法律的发展

澳大利亚即将修订隐私法

2023年2月16日

分享分享
英雄形象
分享

    观看网络研讨会:2023年3月3日,我们的法律和风险专家小组审查了政府报告中出现的关键改革、主题和问题,并就这些建议的意义分享了他们的见解。网络研讨会的录音是可用的在这里

    你需要知道的

    • 今天,司法部公布了隐私法案审查报告2022
    • 该报告历时两年,提出了116项具体建议,如果被采纳,将从根本上改变我们在澳大利亚处理数据的方式。
    • 你有6个星期的时间来影响政府的回应-提交其咨询截止2023年3月31日。我们期望政府在下次选举前将推动全面的隐私法改革作为一项关键优先事项。
    • 116项建议是一个全面的改革方案——扩大和澄清受隐私法保护的信息,加强隐私保护,重点是保护和赋予个人权力,并建立一个更强大、更灵活的执法和合规工具包。
    • 建议的改革可能会增加数据处理的复杂性(例如,通过更严格的同意要求),增加事故的潜在责任(通过直接的行动原因),并大大限制直接营销、数据分析、人工智能和第三方数据的使用。

    你需要做什么

    • 了解即将发生的事情经过两年的工作,这份报告可能是对澳大利亚隐私未来最全面的描述。了解116条建议,以及它们如何影响你的业务,需要专注。阅读下面的主要建议。
    • 让别人知道你的观点-有了积极的改革议程,以及网络安全和隐私改革的政治重要性,我们预计政府将迅速采取行动。现在是通过提出有针对性的意见来影响政府反应的机会。
    • 期待执法行动-海外私隐提升的经验表明,作为第一步,我们将看到澳大利亚在新私隐义务得到推动之前,就现有私隐义务开展更多的执法和调查活动。新的隐私义务可能需要一段时间,但新的监管工具和执行选项可能不会。
    • 更好地理解数据-建立内部资源和合作伙伴关系,以便更好地了解如何收集、存储、使用、披露、跟踪、监控和控制个人信息。知道你应该做什么和做什么实际上做-并有适当的控制,以管理和实时了解这一点。
    • 了解你的挑战-探索和评估遵守影响您业务的关键改革所需的活动规模。
    • 关注安全隐私-安全和隐私相互支持,但不是一回事。安全事件可能在没有数据泄露的情况下发生,数据泄露可能在没有受到攻击的情况下发生。
    • 理解、保障和建设能力-现在就开始计划如何招募和留住隐私和技术人才,或者找到合适的合作伙伴来帮助你的组织实现它需要的目标。

    116条建议-但时间来影响政府的反应

    澳大利亚总检察长部发布了对澳大利亚隐私法的长期审查报告。该报告提出了116条建议,如果被采纳,将从根本上改变我们在澳大利亚处理数据的方式。

    这份报告并不是最终的结论——关于政府回应的咨询将于2023年3月31日结束,只有6周的时间来影响澳大利亚雄心勃勃的隐私议程。

    该报告旨在提供更强有力的隐私保护,以支持数字创新,并提高澳大利亚作为值得信赖的贸易伙伴的声誉。bob盲盒在哪里买面对如此广泛和雄心勃勃的改革,行业和利益相关者必须确保听取他们的意见,并揭露建议改革的任何意想不到的后果。

    推荐什么?

    总的来说,报告中的116项建议侧重于:

    • 扩大和澄清澳大利亚隐私法所涵盖的信息类型;
    • 加强隐私保护——重点是保护和赋予个人权力;和
    • 加强执法和合规工具——为监管机构提供更多选择,降低监管复杂性,并提供更大的灵活性。

    下面是一些关键的改革建议。

    新的隐私规则

    该报告建议制定一系列新的隐私规则,包括:

    • 公平合理的测试:对信息的收集、使用和披露是否公平合理的客观检验。这将对现有的基于个人信息处理原则的规则施加另一层覆盖,并可能进一步增加合法处理个人信息的不确定性。
    • 同意:同意只有在自愿、知情、及时、具体和明确的情况下才有效。此外,任何同意都必须能够撤销。重要的是,该报告不建议用欧洲GDPR风格取代澳大利亚的主要和次要目的,将同意作为允许收集、使用或披露个人信息的主要机制。
    • 删除权:个人要求实体删除其个人信息的权利。考虑到出于数据恢复等正当理由记录信息,这可能会涉及到相当大的实际复杂性。这还将包括这些实体有义务将删除请求传递给它们已向其披露相关个人信息的第三方,除非这样做的努力不成比例。
    • 反对收集信息的:个人有权反对收集、使用和披露其个人信息,同时要求实体向反对的个人提供书面答复,并说明理由。
    • 合理的援助:实体将被要求为个人行使其隐私权提供合理的协助,并且它们还必须采取合理的步骤对该个人行使其权利作出回应。
    • 收集资料的目的记录:要求实体在收集时或之前确定并记录其收集、使用和披露个人信息的目的。这将显著增加实体的合规负担,并且需要非常敏锐地预见所有潜在或未来的个人信息处理。
    • 次要用途记录:在进行使用或披露之前,记录次要使用和披露目的的要求。这将造成额外的合规负担。目前尚不清楚监管方面的好处是否会超过这种负担。

    直接诉讼权利

    报告建议:

    • 对违反隐私权法造成损害的个人的直接诉讼权利;和
    • 澳大利亚法律改革委员会在其2014年的报告中建议,在严重侵犯个人隐私的情况下,为个人提供法定诉讼理由,以便对不属于《隐私法》范围的侵犯隐私的个人进行补救。

    拟议的直接权利可能会大大扩大责任风险,特别是由数据泄露引起的责任风险,并增加集体诉讼的风险。法定的隐私侵权将比现有的诉因(如违反信任或诽谤)更容易获得。

    直接营销,目标和交易

    这些建议对所有这些活动提出了更严格的制度,确保个人对它们有一定程度的控制。这些建议包括:

    • 在交易个人信息之前,必须征得个人的同意。交易包括为了利益、服务或利益而披露个人信息。这似乎对个人信息的合法披露有很大的影响,而个人信息的合法披露不属于正常的“交易”概念。
    • 个人选择不接受定向广告的权利。目标定位被广泛定义为处理个人信息,以便为个人提供定制服务、内容、广告或优惠,无论个人是单独的还是作为一个班级的成员。bob直播软件这将限制直接或基于群体的分析和营销。将这一禁令扩大到仅仅使用信息之外的后果可能会造成困难。
    • 个人选择不将其个人信息用于直接营销的权利。

    高风险活动的隐私评估

    可能对个人隐私产生重大影响的活动将需要进行隐私影响评估。此外,隐私收集通知必须包括为高隐私风险活动收集、使用和披露个人信息的情况。

    如果出现不利后果,进行影响评估将使实体面临未能适当考虑和充分减轻风险的索赔。

    强制性隐私影响评估在公共部门已经存在,在私营部门已经成为自愿的最佳做法好几年了。私营部门的一项新的强制性要求(以及“高风险”活动的可见性增加)强调需要更好地了解所收集的数据、收集数据的目的、数据的使用和披露目的、数据的实际使用方式,以及将这些事情联系在一起的数据治理。当结合更严格的隐私规则和要求来保存个人信息的主要和次要使用和披露的记录时,这一点尤为重要。

    针对隐私泄露的更多补救措施

    除了最近大幅增加对侵犯隐私的最高处罚外,报告还建议引入:

    • 针对不严重的隐私干涉和违反《隐私法》的行政行为的民事处罚等级;和
    • OAIC有权指示实体识别、减轻和纠正实际或合理可预见的损失。

    这可能会激发针对侵犯个人隐私的集体诉讼,促进对隐私法遵守情况的更积极监管,并对违反《隐私法》的行为产生相应的后果。

    媒体机构和新闻业

    收紧新闻业的豁免,要求媒体机构遵守隐私标准,要么由公认的监督机构监督,要么充分处理隐私问题。媒体组织可能还需要遵守安全和销毁/去识别义务以及数据泄露通知规则(根据新闻业的公众利益进行修改)。上述拟议的法定侵权行为也会对传媒机构产生重大影响。我们将在即将出版的出版物中研究对媒体组织的影响。

    自动化决策

    作为监管人工智能和自动化决策的更广泛倡议的一部分,建议如下:

    • 对个人产生重大影响的自动决策将触发在隐私政策中包含用于该目的的个人信息类型的义务;和
    • 个人有权要求了解自动化决策是如何在对个人有重大影响的情况下做出的。

    没有权利让实体内的个人审查这些决定,这将是一项更有意义的权利,但我们认为这可能被视为超越信息处理的一系列进一步改革的一部分。

    网络安全

    有许多提议的改变。

    • 在实体意识到有合理理由相信发生了应通知的数据泄露事件后,将强制报告数据泄露的时间缩短至:
      • OAIC则是72小时;和
      • 尽快发放给个人,如有必要,应逐步发放。

    该提案将增加实体在确认实际发生数据泄露之前必须公开披露数据泄露的不利公共关系和客户结果的风险。

    随着时间的推移,我们预计数据泄露通知的时间表和流程将在州和联邦隐私制度、关键基础设施安全制度和其他监管通知要求之间保持一致。

    • 要求实体列出已采取或将采取的应对违规行为的步骤,包括减少对个人不利影响的步骤。
    • 扩展触发强制数据泄露通知的信息类别,以包括员工的个人信息。
    • 考虑是否有义务采取合理步骤,以防止或减少因数据泄露可能对个人造成的伤害。如果需要在个人基础上进行,这可能会造成很大的复杂性,并且可能会因未能采取此类减轻措施而产生责任。
    • 实体将有义务采取合理步骤实施实践、程序和系统,使其能够应对数据泄露。这意味着实体必须有经过深思熟虑和演练的流程来处理隐私泄露,因为他们处理事件的行为可能会被事后审查并发现不足。
    • 引入一项刑事犯罪,即恶意重新识别非识别信息,意图伤害他人或获取非法利益。

    雇员记录和小企业

    报告建议:

    • 取消对小型企业的豁免,但须经谘询,并采取措施,解决这些机构承担这一合规负担的困难;和
    • 修改雇员记录豁免,为雇员提供信息处理实践的透明度,同时保留雇主为雇佣关系灵活处理雇员个人信息的权利。此外,更好地保护员工的个人信息不被错误处理和在不再需要时被销毁。

    扩大和明确“个人信息”受保护

    《隐私法》规定的信息范围如下:

    • 可扩展-适用于可识别的信息有关给个人而不是可识别的信息关于个人,为了解决后一种表述的局限性,即需要个人作为信息的主体。敏感信息(需要征得个人同意才能收集)将扩大到包括基因组信息。此外,已删除身份的个人信息将受到一套有限的隐私法规的约束,以保护其免受未经授权的处理、丢失或重新识别;和
    • 目前,《隐私法》规定了在澳大利亚开展业务的实体所持有的所有个人信息,无论该受监管的个人信息与澳大利亚之间是否存在任何联系。该报告承认,在这些信息受到《隐私法》的监管之前,应该与澳大利亚建立进一步的联系。

    新的“适合目的”的隐私法有多接近?

    隐私改革已经进行了很长时间,改革的需要可以追溯到ACCC 2019年的数字平台调查。

    使澳大利亚的隐私法在数字时代“符合目的”是一项关键的选举承诺——政府将面临越来越大的压力,要求对澳大利亚的数据格局进行“棘轮改变”。

    去年,在两党一致的支持下,大量新的隐私处罚和其他改革措施得以实施澳大利亚大规模的新隐私处罚成为法律,但将得到澄清)。虽然在ACCC的2019年数字平台调查中首次提出了增加处罚的建议,但具体的改革措施于2022年10月下旬推出,并于2022年12月下旬通过,这表明改革的步伐是可能的。

    经过两年多的工党和自由党政府的工作,以及几轮广泛的磋商,政府将有能力推动其雄心勃勃的隐私和数据安全议程,并将在联邦选举前通过有意义的改革。

    有争议的问题可能会出现,但越来越普遍的是,要么允许有争议的立法在澄清后通过,要么将复杂的问题推迟给行业咨询,要么加速争议较小的改革(如2021年关键基础设施安全立法的“分裂”)。

    政府对《隐私法》审查的回应将是一项政治承诺,一旦宣布,政府将很难改变路线。在进行了几轮磋商之后,现在是时候揭露一些重大问题和意想不到的后果了。

    强有力的参与至关重要

    该报告建议制定一项更灵活的隐私法案。《隐私法》将继续“以原则为导向”,在必要时提供更具体的细节——在立法、隐私法典中,或通过监管机构更具体的指导。

    这种做法并不新鲜,反映了澳大利亚隐私监管机构和其他监管机构采取的做法。然而,将这种方法进一步纳入立法,可能会让隐私监管机构在未来发挥更大的干预作用和前瞻性作用。

    这种利用立法来建立框架而不是义务细节的方法受到了批评,例如在当前关于消费者数据权改革的辩论中,这种方法被认为限制了议会的审查。澳大利亚的关键基础设施安全立法遵循了类似的方法,并通过行业协商确定了哪些义务适用于哪些实体以及在哪些情况下适用的重要细节。

    我们预计这一趋势将继续在框架而不是实质一级进行立法。

    这幅图景的一个关键部分是,在“热点”问题上,人们可能越来越依赖隐私法规——以及监管机构在对行业做法不满意的地方强制实施隐私法规的能力。

    这意味着确保你的组织与监管机构密切接触,不会遭受“咨询疲劳”,这对监管变革的规划和影响监管都至关重要。

    为改变做准备

    新的义务不太可能适用于过去的行为,我们可以预期,企业需要一些时间来让自己的做法跟上新规则的步伐。

    最近备受关注的网络安全事件,以及去年出台的大规模新处罚措施,使人们对网络安全和数据保留实践产生了极大的关注和投资。但拟议改革的范围远不止保护数据免受外部威胁。

    需要做更多的工作来了解和跟踪数据在组织内是如何或应该如何使用的——保护数据免受滥用还有信息披露,以及强有力的政策和管理框架。

    基于设计的隐私和基于设计原则的安全在许多行业都越来越受欢迎,但许多组织仍然被遗留系统和技术债务所拖累,这使得变革变得困难。

    随着数据隐私和技术人才市场的紧张,预算和项目管道日益紧张,通过保留、招聘和合适的合作伙伴来增强能力是关键。

    让你的房子井然有序——理解你的数据

    为未来的隐私状况做准备的第一步是提高你对你的组织的了解——了解正在发生的事情是成功的一半:

    • 你收集和持有哪些个人信息?你要拿多久?
    • 哪些个人信息应该你收集并持有?多长时间应该你帮我拿着吗?
    • 什么应该各种个人信息的用途?收集数据的目的是什么?需要得到哪些同意?你怎么知道?
    • 数据是什么?事实上被使用和披露的目的-你能将数据的使用映射到合法的目的,比如同意吗?
    • 你会去识别信息吗?你们持有哪些去识别信息?你们如何使用和披露这些信息?
    • 如何确定和评估数据的新用途?
    • 你有什么控制措施来确保这些答案符合政策、同意和隐私法?
    • 如果监管机构找上门来,你可以用什么记录来证明合规?

    在数字化和人工智能的竞争中,许多组织都有意将数据去孤岛化,以获得更好的业务洞察力,并简化IT运营,以便在艰难的环境中更轻松地交付IT项目。

    管理信息可以和应该如何使用,必须融入到治理、文化和系统中——通过设计原则来采用隐私。

    您可以在前面的文章中阅读有关管理数据风险的更多实用步骤数字经济和风险预警-了解你的组织数据

    预计会有更多的执法和调查

    虽然我们可能还不知道新的隐私义务或合规时间表的细节,但我们确实知道监管机构已经被赋予了新的权力,并且未来可能会被赋予更多的权力。新的隐私义务将会有交货期,但新的监管工具可能不会有交货期。

    我们预计监管机构将获得更多资金,在事故发生前发挥更积极的作用,推动合规。随着这一增长,我们预计与现有隐私义务相关的执法行动将会增加。

    这对保险来说意味着什么?

    随着网络威胁形势的不断升级,网络保险的可用性、覆盖范围和成本日益受到关注。

    随着大量新的处罚措施的实施,一个更积极的监管机构,更严格的隐私规则和隐私侵权的前景,监测保险公司的反应将是很重要的。我们可能会看到,针对网络或数据的保险变得越来越难以获得,从其他保险政策中获得更多的分离,以及保险和缓解服务的新机会。bob直播软件

    作者:蒂姆·布鲁克斯,合伙人;以及专家顾问安德鲁·希尔顿。

    主要联系人