ऑस्ट्रेलियाई गोपनीयता अधिनियम सुधार 2026: कुकी सहमति, वैधानिक अपकार और बाल ऑनलाइन गोपनीयता संहिता के लिए प्रकाशकों और विज्ञापनदाताओं की मार्गदर्शिका
पिछले दो दशकों के अधिकांश समय में, ऑस्ट्रेलियाई गोपनीयता कानून अपने यूरोपीय या अमेरिकी समकक्षों की तुलना में शांत रहा है। वह युग समाप्त हो गया है। नवंबर 2024 में पारित Privacy and Other Legislation Amendment Act 2024, एक पीढ़ी में Privacy Act 1988 का सबसे बड़ा सुधार है। यह गोपनीयता के गंभीर उल्लंघनों के लिए वैधानिक अपकार, Office of the Australian Information Commissioner (OAIC) के लिए मजबूत प्रवर्तन शक्तियाँ, एक समर्पित Children's Online Privacy Code, स्वचालित निर्णय-निर्माण के लिए महत्वपूर्ण नई पारदर्शिता आवश्यकताएँ और अधिकांश लक्षित विज्ञापन के लिए opt-in सहमति की ओर एक स्पष्ट मार्ग प्रस्तुत करता है। यदि आप 2026 में ऑस्ट्रेलियाई बाज़ार में डिजिटल विज्ञापन, विश्लेषण, या कोई भी उपयोगकर्ता ट्रैकिंग चलाते हैं, तो यह सुधार आपकी अनुपालन ज़िम्मेदारियों को ऐसे तरीके से नया रूप देता है जिसे आप नज़रअंदाज़ नहीं कर सकते। यह मार्गदर्शिका बताती है कि क्या बदल गया है, क्या अभी आना बाकी है, और प्रकाशकों और विज्ञापनदाताओं को अभी ठीक-ठीक क्या करना चाहिए।
2024-2026 सुधार की संरचना
सुधार दो चरणों में लागू किया जा रहा है, और केवल पहला पूरी तरह से लागू हुआ है। यह जानने के लिए कि कानूनी रूप से क्या लागू है बनाम क्या आने वाला है, अनुक्रम को समझना महत्वपूर्ण है।
चरण 1 — 2024-2025 से लागू
Privacy and Other Legislation Amendment Act 2024, जो नवंबर 2024 में स्वीकृत हुआ, ने कई परिवर्तन किए जो पहले से ही लागू हैं:
- गोपनीयता के गंभीर उल्लंघनों के लिए वैधानिक अपकार — व्यक्ति Privacy Act के उल्लंघन को साबित किए बिना गंभीर गोपनीयता उल्लंघनों के लिए सीधे मुकदमा कर सकते हैं
- नए सिविल दंड — OAIC किसी भी गोपनीयता में हस्तक्षेप के लिए जुर्माना माँग सकता है, केवल गंभीर या बार-बार के उल्लंघनों के लिए नहीं
- स्वचालित निर्णय-निर्माण के लिए पारदर्शिता आवश्यकताएँ — संस्थाओं को यह बताना होगा कि स्वचालित प्रणालियों का उपयोग करके व्यक्तियों के बारे में महत्वपूर्ण निर्णय कब लिए जाते हैं
- डॉक्सिंग को आपराधिक बनाया गया — नुकसान पहुँचाने के इरादे से व्यक्तिगत डेटा का जानबूझकर प्रकाशन अब एक आपराधिक अपराध है
- Children's Online Privacy Code — OAIC को उन सेवाओं के लिए एक बाध्यकारी संहिता विकसित करनी होगी जिन तक बच्चे संभवतः पहुँच सकते हैं, जो 2026 में आने वाली है
चरण 2 — 2026-2027 के लिए सक्रिय परामर्श में
दूसरा चरण अधिक संरचनात्मक परिवर्तनों को कवर करता है और 2025 और 2026 में सरकारी समझौते के माध्यम से काम कर रहा है। अपेक्षित तत्वों में शामिल हैं:
- लघु व्यवसाय छूट को हटाना या उल्लेखनीय रूप से संकुचित करना जो वर्तमान में 3 मिलियन AUD से कम वार्षिक कारोबार वाली संस्थाओं को छूट देती है
- एक स्पष्टतर उचित और उचित परीक्षण जो सहमति से स्वतंत्र रूप से व्यक्तिगत जानकारी के प्रत्येक संचालन पर लागू होता है
- लक्षित विज्ञापन का स्पष्ट विनियमन, संवेदनशील श्रेणियों के लिए संभवतः opt-in सहमति के साथ
- एक नया मिटाने का अधिकार, ऑस्ट्रेलियाई कानून को GDPR के करीब लाना
- सीमा पार डेटा स्थानांतरण पर कड़े नियंत्रण
ऑस्ट्रेलियाई कानून के तहत व्यक्तिगत जानकारी क्या मानी जाती है
ऑस्ट्रेलियाई Privacy Act व्यक्तिगत जानकारी को व्यापक रूप से परिभाषित करता है। यह किसी पहचाने गए या उचित रूप से पहचाने जाने योग्य व्यक्ति के बारे में किसी भी जानकारी को कवर करता है, और OAIC उचित रूप से पहचाने जाने योग्य को ऑनलाइन पहचानकर्ताओं, डिवाइस ID, अन्य डेटा के साथ संयुक्त IP पतों और विज्ञापन पहचानकर्ताओं को शामिल करने के रूप में व्याख्या करता है। व्यवहार में, कुकीज़, पिक्सेल ट्रैकिंग, डिवाइस फिंगरप्रिंटिंग और क्रॉस-साइट विज्ञापन के लिए उपयोग किए जाने वाले पहचान ग्राफ़ सभी ऑस्ट्रेलियाई कानून के तहत व्यक्तिगत जानकारी संसाधित करते हैं और Australian Privacy Principles (APP) अनुपालन के दायरे में पूरी तरह से आते हैं।
2026 में ऑस्ट्रेलियाई कानून के तहत कुकी सहमति कैसे काम करती है
ऑस्ट्रेलियाई कानून वर्तमान में सभी कुकीज़ के लिए पूर्ण GDPR-शैली की opt-in बैनर की आवश्यकता नहीं करता है। लेकिन यह एक मुक्त-for-all भी नहीं है, और कई हालिया विकासों ने मानक को ऊँचा किया है।
APP 3 — संग्रह के लिए सूचना आवश्यक है
Australian Privacy Principle 3 की आवश्यकता है कि व्यक्तिगत जानकारी केवल कानूनी और उचित साधनों द्वारा, उद्देश्यों की सूचना के साथ एकत्र की जाए। व्यक्तिगत जानकारी एकत्र करने वाली कुकीज़ के लिए, इसका मतलब है कि संग्रह से पहले या उस समय एक दृश्यमान, जानकारीपूर्ण सूचना प्रस्तुत की जानी चाहिए। छिपी हुई ट्रैकिंग APP 3 को संतुष्ट नहीं करती।
APP 6 — उपयोग और प्रकटीकरण के लिए उद्देश्य मिलान आवश्यक है
व्यक्तिगत जानकारी का उपयोग केवल उस उद्देश्य के लिए किया जा सकता है जिसके लिए इसे एकत्र किया गया था, एक उचित रूप से संबंधित द्वितीयक उद्देश्य के लिए, या व्यक्ति की सहमति से। क्रॉस-संदर्भ व्यवहार संबंधी विज्ञापन के लिए डिजिटल विज्ञापन प्लेटफ़ॉर्म के साथ कुकी-प्राप्त डेटा साझा करना आमतौर पर प्राथमिक उद्देश्य से बाहर आता है, जो इसे सहमति की ओर धकेलता है।
ट्रैकिंग पर OAIC मार्गदर्शन
ट्रैकिंग तकनीकों पर OAIC की 2024 की मार्गदर्शिका स्पष्ट है: संस्थाओं को व्यक्तियों के लिए ट्रैकिंग से बाहर निकलने का एक स्पष्ट तंत्र प्रदान करना चाहिए, और किसी भी उपयोग के मामले के लिए जिसमें संवेदनशील जानकारी या महत्वपूर्ण निर्णयों के लिए प्रोफाइलिंग शामिल है, OAIC opt-in सहमति की अपेक्षा करता है। यह लक्षित विज्ञापन, प्रोग्रामेटिक रीटार्गेटिंग, सेशन रिप्ले और व्यवहार संबंधी विश्लेषण को व्यवहार में दृढ़ता से opt-in क्षेत्र में रखता है, भले ही कानून ने इसे हर मामले में अनिवार्य नहीं किया हो।
2026 के लिए व्यावहारिक CMP कॉन्फ़िगरेशन
ऑस्ट्रेलिया में काम करने वाले अधिकांश प्रकाशक अब एक CMP चलाते हैं जो तीन-अवस्था वाला बैनर प्रस्तुत करता है: स्वीकार करें, अस्वीकार करें और अनुकूलित करें। EU या UK ट्रैफ़िक के लिए, opt-in सख्त है। ऑस्ट्रेलियाई ट्रैफ़िक के लिए, लक्षित विज्ञापन और सेशन रिप्ले के लिए opt-in अनुशंसित डिफ़ॉल्ट है, जबकि जब तक IP अनामीकरण और डेटा न्यूनीकरण लागू हैं, विश्लेषण अक्सर एक सूचना-और-चुनाव मॉडल के तहत चल सकता है।
वैधानिक अपकार — यह वास्तव में क्या सक्षम बनाता है
नया वैधानिक अपकार व्यावहारिक दृष्टि से डिजिटल विज्ञापनदाताओं के लिए सबसे महत्वपूर्ण परिवर्तन है। पहले, केवल OAIC ही गोपनीयता अधिकारों को लागू कर सकता था, और व्यक्तिगत उपचार सीमित थे। वैधानिक अपकार यह बदल देता है।
गोपनीयता का गंभीर उल्लंघन क्या है?
अपकार जानबूझकर या लापरवाही से किए गए ऐसे आचरण को कवर करता है जो गोपनीयता का गंभीर उल्लंघन करता है, या तो एकांत में घुसपैठ के माध्यम से या निजी जानकारी के दुरुपयोग के माध्यम से। न्यायालय सार्वजनिक हित और अन्य विचारों के मुकाबले गंभीरता को तौलेंगे।
विज्ञापनदाताओं को क्यों परवाह करनी चाहिए
आक्रामक ट्रैकिंग, विशेष रूप से सेशन रिप्ले जो संवेदनशील पृष्ठों पर कीस्ट्रोक और कर्सर व्यवहार कैप्चर करता है, फिंगरप्रिंटिंग जो उपयोगकर्ता के opt-out को दरकिनार करती है, या नामित पहचान के साथ अज्ञात व्यवहार की अनधिकृत लिंकिंग — ये सभी अब एक अपकारी दावे के लिए विश्वसनीय तथ्यात्मक आधार हैं। उम्मीद करें कि वादी फर्में 2026 में सीमाओं का परीक्षण करना शुरू करेंगी। ऑस्ट्रेलिया में संयुक्त राज्य अमेरिका की class-action संस्कृति नहीं है, लेकिन प्रतिनिधि कार्रवाइयाँ संभव हैं और कुछ फर्में स्पष्ट रूप से उनके लिए खुद को स्थापित कर रही हैं।
Children's Online Privacy Code
Children's Online Privacy Code उन प्रकाशकों के लिए नए विनियमन का सबसे विशिष्ट टुकड़ा है जिनकी साइटें संभवतः बच्चों द्वारा एक्सेस की जाती हैं।
कौन दायरे में है
संहिता सोशल मीडिया सेवाओं, बच्चों द्वारा एक्सेस किए जाने की संभावना वाली प्रासंगिक इलेक्ट्रॉनिक सेवाओं और कुछ नामित इंटरनेट सेवाओं पर लागू होती है। व्यवहार में, यह शुद्ध बाल साइटों से बहुत आगे पहुँचती है — कोई भी सामान्य-दर्शक प्लेटफ़ॉर्म जिस तक अल्पसंख्यकों की उल्लेखनीय संख्या पहुँचती है, उसे शामिल किए जाने की संभावना है, और OAIC से एक समावेशी पठन अपनाने की उम्मीद है।
संहिता में अपेक्षित मुख्य दायित्व
- 18 वर्ष से कम उम्र के उपयोगकर्ताओं के लिए उच्च-गोपनीयता डिफ़ॉल्ट सेटिंग्स
- अल्पसंख्यकों के लिए लक्षित विज्ञापन पर प्रतिबंध
- डार्क पैटर्न पर प्रतिबंध जो बच्चों को कमज़ोर गोपनीयता सेटिंग्स की ओर धकेलते हैं
- डेटा प्रबंधन की आयु-उपयुक्त व्याख्याएँ
- उन सुविधाओं को तैनात करने से पहले बच्चे के सर्वोत्तम हित के आकलन जो उनकी व्यक्तिगत जानकारी संसाधित करते हैं
अभी क्या तैयार करें
जिन प्रकाशकों के दर्शकों में 18 वर्ष से कम के महत्वपूर्ण संख्या में आगंतुक शामिल हैं, उन्हें संहिता के अंतिम रूप दिए जाने से पहले अपनी ट्रैकिंग स्टैक, विज्ञापन कॉन्फ़िगरेशन और डिफ़ॉल्ट सेटिंग्स का ऑडिट करना शुरू करना चाहिए। तथ्य के बाद रेट्रोफिटिंग आमतौर पर शुरू से स्टैक में अनुपालन डिज़ाइन करने की तुलना में अधिक महंगी और अधिक विघटनकारी है।
2026 में प्रवर्तन स्थिति
OAIC को सुधारों के साथ-साथ उल्लेखनीय रूप से बढ़े हुए संसाधन मिले हैं। ऑडिट गतिविधि बढ़ गई है, और आयुक्त ने अधिक सार्वजनिक प्रवर्तन दृष्टिकोण का संकेत दिया है।
लागू जुर्माना
गोपनीयता के गंभीर या बार-बार के हस्तक्षेप के लिए अधिकतम सिविल जुर्माना निम्न में से अधिक है: 50 मिलियन AUD, आचरण से प्राप्त लाभ का तीन गुना, या उल्लंघन अवधि के दौरान संस्था के समायोजित कारोबार का 30 प्रतिशत। सुधार ने गोपनीयता के किसी भी हस्तक्षेप के लिए जो गंभीरता की सीमा को पूरा नहीं करता है, जुर्माने का एक दूसरा स्तर भी पेश किया, जिससे OAIC को अधिक कैलिब्रेटेड प्रवर्तन उपकरण मिले।
अधिसूचित करने योग्य डेटा उल्लंघन
ऑस्ट्रेलिया में 2018 से एक अनिवार्य डेटा उल्लंघन अधिसूचना योजना है, और OAIC 2022 और 2023 के प्रमुख ऑस्ट्रेलियाई डेटा उल्लंघन घटनाओं के बाद प्रवर्तन में स्पष्ट रूप से आक्रामक रहा है। कुकी या ट्रैकिंग से संबंधित कोई भी घटना जो अनधिकृत प्रकटीकरण की ओर ले जाती है, संभवतः दायरे में होगी।
सीमा पार स्थानांतरण और वैश्विक ट्रैफ़िक
Australian Privacy Principle 8 की आवश्यकता है कि संस्थाएँ यह सुनिश्चित करने के लिए उचित कदम उठाएँ कि विदेशी प्राप्तकर्ता APP के साथ लगातार व्यक्तिगत जानकारी को संभालें। वैश्विक ऐड टेक का उपयोग करने वाले प्रकाशक के लिए, इसका अर्थ है या तो पर्याप्त समान कानूनों वाला एक क्षेत्राधिकार, विदेशी प्राप्तकर्ता से एक संविदात्मक बाध्यकारी प्रतिबद्धता, या व्यक्ति से सूचित सहमति।
संयुक्त राज्य अमेरिका को स्थानांतरण
अमेरिका को वर्तमान में पर्याप्त समान कानूनों वाले देश के रूप में मान्यता नहीं दी गई है। इसलिए अमेरिकी ऐड टेक विक्रेताओं को स्थानांतरण के लिए बाध्यकारी संविदात्मक प्रतिबद्धताएँ या स्पष्ट सहमति की आवश्यकता होती है। Data Privacy Framework प्रमाणन पर भरोसा करने वाले प्रकाशक — जो EU-US स्थानांतरण को कवर करते हैं — को ध्यान देना चाहिए कि वे प्रमाणन स्वचालित रूप से ऑस्ट्रेलियाई APP 8 आवश्यकता को संतुष्ट नहीं करते।
2026 में ऑस्ट्रेलियाई ट्रैफ़िक के लिए ऑडिट चेकलिस्ट
- CMP ऑस्ट्रेलियाई ट्रैफ़िक पर समान दृश्य प्रमुखता के साथ स्पष्ट स्वीकार करें, अस्वीकार करें और अनुकूलित करें विकल्प प्रस्तुत करता है
- लक्षित विज्ञापन, रीटार्गेटिंग और सेशन रिप्ले को opt-in सहमति की आवश्यकता है; विश्लेषण सूचना के साथ डेटा न्यूनीकरण के तहत चलता है
- गोपनीयता नीति APP 3 और APP 6 के साथ संरेखित उद्देश्य विवरण के साथ कुकीज़, पिक्सेल ट्रैकिंग और विज्ञापन पहचानकर्ताओं को स्पष्ट रूप से पहचानती है
- सीमा पार स्थानांतरण तंत्र प्रत्येक गैर-ऑस्ट्रेलियाई प्रोसेसर के लिए दस्तावेज़ीकृत हैं (विक्रेता सूची, संविदात्मक सुरक्षा, या सहमति)
- स्वचालित निर्णय-निर्माण का खुलासा किया जाता है जहाँ ऐसी प्रणालियों का उपयोग करके महत्वपूर्ण निर्णय लिए जाते हैं
- Children's Online Privacy Code तत्परता मूल्यांकन पूर्ण है, जिसमें पता लगाए गए अल्पवयस्क उपयोगकर्ताओं के लिए उच्च-गोपनीयता डिफ़ॉल्ट उपलब्ध हैं
- डॉक्सिंग जोखिम समीक्षा किसी भी कार्यक्षमता के लिए पूर्ण है जो उपयोगकर्ता द्वारा सबमिट की गई व्यक्तिगत जानकारी प्रकाशित कर सकती है
- डेटा उल्लंघन प्रतिक्रिया योजना 30-दिवसीय अधिसूचना विंडो और वर्तमान OAIC रिपोर्टिंग प्रारूप के साथ संरेखित है
2026 का दृष्टिकोण
ऑस्ट्रेलिया एक हल्के-स्पर्श गोपनीयता शासन से ऐसे शासन की ओर एक संरचनात्मक बदलाव के बीच में है जो यूरोपीय और कैलिफोर्नियाई ढाँचों के समान दिखता है — अपनी ऑस्ट्रेलियाई विशेषताओं के साथ। पहला चरण पहले से ही लागू करने योग्य है और पहले से ही मुकदमेबाज़ी को नया रूप दे रहा है। दूसरा चरण, जिसमें लघु व्यवसाय छूट का संकुचन और लक्षित विज्ञापन का स्पष्ट विनियमन शामिल है, 2026 या 2027 में लागू होने की संभावना है। जिन प्रकाशकों और विज्ञापनदाताओं ने GDPR-ग्रेड सहमति स्टैक में निवेश किया है, उनके पास पहले से ही अनुपालन के लिए आवश्यक अधिकांश तंत्र हैं। जो लोग ऑस्ट्रेलिया की ऐतिहासिक रूप से हल्की स्थिति पर निर्भर रहे हैं, वे ज्ञात अंतरालों के साथ नए शासन में प्रवेश कर रहे हैं। सही कदम अब उन अंतरालों को बंद करना है — इससे पहले कि वैधानिक अपकार, बाल संहिता, या OAIC ऑडिट उस समयसीमा पर प्रश्न को मजबूर करे जिसे कोई नहीं नियंत्रित करता।