澳大利亚大规模的新隐私处罚将成为法律，但将得到澄清

你需要知道的

• 澳大利亚已经通过立法，引入大规模的新隐私处罚——现在最高罚款可达5000万澳元，是违规收益的三倍，或者(收益无法确定的情况下)国内营业额的30%。
• 新的权力将使隐私监管机构能够更好地进行调查，与其他监管机构协调，向公众通报情况，并评估隐私合规情况。新的信息收集权力包括对未按要求提供信息的人发出侵权通知的权力，以及对导致多次不遵守规定的系统性行为或行为模式的相关民事处罚和刑事犯罪。
• 澳大利亚隐私法将适用于在澳大利亚开展业务的组织，无论个人信息是否在澳大利亚收集。这给澳大利亚隐私法将如何适用于跨国企业带来了巨大的不确定性，并将影响业务和数据治理结构。
• 这些改革只是对澳大利亚数字时代隐私法进行全面审查的第一部分。检讨的最终报告将于今年年底呈交政府。
• 虽然我们不知道这份报告将于何时公布，但参议院委员会提出的问题为可能的重点领域提供了指引。预计有关大规模新处罚将如何适用的进一步澄清。

你需要做什么

• 在重要的地方投资，了解风险-新的处罚是在网络安全和技术技能持续短缺、技术预算已经紧张、对全球经济放缓的预期以及日益激烈的网络威胁的背景下出台的。组织将需要做出严格的风险投资决策，以适当地优先考虑安全性、弹性和减少危害。
• 基于纸张的遵从性已成为过去-面对大规模的新处罚和公众问责，机构必须积极管理隐私风险。这意味着要详细了解公司或公司集团的个人信息数据流，并进行隐私影响评估和审计，以识别和减轻隐私风险。
• 投资于减少伤害-网络防御和弹性只是难题的一部分-采取措施，通过尽量减少收集和保留个人信息，特别是可能使个人处于危险中的更敏感的信息，在成功的网络攻击事件中尽量减少伤害的风险。这应该是一个持续的焦点——继续测试需要收集和保留哪些数据，并研究数字身份验证和隐私增强技术。
• 了解和计划财务风险-在组织风险管理战略中纳入新的处罚措施，以帮助校准和重置网络和隐私支出的商业案例。
• 重新审视监管机构在事件响应计划中的参与情况-澄清信息流动和决策协议。确保您有适当的流程来评估并及时准确地响应监管机构的信息请求。
• 了解并处理信息披露风险-了解向监管机构披露信息是否会违反对供应商、客户和合作伙伴的保密义务。根据法律要求提供的信息与自愿提供的信息将产生不同的后果。考虑协商修改关键合同，以提高透明度。

更大的惩罚和新的权力在这里

这是对我们早期出版物的更新:严厉的处罚和更强大的澳大利亚隐私监管机构．

为了应对最近备受瞩目的网络犯罪事件，澳大利亚议会已经通过了关键的隐私改革《2022年私隐法例修订(执行及其他措施)条例草案》(Cth)：

• 目前，对严重或多次侵犯隐私的最高罚款上限为5000万澳元，是违规所得收益的三倍，或(无法确定的)国内营业额的30%，两者中较大者为高。
• 澳大利亚隐私法现在将适用于在澳大利亚开展业务的组织，无论个人信息是否在澳大利亚收集。
• 澳大利亚信息专员办公室(OAIC)将拥有更广泛的监管工具和信息收集权力。
• 将改善OAIC内部和监管机构(包括外国监管机构)之间的信息共享。

这些改革是澳大利亚政府发出的一个明确信息，即对侵犯隐私的惩罚不仅仅是“做生意的成本”。新的处罚措施旨在激励人们采取强有力的数据安全保障措施。

这些改革仅仅是个开始

这些改革是为了应对最近的网络事件而匆忙通过的，将作为对《隐私法》更广泛审查的一部分进行重新考虑。处罚制度不会从根本上改变，但何时适用仍有很大的澄清空间。

参议院要求政府:

• 澄清关键定义，特别是与违规行为有关的“严重”和“重复”的含义;
• 制定分级处罚制度，可以考虑不太严重的违规行为，并寻求区分恶意行为的公司和采取了所有合理措施但成为网络攻击受害者的公司;
• 指示澳大利亚信息专员办公室发布指导材料，解决处罚的适用问题，并澄清遵守该制度的最佳做法;和
• 考虑澳大利亚信息专员办公室和澳大利亚网络安全中心目前的资源和人员配备水平是否充足。

参议院法律和宪法事务委员会还特别强调:

• 数据最小化;
• 针对合规受规管实体的安全港机制;和
• 赔偿可识别的损害和民事诉讼(如严重侵犯隐私的法定侵权行为)。

这些问题以及更多的问题将作为政府对《隐私法》更广泛审查的一部分予以考虑。总检察长部的最后报告预计将在今年年底提交政府，总检察长打算在本届议会任期内推进改革。

大规模的新处罚——组织应该迅速采取行动

对严重或多次侵犯隐私的处罚已增加到以下几种:

• 5000万美元;
• 违法所得利益价值的三倍;或
• 如果获得的利益价值无法确定，则在“违约周转期”内公司国内营业额的30%。

“违规周转期”为12个月或违规持续时间，以较长者为准。对于大型组织的长期系统性违规，该框架可能导致最高罚款远远高于5000万澳元的数字。

虽然增加的处罚不适用于过去的行为或做法，但它将适用于其性质上重复或持续的违规行为。为了将风险降到最低，现在是审计和纠正隐私做法的时候了。

新的罚款制度大大超过了目前220万澳元的最高限额和罚款前任政府咨询过的(以1000万澳元或津贴金额的三倍为高者，如津贴金额不能确定，则为国内年营业额的10%)。

5000万澳元的罚款数额远高于欧盟《通用数据保护条例》(GDPR)。虽然根据澳大利亚法律，国内营业额的30%似乎明显高于GDPR可能对全球收入4%的罚款，但对在澳大利亚开展更多全球业务的公司的影响将更大，因为澳大利亚的罚款没有考虑到全球收入。

从数据泄露中获得的“利益”是什么?

新的隐私处罚反映了最近的变化竞争法和消费者法的处罚，并从该语境中引入了接受“利益”的概念。

参议院法律和宪法事务委员会(Senate Legal and Constitutional Affairs Committee)表示担心，根据从数据泄露中获得的“利益”来计算罚款，有可能导致“不正当的结果”。

30%的违约金只适用于滥用信息所获得利益的价值无法确定的情况。

如果一家公司没有从侵犯隐私中获得任何好处(例如，它遭受了网络攻击的重大损害)，那么30%的营业额限制可能就不适用了。利益可能由法院决定，但被确定为零。因此，最高罚款将是5000万澳元和零罚款中较高者，完全不考虑公司的营业额。

作为更广泛的隐私审查的一部分，我们可能会看到有人呼吁澄清，如果一家公司没有从信息滥用中受益，那么该公司的营业额将被考虑在内。如果采用这种方法，大公司可能会面临更高的最高罚款。

应该定义“严重”还是“重复”?

在明显加重处罚的情况下，各种意见书和参议院法律和宪法事务委员会都对立法中没有定义“严重”和“重复”等词表示关切。政府接受了委员会的建议，作为更广泛的隐私审查的一部分，审查是否定义“严重”和“重复”这两个术语。

严重或反复干涉隐私的概念是澳大利亚现行隐私法的一部分。OAIC "私隐规管行动指引列出了在解释立法时应考虑的因素，以及OAIC更有可能采取行动的情况。虽然立法中没有规定这项指导，但它提供了一个解释性框架，在适用该制度时可能会加以考虑。

在立法中包括定义将创造一个更稳定和可预测的制度，更容易从法案的文本中理解。然而，这可能以灵活性降低为代价，因为指导方针可以更容易地适应新出现的挑战。

分级处罚?

面对潜在的巨额罚款，各种意见书呼吁建立一个类似于GDPR的分层处罚体系，这样最高的处罚将只适用于最严重的案件，或者不会不公平地影响较小的组织和慈善机构。

司法部长部正在考虑一种“中级”处罚，可能适用于违反《隐私法》的行为，但不是严重或反复干涉隐私。这似乎是对较轻罪行的额外处罚，而不是对何时适用较重处罚的限制。

作为对《隐私法》更广泛审查的一部分，政府将考虑采用分层的处罚方法——可能与组织是否采取了合理的步骤来防止或减轻对隐私的干扰有关。

治外法权的操作

澳大利亚隐私法现在适用于在澳大利亚“开展业务”的组织，无论个人信息是否在澳大利亚收集。

虽然这一修正案便于在现代数字环境中执行澳大利亚隐私法，但澳大利亚的《隐私法》不再明确要求受该法案管辖的个人信息与澳大利亚有任何联系。

政府接受了委员会的建议，作为对《隐私法》进行更广泛审查的一部分，审查是否适合规定任何额外的澳大利亚链接要求。

这一修正案给澳大利亚隐私法的范围带来了巨大的不确定性，迫切需要澄清和指导。希望在澳大利亚开展业务的组织应该仔细考虑他们如何构建业务和数据运营——例如，通过使用单独的澳大利亚子公司来处理澳大利亚的个人信息，可能会限制澳大利亚隐私立法的影响。然而，即使采用了这些结构，OAIC仍断言，向其澳大利亚相关实体提供服务的离岸实体可能仍在澳大利亚开展业务，并受澳大利亚隐私法的约束。bob直播软件

一个更有能力、更积极的隐私监管机构，拥有改进的工具包

OAIC将拥有新的监管工具和灵活性，再加上对资金的持续关注，将成为一个更积极主动的监管机构，有能力调查和起诉更多的隐私事件。

改革的重点是信息收集和共享——例如，监管机构现在可以对未按要求提供信息的企业发出侵权通知，而无需诉诸法庭。根据监管机构如何处理这些新权力，我们可能会看到调查和评估的速度和强度发生重大变化，这可能会进一步给致力于从网络事件中恢复过来的组织和网络安全人员带来压力。

这个扩展的监管工具包包括:

• 针对未提供信息的新侵权通知如有需要，可给予相关的民事处罚，并对系统性或模式性行为予以刑事处罚。
• 新的信息收集和评估能力与实际或可疑的数据泄露有关，或进行任何类型的评估。例如，这包括评估实体遵守应通报数据泄露计划的能力(而不仅仅是实体是否实际遵守该计划)的权力。
• 关于违例的声明-被投诉人可能须就导致侵犯私隐的行为拟备、向投诉人提供或发表声明。
• 独立审查-除了要求答辩人采取措施确保侵权行为不再重复或继续外，专员还有权要求一名独立及合资格的顾问进行覆核，并向专员提交报告。
• 发布信息-专员有明确权力公布最终裁定和有关最终评估报告的资料，以及公布其他符合公众利益的资料(例如调查的最新情况)。
• 与监管机构分享信息- OAIC和澳大利亚通信和媒体管理局将能够更好地与监管机构和执法机构(包括外国监管机构)协调和共享信息。
• 内部协调-透过分享资讯，以及将资讯专员的职能和权力委派给资讯审裁处的员工，资讯审裁处可更好地协调内部的各项职能。

这对你来说意味着什么?

这些改革强调需要深思熟虑的事件响应计划、监管机构参与战略和责任、内部信息流和决策框架。

组织需要向监管机构提供及时准确的信息。请记住，发布和共享信息的更广泛权利可能导致早期评估(可能是不正确或不完整的)获得更广泛的受众，因此强有力的决策制定和信息控制至关重要。

尽管许多变化似乎针对的是“大城市”，但一个资金更充裕、监管工具更完善的监管机构，将对广泛的违规行为产生影响，包括监管机构过去可能没有能力或工具关注的不太严重的违规行为。

对未按要求提供信息的企业发出侵权通知的新权力，将使监管机构调查隐私问题的方式发生巨大变化。改革还为监管机构在事件发生前发挥更积极主动的审计和合规作用，以及在事件发生后进行调查和提起诉讼奠定了基础。

面对新的重大处罚，企业不仅应该关注网络防御和网络弹性，还应该在网络攻击成功的情况下减少对个人的潜在伤害。组织已经在审查数据收集和保留政策，并在可能的情况下销毁或去识别个人信息，特别是更敏感的信息或可能用于身份欺诈的信息。

但这些审查不应该是一次性的项目。组织需要不断测试和重新测试需要收集和保留的数据，并投资于高质量的隐私影响评估，以帮助识别和减轻隐私风险。

组织也在研究如何将隐私嵌入到系统中——采用“设计隐私”原则，并进行调查可信数字身份框架以及增强隐私的技术，比如同态加密。

构建安全和隐私功能从未像现在这样重要。十有可能，我们将看到一系列的改革正在进行中，一个更积极主动的隐私监管机构将出现，在澳大利亚经营的企业将需要适应的能力。在安全和数据隐私人才市场竞争激烈的情况下，这将尤其具有挑战性。

作者:John Macpherson(风险咨询总监);Tim Brookes(数字经济交易合伙人)、Amanda Ludlow(数字经济交易合伙人)、Geoff McGrath(数字经济交易高级助理)和Andrew Hilton(数字经济交易专业顾问)。

_{Ashubob正常玩会被黑吗rst集团是全球性的，由Ashurst LLP、Ashurst Australia及其各自的附属公司(包括独立的当地合伙企业、公司或其他实体)组成，这些附属公司被授权使用“Ashurst”名称或将自己描述为Ashurst的附属公司。阿舍斯特集团的一些成员是有限责任实体。bob正常玩会被黑吗}

_{bob正常玩会被黑吗Ashurst Risk Advisory Pty Ltd (ABN 74 996 309 133)以Ashurst Rbob直播软件isk Advisory品牌提供服务。Ashubobİbob正常玩会被黑吗52;播软件rst Risk Advisory Pty Ltd提供的服务不构成法律服务或法律咨询，也不是由澳大利亚法律从业人员以该身份提供的。有关司法管辖区规管提供法律服务的法律法规不适用于提供非法律服务。bob直播软件}

_{欲了解更多关于艾司特集团及其服务的信息，请访问www.ashubob正常玩会被黑吗rst.com。bob直播软件}