Реформи закону Австралії про конфіденційність 2026: Посібник видавця та рекламодавця щодо згоди на файли cookie, законного делікту та Кодексу конфіденційності дітей в Інтернеті
Протягом більшої частини останніх двох десятиліть австралійський закон про конфіденційність був тихішим за своїх європейських або американських аналогів. Ця ера закінчилася. Privacy and Other Legislation Amendment Act 2024, прийнятий у листопаді 2024 року, є найбільшою реформою Privacy Act 1988 за покоління. Він запроваджує законний деліктний позов за серйозні порушення конфіденційності, посилені повноваження щодо забезпечення виконання для Office of the Australian Information Commissioner (OAIC), спеціальний Children's Online Privacy Code, значні нові вимоги прозорості для автоматизованого прийняття рішень та чітку траєкторію до opt-in згоди для більшості таргетованої реклами. Якщо ви здійснюєте цифрову рекламу, аналітику або будь-яке відстеження користувачів на австралійському ринку у 2026 році, реформа переформатовує ваші зобов'язання щодо відповідності в спосіб, який неможливо ігнорувати. Цей посібник розповідає про те, що змінилося, що ще буде, і що саме видавці та рекламодавці повинні робити прямо зараз.
Структура реформи 2024–2026 років
Реформа впроваджується у двох частинах, і лише перша повністю набрала чинності. Розуміння послідовності важливе для того, щоб знати, що юридично є чинним, а що ще буде.
Частина 1 — Чинна з 2024–2025 років
Privacy and Other Legislation Amendment Act 2024, схвалений у листопаді 2024 року, вніс кілька змін, які вже застосовуються:
- Законний деліктний позов за серйозні порушення конфіденційності — фізичні особи можуть безпосередньо подавати позов за серйозні порушення конфіденційності, не потребуючи доведення порушення самого Privacy Act
- Нові цивільні санкції — OAIC може вимагати санкцій за будь-яке втручання у конфіденційність, а не лише за серйозні або повторні порушення
- Вимоги прозорості для автоматизованого прийняття рішень — організації зобов'язані розкривати інформацію, коли важливі рішення щодо фізичних осіб приймаються з використанням автоматизованих систем
- Доксинг криміналізовано — навмисне публікування персональних даних з метою завдання шкоди тепер є кримінальним злочином
- Children's Online Privacy Code — OAIC зобов'язаний розробити обов'язковий кодекс для послуг, до яких, ймовірно, мають доступ діти; кодекс має бути готовий у 2026 році
Частина 2 — В активному обговоренні на 2026–2027 роки
Друга частина охоплює більш структурні зміни та проходить через урядові погодження у 2025 та 2026 роках. Очікувані елементи включають:
- Скасування або суттєве звуження пільги для малого бізнесу, яка наразі звільняє організації з річним оборотом менше AUD 3 мільйонів
- Чіткіший тест справедливості та розумності, який застосовується до кожного оброблення персональних даних незалежно від згоди
- Явне регулювання таргетованої реклами, з імовірною opt-in згодою для чутливих категорій
- Нове право на видалення, що наближає австралійський закон до GDPR
- Суворіший контроль за транскордонними передачами даних
Що вважається персональними даними за австралійським законодавством
Австралійський Privacy Act широко визначає персональні дані. Він охоплює будь-яку інформацію про ідентифіковану або розумно ідентифіковану особу, і OAIC тлумачить розумно ідентифіковану як таку, що включає онлайн-ідентифікатори, ідентифікатори пристроїв, IP-адреси у поєднанні з іншими даними та рекламні ідентифікатори. На практиці файли cookie, відстеження пікселів, відбитки пристроїв та графи ідентифікацій, що використовуються для крос-сайтової реклами, — всі вони обробляють персональні дані відповідно до австралійського законодавства і повністю підпадають під вимоги Australian Privacy Principles (APP).
Як працює згода на файли cookie за австралійським законодавством у 2026 році
Австралійське законодавство наразі не вимагає повного GDPR-подібного банера opt-in для всіх файлів cookie. Але це також не вільна зона, і ряд нещодавніх подій підняв планку.
APP 3 — Збір потребує повідомлення
Australian Privacy Principle 3 вимагає, щоб персональні дані збиралися лише законними та справедливими засобами з повідомленням про цілі. Для файлів cookie, що збирають персональні дані, це означає, що до або під час збору має бути представлене видиме та інформативне повідомлення. Прихований трекінг не задовольняє APP 3.
APP 6 — Використання та розкриття потребують відповідності меті
Персональні дані можуть використовуватися лише для мети, для якої їх було зібрано, для розумно пов'язаної вторинної мети або за згодою особи. Передача даних, отриманих з файлів cookie, цифровій рекламній платформі для крос-контекстної поведінкової реклами зазвичай виходить за межі основної мети, що штовхає до необхідності згоди.
Керівництво OAIC щодо відстеження
Керівництво OAIC 2024 року щодо технологій відстеження є однозначним: організації повинні надавати чіткий механізм для відмови фізичних осіб від відстеження, а для будь-якого випадку використання, пов'язаного з чутливою інформацією або профілюванням для важливих рішень, OAIC очікує opt-in згоди. Це рішуче ставить таргетовану рекламу, програматичний ретаргетинг, відтворення сесій та поведінкову аналітику в зону opt-in на практиці, навіть якщо закон ще не зробив це обов'язковим у кожному конкретному випадку.
Практична конфігурація CMP у 2026 році
Більшість видавців, що працюють в Австралії, зараз використовують CMP, який представляє трьохстанний банер: Прийняти, Відхилити та Налаштувати. Для трафіку ЄС або UK opt-in є суворим. Для австралійського трафіку opt-in є рекомендованим стандартом для таргетованої реклами та відтворення сесій, тоді як аналітика часто може працювати за моделлю повідомлення та вибору за умови наявності анонімізації IP-адрес та мінімізації даних.
Законний деліктний позов — що він насправді дає
Новий законний деліктний позов є найважливішою зміною для цифрових рекламодавців у практичному сенсі. Раніше лише OAIC міг забезпечувати дотримання прав конфіденційності, а індивідуальні засоби правового захисту були обмеженими. Законний деліктний позов змінює це.
Що таке серйозне порушення конфіденційності?
Деліктний позов охоплює навмисну або безрозсудну поведінку, яка спричиняє серйозне порушення конфіденційності — або через вторгнення в усамітненість, або через зловживання приватною інформацією. Суди зважуватимуть серйозність щодо суспільного інтересу та інших міркувань.
Чому рекламодавці повинні звертати на це увагу
Агресивне відстеження, особливо відтворення сесій, яке захоплює натискання клавіш та поведінку курсора на чутливих сторінках, дактилоскопія пристроїв, що обходить відмову користувача від відстеження, або несанкціоноване пов'язування анонімної поведінки з іменованою ідентичністю — все це тепер є правдоподібними фактичними підставами для деліктної вимоги. Очікуйте, що фірми позивачів почнуть тестувати межі у 2026 році. Австралія не має культури групових позовів США, але представницькі дії можливі, і деякі фірми явно позиціонують себе для них.
Кодекс конфіденційності дітей в Інтернеті
Children's Online Privacy Code є найконкретнішим новим нормативним актом для видавців, сайти яких, ймовірно, відвідуватимуть діти.
Хто підпадає під сферу дії
Кодекс застосовується до послуг соціальних медіа, відповідних електронних послуг, до яких, ймовірно, мають доступ діти, та певних визначених Інтернет-послуг. На практиці це сягає далеко за межі суто дитячих сайтів — будь-яка платформа для широкої аудиторії, до якої має доступ значна кількість неповнолітніх, ймовірно, буде охоплена, і OAIC, як очікується, займе широке тлумачення.
Основні зобов'язання, очікувані в Кодексі
- Налаштування за замовчуванням з високим рівнем конфіденційності для користувачів до 18 років
- Обмеження таргетованої реклами для неповнолітніх
- Заборона темних патернів, що підштовхують дітей до слабших налаштувань конфіденційності
- Вікові пояснення обробки даних
- Оцінки найкращих інтересів дитини перед розгортанням функцій, що обробляють їхні персональні дані
Що підготувати зараз
Видавці, аудиторія яких включає значну кількість відвідувачів до 18 років, повинні почати аудит свого стеку відстеження, конфігурації реклами та налаштувань за замовчуванням до фіналізації Кодексу. Ретроактивна адаптація зазвичай є дорожчою та більш деструктивною, ніж проектування відповідності в стек з самого початку.
Позиція щодо забезпечення виконання у 2026 році
OAIC отримав значно збільшені ресурси разом із реформами. Активність перевірок зросла, а Уповноважений дав сигнал про більш публічний підхід до забезпечення виконання.
Чинні санкції
Максимальна цивільна санкція за серйозне або повторне втручання в конфіденційність є більшою із наступних: AUD 50 мільйонів, три рази перевищує вигоду, отриману від поведінки, або 30 відсотків скоригованого обороту організації за період порушення. Реформа також запровадила другий рівень санкцій за будь-яке втручання в конфіденційність, що не відповідає порогу серйозності, надавши OAIC більш калібровані інструменти виконання.
Повідомлення про витоки даних
Австралія має обов'язкову схему повідомлення про витоки даних з 2018 року, і OAIC був помітно агресивним у забезпеченні виконання після великих австралійських інцидентів з витоком даних у 2022 та 2023 роках. Будь-який інцидент, пов'язаний з файлами cookie або відстеженням, що призводить до несанкціонованого розкриття, ймовірно, підпадає під сферу дії.
Транскордонні передачі та глобальний трафік
Australian Privacy Principle 8 вимагає, щоб організації вживали розумних заходів для забезпечення того, що закордонні одержувачі обробляють персональні дані відповідно до APP. Для видавця, що використовує глобальну рекламну технологію, це означає або юрисдикцію з суттєво подібними законами, або договірне обов'язкове зобов'язання від закордонного одержувача, або поінформовану згоду від особи.
Передачі до США
US наразі не визнається таким, що має суттєво подібні закони. Тому передачі до US-постачальників рекламних технологій вимагають або договірних обов'язкових зобов'язань, або явної згоди. Видавці, що покладаються на сертифікати Data Privacy Framework, які охоплюють передачі ЄС–US, повинні зауважити, що ці сертифікати автоматично не задовольняють австралійську вимогу APP 8.
Контрольний список аудиту для австралійського трафіку у 2026 році
- CMP представляє чіткі варіанти Прийняти, Відхилити та Налаштувати з рівною візуальною помітністю для австралійського трафіку
- Таргетована реклама, ретаргетинг та відтворення сесій вимагають opt-in згоди; аналітика працює за принципом повідомлення плюс мінімізація даних
- Політика конфіденційності чітко ідентифікує файли cookie, відстеження пікселів та рекламні ідентифікатори зі заявою про мету відповідно до APP 3 та APP 6
- Механізми транскордонної передачі задокументовані для кожного неавстралійського оброблювача (список постачальників, договірний захист або згода)
- Автоматизоване прийняття рішень розкривається там, де важливі рішення приймаються з використанням таких систем
- Оцінка готовності до Children's Online Privacy Code завершена, з налаштуваннями за замовчуванням з високою конфіденційністю, доступними для виявлених неповнолітніх користувачів
- Перевірка ризику доксингу завершена для будь-яких функцій, які могли б опублікувати персональні дані, надані користувачами
- План реагування на витоки даних відповідає 30-денному вікну повідомлення та поточному формату звітності OAIC
Перспектива 2026 року
Австралія перебуває в середині структурного переходу від більш легкого режиму конфіденційності до режиму, який все більше нагадує європейські та каліфорнійські рамки — з власними австралійськими особливостями. Перша частина вже є забезпечуваною і вже змінює судову практику. Очікується, що друга частина, включаючи звуження пільги для малого бізнесу та явне регулювання таргетованої реклами, набере чинності у 2026 або 2027 роках. Видавці та рекламодавці, що інвестували в стек згоди рівня GDPR, вже мають більшість механізмів, необхідних для дотримання. Ті, хто покладався на historically більш легку позицію Австралії, входять у новий режим із відомими прогалинами. Правильний крок — закрити ці прогалини зараз — до того, як законний деліктний позов, Кодекс для дітей або аудит OAIC вимусять це питання в часових рамках, які ніхто не контролює.