Ang Istruktura ng Repormang 2024-2026

Ang reporma ay isinasagawa sa dalawang bahagi, at ang una lamang ang ganap na naisakatuparan. Ang pag-unawa sa pagkakasunud-sunod ay mahalaga para malaman kung ano ang legal na may bisa kumpara sa darating pa.

Bahagi 1 — May Bisa Mula 2024-2025

Ang Privacy and Other Legislation Amendment Act 2024, na pinayagan noong Nobyembre 2024, ay naghatid ng ilang pagbabago na naaangkop na:

• Statutory tort para sa malalang paglabag sa privacy — maaaring direktang mag-sue ang mga indibidwal para sa malalang paglabag sa privacy, nang hindi na kailangang ipakita ang paglabag sa Privacy Act mismo
• Bagong civil penalties — ang OAIC ay maaaring humingi ng mga parusa para sa anumang pakikialam sa privacy, hindi lamang para sa malubha o paulit-ulit na mga paglabag
• Mga kinakailangan sa transparency para sa automated na paggawa ng desisyon — ang mga entity ay dapat ipahayag kung kailan ginagawa ang mahahalagang desisyon tungkol sa mga indibidwal gamit ang mga automated na sistema
• Kriminalisado ang doxxing — ang sinasadyang paglalathala ng personal na data upang makapinsala ay isang kriminal na pagkakasala na ngayon
• Children's Online Privacy Code — ang OAIC ay kinakailangang bumuo ng isang may bisa na code para sa mga serbisyong malamang na ma-access ng mga bata, na ang code ay ilalabas sa 2026

Bahagi 2 — Sa Aktibong Konsultasyon para sa 2026-2027

Ang ikalawang bahagi ay sumasaklaw sa mas malalim na mga pagbabago sa istruktura at nagtatrabaho sa pamamagitan ng kasunduan ng gobyerno sa 2025 at 2026. Ang mga inaasahang elemento ay kinabibilangan ng:

• Pag-alis o makabuluhang pagpapakitid ng small business exemption na kasalukuyang nagpapalaya sa mga entity na may taunang kita na wala sa AUD 3 milyon
• Isang mas malinaw na patas at makatwirang pagsubok na naaangkop sa bawat paghawak ng personal na impormasyon, malaya sa consent
• Malinaw na regulasyon ng naka-target na advertising, na may opt-in consent na malamang para sa mga sensitibong kategorya
• Isang bagong karapatang burahin, na nagdadala ng batas ng Australia na mas malapit sa GDPR
• Mas mahigpit na kontrol sa cross-border na paglilipat ng data

Ano ang Itinuturing na Personal na Impormasyon sa Ilalim ng Batas ng Australia

Ang Australian Privacy Act ay malawak na nagbibigay-kahulugan sa personal na impormasyon. Sumasaklaw ito sa anumang impormasyon tungkol sa isang natukoy o makatwirang matutukoy na indibidwal, at ang OAIC ay nagbibigay-kahulugan sa makatwirang matutukoy upang isama ang mga online na identifier, mga ID ng device, mga IP address na pinagsama sa ibang data, at mga advertising identifier. Sa pagsasagawa, ang cookies, pixel tracking, device fingerprinting, at mga identity graph na ginagamit para sa cross-site advertising ay lahat ay nagpoproseso ng personal na impormasyon sa ilalim ng batas ng Australia at ganap na nasa saklaw ng pagsunod sa Australian Privacy Principles (APP).

Paano Gumagana ang Cookie Consent sa Ilalim ng Batas ng Australia sa 2026

Ang batas ng Australia ay kasalukuyang hindi nangangailangan ng buong GDPR-style na opt-in banner para sa lahat ng cookies. Ngunit hindi rin ito isang libreng para-sa-lahat, at ilang kamakailang pag-unlad ang nagtaas ng pamantayan.

APP 3 — Ang Koleksyon ay Nangangailangan ng Abiso

Ang Australian Privacy Principle 3 ay nangangailangan na ang personal na impormasyon ay makolekta lamang sa pamamagitan ng maayos at patas na mga paraan, na may abiso ng mga layunin. Para sa mga cookies na nangongolekta ng personal na impormasyon, nangangahulugan ito na ang isang nakikita at nagbibigay-impormasyon na abiso ay dapat iharap bago o sa oras ng koleksyon. Ang nakatagong tracking ay hindi nakakatugon sa APP 3.

APP 6 — Ang Paggamit at Pagbubunyag ay Nangangailangan ng Pagtutugma ng Layunin

Ang personal na impormasyon ay maaari lamang gamitin para sa layuning kinolekta ito, para sa isang makatwirang kaugnay na pangalawang layunin, o sa pahintulot ng indibidwal. Ang pagbabahagi ng data na nagmula sa cookie sa isang digital na platform ng advertising para sa cross-context na behavioral na advertising ay karaniwang nasa labas ng pangunahing layunin, na nagtutulak nito tungo sa consent.

Gabay ng OAIC sa Tracking

Ang gabay ng OAIC noong 2024 sa mga teknolohiya sa tracking ay malinaw: ang mga entity ay dapat magbigay ng malinaw na mekanismo para sa mga indibidwal na mag-opt out ng tracking, at para sa anumang kaso ng paggamit na kinabibilangan ng sensitibong impormasyon o profiling para sa mahahalagang desisyon, inaasahan ng OAIC ang opt-in consent. Inilalagay nito ang naka-target na advertising, programmatic retargeting, session replay, at behavioral analytics nang tiyak sa lupain ng opt-in sa pagsasagawa, kahit na ang batas ay hindi pa ito naging sapilitan sa bawat kaso.

Ang Praktikal na CMP Configuration para sa 2026

Karamihan sa mga publisher na nag-ooperate sa Australia ay nagpapatakbo na ngayon ng isang CMP na nagpapakita ng three-state banner: Tanggapin, Tanggihan, at I-customize. Para sa trapiko ng EU o UK, mahigpit ang opt-in. Para sa trapikong Australiano, ang opt-in ang inirerekomendang default para sa naka-target na advertising at session replay, habang ang analytics ay madalas na maaaring patakbuhin sa ilalim ng isang modelo ng abiso at pagpipilian basta naka-angkop ang IP anonymization at data minimization.

Ang Statutory Tort — Ano Talaga ang Pinapahintulutan Nito

Ang bagong statutory tort ang pinaka-makabuluhang pagbabago para sa mga digital advertiser sa praktikal na mga tuntunin. Dati, ang OAIC lamang ang maaaring magpatupad ng mga karapatang pangkaligtasan, at ang mga indibidwal na lunas ay limitado. Binabago ng statutory tort ito.

Ano ang Isang Malalang Paglabag sa Privacy?

Ang tort ay sumasaklaw sa sinasadya o walang ingat na pag-uugali na nagdudulot ng isang malalang paglabag sa privacy, alinman sa pamamagitan ng panghihimasok sa kalayaan o sa pamamagitan ng maling paggamit ng pribadong impormasyon. Ang mga hukuman ay titimbang ng pagiging seryoso laban sa pampublikong interes at iba pang mga pagsasaalang-alang.

Bakit Dapat Mag-alala ang mga Advertiser

Agresibong tracking, lalo na ang session replay na nakakakuha ng mga keystroke at kilos ng cursor sa mga sensitibong pahina, fingerprinting na lumiligtas sa opt-out ng isang user, o hindi awtorisadong pag-uugnay ng hindi kilalang pag-uugali sa isang pinangalanang pagkakakilanlan — lahat ng ito ay ngayon ay mga makatwirang katotohanang batayan para sa isang tortious na paghahabol. Asahang ang mga kumpanya ng mga naghahabol ay magsisimulang subukan ang mga hangganan sa 2026. Wala ang Australia sa kultura ng class-action ng Estados Unidos, ngunit posible ang mga representative action at ang ilang mga kumpanya ay malinaw na nagpoposisyon para sa mga ito.

Children's Online Privacy Code

Ang Children's Online Privacy Code ang pinaka-tiyak na piraso ng bagong regulasyon para sa mga publisher na ang mga site ay malamang na ma-access ng mga bata.

Sino ang Nasa Saklaw

Ang Code ay naaangkop sa mga social media service, mga kaugnay na serbisyong elektroniko na malamang na ma-access ng mga bata, at ilang itinalagang internet service. Sa pagsasagawa, lumalagpas ito nang malayo sa mga purong site ng mga bata — anumang pangkalahatang platform na ina-access ng makabuluhang bilang ng mga menor de edad ay malamang na mapapasama, at inaasahang kukuha ang OAIC ng inklusibong pagbabasa.

Mga Pangunahing Obligasyon na Inaasahan sa Code

• Mga setting ng default na may mataas na privacy para sa mga gumagamit na wala pang 18 taong gulang
• Mga paghihigpit sa naka-target na advertising para sa mga menor de edad
• Mga pagbabawal sa mga dark pattern na nagtutulak sa mga bata tungo sa mas mahinang mga setting ng privacy
• Mga paliwanag na angkop sa edad ng pamamahala ng data
• Mga pagtatasa ng pinakamahusay na interes ng bata bago mag-deploy ng mga tampok na nagpoproseso ng kanilang personal na impormasyon

Ano ang Ihahanda Ngayon

Ang mga publisher na ang audience ay kinabibilangan ng makabuluhang bilang ng mga bisita na wala pang 18 taong gulang ay dapat magsimulang mag-audit ng kanilang tracking stack, advertising configuration, at mga default na setting bago mapagtibay ang Code. Ang pagbabago pagkatapos ng katotohanan ay karaniwang mas mahal at mas nakakaabala kaysa sa pagdidisenyo ng pagsunod sa stack mula sa simula.

Postura ng Pagpapatupad sa 2026

Ang OAIC ay nakatanggap ng makabuluhang pinahusay na mga mapagkukunan kasabay ng mga reporma. Nadagdagan ang aktibidad ng pag-audit, at nagpahiwatig ang Commissioner ng mas pampublikong diskarte sa pagpapatupad.

Mga Parusa sa Bisa

Ang maximum na civil penalty para sa malubha o paulit-ulit na pakikialam sa privacy ay ang mas malaki sa: AUD 50 milyon, tatlong beses ang benepisyong nakuha mula sa pag-uugali, o 30 porsyento ng inayos na kita ng entity sa panahon ng paglabag. Ipinakilala rin ng reporma ang pangalawang antas ng parusa para sa anumang pakikialam sa privacy na hindi nakakatugon sa threshold ng pagiging seryoso, na nagbibigay sa OAIC ng mas kalibrasyong mga kasangkapan sa pagpapatupad.

Mga Mapapansin na Paglabag sa Data

Ang Australia ay may mandatoryong scheme ng abiso sa paglabag sa data mula pa noong 2018, at ang OAIC ay kitang-kitang agresibo sa pagpapatupad kasunod ng mga pangunahing insidente ng paglabag sa data ng Australia noong 2022 at 2023. Anumang insidente na may kaugnayan sa cookie o tracking na humahantong sa hindi awtorisadong pagbubunyag ay malamang na nasa saklaw.

Mga Cross-Border na Paglilipat at Pandaigdigang Trapiko

Ang Australian Privacy Principle 8 ay nangangailangan na ang mga entity ay gumawa ng makatwirang mga hakbang upang matiyak na ang mga overseas na tatanggap ay humawak ng personal na impormasyon nang naaayon sa mga APP. Para sa isang publisher na gumagamit ng pandaigdigang ad tech, nangangahulugan ito ng alinman sa isang hurisdiksyon na may halos katulad na mga batas, isang kontraktwal na umaangkop na pangako mula sa overseas na tatanggap, o impormasyon na consent mula sa indibidwal.

Mga Paglilipat sa Estados Unidos

Ang Estados Unidos ay kasalukuyang hindi kinikilala bilang may halos katulad na mga batas. Ang mga paglilipat sa mga vendor ng ad tech ng Estados Unidos ay nangangailangan kaya alinman sa mga umaangkop na kontraktwal na pangako o malinaw na consent. Ang mga publisher na umaasa sa mga sertipikasyon ng Data Privacy Framework — na sumasaklaw sa mga paglilipat ng EU-US — ay dapat tandaan na ang mga sertipikasyong iyon ay hindi awtomatikong nakakatugon sa kinakailangan ng Australian APP 8.

Audit Checklist para sa Trapikong Australiano sa 2026

• Nagpapakita ang CMP ng malinaw na mga opsyon na Tanggapin, Tanggihan, at I-customize na may pantay na visual na kahalagahan sa trapikong Australiano
• Ang naka-target na advertising, retargeting, at session replay ay nangangailangan ng opt-in consent; ang analytics ay nagpapatakbo sa ilalim ng abiso kasama ang data minimization
• Malinaw na kinukumpirma ng patakaran sa privacy ang mga cookies, pixel tracking, at mga advertising identifier, na may pahayag ng layunin na naka-align sa APP 3 at APP 6
• Ang mga mekanismo ng paglilipat sa ibang bansa ay dokumentado para sa bawat hindi Australianong processor (listahan ng vendor, mga proteksyong kontraktwal, o consent)
• Ang automated na paggawa ng desisyon ay inihahayag kung saan ginagawa ang mahahalagang desisyon gamit ang mga naturang sistema
• Ang pagtatasa ng pagiging handa ng Children's Online Privacy Code ay kumpleto, na may mga default na setting ng mataas na privacy na available para sa mga natukoy na menor de edad na gumagamit
• Ang pagsusuri ng panganib ng doxxing ay kumpleto para sa anumang functionality na maaaring maglathala ng personal na impormasyong isinumite ng gumagamit
• Ang plano ng tugon sa paglabag sa data ay naka-align sa 30-araw na window ng abiso at kasalukuyang format ng pag-uulat ng OAIC

Ang Outlook para sa 2026

Ang Australia ay nasa gitna ng isang istrukturang pagbabago mula sa isang mas magaang na rehimen ng privacy tungo sa isa na lumilitaw na katulad ng mga European at Californian na balangkas — na may sariling mga katangian ng Australia. Ang unang bahagi ay napapatupad na at binabago na ang litigasyon. Ang ikalawang bahagi, kabilang ang pagpapakitid ng small business exemption at malinaw na regulasyon ng naka-target na advertising, ay malamang na magkabisa sa 2026 o 2027. Ang mga publisher at advertiser na namuhunan sa isang GDPR-grade na consent stack ay mayroon nang karamihan ng makinarya na kailangan nila upang sumunod. Ang mga umaasa sa makasaysayang mas magaang na postura ng Australia ay pumapasok sa bagong rehimen na may mga kilalang kakulangan. Ang tamang hakbang ay isara ang mga kakulangan na iyon ngayon — bago ang statutory tort, ang Children's Code, o isang OAIC audit ang pumilit sa tanong sa isang timeline na walang sinuman ang kontrolin.