澳大利亚大规模的新隐私处罚将成为法律,但将得到澄清
2022年12月2日
这是对我们早期出版物的更新:严厉的处罚和更强大的澳大利亚隐私监管机构.
为了应对最近备受瞩目的网络犯罪事件,澳大利亚议会已经通过了关键的隐私改革《2022年私隐法例修订(执行及其他措施)条例草案》(Cth):
这些改革是澳大利亚政府发出的一个明确信息,即对侵犯隐私的惩罚不仅仅是“做生意的成本”。新的处罚措施旨在激励人们采取强有力的数据安全保障措施。
这些改革是为了应对最近的网络事件而匆忙通过的,将作为对《隐私法》更广泛审查的一部分进行重新考虑。处罚制度不会从根本上改变,但何时适用仍有很大的澄清空间。
参议院要求政府:
参议院法律和宪法事务委员会还特别强调:
这些问题以及更多的问题将作为政府对《隐私法》更广泛审查的一部分予以考虑。总检察长部的最后报告预计将在今年年底提交政府,总检察长打算在本届议会任期内推进改革。
对严重或多次侵犯隐私的处罚已增加到以下几种:
“违规周转期”为12个月或违规持续时间,以较长者为准。对于大型组织的长期系统性违规,该框架可能导致最高罚款远远高于5000万澳元的数字。
虽然增加的处罚不适用于过去的行为或做法,但它将适用于其性质上重复或持续的违规行为。为了将风险降到最低,现在是审计和纠正隐私做法的时候了。
新的罚款制度大大超过了目前220万澳元的最高限额和罚款前任政府咨询过的(以1000万澳元或津贴金额的三倍为高者,如津贴金额不能确定,则为国内年营业额的10%)。
5000万澳元的罚款数额远高于欧盟《通用数据保护条例》(GDPR)。虽然根据澳大利亚法律,国内营业额的30%似乎明显高于GDPR可能对全球收入4%的罚款,但对在澳大利亚开展更多全球业务的公司的影响将更大,因为澳大利亚的罚款没有考虑到全球收入。
新的隐私处罚反映了最近的变化竞争法和消费者法的处罚,并从该语境中引入了接受“利益”的概念。
参议院法律和宪法事务委员会(Senate Legal and Constitutional Affairs Committee)表示担心,根据从数据泄露中获得的“利益”来计算罚款,有可能导致“不正当的结果”。
30%的违约金只适用于滥用信息所获得利益的价值无法确定的情况。
如果一家公司没有从侵犯隐私中获得任何好处(例如,它遭受了网络攻击的重大损害),那么30%的营业额限制可能就不适用了。利益可能由法院决定,但被确定为零。因此,最高罚款将是5000万澳元和零罚款中较高者,完全不考虑公司的营业额。
作为更广泛的隐私审查的一部分,我们可能会看到有人呼吁澄清,如果一家公司没有从信息滥用中受益,那么该公司的营业额将被考虑在内。如果采用这种方法,大公司可能会面临更高的最高罚款。
在明显加重处罚的情况下,各种意见书和参议院法律和宪法事务委员会都对立法中没有定义“严重”和“重复”等词表示关切。政府接受了委员会的建议,作为更广泛的隐私审查的一部分,审查是否定义“严重”和“重复”这两个术语。
严重或反复干涉隐私的概念是澳大利亚现行隐私法的一部分。OAIC "私隐规管行动指引列出了在解释立法时应考虑的因素,以及OAIC更有可能采取行动的情况。虽然立法中没有规定这项指导,但它提供了一个解释性框架,在适用该制度时可能会加以考虑。
在立法中包括定义将创造一个更稳定和可预测的制度,更容易从法案的文本中理解。然而,这可能以灵活性降低为代价,因为指导方针可以更容易地适应新出现的挑战。
面对潜在的巨额罚款,各种意见书呼吁建立一个类似于GDPR的分层处罚体系,这样最高的处罚将只适用于最严重的案件,或者不会不公平地影响较小的组织和慈善机构。
司法部长部正在考虑一种“中级”处罚,可能适用于违反《隐私法》的行为,但不是严重或反复干涉隐私。这似乎是对较轻罪行的额外处罚,而不是对何时适用较重处罚的限制。
作为对《隐私法》更广泛审查的一部分,政府将考虑采用分层的处罚方法——可能与组织是否采取了合理的步骤来防止或减轻对隐私的干扰有关。
澳大利亚隐私法现在适用于在澳大利亚“开展业务”的组织,无论个人信息是否在澳大利亚收集。
虽然这一修正案便于在现代数字环境中执行澳大利亚隐私法,但澳大利亚的《隐私法》不再明确要求受该法案管辖的个人信息与澳大利亚有任何联系。
政府接受了委员会的建议,作为对《隐私法》进行更广泛审查的一部分,审查是否适合规定任何额外的澳大利亚链接要求。
这一修正案给澳大利亚隐私法的范围带来了巨大的不确定性,迫切需要澄清和指导。希望在澳大利亚开展业务的组织应该仔细考虑他们如何构建业务和数据运营——例如,通过使用单独的澳大利亚子公司来处理澳大利亚的个人信息,可能会限制澳大利亚隐私立法的影响。然而,即使采用了这些结构,OAIC仍断言,向其澳大利亚相关实体提供服务的离岸实体可能仍在澳大利亚开展业务,并受澳大利亚隐私法的约束。bob直播软件
OAIC将拥有新的监管工具和灵活性,再加上对资金的持续关注,将成为一个更积极主动的监管机构,有能力调查和起诉更多的隐私事件。
改革的重点是信息收集和共享——例如,监管机构现在可以对未按要求提供信息的企业发出侵权通知,而无需诉诸法庭。根据监管机构如何处理这些新权力,我们可能会看到调查和评估的速度和强度发生重大变化,这可能会进一步给致力于从网络事件中恢复过来的组织和网络安全人员带来压力。
这个扩展的监管工具包包括:
这些改革强调需要深思熟虑的事件响应计划、监管机构参与战略和责任、内部信息流和决策框架。
组织需要向监管机构提供及时准确的信息。请记住,发布和共享信息的更广泛权利可能导致早期评估(可能是不正确或不完整的)获得更广泛的受众,因此强有力的决策制定和信息控制至关重要。
尽管许多变化似乎针对的是“大城市”,但一个资金更充裕、监管工具更完善的监管机构,将对广泛的违规行为产生影响,包括监管机构过去可能没有能力或工具关注的不太严重的违规行为。
对未按要求提供信息的企业发出侵权通知的新权力,将使监管机构调查隐私问题的方式发生巨大变化。改革还为监管机构在事件发生前发挥更积极主动的审计和合规作用,以及在事件发生后进行调查和提起诉讼奠定了基础。
面对新的重大处罚,企业不仅应该关注网络防御和网络弹性,还应该在网络攻击成功的情况下减少对个人的潜在伤害。组织已经在审查数据收集和保留政策,并在可能的情况下销毁或去识别个人信息,特别是更敏感的信息或可能用于身份欺诈的信息。
但这些审查不应该是一次性的项目。组织需要不断测试和重新测试需要收集和保留的数据,并投资于高质量的隐私影响评估,以帮助识别和减轻隐私风险。
组织也在研究如何将隐私嵌入到系统中——采用“设计隐私”原则,并进行调查可信数字身份框架以及增强隐私的技术,比如同态加密。
构建安全和隐私功能从未像现在这样重要。十有可能,我们将看到一系列的改革正在进行中,一个更积极主动的隐私监管机构将出现,在澳大利亚经营的企业将需要适应的能力。在安全和数据隐私人才市场竞争激烈的情况下,这将尤其具有挑战性。
作者:John Macpherson(风险咨询总监);Tim Brookes(数字经济交易合伙人)、Amanda Ludlow(数字经济交易合伙人)、Geoff McGrath(数字经济交易高级助理)和Andrew Hilton(数字经济交易专业顾问)。
Ashubob正常玩会被黑吗rst集团是全球性的,由Ashurst LLP、Ashurst Australia及其各自的附属公司(包括独立的当地合伙企业、公司或其他实体)组成,这些附属公司被授权使用“Ashurst”名称或将自己描述为Ashurst的附属公司。阿舍斯特集团的一些成员是有限责任实体。bob正常玩会被黑吗
bob正常玩会被黑吗Ashurst Risk Advisory Pty Ltd (ABN 74 996 309 133)以Ashurst Rbob直播软件isk Advisory品牌提供服务。Ashubobİbob正常玩会被黑吗52;播软件rst Risk Advisory Pty Ltd提供的服务不构成法律服务或法律咨询,也不是由澳大利亚法律从业人员以该身份提供的。有关司法管辖区规管提供法律服务的法律法规不适用于提供非法律服务。bob直播软件
欲了解更多关于艾司特集团及其服务的信息,请访问www.ashubob正常玩会被黑吗rst.com。bob直播软件