Struktur Reformasi 2024–2026

Reformasi ini diluncurkan dalam dua tahap, dan hanya tahap pertama yang telah sepenuhnya berlaku. Memahami urutan ini penting untuk mengetahui apa yang berlaku secara hukum versus apa yang akan datang.

Tahap 1 — Berlaku sejak 2024–2025

Privacy and Other Legislation Amendment Act 2024, yang disetujui pada November 2024, menghadirkan beberapa perubahan yang sudah berlaku:

• Tort undang-undang untuk pelanggaran privasi yang serius — individu dapat langsung menggugat atas pelanggaran privasi yang serius, tanpa perlu membuktikan adanya pelanggaran Privacy Act itu sendiri
• Denda perdata baru — OAIC dapat meminta denda untuk setiap gangguan terhadap privasi, tidak hanya untuk pelanggaran yang serius atau berulang
• Persyaratan transparansi untuk pengambilan keputusan otomatis — entitas harus mengungkapkan kapan keputusan signifikan tentang individu dibuat menggunakan sistem otomatis
• Doxing dikriminalisasi — publikasi data pribadi yang disengaja untuk menyebabkan kerugian kini merupakan tindak pidana
• Children's Online Privacy Code — OAIC diwajibkan untuk mengembangkan kode yang mengikat untuk layanan yang kemungkinan dapat diakses oleh anak-anak, dengan kode yang akan berlaku pada 2026

Tahap 2 — Dalam Konsultasi Aktif untuk 2026–2027

Tahap kedua mencakup perubahan yang lebih struktural dan sedang diproses melalui kesepakatan pemerintah pada 2025 dan 2026. Elemen yang diharapkan meliputi:

• Penghapusan atau penyempitan signifikan dari pengecualian usaha kecil yang saat ini membebaskan entitas dengan omset tahunan di bawah AUD 3 juta
• Uji adil dan wajar yang lebih jelas yang berlaku untuk setiap penanganan informasi pribadi, terlepas dari persetujuan
• Regulasi eksplisit dari iklan bertarget, dengan persetujuan opt-in kemungkinan untuk kategori sensitif
• Hak baru untuk penghapusan, membawa hukum Australia lebih dekat ke GDPR
• Kontrol yang lebih ketat pada transfer data lintas batas

Apa yang Dihitung sebagai Informasi Pribadi di Bawah Hukum Australia

Privacy Act Australia mendefinisikan informasi pribadi secara luas. Ini mencakup informasi apa pun tentang individu yang teridentifikasi atau dapat diidentifikasi secara wajar, dan OAIC menafsirkan dapat diidentifikasi secara wajar untuk mencakup pengidentifikasi online, ID perangkat, alamat IP yang dikombinasikan dengan data lain, dan pengidentifikasi periklanan. Dalam praktiknya, cookie, pelacakan piksel, sidik jari perangkat, dan grafik identitas yang digunakan untuk iklan lintas situs semuanya memproses informasi pribadi berdasarkan hukum Australia dan sepenuhnya dalam cakupan kepatuhan Australian Privacy Principles (APP).

Cara Kerja Persetujuan Cookie di Bawah Hukum Australia pada 2026

Hukum Australia saat ini tidak memerlukan banner opt-in bergaya GDPR penuh untuk semua cookie. Namun juga bukan sistem bebas untuk semua, dan beberapa perkembangan terkini telah memperketat standarnya.

APP 3 — Pengumpulan Memerlukan Pemberitahuan

Australian Privacy Principle 3 mensyaratkan bahwa informasi pribadi hanya dikumpulkan dengan cara yang sah dan adil, dengan pemberitahuan tujuannya. Untuk cookie yang mengumpulkan informasi pribadi, ini berarti pemberitahuan yang terlihat dan informatif harus disajikan sebelum atau pada saat pengumpulan. Pelacakan tersembunyi tidak memenuhi APP 3.

APP 6 — Penggunaan dan Pengungkapan Memerlukan Kecocokan Tujuan

Informasi pribadi hanya dapat digunakan untuk tujuan yang dikumpulkan, untuk tujuan sekunder yang terkait secara wajar, atau dengan persetujuan individu. Berbagi data yang berasal dari cookie dengan platform periklanan digital untuk iklan perilaku lintas konteks biasanya berada di luar tujuan utama, yang mendorongnya ke arah persetujuan.

Panduan OAIC tentang Pelacakan

Panduan OAIC 2024 tentang teknologi pelacakan tidak ambigu: entitas harus menyediakan mekanisme yang jelas bagi individu untuk menonaktifkan pelacakan, dan untuk setiap kasus penggunaan yang melibatkan informasi sensitif atau pembuatan profil untuk keputusan signifikan, OAIC mengharapkan persetujuan opt-in. Ini menempatkan iklan bertarget, penargetan ulang terprogram, pemutaran ulang sesi, dan analitik perilaku secara tegas dalam wilayah opt-in dalam praktiknya, meskipun undang-undang belum mewajibkannya dalam setiap kasus.

Konfigurasi CMP Praktis 2026

Sebagian besar penerbit yang beroperasi di Australia kini menjalankan CMP yang menyajikan banner tiga keadaan: Terima, Tolak, dan Sesuaikan. Untuk lalu lintas EU atau UK, opt-in bersifat ketat. Untuk lalu lintas Australia, opt-in adalah default yang direkomendasikan untuk iklan bertarget dan pemutaran ulang sesi, sementara analitik sering dapat berjalan di bawah model pemberitahuan-dan-pilihan selama anonimisasi IP dan minimisasi data tersedia.

Tort Undang-Undang — Apa yang Sebenarnya Dimungkinkan

Tort undang-undang baru adalah perubahan paling signifikan bagi pengiklan digital dalam istilah praktis. Sebelumnya, hanya OAIC yang dapat menegakkan hak privasi, dan pemulihan individu terbatas. Tort undang-undang mengubah ini.

Apa yang Dimaksud dengan Pelanggaran Privasi yang Serius?

Tort mencakup tindakan yang disengaja atau ceroboh yang menyebabkan pelanggaran privasi yang serius, baik melalui gangguan terhadap kesendirian maupun melalui penyalahgunaan informasi pribadi. Pengadilan akan mempertimbangkan keseriusan terhadap kepentingan publik dan pertimbangan lainnya.

Mengapa Pengiklan Harus Peduli

Pelacakan agresif, terutama pemutaran ulang sesi yang menangkap penekanan tombol dan perilaku kursor pada halaman sensitif, sidik jari yang menghindari opt-out pengguna, atau menghubungkan perilaku anonim ke identitas bernama secara tidak sah — semuanya kini merupakan dasar faktual yang masuk akal untuk klaim tort. Diharapkan firma penggugat akan mulai menguji batasannya pada 2026. Australia tidak memiliki budaya gugatan class action seperti Amerika Serikat, tetapi tindakan perwakilan dimungkinkan dan beberapa firma jelas memposisikan diri untuk itu.

Kode Privasi Online Anak

Children's Online Privacy Code adalah satu-satunya regulasi baru yang paling spesifik bagi penerbit yang situsnya kemungkinan dapat diakses oleh anak-anak.

Siapa yang Termasuk dalam Cakupan

Kode ini berlaku untuk layanan media sosial, layanan elektronik relevan yang kemungkinan dapat diakses oleh anak-anak, dan layanan internet yang ditunjuk tertentu. Dalam praktiknya, ini mencakup jauh melampaui situs anak-anak murni — platform audiens umum mana pun yang diakses oleh sejumlah besar anak di bawah umur kemungkinan akan tertangkap, dan OAIC diharapkan mengambil pembacaan yang inklusif.

Kewajiban Inti yang Diharapkan dalam Kode

• Pengaturan privasi default tinggi untuk pengguna di bawah 18 tahun
• Pembatasan iklan bertarget kepada anak di bawah umur
• Larangan pola gelap yang mendorong anak-anak ke arah pengaturan privasi yang lebih lemah
• Penjelasan yang sesuai usia tentang penanganan data
• Penilaian kepentingan terbaik anak sebelum menerapkan fitur yang memproses informasi pribadi mereka

Apa yang Harus Dipersiapkan Sekarang

Penerbit yang audiensnya mencakup jumlah pengunjung di bawah 18 tahun yang signifikan harus mulai mengaudit tumpukan pelacakan, konfigurasi periklanan, dan pengaturan default mereka sebelum Kode diselesaikan. Penyesuaian setelah fakta biasanya lebih mahal dan lebih mengganggu daripada merancang kepatuhan ke dalam tumpukan dari awal.

Postur Penegakan pada 2026

OAIC telah menerima sumber daya yang ditingkatkan secara signifikan bersamaan dengan reformasi. Aktivitas audit telah meningkat, dan Komisioner telah memberi sinyal pendekatan penegakan yang lebih publik.

Denda yang Berlaku

Denda perdata maksimum untuk gangguan privasi yang serius atau berulang adalah yang lebih besar dari AUD 50 juta, tiga kali keuntungan yang diperoleh dari tindakan tersebut, atau 30 persen dari omset yang disesuaikan entitas selama periode pelanggaran. Reformasi juga memperkenalkan tingkat denda kedua untuk gangguan privasi apa pun yang tidak memenuhi ambang keseriusan, memberikan OAIC alat penegakan yang lebih terkalibrasi.

Pelanggaran Data yang Dapat Diberitahukan

Australia telah memiliki skema pemberitahuan pelanggaran data wajib sejak 2018, dan OAIC secara kasat mata agresif dalam penegakan setelah insiden pelanggaran data Australia besar pada 2022 dan 2023. Insiden apa pun yang terkait dengan cookie atau pelacakan yang mengarah pada pengungkapan yang tidak sah kemungkinan akan masuk dalam cakupan.

Transfer Lintas Batas dan Lalu Lintas Global

Australian Privacy Principle 8 mengharuskan entitas mengambil langkah-langkah yang wajar untuk memastikan penerima luar negeri menangani informasi pribadi secara konsisten dengan APP. Untuk penerbit yang menggunakan ad tech global, ini berarti yurisdiksi dengan undang-undang yang secara substansial serupa, komitmen kontraktual yang mengikat dari penerima luar negeri, atau persetujuan berdasarkan informasi dari individu.

Transfer ke Amerika Serikat

AS saat ini tidak diakui sebagai memiliki undang-undang yang secara substansial serupa. Transfer ke vendor ad tech AS karena itu memerlukan komitmen kontraktual yang mengikat atau persetujuan eksplisit. Penerbit yang mengandalkan sertifikasi Data Privacy Framework — yang mencakup transfer EU-AS — harus mencatat bahwa sertifikasi tersebut tidak secara otomatis memenuhi persyaratan APP 8 Australia.

Daftar Periksa Audit untuk Lalu Lintas Australia pada 2026

• CMP menyajikan opsi Terima, Tolak, dan Sesuaikan yang jelas dengan keunggulan visual yang sama untuk lalu lintas Australia
• Iklan bertarget, penargetan ulang, dan pemutaran ulang sesi memerlukan persetujuan opt-in; analitik berjalan di bawah pemberitahuan ditambah minimisasi data
• Kebijakan privasi secara jelas mengidentifikasi cookie, pelacakan piksel, dan pengidentifikasi periklanan, dengan pernyataan tujuan yang selaras dengan APP 3 dan APP 6
• Mekanisme transfer lintas batas didokumentasikan untuk setiap pemroses non-Australia (daftar vendor, perlindungan kontraktual, atau persetujuan)
• Pengambilan keputusan otomatis diungkapkan di mana keputusan signifikan dibuat menggunakan sistem tersebut
• Penilaian kesiapan Children's Online Privacy Code selesai, dengan default privasi tinggi tersedia untuk pengguna anak di bawah umur yang terdeteksi
• Tinjauan risiko doxing selesai untuk fungsionalitas apa pun yang dapat mempublikasikan informasi pribadi yang dikirimkan pengguna
• Rencana respons pelanggaran data diselaraskan dengan jendela pemberitahuan 30 hari dan format pelaporan OAIC saat ini

Prospek 2026

Australia berada di tengah pergeseran struktural dari rezim privasi yang lebih ringan ke rezim yang semakin mirip dengan kerangka Eropa dan California — dengan karakteristik Australia tersendiri. Tahap pertama sudah dapat ditegakkan dan sudah membentuk ulang litigasi. Tahap kedua, termasuk penyempitan pengecualian usaha kecil dan regulasi eksplisit iklan bertarget, kemungkinan akan berlaku pada 2026 atau 2027. Penerbit dan pengiklan yang telah berinvestasi dalam tumpukan persetujuan bermutu GDPR sudah memiliki sebagian besar mesin yang mereka butuhkan untuk mematuhi. Mereka yang telah mengandalkan postur Australia yang secara historis lebih ringan memasuki rezim baru dengan kesenjangan yang diketahui. Langkah yang tepat adalah menutup kesenjangan tersebut sekarang — sebelum tort undang-undang, Kode Anak-anak, atau audit OAIC memaksakan pertanyaan pada jadwal yang tidak dikendalikan siapa pun.