اصلاحات قانون حریم خصوصی استرالیا ۲۰۲۶: راهنمای ناشران و تبلیغکنندگان در مورد رضایت کوکی، مسئولیت قانونی و قانون حریم خصوصی آنلاین کودکان
در بیشتر دو دهه گذشته، قانون حریم خصوصی استرالیا از همتایان اروپایی یا آمریکایی خود آرامتر بوده است. این دوران به پایان رسیده است. Privacy and Other Legislation Amendment Act 2024، که در نوامبر ۲۰۲۴ تصویب شد، بزرگترین اصلاح Privacy Act 1988 در یک نسل است. این قانون مسئولیت قانونی برای نقضهای جدی حریم خصوصی، اختیارات اجرایی قویتر برای Office of the Australian Information Commissioner (OAIC)، Children's Online Privacy Code اختصاصی، الزامات شفافیت جدید مهم برای تصمیمگیری خودکار، و مسیری روشن به سمت رضایت opt-in برای اکثر تبلیغات هدفمند را معرفی میکند. اگر در سال ۲۰۲۶ تبلیغات دیجیتال، تجزیهوتحلیل، یا هرگونه ردیابی کاربر در بازار استرالیا اجرا میکنید، این اصلاح تعهدات انطباق شما را به شکلی که نمیتوانید نادیده بگیرید بازشکل میدهد. این راهنما آنچه تغییر کرده، آنچه هنوز در راه است و دقیقاً آنچه ناشران و تبلیغکنندگان باید اکنون انجام دهند را بررسی میکند.
ساختار اصلاح ۲۰۲۴-۲۰۲۶
اصلاح در دو مرحله اجرا میشود و تنها اولی بهطور کامل اجرا شده است. درک توالی برای دانستن اینکه چه چیزی از نظر قانونی لازمالاجراست در مقابل آنچه در راه است اهمیت دارد.
مرحله ۱ — از ۲۰۲۴-۲۰۲۵ لازمالاجرا
Privacy and Other Legislation Amendment Act 2024، که در نوامبر ۲۰۲۴ تصویب شد، تغییرات متعددی را که از قبل اعمال میشوند ارائه داد:
- مسئولیت قانونی برای نقضهای جدی حریم خصوصی — افراد میتوانند مستقیماً برای نقضهای جدی حریم خصوصی شکایت کنند، بدون نیاز به اثبات نقض Privacy Act
- جریمههای مدنی جدید — OAIC میتواند برای هر تداخل در حریم خصوصی جریمه بخواهد، نه فقط برای نقضهای جدی یا مکرر
- الزامات شفافیت برای تصمیمگیری خودکار — نهادها باید افشا کنند که چه زمانی تصمیمات مهمی درباره افراد با استفاده از سیستمهای خودکار گرفته میشود
- دوکسینگ جرمانگاری شد — انتشار عمدی اطلاعات شخصی برای ایجاد آسیب اکنون جرم کیفری است
- Children's Online Privacy Code — OAIC موظف است یک قانون الزامی برای خدماتی که احتمالاً کودکان به آنها دسترسی دارند تهیه کند، با هدف تهیه در سال ۲۰۲۶
مرحله ۲ — در مشاوره فعال برای ۲۰۲۶-۲۰۲۷
مرحله دوم تغییرات ساختاریتر را پوشش میدهد و در سالهای ۲۰۲۵ و ۲۰۲۶ از طریق توافق دولتی در حال پردازش است. عناصر مورد انتظار عبارتند از:
- حذف یا محدودیت قابلتوجه معافیت کسبوکارهای کوچک که در حال حاضر نهادهایی با گردش مالی سالانه زیر ۳ میلیون AUD را معاف میکند
- یک آزمون منصفانه و معقولتر که در هر پردازش اطلاعات شخصی، مستقل از رضایت، اعمال میشود
- تنظیم صریح تبلیغات هدفمند، با رضایت opt-in احتمالی برای دستههای حساس
- یک حق حذف جدید، که قانون استرالیا را به GDPR نزدیکتر میکند
- کنترلهای سختتر بر انتقال دادههای مرزی
آنچه در قانون استرالیا به عنوان اطلاعات شخصی محسوب میشود
Privacy Act استرالیا اطلاعات شخصی را بهطور گسترده تعریف میکند. این شامل هر اطلاعاتی درباره یک فرد شناساییشده یا بهطور معقول قابل شناسایی است، و OAIC بهطور معقول قابل شناسایی را شامل شناسههای آنلاین، شناسههای دستگاه، آدرسهای IP در ترکیب با دادههای دیگر، و شناسههای تبلیغاتی تفسیر میکند. در عمل، کوکیها، ردیابی پیکسل، اثر انگشت دستگاه، و نمودارهای هویتی استفادهشده برای تبلیغات سراسری همه اطلاعات شخصی را تحت قانون استرالیا پردازش میکنند و بهطور کامل در محدوده انطباق Australian Privacy Principles (APP) هستند.
چگونگی عملکرد رضایت کوکی تحت قانون استرالیا در ۲۰۲۶
قانون استرالیا در حال حاضر برنر opt-in به سبک GDPR برای همه کوکیها الزام نمیکند. اما یک آزادی کامل هم نیست، و چندین پیشرفت اخیر سطح را بالا بردهاند.
APP 3 — جمعآوری نیازمند اطلاعرسانی است
Australian Privacy Principle 3 مستلزم آن است که اطلاعات شخصی تنها از طریق روشهای قانونی و منصفانه، با اطلاع از اهداف، جمعآوری شود. برای کوکیهایی که اطلاعات شخصی جمعآوری میکنند، این به معنای ارائه یک اطلاعیه قابل مشاهده و آموزنده قبل یا در زمان جمعآوری است. ردیابی پنهان APP 3 را برآورده نمیکند.
APP 6 — استفاده و افشا نیازمند تطابق هدف است
اطلاعات شخصی تنها میتواند برای هدفی که جمعآوری شده، برای یک هدف ثانویه بهطور معقول مرتبط، یا با رضایت فرد استفاده شود. اشتراک دادههای مشتقشده از کوکی با یک پلتفرم تبلیغات دیجیتال برای تبلیغات رفتاری متقاطع معمولاً خارج از هدف اصلی قرار میگیرد، که آن را به سمت رضایت سوق میدهد.
راهنمایی OAIC در مورد ردیابی
راهنمایی ۲۰۲۴ OAIC در مورد فناوریهای ردیابی روشن است: نهادها باید یک مکانیسم واضح برای افراد برای انصراف از ردیابی ارائه دهند، و برای هر موردی که شامل اطلاعات حساس یا پروفایلسازی برای تصمیمات مهم است، OAIC رضایت opt-in را انتظار دارد. این تبلیغات هدفمند، هدفگذاری مجدد برنامهای، پخش مجدد جلسه، و تجزیهوتحلیل رفتاری را در عمل قطعاً در قلمرو opt-in قرار میدهد، حتی اگر قانون آن را هنوز در همه موارد اجباری نکرده باشد.
پیکربندی عملی CMP در ۲۰۲۶
اکثر ناشران فعال در استرالیا اکنون یک CMP را اجرا میکنند که یک بنر سهحالته ارائه میدهد: پذیرش، رد کردن، و سفارشیسازی. برای ترافیک EU یا UK، opt-in سختگیرانه است. برای ترافیک استرالیا، opt-in پیشفرض توصیهشده برای تبلیغات هدفمند و پخش مجدد جلسه است، در حالی که تجزیهوتحلیل اغلب میتواند تحت یک مدل اطلاعرسانی و انتخاب اجرا شود تا زمانی که익مخفیسازی IP و به حداقل رساندن داده اعمال شده باشد.
مسئولیت قانونی — چه چیزی را واقعاً ممکن میکند
مسئولیت قانونی جدید مهمترین تغییر برای تبلیغکنندگان دیجیتال از نظر عملی است. قبلاً، تنها OAIC میتوانست حقوق حریم خصوصی را اجرا کند، و راهحلهای فردی محدود بودند. مسئولیت قانونی این را تغییر میدهد.
نقض جدی حریم خصوصی چیست؟
این مسئولیت شامل رفتار عمدی یا بیتوجهانهای است که باعث یک نقض جدی حریم خصوصی میشود، یا از طریق ورود به انزوا یا از طریق سوءاستفاده از اطلاعات خصوصی. دادگاهها جدیت را در برابر منافع عمومی و سایر ملاحظات ارزیابی خواهند کرد.
چرا تبلیغکنندگان باید اهمیت دهند
ردیابی تهاجمی، بهویژه پخش مجدد جلسه که ضربات کلید و رفتار نشانگر را در صفحات حساس ضبط میکند، اثر انگشت که انصراف کاربر را دور میزند، یا پیوند غیرمجاز رفتار ناشناس به هویت نامگذاریشده — همه اینها اکنون پایههای واقعی قابل قبولی برای یک ادعای حقوقی هستند. انتظار میرود شرکتهای خواهان در سال ۲۰۲۶ مرزها را آزمایش کنند. استرالیا فرهنگ دعوای گروهی ایالات متحده را ندارد، اما اقدامات نمایندگی ممکن است و برخی شرکتها آشکارا برای آنها موضعگیری میکنند.
Children's Online Privacy Code
Children's Online Privacy Code تکه تنها مشخصترین مقررات جدید برای ناشرانی است که سایتهایشان احتمالاً توسط کودکان قابل دسترسی است.
چه کسی در محدوده است
این قانون برای خدمات رسانه اجتماعی، خدمات الکترونیکی مرتبطی که احتمالاً توسط کودکان قابل دسترسی است، و برخی خدمات اینترنتی تعیینشده اعمال میشود. در عمل، این بسیار فراتر از سایتهای خالص کودکان است — هر پلتفرم مخاطب عمومی که تعداد قابلتوجهی از اقلیتها به آن دسترسی دارند احتمالاً گرفتار خواهد شد، و انتظار میرود OAIC تفسیری فراگیر داشته باشد.
تعهدات اصلی مورد انتظار در قانون
- تنظیمات پیشفرض حریم خصوصی بالا برای کاربران زیر ۱۸ سال
- محدودیتهایی در تبلیغات هدفمند برای اقلیتها
- ممنوعیت بر الگوهای تاریک که کودکان را به سمت تنظیمات حریم خصوصی ضعیفتر سوق میدهند
- توضیحات متناسب با سن از پردازش داده
- ارزیابیهای بهترین منافع کودک قبل از استقرار ویژگیهایی که اطلاعات شخصی آنها را پردازش میکنند
آنچه اکنون باید آماده شود
ناشرانی که مخاطبانشان شامل تعداد قابلتوجهی از بازدیدکنندگان زیر ۱۸ سال است باید ممیزی پشته ردیابی، پیکربندی تبلیغات، و تنظیمات پیشفرض خود را قبل از نهاییسازی قانون شروع کنند. بازنگری بعد از واقعیت معمولاً گرانتر و مخربتر از طراحی انطباق در پشته از ابتدا است.
وضعیت اجرا در ۲۰۲۶
OAIC همراه با اصلاحات منابع بهطور قابلتوجهی افزایش یافته دریافت کرده است. فعالیت حسابرسی افزایش یافته، و کمیسیونر رویکرد اجرایی عمومیتری را نشان داده است.
جریمههای لازمالاجرا
حداکثر جریمه مدنی برای تداخل جدی یا مکرر در حریم خصوصی بزرگتر از این موارد است: ۵۰ میلیون AUD، سه برابر سودی که از رفتار به دست آمده، یا ۳۰ درصد گردش مالی تعدیلشده نهاد در طول دوره نقض. این اصلاح همچنین یک سطح دوم جریمه را برای هر تداخلی در حریم خصوصی که آستانه جدیت را برآورده نمیکند معرفی کرد، و به OAIC ابزارهای اجرایی کالیبرهتری میدهد.
نقضهای دادهای قابل اطلاعرسانی
استرالیا از سال ۲۰۱۸ یک برنامه اطلاعرسانی اجباری نقض داده دارد، و OAIC پس از رویدادهای بزرگ نقض داده استرالیایی در سالهای ۲۰۲۲ و ۲۰۲۳ بهطور آشکار در اجرا تهاجمی بوده است. هر رویداد مرتبط با کوکی یا ردیابی که منجر به افشای غیرمجاز شود احتمالاً در محدوده است.
انتقالهای مرزی و ترافیک جهانی
Australian Privacy Principle 8 مستلزم آن است که نهادها اقدامات معقولی برای اطمینان از اینکه دریافتکنندگان خارج از کشور اطلاعات شخصی را بهطور سازگار با APPها مدیریت میکنند انجام دهند. برای ناشری که از فناوری تبلیغاتی جهانی استفاده میکند، این به معنای یا یک حوزه قضایی با قوانین مشابه اساسی، یک تعهد الزامآور قراردادی از دریافتکننده خارجی، یا رضایت آگاهانه از فرد است.
انتقالها به ایالات متحده
ایالات متحده در حال حاضر به عنوان دارنده قوانین مشابه اساسی شناخته نمیشود. بنابراین انتقالها به فروشندگان فناوری تبلیغاتی آمریکایی نیازمند تعهدات قراردادی الزامآور یا رضایت صریح هستند. ناشرانی که به گواهینامههای Data Privacy Framework — که انتقالهای EU-آمریکا را پوشش میدهند — متکی هستند باید توجه داشته باشند که آن گواهینامهها الزام APP 8 استرالیا را بهطور خودکار برآورده نمیکنند.
چکلیست حسابرسی برای ترافیک استرالیا در ۲۰۲۶
- CMP گزینههای واضح پذیرش، رد کردن، و سفارشیسازی با برجستگی بصری برابر در ترافیک استرالیا ارائه میدهد
- تبلیغات هدفمند، هدفگذاری مجدد، و پخش مجدد جلسه نیازمند رضایت opt-in هستند؛ تجزیهوتحلیل تحت اطلاعرسانی به علاوه به حداقل رساندن داده اجرا میشود
- سیاست حریم خصوصی بهطور واضح کوکیها، ردیابی پیکسل، و شناسههای تبلیغاتی را با یک بیانیه هدف همسو با APP 3 و APP 6 شناسایی میکند
- مکانیسمهای انتقال مرزی برای هر پردازنده غیراسترالیایی مستند شده است (فهرست فروشندگان، حفاظتهای قراردادی، یا رضایت)
- تصمیمگیری خودکار افشا میشود که در آن تصمیمات مهمی با استفاده از چنین سیستمهایی گرفته میشود
- ارزیابی آمادگی Children's Online Privacy Code کامل است، با تنظیمات پیشفرض حریم خصوصی بالا برای کاربران اقلیت شناساییشده
- بررسی ریسک دوکسینگ برای هر عملکردی که میتواند اطلاعات شخصی ارسالی کاربر را منتشر کند کامل است
- برنامه پاسخ به نقض داده با پنجره اطلاعرسانی ۳۰ روزه و قالب گزارشدهی فعلی OAIC همسو است
چشمانداز ۲۰۲۶
استرالیا در میانه یک تغییر ساختاری از یک رژیم حریم خصوصی سبکتر به یکی که بهطور فزاینده شبیه به چارچوبهای اروپایی و کالیفرنیایی به نظر میرسد — با ویژگیهای استرالیایی خود — است. مرحله اول قبلاً قابل اجرا است و قبلاً در حال شکل دادن به دعاوی است. مرحله دوم، از جمله محدود کردن معافیت کسبوکارهای کوچک و تنظیم صریح تبلیغات هدفمند، احتمالاً در سال ۲۰۲۶ یا ۲۰۲۷ لازمالاجرا خواهد شد. ناشران و تبلیغکنندگانی که در یک پشته رضایت با درجه GDPR سرمایهگذاری کردهاند، در حال حاضر بیشتر ماشینآلاتی را که برای انطباق نیاز دارند دارند. آنهایی که به موضع تاریخی سبکتر استرالیا متکی بودهاند با شکافهای شناختهشده وارد رژیم جدید میشوند. حرکت درست این است که این شکافها را اکنون ببندید — قبل از اینکه مسئولیت قانونی، کد کودکان، یا یک حسابرسی OAIC سوال را در جدول زمانی که هیچکس کنترل نمیکند مجبور کند.