2025年,新西兰密集出台或修订了五部与数据、隐私、人工智能直接相关的法律:

1. 《隐私修正法案》——首次把“间接收集”纳入强制通知轨道;

2. 《生物识别处理隐私守则》——给指纹、人脸、声纹等加上13道“紧箍”;

3. 《客户与产品数据法案》——确立“消费者数据权利”(CDR)框架,强制企业“应要求”共享数据;

4. 《社交媒体(年龄限制用户)法案》——16岁以下全面禁入主流社交平台;

5. 《深度伪造数字伤害与利用法案》——把AI换脸、色情深度伪造直接入刑。

新西兰立法形成“横向到边、纵向到底”的合规矩阵,给全球数据治理提供了“小体量国家高速立法”样本。这一系列立法动作不仅回应了国内日益增长的数据治理需求,也与全球隐私保护趋势相呼应,为新西兰构建更安全、透明、负责任的数据生态奠定基础。

PART 01

立法体系趋于完善,覆盖场景更加全面

2025年新西兰相继推出《隐私修正法案》《生物识别处理隐私守则》《客户与产品数据法案》等核心法律,分别针对间接数据收集、生物识别信息处理、数据共享与消费者权利等不同维度进行规范。尤其是《隐私修正法案》中引入的信息隐私原则3A(IPP 3A),明确机构在间接收集个人信息时也须履行通知义务,显著提升了数据流转的透明度,体现了“知情同意”原则在复杂数据环境中的延伸适用。

与此同时,《生物识别处理隐私守则》的生效填补了生物识别数据专项立法的空白,不仅明确生物特征信息的定义与处理规则,更强调对其使用进行“必要性评估”与“风险防控”,尤其关注其对少数群体可能带来的歧视风险,体现出立法对社会公平与文化敏感性的重视。《生物识别处理隐私守则》首次要求“评估对毛利人的文化影响”,与新西兰已有“毛利数据主权宣言”(Te Mana Raraunga)呼应。

PART 02

强调“设计即合规”,推动机构主动治理

多项立法均鼓励甚至要求机构将隐私保护融入业务流程与系统设计。例如,IPP 3A 要求机构进行数据映射与来源追踪,并在合同中明确第三方数据提供的透明义务;《生物识别处理隐私守则》强调在系统部署前进行隐私影响评估。这些规定推动企业从“事后补救”转向“事前预防”,通过制度设计与技术工具降低合规风险。

隐私专员办公室(OPC)在《隐私法案2020》五周年评估中进一步呼吁加强组织问责,提议引入高额罚款与民事处罚,反映出监管态度从“指导性”向“强制性”的转变,督促机构真正将隐私保护内化为治理责任。

PART 03

聚焦特殊群体与新兴风险,体现立法前瞻性

2025年的立法与政策明显加强了对儿童、青少年等脆弱群体的保护。OPC发布专项摄影与拍摄指南,强调在收集未成年人图像时须获取知情同意;《社交媒体(年龄限制用户)法案》则试图通过强制年龄验证,限制16岁以下用户使用社交平台,防范网络伤害。

此外,《深度伪造数字伤害与利用法案》的提出,直接回应人工智能合成内容滥用带来的新型侵害,将未经同意制作、传播深度伪造内容定为犯罪,展现了立法对技术滥用风险的快速反应。

PART 04

在开放与保护之间寻求平衡

《客户与产品数据法案》旨在建立经济范围内的数据共享框架,赋予消费者对其数据的控制权,同时促进企业间的数据流通与创新。这表明新西兰并未因强化隐私保护而封闭数据流动,而是在保障个人权利的前提下,探索数据赋能经济的合理路径。

国家人工智能战略的发布,以及与国际组织(如OECD、五眼联盟)在AI治理与网络安全方面的合作,进一步显示新西兰试图在推动技术发展的同时,嵌入伦理与安全约束,参与构建全球数字规则。

PART 05

挑战与展望

尽管立法进展显著,OPC也指出当前法律对组织的约束与激励仍显不足,导致违规事件与投诉频发。未来如需真正提升合规水平,仍需配套强有力的执法机制、清晰的实施指南,以及持续的企业与公众教育。

此外,如何在保护隐私的同时避免给企业(尤其是中小企业)带来过重合规负担,如何在跨境数据流动中协调与国际标准的关系,仍是新西兰需要持续探索的议题。

结语

当五部重要法律规则同时落地,其叠加成本、豁免开口、文化适配与外部兼容性,将决定这场“隐私堡垒”究竟是保护公民的盾牌,还是无意间给创新戴上的一副数字枷锁。OPC接下来6至12个月的实施细则、冲突指引、罚款层级,以及法院首波判例,将成为判断“2025模式”到底是模板还是警钟的分水岭,观摩新西兰是否能在“安全、权利、创新”三极之间找到动态平衡。

新西兰监管已经透露出加强处罚的态度。对企业而言,建议启动系统性合规升级,将数据治理从“应对检查”转向“主动设计”,重点关注数据流转全链条的可视化、高风险场景(如生物识别、未成年人保护)的专项评估,以及与第三方合作的责任划分。唯有将隐私合规融入业务源头,才能在未来市场中构筑可持续的信任屏障,将监管要求转化为真正的商业优势。

※部分内容AI生成

作者简介

辛小天

德和衡(深圳)律师所合伙人

数字经济和人工智能业务中心总监

辛小天律师为深圳市司法局 深圳市律师协会 深圳市涉外律师领军人才,广东省律师协会数字经济法律专业委员会副主任,东莞仲裁委员会仲裁员,深耕数据和网络安全法律服务领域,获得律新社2024数据合规领域品牌之星“实力律师”、2024GRCD“网络安全与数据保护”中国客户首选合规律师、钱伯斯“数据保护和隐私”推荐律师、中国通信学会第一届网络空间安全战略与法律委员会委员、中南财经政法大学数字经济研究院、金融科技研究院高级研究员等多项荣誉和资质。辛小天律师目前带领的专业律师团队为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商领头企业提供全套数据合规法律服务。

擅长领域:数据合规、TMT合规、融资并购、公司常规维护及公司内控。

手机:13911159437

邮箱:xinxiaotian@deheheng.com

史 蕾

高级联席合伙人

史蕾,数字经济与人工智能业务中心秘书长。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。

手机:15810040811

邮箱:shilei@deheheng.com

质控人简介

崔春花

合伙人

数字经济与人工智能业务中心副总监

cuichunhua@deheheng.com

声明:本文来自德和衡律师,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。