โครงสร้างของการปฏิรูปปี 2024–2026

การปฏิรูปถูกนำออกมาใช้เป็นสองระยะ และมีเพียงระยะแรกที่เสร็จสิ้นโดยสมบูรณ์แล้ว การเข้าใจลำดับการดำเนินการมีความสำคัญในการทราบว่าอะไรมีผลบังคับใช้ตามกฎหมายเทียบกับอะไรที่กำลังจะมา

ระยะที่ 1 — มีผลบังคับใช้ตั้งแต่ปี 2024–2025

Privacy and Other Legislation Amendment Act 2024 ที่ได้รับการรับรองในเดือนพฤศจิกายน 2024 ได้มอบการเปลี่ยนแปลงหลายอย่างที่ใช้บังคับแล้ว:

• การละเมิดทางกฎหมายสำหรับการรุกล้ำความเป็นส่วนตัวอย่างร้ายแรง — บุคคลสามารถฟ้องร้องโดยตรงสำหรับการรุกล้ำความเป็นส่วนตัวอย่างร้ายแรง โดยไม่จำเป็นต้องแสดงการละเมิด Privacy Act เอง
• บทลงโทษทางแพ่งใหม่ — OAIC สามารถขอบทลงโทษสำหรับทุกการรบกวนความเป็นส่วนตัว ไม่ใช่เฉพาะการละเมิดที่ร้ายแรงหรือซ้ำซาก
• ข้อกำหนดความโปร่งใสสำหรับการตัดสินใจอัตโนมัติ — หน่วยงานต้องเปิดเผยเมื่อการตัดสินใจที่สำคัญเกี่ยวกับบุคคลทำโดยใช้ระบบอัตโนมัติ
• การทำ Doxxing เป็นอาชญากรรม — การเผยแพร่ข้อมูลส่วนบุคคลโดยเจตนาเพื่อสร้างความเสียหายเป็นความผิดทางอาญาแล้ว
• Children's Online Privacy Code — OAIC มีหน้าที่พัฒนาประมวลกฎหมายที่มีผลผูกพันสำหรับบริการที่อาจถูกเข้าถึงโดยเด็ก โดยประมวลกฎหมายมีกำหนดในปี 2026

ระยะที่ 2 — อยู่ระหว่างการปรึกษาหารืออย่างแข็งขันสำหรับปี 2026–2027

ระยะที่สองครอบคลุมการเปลี่ยนแปลงเชิงโครงสร้างมากขึ้นและกำลังผ่านการตกลงของรัฐบาลในปี 2025 และ 2026 องค์ประกอบที่คาดหวังรวมถึง:

• การลบหรือจำกัดอย่างมีนัยสำคัญของข้อยกเว้นธุรกิจขนาดเล็กที่ปัจจุบันยกเว้นหน่วยงานที่มีรายได้ต่อปีต่ำกว่า AUD 3 ล้าน
• การทดสอบที่ยุติธรรมและสมเหตุสมผลที่ชัดเจนขึ้นซึ่งใช้กับการจัดการข้อมูลส่วนบุคคลทุกอย่าง โดยไม่คำนึงถึงการยินยอม
• การควบคุมอย่างชัดเจนของการโฆษณาที่ตรงเป้าหมาย โดยการยินยอมแบบ opt-in มีแนวโน้มสำหรับหมวดหมู่ที่ละเอียดอ่อน
• สิทธิในการลบใหม่ ที่นำกฎหมายออสเตรเลียเข้าใกล้ GDPR มากขึ้น
• การควบคุมที่เข้มงวดขึ้นเกี่ยวกับการโอนข้อมูลข้ามพรมแดน

สิ่งที่นับเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายออสเตรเลีย

Privacy Act ของออสเตรเลียกำหนดข้อมูลส่วนบุคคลอย่างกว้างขวาง ครอบคลุมข้อมูลใดๆ เกี่ยวกับบุคคลที่ระบุตัวตนได้หรือระบุตัวตนได้อย่างสมเหตุสมผล และ OAIC ตีความระบุตัวตนได้อย่างสมเหตุสมผลให้รวมถึงตัวระบุออนไลน์ ID ของอุปกรณ์ ที่อยู่ IP ที่รวมกับข้อมูลอื่น และตัวระบุโฆษณา ในทางปฏิบัติ คุกกี้ การติดตามพิกเซล การพิมพ์ลายนิ้วมือของอุปกรณ์ และกราฟข้อมูลประจำตัวที่ใช้สำหรับการโฆษณาข้ามไซต์ ล้วนประมวลผลข้อมูลส่วนบุคคลภายใต้กฎหมายออสเตรเลียและอยู่ในขอบเขตการปฏิบัติตาม Australian Privacy Principles (APP) อย่างสมบูรณ์

การยินยอมคุกกี้ทำงานอย่างไรภายใต้กฎหมายออสเตรเลียในปี 2026

กฎหมายออสเตรเลียไม่ได้กำหนดให้ต้องมีแบนเนอร์ opt-in แบบ GDPR สำหรับคุกกี้ทั้งหมดในปัจจุบัน แต่ก็ไม่ใช่ว่าทำอะไรก็ได้ และการพัฒนาล่าสุดหลายอย่างได้ยกระดับมาตรฐานขึ้น

APP 3 — การเก็บรวบรวมต้องมีการแจ้งเตือน

Australian Privacy Principle 3 กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคลโดยวิธีที่ถูกกฎหมายและยุติธรรมเท่านั้น พร้อมกับแจ้งวัตถุประสงค์ สำหรับคุกกี้ที่เก็บรวบรวมข้อมูลส่วนบุคคล หมายความว่าต้องนำเสนอการแจ้งเตือนที่มองเห็นได้และให้ข้อมูลก่อนหรือในขณะเก็บรวบรวม การติดตามที่ซ่อนเร้นไม่เป็นไปตาม APP 3

APP 6 — การใช้และการเปิดเผยต้องสอดคล้องกับวัตถุประสงค์

ข้อมูลส่วนบุคคลสามารถใช้ได้เฉพาะเพื่อวัตถุประสงค์ที่เก็บรวบรวมมาเท่านั้น สำหรับวัตถุประสงค์รองที่เกี่ยวข้องอย่างสมเหตุสมผล หรือด้วยความยินยอมของบุคคล การแบ่งปันข้อมูลที่ได้จากคุกกี้กับแพลตฟอร์มโฆษณาดิจิทัลสำหรับการโฆษณาเชิงพฤติกรรมข้ามบริบทมักจะอยู่นอกวัตถุประสงค์หลัก ซึ่งผลักไปสู่การยินยอม

คำแนะนำของ OAIC เกี่ยวกับการติดตาม

คำแนะนำปี 2024 ของ OAIC เกี่ยวกับเทคโนโลยีการติดตามไม่คลุมเครือ: หน่วยงานควรจัดหากลไกที่ชัดเจนสำหรับบุคคลในการปฏิเสธการติดตาม และสำหรับกรณีการใช้งานที่เกี่ยวข้องกับข้อมูลละเอียดอ่อนหรือการสร้างโปรไฟล์สำหรับการตัดสินใจที่สำคัญ OAIC คาดหวังการยินยอมแบบ opt-in นั่นหมายความว่าการโฆษณาที่ตรงเป้าหมาย การกำหนดเป้าหมายซ้ำแบบโปรแกรม การเล่นซ้ำเซสชัน และการวิเคราะห์เชิงพฤติกรรมอยู่ในพื้นที่ opt-in อย่างมั่นคงในทางปฏิบัติ แม้ว่ากฎหมายจะยังไม่ได้บังคับใช้ในทุกกรณี

การกำหนดค่า CMP ที่ใช้งานได้จริงปี 2026

ผู้เผยแพร่ส่วนใหญ่ที่ดำเนินการในออสเตรเลียตอนนี้ใช้ CMP ที่นำเสนอแบนเนอร์สามสถานะ: ยอมรับ ปฏิเสธ และปรับแต่ง สำหรับทราฟฟิก EU หรือ UK การ opt-in เข้มงวด สำหรับทราฟฟิกออสเตรเลีย opt-in เป็นค่าเริ่มต้นที่แนะนำสำหรับการโฆษณาที่ตรงเป้าหมายและการเล่นซ้ำเซสชัน ในขณะที่การวิเคราะห์มักสามารถทำงานภายใต้รูปแบบการแจ้งและเลือกตราบใดที่การทำให้ IP เป็นนิรนามและการลดข้อมูลพร้อมใช้งาน

การละเมิดทางกฎหมาย — สิ่งที่ช่วยให้ทำได้จริง

การละเมิดทางกฎหมายใหม่เป็นการเปลี่ยนแปลงที่สำคัญที่สุดสำหรับผู้โฆษณาดิจิทัลในแง่ปฏิบัติ ก่อนหน้านี้ มีเพียง OAIC เท่านั้นที่สามารถบังคับใช้สิทธิความเป็นส่วนตัวได้ และการเยียวยาของบุคคลมีจำกัด การละเมิดทางกฎหมายเปลี่ยนแปลงสิ่งนี้

การรุกล้ำความเป็นส่วนตัวอย่างร้ายแรงคืออะไร?

การละเมิดครอบคลุมการกระทำที่ตั้งใจหรือประมาทเลินเล่อซึ่งทำให้เกิดการรุกล้ำความเป็นส่วนตัวอย่างร้ายแรง ไม่ว่าจะผ่านการรุกล้ำความเป็นส่วนตัวหรือการใช้ข้อมูลส่วนตัวในทางที่ผิด ศาลจะชั่งน้ำหนักความร้ายแรงกับผลประโยชน์สาธารณะและการพิจารณาอื่นๆ

เหตุใดผู้โฆษณาควรใส่ใจ

การติดตามที่ก้าวร้าว โดยเฉพาะการเล่นซ้ำเซสชันที่บันทึกการกดแป้นพิมพ์และพฤติกรรมของเคอร์เซอร์บนหน้าที่ละเอียดอ่อน การพิมพ์ลายนิ้วมือที่หลีกเลี่ยงการ opt-out ของผู้ใช้ หรือการเชื่อมโยงพฤติกรรมที่ไม่ระบุตัวตนกับข้อมูลประจำตัวที่มีชื่อโดยไม่ได้รับอนุญาต ทั้งหมดนี้เป็นพื้นฐานของข้อเท็จจริงที่น่าเชื่อถือสำหรับการเรียกร้องการละเมิดแล้ว คาดว่าบริษัทของโจทก์จะเริ่มทดสอบขอบเขตในปี 2026 ออสเตรเลียไม่มีวัฒนธรรมการฟ้องร้องกลุ่มอย่างสหรัฐอเมริกา แต่การดำเนินการตัวแทนเป็นไปได้และบางบริษัทกำลังวางตำแหน่งตัวเองอย่างชัดเจนสำหรับสิ่งเหล่านั้น

ประมวลกฎหมายความเป็นส่วนตัวออนไลน์สำหรับเด็ก

Children's Online Privacy Code เป็นข้อบังคับใหม่ที่เฉพาะเจาะจงที่สุดสำหรับผู้เผยแพร่ที่เว็บไซต์ของตนมีแนวโน้มที่จะถูกเข้าถึงโดยเด็ก

ใครอยู่ในขอบเขต

ประมวลกฎหมายใช้กับบริการโซเชียลมีเดีย บริการอิเล็กทรอนิกส์ที่เกี่ยวข้องที่มีแนวโน้มจะถูกเข้าถึงโดยเด็ก และบริการอินเทอร์เน็ตที่กำหนดบางอย่าง ในทางปฏิบัติ สิ่งนี้ครอบคลุมไกลกว่าเว็บไซต์สำหรับเด็กล้วนๆ — แพลตฟอร์มสำหรับผู้ชมทั่วไปที่ผู้เยาว์จำนวนมากเข้าถึงมีแนวโน้มที่จะถูกจับ และ OAIC คาดว่าจะตีความอย่างกว้างขวาง

ข้อผูกพันหลักที่คาดหวังในประมวลกฎหมาย

• การตั้งค่าเริ่มต้นที่ปกป้องความเป็นส่วนตัวสูงสำหรับผู้ใช้ที่อายุต่ำกว่า 18 ปี
• ข้อจำกัดในการโฆษณาที่ตรงเป้าหมายต่อผู้เยาว์
• การห้ามรูปแบบมืดที่ผลักดันเด็กไปสู่การตั้งค่าความเป็นส่วนตัวที่อ่อนแอกว่า
• คำอธิบายการจัดการข้อมูลที่เหมาะสมกับอายุ
• การประเมินผลประโยชน์สูงสุดของเด็กก่อนการปรับใช้ฟีเจอร์ที่ประมวลผลข้อมูลส่วนบุคคลของพวกเขา

สิ่งที่ควรเตรียมตอนนี้

ผู้เผยแพร่ที่มีผู้ชมรวมถึงผู้เยาว์จำนวนมากที่เป็นผู้เยี่ยมชมอายุต่ำกว่า 18 ปี ควรเริ่มตรวจสอบสแต็กการติดตาม การกำหนดค่าโฆษณา และการตั้งค่าเริ่มต้นก่อนที่ประมวลกฎหมายจะสิ้นสุด การปรับแต่งในภายหลังมักมีค่าใช้จ่ายมากกว่าและก่อกวนมากกว่าการออกแบบการปฏิบัติตามกฎหมายลงในสแต็กตั้งแต่เริ่มต้น

ท่าทีการบังคับใช้ในปี 2026

OAIC ได้รับทรัพยากรที่เพิ่มขึ้นอย่างมีนัยสำคัญควบคู่กับการปฏิรูป กิจกรรมการตรวจสอบเพิ่มขึ้น และผู้ว่าการได้ส่งสัญญาณแนวทางการบังคับใช้ที่เปิดเผยต่อสาธารณะมากขึ้น

บทลงโทษที่มีผลบังคับใช้

บทลงโทษทางแพ่งสูงสุดสำหรับการรบกวนความเป็นส่วนตัวอย่างร้ายแรงหรือซ้ำซากคือจำนวนที่มากกว่าระหว่าง AUD 50 ล้าน สามเท่าของผลประโยชน์ที่ได้รับจากการกระทำ หรือร้อยละ 30 ของรายได้ที่ปรับแล้วของหน่วยงานในช่วงการละเมิด การปฏิรูปยังได้นำเสนอระดับที่สองของบทลงโทษสำหรับการรบกวนความเป็นส่วนตัวใดๆ ที่ไม่เป็นไปตามเกณฑ์ความร้ายแรง ทำให้ OAIC มีเครื่องมือการบังคับใช้ที่ปรับเทียบได้มากขึ้น

การละเมิดข้อมูลที่ต้องแจ้ง

ออสเตรเลียมีแผนการแจ้งการละเมิดข้อมูลภาคบังคับตั้งแต่ปี 2018 และ OAIC ได้แสดงให้เห็นถึงความก้าวร้าวในการบังคับใช้อย่างชัดเจนหลังจากเหตุการณ์การละเมิดข้อมูลครั้งใหญ่ของออสเตรเลียในปี 2022 และ 2023 เหตุการณ์ที่เกี่ยวข้องกับคุกกี้หรือการติดตามใดๆ ที่นำไปสู่การเปิดเผยโดยไม่ได้รับอนุญาตมีแนวโน้มที่จะอยู่ในขอบเขต

การโอนข้ามพรมแดนและทราฟฟิกทั่วโลก

Australian Privacy Principle 8 กำหนดให้หน่วยงานต้องดำเนินการตามขั้นตอนที่สมเหตุสมผลเพื่อให้แน่ใจว่าผู้รับต่างประเทศจัดการข้อมูลส่วนบุคคลอย่างสอดคล้องกับ APP สำหรับผู้เผยแพร่ที่ใช้เทคโนโลยีโฆษณาทั่วโลก หมายความว่าต้องมีเขตอำนาจศาลที่มีกฎหมายคล้ายคลึงกันอย่างมีนัยสำคัญ ข้อผูกพันทางสัญญาที่มีผลผูกพันจากผู้รับต่างประเทศ หรือความยินยอมที่ได้รับการบอกกล่าวจากบุคคล

การโอนไปยังสหรัฐอเมริกา

US ยังไม่ได้รับการยอมรับว่ามีกฎหมายที่คล้ายคลึงกันอย่างมีนัยสำคัญ การโอนไปยังผู้ให้บริการเทคโนโลยีโฆษณาของ US จึงต้องมีข้อผูกพันทางสัญญาที่มีผลผูกพันหรือความยินยอมอย่างชัดแจ้ง ผู้เผยแพร่ที่พึ่งพาใบรับรอง Data Privacy Framework ซึ่งครอบคลุมการโอน EU–US ควรทราบว่าใบรับรองเหล่านั้นไม่ตอบสนองข้อกำหนด APP 8 ของออสเตรเลียโดยอัตโนมัติ

รายการตรวจสอบการตรวจสอบสำหรับทราฟฟิกออสเตรเลียในปี 2026

• CMP นำเสนอตัวเลือกยอมรับ ปฏิเสธ และปรับแต่งที่ชัดเจนพร้อมความโดดเด่นด้านภาพที่เท่าเทียมกันสำหรับทราฟฟิกออสเตรเลีย
• การโฆษณาที่ตรงเป้าหมาย การกำหนดเป้าหมายซ้ำ และการเล่นซ้ำเซสชันต้องได้รับความยินยอม opt-in การวิเคราะห์ทำงานภายใต้การแจ้งบวกกับการลดข้อมูล
• นโยบายความเป็นส่วนตัวระบุคุกกี้ การติดตามพิกเซล และตัวระบุโฆษณาอย่างชัดเจน พร้อมคำชี้แจงวัตถุประสงค์ที่สอดคล้องกับ APP 3 และ APP 6
• กลไกการโอนข้ามพรมแดนถูกบันทึกไว้สำหรับผู้ประมวลผลที่ไม่ใช่ชาวออสเตรเลียทุกราย (รายชื่อผู้ขาย การคุ้มครองทางสัญญา หรือความยินยอม)
• การตัดสินใจอัตโนมัติถูกเปิดเผยเมื่อการตัดสินใจที่สำคัญเกิดขึ้นโดยใช้ระบบดังกล่าว
• การประเมินความพร้อมสำหรับ Children's Online Privacy Code เสร็จสมบูรณ์ พร้อมการตั้งค่าเริ่มต้นที่ปกป้องความเป็นส่วนตัวสูงสำหรับผู้ใช้เยาวชนที่ตรวจพบ
• การตรวจสอบความเสี่ยง Doxxing เสร็จสมบูรณ์สำหรับฟีเจอร์ใดๆ ที่อาจเผยแพร่ข้อมูลส่วนบุคคลที่ผู้ใช้ส่งมา
• แผนการตอบสนองการละเมิดข้อมูลสอดคล้องกับหน้าต่างการแจ้ง 30 วันและรูปแบบการรายงาน OAIC ปัจจุบัน

แนวโน้มปี 2026

ออสเตรเลียอยู่ในช่วงกลางของการเปลี่ยนแปลงเชิงโครงสร้างจากระบอบความเป็นส่วนตัวที่เบากว่าไปสู่ระบอบที่ดูคล้ายคลึงกับกรอบงานของยุโรปและแคลิฟอร์เนียมากขึ้นเรื่อยๆ — พร้อมกับลักษณะเฉพาะของออสเตรเลียเอง ระยะแรกสามารถบังคับใช้ได้แล้วและกำลังปรับเปลี่ยนคดีความ ระยะที่สอง รวมถึงการจำกัดข้อยกเว้นธุรกิจขนาดเล็กและการควบคุมอย่างชัดเจนของการโฆษณาที่ตรงเป้าหมาย มีแนวโน้มที่จะมีผลบังคับใช้ในปี 2026 หรือ 2027 ผู้เผยแพร่และผู้โฆษณาที่ลงทุนในสแต็กการยินยอมระดับ GDPR มีเครื่องจักรส่วนใหญ่ที่ต้องการเพื่อปฏิบัติตามกฎหมายแล้ว ผู้ที่พึ่งพาท่าทีที่เบากว่าในอดีตของออสเตรเลียกำลังเข้าสู่ระบอบใหม่พร้อมกับช่องว่างที่ทราบ การกระทำที่ถูกต้องคือการปิดช่องว่างเหล่านั้นตอนนี้ — ก่อนที่การละเมิดทางกฎหมาย ประมวลกฎหมายเด็ก หรือการตรวจสอบ OAIC จะบังคับให้ตอบคำถามในกรอบเวลาที่ไม่มีใครควบคุม