提示:完整原文可在文章末尾"阅读原文"处获取。

2026年7月1日,澳大利亚AML/CTF二期改革(Tranche 2)正式落地实施,同步触发重大数据合规连锁规则:约9万家新增经营主体自动纳入《1988隐私法》管辖范围,原本适用中小微企业隐私豁免条款的机构全部取消豁免。7月初澳洲信息专员办公室(OAIC)已启动首轮行业合规巡查,金融、跨境贸易、律所、房产中介、会计师事务所为重点核查对象。
一、三大板块硬性隐私合规加码要求
(一)客户身份数据存储管控新规
1.禁止无期限留存完整身份证、护照影像文件;仅可留存业务必需核心字段,冗余证件副本必须定期清理销毁;
2.客户身份生物核验数据(人脸、指纹)仅限KYC核验场景使用,不得用于营销、内部数据分析;
3.分级存储客户信息,高敏感身份数据单独加密,设置专属访问权限,限制内部员工查看范围。
(二)交易信息留存合规细化条款
1.AML要求的交易记录留存周期内,必须配套隐私安全防护,留存到期后自动、不可逆销毁;
2.留存记录仅限用于反洗钱、反恐融资审查,未经客户单独同意,不得对外提供给第三方;
3.内部调取历史交易数据需登记审批,留存调取审计记录,应对监管抽查。
(三)跨境数据传输强约束(出海企业核心风险点)
1.客户身份、跨境交易数据传输至澳洲境外,必须满足澳洲隐私跨境传输标准,签署合规数据传输协议;
2.禁止向无对等数据保护法律的国家、地区批量传输完整客户身份数据库;
3.跨境数据泄露实行强制上报机制,72小时内向OAIC与AUSTRAC同步报送泄露事件,逾期加重处罚。
二、企业必须落地的基础合规动作清单
1.全面更新隐私政策,明确AML场景下个人信息收集、使用、存储边界,面向客户清晰公示;
2.搭建隐私事件响应流程,配套数据泄露上报、客户告知模板;
3.划分专职隐私合规负责人,统一管理客户敏感数据台账;
4.梳理存量客户证件、交易档案,清理冗余留存资料,完成数据最小化整改;
5.跨境业务重新梳理数据出境链路,补齐跨境传输合规协议。
三、监管核查与处罚风险提示
1.当前核查重点:捆绑收集客户信息、过度留存身份证件、无隐私政策、跨境传输无管控四类高频违规;
2.处罚标准:违反澳洲隐私准则最高可处以千万澳元级别罚款,同时叠加AML反洗钱违规双重处罚;
3.巡查特点:优先抽查中小型律所、地产、跨境贸易企业,多数企业此前无隐私合规体系,整改窗口期极短。
本次澳洲AML二期改革是出海澳区企业极易忽视的双重合规陷阱,多数机构仅关注反洗钱流程改造,忽略同步生效的隐私强制义务。国内出海金融、跨境服务、涉外律所、房产服务企业需尽快完成内部数据流程自查,同步更新隐私制度与数据存储规范,避免首轮监管巡查直接产生高额处罚与业务限制。
作者简介



