生物识别):让专业服务商存,你只存 token。 你的责任降低 80%,合规复杂度降低 90%。
4. 实施 retention policy
治理 角度: 每类数据设保留期限,到期自动删 / 去识别。
- 日志:90 天 → 1 年(看业务)
- 不活跃账户的 PII:2 年 → 删除
- 已删除账户:30 天硬删
5. 建立 NDB 响应流程
提前准备一个 playbook:
- 发现疑似泄露 → 谁通知?
- 评估”是否会造成严重伤害” → 谁判断?
- 上报 OAIC 的模板邮件 / 通知用户的模板邮件
法律要求:发现后 30 天内必须评估完毕并报告。没有提前准备的人,30 天根本不够。
一个常见误解
“我用的服务器不在澳洲,Privacy Act 管不到我” —— 错。 只要你面向澳洲用户提供服务且收集了澳洲用户的数据,你就是 Privacy Act 适用对象。 跟服务器物理位置无关。
跨境数据传输还会触发 APP 8,要求接收方有相当保护(或得到用户同意)。
相关概念: PII · SPII · PHI · HIPAA · Compliance · Privacy Protection · Confidentiality