Struktur Akta Privasi pada 2026

Akta Privasi adalah statut perlindungan data persekutuan utama di Australia, disokong oleh Australian Privacy Principles (APPs) yang mengoperasionalkan keperluan-keperluannya. Tranche pembaharuan 2024 dan 2025 menyusun semula beberapa elemen utama tanpa menulis semula Akta dari awal.

Apa yang Diubah oleh Tranche Pertama

Tranche pembaharuan pertama, yang berkuat kuasa sepanjang 2024, memperkenalkan beberapa perubahan yang telah lama ditunggu-tunggu:

• Penalti maksimum yang meningkat secara substantif untuk gangguan privasi yang serius atau berulang, mendekatkan penalti Australia ke tahap GDPR
• Kuasa baharu untuk OAIC menjalankan siasatan atas inisiatifnya sendiri dan mengeluarkan notis pelanggaran
• Children's Online Privacy Code, yang mengenakan kewajipan khusus kepada perkhidmatan yang mungkin diakses oleh kanak-kanak
• Keperluan pemberitahuan pelanggaran yang diperkukuh, termasuk garis masa pemberitahuan yang lebih pantas

Apa yang Diubah oleh Tranche Kedua

Tranche pembaharuan kedua, yang berkuat kuasa sepanjang 2025 dan ke dalam 2026, menangani isu-isu yang lebih berstruktur:

• Tort statutori pencerobohan privasi yang serius, memberi individu punca tindakan langsung untuk pelanggaran privasi yang serius
• Definisi maklumat peribadi yang diperluaskan untuk menjelaskan pengendalian pengecam dalam talian dan inferens
• Keperluan persetujuan yang dipertingkatkan untuk pemasaran langsung dan pengiklanan bertarget
• Kewajipan ketelusan baharu untuk membuat keputusan secara automatik, termasuk hak kepada penjelasan yang bermakna
• Peraturan aliran data rentas sempadan yang dikemas kini dengan kewajipan langkah-langkah munasabah yang diperbaharui

Siapa yang Dikawal Selia

Akta Privasi terpakai kepada kebanyakan agensi Kerajaan Australia dan organisasi sektor swasta dengan pusing ganti tahunan di atas ambang tertentu (kini AUD 3 juta). Ia juga terpakai secara ekstrateritorial kepada organisasi asing yang menjalankan perniagaan di Australia dan yang mengumpul atau menyimpan maklumat peribadi di Australia. Penerbit asing yang melayani pengguna Australia melalui laman web yang dilokalkan atau inventori programatik yang dibeli terhadap IP Australia biasanya termasuk dalam skop, dan OAIC telah menggunakan peruntukan ekstrateritorial dalam beberapa perkara terbaru.

Apa yang Dikira sebagai Maklumat Peribadi

Definisi maklumat peribadi Akta Privasi telah dijelaskan dalam proses pembaharuan untuk menangani ketidakpastian lama tentang pengecam dalam talian.

Definisi yang Dikemas Kini

Maklumat peribadi ialah maklumat atau pendapat tentang individu yang dikenal pasti, atau individu yang boleh dikenal pasti secara munasabah, tanpa mengira sama ada maklumat itu benar atau sama ada ia direkodkan dalam bentuk material. Pembaharuan 2025 menjelaskan bahawa ini termasuk pengecam dalam talian, data teknikal, dan inferens yang diambil daripada data tingkah laku apabila ini boleh dikaitkan dengan individu sama ada secara langsung atau melalui gabungan dengan maklumat lain.

Maklumat Sensitif

Akta menetapkan kategori maklumat sensitif yang merangkumi maklumat kesihatan, asal usul kaum atau etnik, pendapat politik, keahlian persatuan politik, kepercayaan agama, kepercayaan falsafah, keahlian persatuan profesional atau perdagangan, keahlian kesatuan sekerja, orientasi seksual atau amalan, rekod jenayah, maklumat biometrik, dan templat biometrik. Memproses maklumat sensitif memerlukan persetujuan eksplisit dan mencetuskan kewajipan yang dipertingkatkan.

Mengapa Ini Penting untuk Kuki

Kuki yang menyimpan pengecam rutin adalah maklumat peribadi. Kuki yang menyuap segmen audiens yang menyentuh senarai sensitif — kepentingan kesihatan, penjajaran politik, gabungan agama — adalah pemprosesan maklumat sensitif dan memerlukan aliran persetujuan yang dipertingkatkan dan bukannya persetujuan pengiklanan umum. Penerbit yang menjalankan segmen audiens yang bertindih dengan senarai sensitif harus mengaudit aliran persetujuan mereka khususnya berkenaan sempadan ini.

Persetujuan Kuki di Bawah Akta Privasi yang Diperbaharui

Proses pembaharuan menjelaskan keperluan persetujuan untuk pemasaran langsung dan pengiklanan bertarget dengan cara yang menggerakkan Australia lebih dekat kepada model opt-in bergaya GDPR daripada rejim Australia sejarah.

Standard Persetujuan yang Dikemas Kini

Persetujuan di bawah Akta Privasi yang diperbaharui mestilah:

• Sukarela — diberikan tanpa paksaan atau tekanan yang tidak wajar
• Termaklum — individu memahami data apa yang dikumpul, mengapa, dan bagaimana ia akan digunakan dan didedahkan
• Semasa — persetujuan cukup segar untuk bermakna bagi pemprosesan yang dicadangkan
• Spesifik — terikat kepada tujuan yang dikenal pasti dengan jelas dan bukannya persetujuan payung yang menyeluruh
• Tidak Samar-samar — dinyatakan melalui tindakan afirmatif yang jelas dan bukannya disimpulkan daripada ketidakaktifan

Bagaimana Rupa CMP yang Patuh

CMP yang dikonfigurasi untuk trafik Australia pada 2026 harus membentangkan:

• Sepanduk yang kelihatan sebelum sebarang kuki atau penjejak yang tidak penting diaktifkan
• Kenonjolan visual yang sama untuk Terima, Tolak, dan Sesuaikan — OAIC telah memberi isyarat peningkatan perhatian terhadap reka bentuk sepanduk corak gelap
• Togol terperinci setiap tujuan: analitik, pengiklanan, pemperibadian, pemindahan rentas sempadan, dan sebarang pemprosesan maklumat sensitif
• Aliran yang berasingan dan berlabel jelas untuk pemprosesan maklumat sensitif, disekat di belakang tindakannya sendiri
• Mekanisme yang berterusan dan mudah diakses untuk menarik balik persetujuan
• Dasar privasi bahasa Inggeris dengan pendedahan penuh sejajar APP termasuk saluran aduan OAIC

Rekod Persetujuan

Pembaharuan meningkatkan selera OAIC untuk penguatkuasaan berasaskan bukti, dan rekod persetujuan telah disebut dalam beberapa perkara terbaru. Log persetujuan yang boleh dieksport dan bercap masa adalah jangkaan garis dasar, dan rekod persetujuan yang tidak mencukupi telah dibangkitkan dalam penentuan rasmi.

Pendedahan Rentas Sempadan di Bawah Rejim yang Diperbaharui

Akta Privasi secara historis mengambil pendekatan yang berbeza terhadap aliran data rentas sempadan daripada GDPR — fokusnya adalah pada akauntabiliti organisasi yang mendedahkan dan bukannya pada kebenaran awal yurisdiksi penerima. Pembaharuan 2025 memperhalus pendekatan ini tanpa meninggalkannya.

Kewajipan Langkah-langkah Munasabah APP 8

Australian Privacy Principle 8 memerlukan bahawa sebelum mendedahkan maklumat peribadi kepada penerima luar negara, organisasi yang mendedahkan mengambil langkah-langkah munasabah untuk memastikan penerima tidak melanggar APPs. Ini biasanya bermakna mekanisme kontraktual, semakan usaha wajar amalan privasi penerima, atau bergantung pada rejim undang-undang yang hampir serupa di negara destinasi.

Jaring Pengaman Akauntabiliti

Jika penerima luar negara melanggar APPs berkaitan dengan maklumat yang didedahkan, organisasi Australia yang mendedahkan dianggap telah melibatkan diri dalam pelanggaran. Jaring pengaman akauntabiliti ini adalah tuas penguatkuasaan praktikal untuk aliran rentas sempadan dan inilah yang menjadikan mekanisme kontraktual bukan sekadar latihan dokumentasi.

Pendekatan Praktikal 2026

Bagi kebanyakan penerbit asing pada 2026, pendekatan kerja adalah untuk melaksanakan perjanjian pemindahan data patuh APP dengan pemproses luar negara, mendokumentasikan pemindahan dalam dasar privasi, dan mengekalkan rekod usaha wajar vendor yang menunjukkan kewajipan langkah-langkah munasabah telah dipenuhi. Ini lebih mudah daripada pendekatan kebenaran awal GDPR tetapi tidak kurang ketat dari segi substantif.

Hak Subjek Data dan Membuat Keputusan Secara Automatik

Akta yang diperbaharui mengembangkan hak-hak yang boleh digunakan oleh individu.

Hak-hak Teras

• Hak akses kepada maklumat peribadi yang dipegang oleh organisasi
• Hak pembetulan maklumat yang tidak tepat, lapuk, tidak lengkap, tidak relevan, atau mengelirukan
• Hak untuk keluar daripada pemasaran langsung
• Hak untuk mengetahui kepada siapa maklumat peribadi telah didedahkan
• Hak kepada penjelasan yang bermakna tentang keputusan automatik yang menghasilkan kesan yang signifikan
• Hak untuk membuat aduan kepada OAIC

Garis Masa Respons

Akta menetapkan garis masa respons tempoh munasabah, dan panduan OAIC mentafsirkan munasabah sebagai biasanya tidak melebihi 30 hari untuk permintaan akses. Kesediaan operasional untuk tetingkap ini — dengan alatan dan buku larian yang diselaraskan kepada proses khusus Australia — adalah jurang yang biasa bagi penerbit asing.

Children's Online Privacy Code

Kod tersebut, yang berkuat kuasa sepanjang 2024, terpakai kepada perkhidmatan dalam talian yang mungkin diakses oleh kanak-kanak dan mengenakan kewajipan khusus termasuk reka bentuk yang sesuai dengan usia, pemprofilan dan pengiklanan bertarget yang terhad, tetapan privasi tinggi secara lalai, dan keperluan penglibatan ibu bapa. Penerbit yang penonton mereka merangkumi trafik bawah 18 tahun yang signifikan memerlukan aliran yang sedar usia, pemprosesan terhad untuk segmen minor, dan lalai yang sejajar dengan Kod — tiada satupun yang tersedia di luar kotak bagi kebanyakan penerbit asing.

Penalti dan Pendirian Penguatkuasaan pada 2026

Aktiviti penguatkuasaan OAIC telah meningkat dengan bererti sepanjang 2024 dan 2025, dan 2026 berada pada trajektori yang sama.

Penalti Maksimum

Untuk gangguan privasi yang serius atau berulang, penalti maksimum adalah yang terbesar daripada AUD 50 juta, tiga kali nilai faedah yang diperoleh daripada kelakuan itu, atau 30 peratus pusing ganti terlaras organisasi dalam tempoh yang berkaitan. Ini membawa penalti Australia secara tegas ke dalam julat GDPR dan menghapuskan pencirian rejim ringan yang sebelumnya terpakai.

Tort Statutori

Tort statutori 2025 tentang pencerobohan privasi yang serius memberi individu punca tindakan langsung untuk ganti rugi, berasingan daripada penguatkuasaan kawal selia. Tindakan kelas adalah jalan yang muncul, dan beberapa telah difailkan terhadap platform utama pada akhir 2025 dan awal 2026.

Tema Penguatkuasaan

Perkara-perkara terbaru OAIC berkumpul di sekitar isu-isu yang berulang: sepanduk persetujuan corak gelap, pemberitahuan pelanggaran yang tidak mencukupi, pendedahan rentas sempadan tanpa langkah-langkah munasabah yang didokumentasikan, pemprosesan maklumat sensitif tanpa persetujuan eksplisit, dan kegagalan untuk bertindak balas terhadap permintaan akses dalam tetingkap tempoh munasabah.

Senarai Semak Audit untuk Trafik Australia pada 2026

• Sepanduk CMP dengan Terima, Tolak, dan Sesuaikan pada kenonjolan visual yang sama
• Tujuan persetujuan adalah terperinci dan memisahkan pemprosesan maklumat sensitif di belakang persetujuan eksplisit
• Dasar privasi adalah sejajar APP dengan pendedahan penuh penerima luar negara, tujuan, pengekalan, dan saluran aduan OAIC
• Perjanjian pendedahan rentas sempadan APP 8 adalah pada tempatnya dengan semua pemproses luar negara, dengan usaha wajar vendor yang didokumentasikan
• Log persetujuan adalah bercap masa, boleh dieksport, dan disimpan untuk tempoh pengekalan yang berkenaan
• Aliran kerja akses subjek data boleh bertindak balas dalam tetingkap tempoh munasabah dari hujung ke hujung
• Kewajipan Children's Online Privacy Code ditangani di mana audiens merangkumi minor, termasuk reka bentuk yang sesuai dengan usia dan pemprofilan terhad
• Penjelasan membuat keputusan secara automatik tersedia di mana keputusan penting dibuat menggunakan sistem sedemikian
• Buku larian pemberitahuan pelanggaran diselaraskan kepada garis masa yang diperbaharui
• Senarai vendor telah disemak untuk keperluan, dengan vendor yang tidak digunakan atau berlebihan dibuang untuk mengurangkan permukaan pendedahan

Pandangan 2026

Rejim privasi Australia akhirnya telah beralih daripada proses pembaharuan yang panjang kepada pendirian penguatkuasaan yang boleh dipercayai. Penalti maksimum kini berada dalam julat GDPR, OAIC mempunyai kuasa yang diperlukan untuk menguatkuasakannya, tort statutori memberi individu punca tindakan langsung, dan Children's Online Privacy Code meninggikan lantai untuk mana-mana perkhidmatan yang menyentuh audiens bawah 18 tahun. Bagi penerbit yang sudah menjalankan tindanan persetujuan gred GDPR, jurang kepada pematuhan Akta Privasi adalah operasional dan bukannya berstruktur: dasar privasi sejajar APP, dokumentasi APP 8, lalai Kod Kanak-kanak, dan irama respons permintaan akses. Jurang ini boleh ditutup dalam beberapa minggu jika ia diprioritaskan. Penerbit yang memperlakukan Australia sebagai pasaran yang agak ringan sepanjang 2023 mendapati 2026 jauh lebih mahal, dan trend akan berterusan. Berita baiknya ialah jurang kepada pematuhan adalah kecil bagi mana-mana penerbit yang telah melakukan kerja Eropah; berita buruknya ialah kebanyakan penerbit meremehkan betapa banyak yang dijangkakan oleh rejim Australia yang diperbaharui daripada mereka.