Структура реформы 2024–2026

Реформа внедряется в два транша, и полностью реализован только первый. Понимание последовательности важно, чтобы знать, что юридически вступило в силу, а что ещё впереди.

Транш 1 — в силе с 2024–2025

Закон о внесении поправок в Закон о конфиденциальности и другие законы 2024 года, утверждённый в ноябре 2024 года, принёс несколько изменений, которые уже применяются:

• Законный деликт за серьёзные вторжения в частную жизнь — физические лица могут подавать иск напрямую за серьёзные вторжения в частную жизнь, без необходимости доказывать нарушение самого Закона о конфиденциальности
• Новые гражданские штрафы — OAIC может добиваться штрафов за любое вмешательство в частную жизнь, а не только за серьёзные или повторные нарушения
• Требования к прозрачности автоматизированного принятия решений — организации должны раскрывать, когда значимые решения о лицах принимаются с использованием автоматизированных систем
• Доксинг криминализирован — преднамеренная публикация персональных данных с целью причинения вреда теперь является уголовным преступлением
• Кодекс детской онлайн-конфиденциальности — OAIC обязан разработать обязательный кодекс для услуг, к которым вероятно обращение детей, при этом кодекс ожидается в 2026 году

Транш 2 — на активном обсуждении на 2026–2027

Второй транш охватывает более структурные изменения и проходит через правительственное согласование в 2025 и 2026 годах. Ожидаемые элементы включают:

• Отмену или значительное сужение исключения для малого бизнеса, которое в настоящее время освобождает организации с годовым оборотом менее 3 млн AUD
• Более чёткий тест на справедливость и разумность, применяемый к каждой обработке персональной информации, независимо от согласия
• Явное регулирование таргетированной рекламы, с вероятным согласием opt-in для чувствительных категорий
• Новое право на удаление, приближающее австралийское законодательство к GDPR
• Более жёсткий контроль трансграничной передачи данных

Что считается персональной информацией по австралийскому праву

Австралийский Закон о конфиденциальности определяет персональную информацию широко. Она охватывает любую информацию об идентифицированном или разумно идентифицируемом лице, и OAIC интерпретирует разумно идентифицируемый как включающий онлайн-идентификаторы, идентификаторы устройств, IP-адреса в сочетании с другими данными и рекламные идентификаторы. На практике cookie, пиксельное отслеживание, цифровой отпечаток устройства и графы идентичности, используемые для кросс-сайтовой рекламы, обрабатывают персональную информацию по австралийскому праву и полностью входят в сферу соответствия Австралийским принципам конфиденциальности (APP).

Как согласие на cookie работает по австралийскому праву в 2026 году

Австралийское право в настоящее время не требует полноценного баннера opt-in в стиле GDPR для всех cookie. Но это и не вольница, и несколько недавних событий ужесточили планку.

APP 3 — сбор требует уведомления

Австралийский принцип конфиденциальности 3 требует, чтобы персональная информация собиралась только законными и справедливыми средствами, с уведомлением о целях. Для cookie, собирающих персональную информацию, это означает, что видимое, информативное уведомление должно быть представлено до или во время сбора. Скрытое отслеживание не удовлетворяет APP 3.

APP 6 — использование и раскрытие требуют соответствия цели

Персональная информация может использоваться только для цели, для которой она была собрана, для разумно связанной вторичной цели или с согласия лица. Передача данных, полученных из cookie, цифровой рекламной платформе для кросс-контекстной поведенческой рекламы обычно выходит за рамки первичной цели, что подталкивает к согласию.

Руководство OAIC по отслеживанию

Руководство OAIC 2024 года по технологиям отслеживания недвусмысленно: организации должны предоставлять чёткий механизм для отказа от отслеживания, и для любого случая использования, связанного с чувствительной информацией или профилированием для значимых решений, OAIC ожидает согласия opt-in. Это твёрдо помещает таргетированную рекламу, программатик-ретаргетинг, сеансовое воспроизведение и поведенческую аналитику в область opt-in на практике, даже если закон ещё не сделал это обязательным в каждом случае.

Практическая конфигурация CMP 2026

Большинство издателей, работающих в Австралии, теперь используют CMP, представляющую баннер с тремя состояниями: «Принять», «Отклонить» и «Настроить». Для трафика из ЕС или Великобритании opt-in строг. Для австралийского трафика opt-in является рекомендуемым значением по умолчанию для таргетированной рекламы и сеансового воспроизведения, тогда как аналитика часто может работать по модели «уведомление и выбор», пока обеспечены анонимизация IP и минимизация данных.

Законный деликт — что он на самом деле позволяет

Новый законный деликт — наиболее значимое изменение для цифровых рекламодателей в практическом плане. Ранее только OAIC мог принуждать к соблюдению прав на конфиденциальность, а индивидуальные средства правовой защиты были ограничены. Законный деликт меняет это.

Что является серьёзным вторжением в частную жизнь?

Деликт охватывает преднамеренное или неосторожное поведение, которое вызывает серьёзное вторжение в частную жизнь, либо через вторжение в уединение, либо через неправомерное использование частной информации. Суды будут взвешивать серьёзность по отношению к общественному интересу и другим соображениям.

Почему рекламодателям следует беспокоиться

Агрессивное отслеживание, особенно сеансовое воспроизведение, фиксирующее нажатия клавиш и поведение курсора на чувствительных страницах, цифровой отпечаток, обходящий отказ пользователя, или несанкционированная привязка анонимного поведения к именованной идентичности — всё это теперь правдоподобные фактические основания для деликтного иска. Ожидайте, что фирмы истцов начнут проверять границы в 2026 году. У Австралии нет культуры коллективных исков, как в США, но представительские иски возможны, и некоторые фирмы явно позиционируются для них.

Кодекс детской онлайн-конфиденциальности

Кодекс детской онлайн-конфиденциальности — наиболее конкретный элемент нового регулирования для издателей, к чьим сайтам вероятно обращение детей.

Кто в сфере действия

Кодекс применяется к социальным сетям, соответствующим электронным услугам, к которым вероятно обращение детей, и некоторым назначенным интернет-услугам. На практике это охватывает гораздо больше, чем чисто детские сайты — любая платформа для широкой аудитории, к которой обращается значимое число несовершеннолетних, вероятно будет охвачена, и ожидается, что OAIC примет инклюзивное толкование.

Основные обязательства, ожидаемые в Кодексе

• Настройки с высокой конфиденциальностью по умолчанию для пользователей младше 18 лет
• Ограничения на таргетированную рекламу для несовершеннолетних
• Запреты на тёмные паттерны, подталкивающие детей к более слабым настройкам конфиденциальности
• Объяснения обработки данных, соответствующие возрасту
• Оценки наилучших интересов ребёнка перед развёртыванием функций, обрабатывающих их персональную информацию

Что подготовить сейчас

Издателям, чья аудитория включает значимое число посетителей младше 18 лет, следует начать аудит своего стека отслеживания, конфигурации рекламы и настроек по умолчанию до финализации Кодекса. Дооснащение постфактум обычно дороже и более разрушительно, чем встраивание соответствия в стек с самого начала.

Позиция по принуждению в 2026 году

OAIC получил значительно усиленное финансирование наряду с реформами. Аудиторская активность возросла, и Уполномоченный сигнализировал о более публичном подходе к принуждению.

Действующие штрафы

Максимальный гражданский штраф за серьёзное или повторное вмешательство в частную жизнь — это большее из 50 млн AUD, трёхкратной выгоды, полученной от поведения, или 30 процентов скорректированного оборота организации за период нарушения. Реформа также ввела второй уровень штрафа за любое вмешательство в частную жизнь, не достигающее порога серьёзности, давая OAIC более калиброванные инструменты принуждения.

Уведомляемые утечки данных

В Австралии действует обязательная схема уведомления об утечках данных с 2018 года, и OAIC был заметно агрессивен в принуждении после крупных инцидентов утечки данных в Австралии в 2022 и 2023 годах. Любой инцидент, связанный с cookie или отслеживанием, ведущий к несанкционированному раскрытию, вероятно попадёт в сферу действия.

Трансграничные передачи и глобальный трафик

Австралийский принцип конфиденциальности 8 требует, чтобы организации принимали разумные меры для обеспечения того, чтобы зарубежные получатели обрабатывали персональную информацию в соответствии с APP. Для издателя, использующего глобальные рекламные технологии, это означает либо юрисдикцию с существенно схожими законами, либо обязывающее договорное обязательство от зарубежного получателя, либо осознанное согласие лица.

Передачи в США

США в настоящее время не признаны имеющими существенно схожие законы. Поэтому передачи поставщикам рекламных технологий из США требуют либо обязывающих договорных обязательств, либо явного согласия. Издатели, полагающиеся на сертификации Data Privacy Framework — которые покрывают передачи ЕС–США — должны отметить, что эти сертификации не удовлетворяют требованию австралийского APP 8 автоматически.

Чек-лист аудита для австралийского трафика в 2026 году

• CMP представляет чёткие опции «Принять», «Отклонить» и «Настроить» с равной визуальной заметностью на австралийском трафике
• Таргетированная реклама, ретаргетинг и сеансовое воспроизведение требуют согласия opt-in; аналитика работает по уведомлению плюс минимизация данных
• Политика конфиденциальности чётко идентифицирует cookie, пиксельное отслеживание и рекламные идентификаторы, с заявлением о цели, согласованным с APP 3 и APP 6
• Механизмы трансграничной передачи задокументированы для каждого неавстралийского обработчика (список поставщиков, договорные защиты или согласие)
• Автоматизированное принятие решений раскрывается там, где значимые решения принимаются с использованием таких систем
• Оценка готовности к Кодексу детской онлайн-конфиденциальности завершена, с настройками высокой конфиденциальности по умолчанию для обнаруженных несовершеннолетних пользователей
• Обзор риска доксинга завершён для любой функциональности, которая может публиковать предоставленную пользователем персональную информацию
• План реагирования на утечку данных согласован с 30-дневным окном уведомления и текущим форматом отчётности OAIC

Перспективы 2026 года

Австралия находится в середине структурного сдвига от более мягкого режима конфиденциальности к режиму, который всё более напоминает европейскую и калифорнийскую рамки — со своими австралийскими особенностями. Первый транш уже подлежит принуждению и уже меняет судебную практику. Второй транш, включая сужение исключения для малого бизнеса и явное регулирование таргетированной рекламы, вероятно вступит в силу в 2026 или 2027 году. Издатели и рекламодатели, инвестировавшие в стек согласия уровня GDPR, уже имеют большую часть необходимого механизма для соответствия. Те, кто полагался на исторически более мягкую позицию Австралии, входят в новый режим с известными пробелами. Правильный шаг — закрыть эти пробелы сейчас, до того как законный деликт, Детский кодекс или аудит OAIC заставят решить вопрос в сроки, которые никто не контролирует.