Рэформы Закона Аўстраліі аб прыватнасці 2026: кіраўніцтва для выдаўцоў і рэкламадаўцаў па згодзе на cookie, законным дэлікце і Кодэксе дзіцячай анлайн-прыватнасці
На працягу большай часткі апошніх двух дзесяцігоддзяў аўстралійскае заканадаўства аб прыватнасці было цішэйшым, чым яго еўрапейскія або амерыканскія аналагі. Гэтая эпоха скончылася. Закон аб унясенні папраўак у Закон аб прыватнасці і іншыя законы 2024 года, прыняты ў лістападзе 2024 года, з'яўляецца найбуйнейшай рэформай Закона аб прыватнасці 1988 года за пакаленне. Ён уводзіць законны дэлікт за сур'ёзныя ўварванні ў прыватнае жыццё, узмоцненыя паўнамоцтвы па прымусе для Упраўлення аўстралійскага ўпаўнаважанага па інфармацыі (OAIC), спецыяльны Кодэкс дзіцячай анлайн-прыватнасці, значныя новыя патрабаванні да празрыстасці аўтаматызаванага прыняцця рашэнняў і дакладную траекторыю да згоды opt-in для большай часткі таргетаванай рэкламы. Калі вы вядзеце лічбавую рэкламу, аналітыку або любое адсочванне карыстальнікаў на аўстралійскім рынку ў 2026 годзе, рэформа змяняе вашы абавязацельствы па адпаведнасці так, што ігнараваць гэта нельга. Гэтае кіраўніцтва разглядае, што змянілася, што яшчэ наперадзе, і што менавіта выдаўцам і рэкламадаўцам варта рабіць прама зараз.
Структура рэформы 2024–2026
Рэформа ўкараняецца ў два транші, і цалкам рэалізаваны толькі першы. Разуменне паслядоўнасці важна, каб ведаць, што юрыдычна ўступіла ў сілу, а што яшчэ наперадзе.
Транш 1 — у сіле з 2024–2025
Закон аб унясенні папраўак у Закон аб прыватнасці і іншыя законы 2024 года, зацверджаны ў лістападзе 2024 года, прынёс некалькі змен, якія ўжо прымяняюцца:
- Законны дэлікт за сур'ёзныя ўварванні ў прыватнае жыццё — фізічныя асобы могуць падаваць іск напрамую за сур'ёзныя ўварванні ў прыватнае жыццё, без неабходнасці даказваць парушэнне самога Закона аб прыватнасці
- Новыя грамадзянскія штрафы — OAIC можа дамагацца штрафаў за любое ўмяшанне ў прыватнае жыццё, а не толькі за сур'ёзныя або паўторныя парушэнні
- Патрабаванні да празрыстасці аўтаматызаванага прыняцця рашэнняў — арганізацыі павінны раскрываць, калі значныя рашэнні аб асобах прымаюцца з выкарыстаннем аўтаматызаваных сістэм
- Доксінг крыміналізаваны — наўмыснае публікаванне персанальных даных з мэтай прычынення шкоды цяпер з'яўляецца крымінальным злачынствам
- Кодэкс дзіцячай анлайн-прыватнасці — OAIC абавязаны распрацаваць абавязковы кодэкс для паслуг, да якіх верагодны зварот дзяцей, пры гэтым кодэкс чакаецца ў 2026 годзе
Транш 2 — на актыўным абмеркаванні на 2026–2027
Другі транш ахоплівае больш структурныя змены і праходзіць праз урадавае ўзгадненне ў 2025 і 2026 гадах. Чаканыя элементы ўключаюць:
- Адмену або значнае звужэнне выключэння для малога бізнесу, якое ў цяперашні час вызваляе арганізацыі з гадавым абаротам менш за 3 млн AUD
- Больш дакладны тэст на справядлівасць і разумнасць, які прымяняецца да кожнай апрацоўкі персанальнай інфармацыі, незалежна ад згоды
- Відавочнае рэгуляванне таргетаванай рэкламы, з верагоднай згодай opt-in для адчувальных катэгорый
- Новае права на выдаленне, якое набліжае аўстралійскае заканадаўства да GDPR
- Больш жорсткі кантроль трансгранічнай перадачы даных
Што лічыцца персанальнай інфармацыяй паводле аўстралійскага права
Аўстралійскі Закон аб прыватнасці вызначае персанальную інфармацыю шырока. Яна ахоплівае любую інфармацыю аб ідэнтыфікаванай або разумна ідэнтыфікуемай асобе, і OAIC інтэрпрэтуе разумна ідэнтыфікуемы як уключаючы анлайн-ідэнтыфікатары, ідэнтыфікатары прылад, IP-адрасы ў спалучэнні з іншымі данымі і рэкламныя ідэнтыфікатары. На практыцы cookie, піксельнае адсочванне, лічбавы адбітак прылады і графы ідэнтычнасці, якія выкарыстоўваюцца для крос-сайтавай рэкламы, апрацоўваюць персанальную інфармацыю паводле аўстралійскага права і цалкам уваходзяць у сферу адпаведнасці Аўстралійскім прынцыпам прыватнасці (APP).
Як згода на cookie працуе паводле аўстралійскага права ў 2026 годзе
Аўстралійскае права ў цяперашні час не патрабуе паўнавартаснага банера opt-in у стылі GDPR для ўсіх cookie. Але гэта і не вольніца, і некалькі нядаўніх падзей узмацнілі планку.
APP 3 — збор патрабуе апавяшчэння
Аўстралійскі прынцып прыватнасці 3 патрабуе, каб персанальная інфармацыя збіралася толькі законнымі і справядлівымі сродкамі, з апавяшчэннем аб мэтах. Для cookie, якія збіраюць персанальную інфармацыю, гэта азначае, што бачнае, інфарматыўнае апавяшчэнне павінна быць прадстаўлена да або падчас збору. Схаванае адсочванне не задавальняе APP 3.
APP 6 — выкарыстанне і раскрыццё патрабуюць адпаведнасці мэце
Персанальная інфармацыя можа выкарыстоўвацца толькі для мэты, для якой яна была сабрана, для разумна звязанай другаснай мэты або са згоды асобы. Перадача даных, атрыманых з cookie, лічбавай рэкламнай платформе для крос-кантэкстнай паводніцкай рэкламы звычайна выходзіць за рамкі першаснай мэты, што падштурхоўвае да згоды.
Кіраўніцтва OAIC па адсочванні
Кіраўніцтва OAIC 2024 года па тэхналогіях адсочвання адназначнае: арганізацыі павінны падаваць дакладны механізм для адмовы ад адсочвання, і для любога выпадку выкарыстання, звязанага з адчувальнай інфармацыяй або прафіляваннем для значных рашэнняў, OAIC чакае згоды opt-in. Гэта цвёрда змяшчае таргетаваную рэкламу, праграматык-рэтаргетынг, сеансавае ўзнаўленне і паводніцкую аналітыку ў вобласць opt-in на практыцы, нават калі закон яшчэ не зрабіў гэта абавязковым у кожным выпадку.
Практычная канфігурацыя CMP 2026
Большасць выдаўцоў, якія працуюць у Аўстраліі, цяпер выкарыстоўваюць CMP, якая прадстаўляе банер з трыма станамі: «Прыняць», «Адхіліць» і «Наладзіць». Для трафіку з ЕС або Вялікабрытаніі opt-in строгі. Для аўстралійскага трафіку opt-in з'яўляецца рэкамендаваным значэннем па змаўчанні для таргетаванай рэкламы і сеансавага ўзнаўлення, тады як аналітыка часта можа працаваць па мадэлі «апавяшчэнне і выбар», пакуль забяспечаны ананімізацыя IP і мінімізацыя даных.
Законны дэлікт — што ён насамрэч дазваляе
Новы законны дэлікт — найбольш значнае змяненне для лічбавых рэкламадаўцаў у практычным плане. Раней толькі OAIC мог прымушаць да выканання правоў на прыватнасць, а індывідуальныя сродкі прававой абароны былі абмежаваныя. Законны дэлікт змяняе гэта.
Што з'яўляецца сур'ёзным уварваннем у прыватнае жыццё?
Дэлікт ахоплівае наўмыснае або неасцярожнае паводзіны, якое выклікае сур'ёзнае ўварванне ў прыватнае жыццё, альбо праз уварванне ва ўедзіненне, альбо праз неправамернае выкарыстанне прыватнай інфармацыі. Суды будуць узважваць сур'ёзнасць у адносінах да грамадскага інтарэсу і іншых меркаванняў.
Чаму рэкламадаўцам варта хвалявацца
Агрэсіўнае адсочванне, асабліва сеансавае ўзнаўленне, якое фіксуе націскі клавіш і паводзіны курсора на адчувальных старонках, лічбавы адбітак, які абыходзіць адмову карыстальніка, або несанкцыянаваная прывязка ананімных паводзін да найменаванай ідэнтычнасці — усё гэта цяпер праўдападобныя фактычныя падставы для дэліктнага іска. Чакайце, што фірмы пазоўнікаў пачнуць правяраць межы ў 2026 годзе. У Аўстраліі няма культуры калектыўных пазоваў, як у ЗША, але прадстаўнічыя пазовы магчымыя, і некаторыя фірмы відавочна пазіцыянуюцца для іх.
Кодэкс дзіцячай анлайн-прыватнасці
Кодэкс дзіцячай анлайн-прыватнасці — найбольш канкрэтны элемент новага рэгулявання для выдаўцоў, да чыіх сайтаў верагодны зварот дзяцей.
Хто ў сферы дзеяння
Кодэкс прымяняецца да сацыяльных сетак, адпаведных электронных паслуг, да якіх верагодны зварот дзяцей, і некаторых прызначаных інтэрнэт-паслуг. На практыцы гэта ахоплівае значна больш, чым чыста дзіцячыя сайты — любая платформа для шырокай аўдыторыі, да якой звяртаецца значны лік непаўналетніх, верагодна будзе ахоплена, і чакаецца, што OAIC прыме інклюзіўнае тлумачэнне.
Асноўныя абавязацельствы, чаканыя ў Кодэксе
- Налады з высокай прыватнасцю па змаўчанні для карыстальнікаў маладзей за 18 гадоў
- Абмежаванні на таргетаваную рэкламу для непаўналетніх
- Забароны на цёмныя патэрны, якія падштурхоўваюць дзяцей да больш слабых налад прыватнасці
- Тлумачэнні апрацоўкі даных, якія адпавядаюць узросту
- Ацэнкі найлепшых інтарэсаў дзіцяці перад разгортваннем функцый, якія апрацоўваюць іх персанальную інфармацыю
Што падрыхтаваць зараз
Выдаўцам, чыя аўдыторыя ўключае значны лік наведвальнікаў маладзей за 18 гадоў, варта пачаць аўдыт свайго стэка адсочвання, канфігурацыі рэкламы і налад па змаўчанні да фіналізацыі Кодэкса. Дааснашчэнне постфактум звычайна даражэйшае і больш разбуральнае, чым убудаванне адпаведнасці ў стэк з самага пачатку.
Пазіцыя па прымусе ў 2026 годзе
OAIC атрымаў значна ўзмоцненае фінансаванне разам з рэформамі. Аўдытарская актыўнасць узрасла, і Упаўнаважаны сігналізаваў аб больш публічным падыходзе да прымусу.
Дзеючыя штрафы
Максімальны грамадзянскі штраф за сур'ёзнае або паўторнае ўмяшанне ў прыватнае жыццё — гэта большае з 50 млн AUD, трохкратнай выгады, атрыманай ад паводзін, або 30 працэнтаў скарэктаванага абароту арганізацыі за перыяд парушэння. Рэформа таксама ўвяла другі ўзровень штрафу за любое ўмяшанне ў прыватнае жыццё, якое не дасягае парога сур'ёзнасці, даючы OAIC больш каліброваныя інструменты прымусу.
Апавяшчальныя ўцечкі даных
У Аўстраліі дзейнічае абавязковая схема апавяшчэння аб уцечках даных з 2018 года, і OAIC быў прыкметна агрэсіўны ў прымусе пасля буйных інцыдэнтаў уцечкі даных у Аўстраліі ў 2022 і 2023 гадах. Любы інцыдэнт, звязаны з cookie або адсочваннем, які вядзе да несанкцыянаванага раскрыцця, верагодна трапіць у сферу дзеяння.
Трансгранічныя перадачы і глабальны трафік
Аўстралійскі прынцып прыватнасці 8 патрабуе, каб арганізацыі прымалі разумныя меры для забеспячэння таго, каб замежныя атрымальнікі апрацоўвалі персанальную інфармацыю ў адпаведнасці з APP. Для выдаўца, які выкарыстоўвае глабальныя рэкламныя тэхналогіі, гэта азначае альбо юрысдыкцыю з істотна падобнымі законамі, альбо абавязваючае дагаворнае абавязацельства ад замежнага атрымальніка, альбо ўсвядомленую згоду асобы.
Перадачы ў ЗША
ЗША ў цяперашні час не прызнаны як маючыя істотна падобныя законы. Таму перадачы пастаўшчыкам рэкламных тэхналогій з ЗША патрабуюць альбо абавязваючых дагаворных абавязацельстваў, альбо відавочнай згоды. Выдаўцы, якія спадзяюцца на сертыфікацыі Data Privacy Framework — якія пакрываюць перадачы ЕС–ЗША — павінны адзначыць, што гэтыя сертыфікацыі не задавальняюць патрабаванне аўстралійскага APP 8 аўтаматычна.
Чэк-ліст аўдыту для аўстралійскага трафіку ў 2026 годзе
- CMP прадстаўляе дакладныя опцыі «Прыняць», «Адхіліць» і «Наладзіць» з роўнай візуальнай прыкметнасцю на аўстралійскім трафіку
- Таргетаваная рэклама, рэтаргетынг і сеансавае ўзнаўленне патрабуюць згоды opt-in; аналітыка працуе па апавяшчэнні плюс мінімізацыя даных
- Палітыка прыватнасці дакладна ідэнтыфікуе cookie, піксельнае адсочванне і рэкламныя ідэнтыфікатары, з заявай аб мэце, узгодненай з APP 3 і APP 6
- Механізмы трансгранічнай перадачы задакументаваны для кожнага неаўстралійскага апрацоўшчыка (спіс пастаўшчыкоў, дагаворныя абароны або згода)
- Аўтаматызаванае прыняцце рашэнняў раскрываецца там, дзе значныя рашэнні прымаюцца з выкарыстаннем такіх сістэм
- Ацэнка гатоўнасці да Кодэкса дзіцячай анлайн-прыватнасці завершана, з наладамі высокай прыватнасці па змаўчанні для выяўленых непаўналетніх карыстальнікаў
- Агляд рызыкі доксінгу завершаны для любой функцыянальнасці, якая можа публікаваць прадастаўленую карыстальнікам персанальную інфармацыю
- План рэагавання на ўцечку даных узгоднены з 30-дзённым акном апавяшчэння і бягучым фарматам справаздачнасці OAIC
Перспектывы 2026 года
Аўстралія знаходзіцца ў сярэдзіне структурнага зруху ад больш мяккага рэжыму прыватнасці да рэжыму, які ўсё больш нагадвае еўрапейскую і каліфарнійскую рамкі — са сваімі аўстралійскімі асаблівасцямі. Першы транш ужо падлягае прымусу і ўжо змяняе судовую практыку. Другі транш, уключаючы звужэнне выключэння для малога бізнесу і відавочнае рэгуляванне таргетаванай рэкламы, верагодна ўступіць у сілу ў 2026 або 2027 годзе. Выдаўцы і рэкламадаўцы, якія інвеставалі ў стэк згоды ўзроўню GDPR, ужо маюць большую частку неабходнага механізму для адпаведнасці. Тыя, хто спадзяваўся на гістарычна больш мяккую пазіцыю Аўстраліі, уваходзяць у новы рэжым з вядомымі прабеламі. Правільны крок — закрыць гэтыя прабелы зараз, да таго як законны дэлікт, Дзіцячы кодэкс або аўдыт OAIC прымусяць вырашыць пытанне ў тэрміны, якія ніхто не кантралюе.