Struktur Pembaharuan 2024–2026

Pembaharuan ini sedang dilaksanakan dalam dua bahagian, dan hanya bahagian pertama yang telah sepenuhnya berkuat kuasa. Memahami urutan ini penting untuk mengetahui apa yang berkuat kuasa secara undang-undang berbanding apa yang akan datang.

Bahagian 1 — Berkuat Kuasa dari 2024–2025

Privacy and Other Legislation Amendment Act 2024, yang diperkenankan pada November 2024, telah menyampaikan beberapa perubahan yang sudah terpakai:

• Tort statutori bagi pencerobohan privasi yang serius — individu boleh menyaman secara langsung atas pencerobohan privasi yang serius, tanpa perlu membuktikan pelanggaran Privacy Act itu sendiri
• Penalti sivil baharu — OAIC boleh meminta penalti untuk sebarang gangguan terhadap privasi, bukan hanya untuk pelanggaran yang serius atau berulang
• Keperluan ketelusan untuk membuat keputusan secara automatik — entiti mesti mendedahkan apabila keputusan penting tentang individu dibuat menggunakan sistem automatik
• Doxxing dijadikan jenayah — penerbitan data peribadi secara sengaja untuk menyebabkan kemudaratan kini merupakan kesalahan jenayah
• Children's Online Privacy Code — OAIC dikehendaki membangunkan kod yang mengikat untuk perkhidmatan yang mungkin diakses oleh kanak-kanak, dengan kod tersebut dijadualkan pada tahun 2026

Bahagian 2 — Di Bawah Perundingan Aktif untuk 2026–2027

Bahagian kedua merangkumi perubahan yang lebih struktural dan sedang melalui perjanjian kerajaan pada tahun 2025 dan 2026. Elemen yang dijangka termasuk:

• Penghapusan atau penyempitan ketara pengecualian perniagaan kecil yang pada masa ini mengecualikan entiti dengan pusing ganti tahunan di bawah AUD 3 juta
• Ujian adil dan munasabah yang lebih jelas yang terpakai kepada setiap pengendalian maklumat peribadi, bebas daripada persetujuan
• Peraturan eksplisit pengiklanan yang disasarkan, dengan persetujuan opt-in yang mungkin untuk kategori sensitif
• Hak untuk pemadaman baharu, membawa undang-undang Australia lebih dekat kepada GDPR
• Kawalan yang lebih ketat ke atas pemindahan data rentas sempadan

Apa yang Dikira sebagai Maklumat Peribadi di Bawah Undang-undang Australia

Privacy Act Australia mentakrifkan maklumat peribadi secara meluas. Ia merangkumi sebarang maklumat tentang individu yang dikenal pasti atau yang boleh dikenal pasti secara munasabah, dan OAIC mentafsirkan boleh dikenal pasti secara munasabah untuk merangkumi pengecam dalam talian, ID peranti, alamat IP yang digabungkan dengan data lain, dan pengecam pengiklanan. Dalam amalan, kuki, penjejakan piksel, cap jari peranti, dan graf identiti yang digunakan untuk pengiklanan rentas tapak semuanya memproses maklumat peribadi di bawah undang-undang Australia dan sepenuhnya dalam skop pematuhan Australian Privacy Principles (APP).

Cara Persetujuan Kuki Berfungsi di Bawah Undang-undang Australia pada Tahun 2026

Undang-undang Australia pada masa ini tidak memerlukan sepanduk opt-in penuh bergaya GDPR untuk semua kuki. Tetapi ia juga bukan persekitaran bebas, dan beberapa perkembangan terkini telah memperketatkan piawaian.

APP 3 — Pengumpulan Memerlukan Notis

Australian Privacy Principle 3 memerlukan maklumat peribadi dikumpul hanya melalui cara yang sah dan adil, dengan notis tentang tujuan. Untuk kuki yang mengumpul maklumat peribadi, ini bermaksud notis yang kelihatan dan bermaklumat mesti dibentangkan sebelum atau semasa pengumpulan. Penjejakan tersembunyi tidak memenuhi APP 3.

APP 6 — Penggunaan dan Pendedahan Memerlukan Padanan Tujuan

Maklumat peribadi hanya boleh digunakan untuk tujuan ia dikumpul, untuk tujuan sekunder yang berkaitan secara munasabah, atau dengan persetujuan individu. Berkongsi data yang diperoleh daripada kuki dengan platform pengiklanan digital untuk pengiklanan tingkah laku rentas konteks biasanya berada di luar tujuan utama, yang mendorongnya ke arah persetujuan.

Panduan OAIC tentang Penjejakan

Panduan OAIC 2024 tentang teknologi penjejakan adalah jelas: entiti harus menyediakan mekanisme yang jelas bagi individu untuk menarik diri daripada penjejakan, dan untuk sebarang kes penggunaan yang melibatkan maklumat sensitif atau pembuatan profil untuk keputusan penting, OAIC mengharapkan persetujuan opt-in. Ini menempatkan pengiklanan yang disasarkan, retargeting programatik, main semula sesi, dan analitik tingkah laku dalam wilayah opt-in dalam amalan, walaupun statut belum menjadikannya wajib dalam setiap kes.

Konfigurasi CMP 2026 yang Praktikal

Kebanyakan penerbit yang beroperasi di Australia kini menjalankan CMP yang membentangkan sepanduk tiga keadaan: Terima, Tolak, dan Sesuaikan. Untuk trafik EU atau UK, opt-in adalah ketat. Untuk trafik Australia, opt-in adalah lalai yang disyorkan untuk pengiklanan yang disasarkan dan main semula sesi, manakala analitik sering boleh berjalan di bawah model notis dan pilihan selagi penyahnamaan IP dan minimisasi data ada.

Tort Statutori — Apa yang Sebenarnya Dibolehkannya

Tort statutori baharu adalah perubahan paling ketara bagi pengiklan digital dari segi praktikal. Sebelum ini, hanya OAIC yang boleh menguatkuasakan hak privasi, dan remedi individu adalah terhad. Tort statutori mengubah ini.

Apakah Pencerobohan Privasi yang Serius?

Tort merangkumi tindakan yang disengajakan atau cuai yang menyebabkan pencerobohan privasi yang serius, sama ada melalui pencerobohan terhadap kesendirian atau melalui penyalahgunaan maklumat peribadi. Mahkamah akan menimbangkan keseriusan berbanding kepentingan awam dan pertimbangan lain.

Mengapa Pengiklan Harus Prihatin

Penjejakan yang agresif, terutamanya main semula sesi yang merakam ketukan kekunci dan tingkah laku kursor pada halaman sensitif, cap jari yang mengelak pilihan penolakan pengguna, atau menghubungkan tingkah laku tanpa nama kepada identiti bernama secara tidak dibenarkan — semua ini kini merupakan asas fakta yang munasabah untuk tuntutan tort. Jangkakan firma plaintif akan mula menguji sempadan pada tahun 2026. Australia tidak mempunyai budaya tindakan kelas seperti Amerika Syarikat, tetapi tindakan wakil adalah mungkin dan beberapa firma jelas memposisikan diri untuk mereka.

Kod Privasi Dalam Talian Kanak-kanak

Children's Online Privacy Code adalah bahagian peraturan baharu yang paling spesifik bagi penerbit yang tapaknya mungkin diakses oleh kanak-kanak.

Siapa yang Dalam Skop

Kod ini terpakai kepada perkhidmatan media sosial, perkhidmatan elektronik berkaitan yang mungkin diakses oleh kanak-kanak, dan perkhidmatan internet yang ditetapkan tertentu. Dalam amalan, ini mencapai jauh melampaui tapak kanak-kanak semata-mata — mana-mana platform khalayak umum yang diakses oleh sebilangan besar kanak-kanak berkemungkinan akan ditangkap, dan OAIC dijangka mengambil bacaan yang inklusif.

Kewajipan Teras yang Dijangka dalam Kod

• Tetapan lalai privasi tinggi untuk pengguna bawah 18 tahun
• Sekatan ke atas pengiklanan yang disasarkan kepada kanak-kanak di bawah umur
• Larangan ke atas corak gelap yang mendorong kanak-kanak ke arah tetapan privasi yang lebih lemah
• Penjelasan pengendalian data yang sesuai dengan usia
• Penilaian kepentingan terbaik kanak-kanak sebelum menggunakan ciri yang memproses maklumat peribadi mereka

Apa yang Perlu Disediakan Sekarang

Penerbit yang khalayaknya termasuk sebilangan besar pelawat bawah 18 tahun harus mula mengaudit tumpukan penjejakan, konfigurasi pengiklanan, dan tetapan lalai mereka sebelum Kod dimuktamadkan. Memperbetulkan selepas fakta biasanya lebih mahal dan lebih mengganggu daripada mereka bentuk pematuhan ke dalam tumpukan dari awal.

Pendirian Penguatkuasaan pada Tahun 2026

OAIC telah menerima sumber yang dipertingkatkan dengan ketara bersama pembaharuan. Aktiviti audit telah meningkat, dan Pesuruhjaya telah memberi isyarat pendekatan penguatkuasaan yang lebih awam.

Penalti yang Berkuat Kuasa

Penalti sivil maksimum untuk gangguan serius atau berulang terhadap privasi adalah yang lebih besar daripada AUD 50 juta, tiga kali ganda faedah yang diperoleh daripada tindakan itu, atau 30 peratus daripada pusing ganti terlaras entiti semasa tempoh pelanggaran. Pembaharuan juga memperkenalkan peringkat penalti kedua untuk sebarang gangguan terhadap privasi yang tidak memenuhi ambang keseriusan, memberikan OAIC alat penguatkuasaan yang lebih berkaliber.

Pelanggaran Data yang Perlu Dimaklumkan

Australia mempunyai skim pemberitahuan pelanggaran data wajib sejak 2018, dan OAIC telah terlihat agresif dalam penguatkuasaan berikutan insiden pelanggaran data Australia utama pada tahun 2022 dan 2023. Sebarang insiden berkaitan kuki atau penjejakan yang membawa kepada pendedahan yang tidak dibenarkan berkemungkinan berada dalam skop.

Pemindahan Rentas Sempadan dan Trafik Global

Australian Privacy Principle 8 memerlukan entiti mengambil langkah-langkah yang munasabah untuk memastikan penerima luar negara mengendalikan maklumat peribadi secara konsisten dengan APP. Bagi penerbit yang menggunakan teknologi iklan global, ini bermaksud sama ada bidang kuasa dengan undang-undang yang hampir sama, komitmen mengikat secara kontrak daripada penerima luar negara, atau persetujuan termaklum daripada individu.

Pemindahan ke Amerika Syarikat

AS pada masa ini tidak diiktiraf sebagai mempunyai undang-undang yang hampir sama. Oleh itu, pemindahan kepada vendor teknologi iklan AS memerlukan sama ada komitmen kontrak yang mengikat atau persetujuan eksplisit. Penerbit yang bergantung pada sijil Rangka Kerja Privasi Data — yang merangkumi pemindahan EU-AS — harus ambil perhatian bahawa sijil tersebut tidak memenuhi keperluan APP 8 Australia secara automatik.

Senarai Semak Audit untuk Trafik Australia pada Tahun 2026

• CMP membentangkan pilihan Terima, Tolak, dan Sesuaikan yang jelas dengan keutamaan visual yang sama pada trafik Australia
• Pengiklanan yang disasarkan, retargeting, dan main semula sesi memerlukan persetujuan opt-in; analitik berjalan di bawah notis ditambah minimisasi data
• Dasar privasi dengan jelas mengenal pasti kuki, penjejakan piksel, dan pengecam pengiklanan, dengan pernyataan tujuan yang sejajar dengan APP 3 dan APP 6
• Mekanisme pemindahan rentas sempadan didokumentasikan untuk setiap pemproses bukan Australia (senarai vendor, perlindungan kontrak, atau persetujuan)
• Membuat keputusan secara automatik didedahkan di mana keputusan penting dibuat menggunakan sistem sedemikian
• Penilaian kesediaan Children's Online Privacy Code adalah lengkap, dengan lalai privasi tinggi tersedia untuk pengguna kanak-kanak yang dikesan
• Semakan risiko doxxing adalah lengkap untuk sebarang fungsi yang boleh menerbitkan maklumat peribadi yang dihantar pengguna
• Pelan tindak balas pelanggaran data diselaraskan dengan tetingkap pemberitahuan 30 hari dan format pelaporan OAIC semasa

Pandangan 2026

Australia berada di pertengahan peralihan struktural daripada rejim privasi yang lebih ringan kepada satu yang kelihatan semakin serupa dengan rangka kerja Eropah dan California — dengan ciri-ciri Australia tersendiri. Bahagian pertama sudah boleh dikuatkuasakan dan sudah membentuk semula litigasi. Bahagian kedua, termasuk penyempitan pengecualian perniagaan kecil dan peraturan eksplisit pengiklanan yang disasarkan, berkemungkinan akan berkuat kuasa pada tahun 2026 atau 2027. Penerbit dan pengiklan yang telah melabur dalam tumpukan persetujuan gred GDPR sudah mempunyai sebahagian besar jentera yang mereka perlukan untuk mematuhi. Mereka yang telah bergantung pada pendirian Australia yang secara historis lebih ringan memasuki rejim baharu dengan jurang yang diketahui. Langkah yang betul adalah menutup jurang tersebut sekarang — sebelum tort statutori, Kod Kanak-kanak, atau audit OAIC memaksa soalan dalam garis masa yang tidak dapat dikawal oleh sesiapa pun.