澳大利亚即将修订隐私法
2023年2月16日
观看网络研讨会:2023年3月3日,我们的法律和风险专家小组审查了政府报告中出现的关键改革、主题和问题,并就这些建议的意义分享了他们的见解。网络研讨会的录音是可用的在这里.
澳大利亚总检察长部发布了对澳大利亚隐私法的长期审查报告。该报告提出了116条建议,如果被采纳,将从根本上改变我们在澳大利亚处理数据的方式。
这份报告并不是最终的结论——关于政府回应的咨询将于2023年3月31日结束,只有6周的时间来影响澳大利亚雄心勃勃的隐私议程。
该报告旨在提供更强有力的隐私保护,以支持数字创新,并提高澳大利亚作为值得信赖的贸易伙伴的声誉。bob盲盒在哪里买面对如此广泛和雄心勃勃的改革,行业和利益相关者必须确保听取他们的意见,并揭露建议改革的任何意想不到的后果。
总的来说,报告中的116项建议侧重于:
下面是一些关键的改革建议。
该报告建议制定一系列新的隐私规则,包括:
报告建议:
拟议的直接权利可能会大大扩大责任风险,特别是由数据泄露引起的责任风险,并增加集体诉讼的风险。法定的隐私侵权将比现有的诉因(如违反信任或诽谤)更容易获得。
这些建议对所有这些活动提出了更严格的制度,确保个人对它们有一定程度的控制。这些建议包括:
可能对个人隐私产生重大影响的活动将需要进行隐私影响评估。此外,隐私收集通知必须包括为高隐私风险活动收集、使用和披露个人信息的情况。
如果出现不利后果,进行影响评估将使实体面临未能适当考虑和充分减轻风险的索赔。
强制性隐私影响评估在公共部门已经存在,在私营部门已经成为自愿的最佳做法好几年了。私营部门的一项新的强制性要求(以及“高风险”活动的可见性增加)强调需要更好地了解所收集的数据、收集数据的目的、数据的使用和披露目的、数据的实际使用方式,以及将这些事情联系在一起的数据治理。当结合更严格的隐私规则和要求来保存个人信息的主要和次要使用和披露的记录时,这一点尤为重要。
除了最近大幅增加对侵犯隐私的最高处罚外,报告还建议引入:
这可能会激发针对侵犯个人隐私的集体诉讼,促进对隐私法遵守情况的更积极监管,并对违反《隐私法》的行为产生相应的后果。
收紧新闻业的豁免,要求媒体机构遵守隐私标准,要么由公认的监督机构监督,要么充分处理隐私问题。媒体组织可能还需要遵守安全和销毁/去识别义务以及数据泄露通知规则(根据新闻业的公众利益进行修改)。上述拟议的法定侵权行为也会对传媒机构产生重大影响。我们将在即将出版的出版物中研究对媒体组织的影响。
作为监管人工智能和自动化决策的更广泛倡议的一部分,建议如下:
没有权利让实体内的个人审查这些决定,这将是一项更有意义的权利,但我们认为这可能被视为超越信息处理的一系列进一步改革的一部分。
有许多提议的改变。
该提案将增加实体在确认实际发生数据泄露之前必须公开披露数据泄露的不利公共关系和客户结果的风险。
随着时间的推移,我们预计数据泄露通知的时间表和流程将在州和联邦隐私制度、关键基础设施安全制度和其他监管通知要求之间保持一致。
报告建议:
《隐私法》规定的信息范围如下:
隐私改革已经进行了很长时间,改革的需要可以追溯到ACCC 2019年的数字平台调查。
使澳大利亚的隐私法在数字时代“符合目的”是一项关键的选举承诺——政府将面临越来越大的压力,要求对澳大利亚的数据格局进行“棘轮改变”。
去年,在两党一致的支持下,大量新的隐私处罚和其他改革措施得以实施澳大利亚大规模的新隐私处罚成为法律,但将得到澄清)。虽然在ACCC的2019年数字平台调查中首次提出了增加处罚的建议,但具体的改革措施于2022年10月下旬推出,并于2022年12月下旬通过,这表明改革的步伐是可能的。
经过两年多的工党和自由党政府的工作,以及几轮广泛的磋商,政府将有能力推动其雄心勃勃的隐私和数据安全议程,并将在联邦选举前通过有意义的改革。
有争议的问题可能会出现,但越来越普遍的是,要么允许有争议的立法在澄清后通过,要么将复杂的问题推迟给行业咨询,要么加速争议较小的改革(如2021年关键基础设施安全立法的“分裂”)。
政府对《隐私法》审查的回应将是一项政治承诺,一旦宣布,政府将很难改变路线。在进行了几轮磋商之后,现在是时候揭露一些重大问题和意想不到的后果了。
该报告建议制定一项更灵活的隐私法案。《隐私法》将继续“以原则为导向”,在必要时提供更具体的细节——在立法、隐私法典中,或通过监管机构更具体的指导。
这种做法并不新鲜,反映了澳大利亚隐私监管机构和其他监管机构采取的做法。然而,将这种方法进一步纳入立法,可能会让隐私监管机构在未来发挥更大的干预作用和前瞻性作用。
这种利用立法来建立框架而不是义务细节的方法受到了批评,例如在当前关于消费者数据权改革的辩论中,这种方法被认为限制了议会的审查。澳大利亚的关键基础设施安全立法遵循了类似的方法,并通过行业协商确定了哪些义务适用于哪些实体以及在哪些情况下适用的重要细节。
我们预计这一趋势将继续在框架而不是实质一级进行立法。
这幅图景的一个关键部分是,在“热点”问题上,人们可能越来越依赖隐私法规——以及监管机构在对行业做法不满意的地方强制实施隐私法规的能力。
这意味着确保你的组织与监管机构密切接触,不会遭受“咨询疲劳”,这对监管变革的规划和影响监管都至关重要。
新的义务不太可能适用于过去的行为,我们可以预期,企业需要一些时间来让自己的做法跟上新规则的步伐。
最近备受关注的网络安全事件,以及去年出台的大规模新处罚措施,使人们对网络安全和数据保留实践产生了极大的关注和投资。但拟议改革的范围远不止保护数据免受外部威胁。
需要做更多的工作来了解和跟踪数据在组织内是如何或应该如何使用的——保护数据免受滥用还有信息披露,以及强有力的政策和管理框架。
基于设计的隐私和基于设计原则的安全在许多行业都越来越受欢迎,但许多组织仍然被遗留系统和技术债务所拖累,这使得变革变得困难。
随着数据隐私和技术人才市场的紧张,预算和项目管道日益紧张,通过保留、招聘和合适的合作伙伴来增强能力是关键。
为未来的隐私状况做准备的第一步是提高你对你的组织的了解——了解正在发生的事情是成功的一半:
在数字化和人工智能的竞争中,许多组织都有意将数据去孤岛化,以获得更好的业务洞察力,并简化IT运营,以便在艰难的环境中更轻松地交付IT项目。
管理信息可以和应该如何使用,必须融入到治理、文化和系统中——通过设计原则来采用隐私。
您可以在前面的文章中阅读有关管理数据风险的更多实用步骤数字经济和风险预警-了解你的组织数据.
虽然我们可能还不知道新的隐私义务或合规时间表的细节,但我们确实知道监管机构已经被赋予了新的权力,并且未来可能会被赋予更多的权力。新的隐私义务将会有交货期,但新的监管工具可能不会有交货期。
我们预计监管机构将获得更多资金,在事故发生前发挥更积极的作用,推动合规。随着这一增长,我们预计与现有隐私义务相关的执法行动将会增加。
随着网络威胁形势的不断升级,网络保险的可用性、覆盖范围和成本日益受到关注。
随着大量新的处罚措施的实施,一个更积极的监管机构,更严格的隐私规则和隐私侵权的前景,监测保险公司的反应将是很重要的。我们可能会看到,针对网络或数据的保险变得越来越难以获得,从其他保险政策中获得更多的分离,以及保险和缓解服务的新机会。bob直播软件
作者:蒂姆·布鲁克斯,合伙人;以及专家顾问安德鲁·希尔顿。