آسٹریلیا کے پرائیویسی ایکٹ اصلاحات 2026: کوکی رضامندی، قانونی ناجائز فعل، اور بچوں کے آن لائن پرائیویسی کوڈ کے بارے میں ناشرین اور مشتہرین کی رہنمائی
گزشتہ دو دہائیوں کے بڑے حصے میں، آسٹریلیا کا پرائیویسی قانون اپنے یورپی یا امریکی ہم منصبوں سے زیادہ خاموش رہا ہے۔ وہ دور ختم ہو گیا۔ نومبر 2024 میں منظور ہونے والا Privacy and Other Legislation Amendment Act 2024 ایک نسل میں Privacy Act 1988 کی سب سے بڑی اصلاح ہے۔ یہ پرائیویسی کی سنگین خلاف ورزیوں کے لیے قانونی ناجائز فعل، Office of the Australian Information Commissioner (OAIC) کے لیے مضبوط تر نافذ کرنے کے اختیارات، ایک مخصوص Children's Online Privacy Code، خودکار فیصلہ سازی کے لیے اہم نئی شفافیت کی ضروریات، اور زیادہ تر ہدفی اشتہارات کے لیے opt-in رضامندی کی طرف واضح راستہ متعارف کراتا ہے۔ اگر آپ 2026 میں آسٹریلیائی مارکیٹ میں ڈیجیٹل اشتہارات، تجزیات، یا کسی بھی صارف ٹریکنگ کا انتظام کرتے ہیں، تو یہ اصلاح آپ کی تعمیل کی ذمہ داریوں کو اس طریقے سے نئی شکل دیتی ہے جسے آپ نظر انداز نہیں کر سکتے۔ یہ رہنما کتاب بتاتی ہے کہ کیا تبدیل ہوا، ابھی کیا آنے والا ہے، اور ناشرین اور مشتہرین کو ابھی کیا کرنا چاہیے۔
2024–2026 اصلاح کا ڈھانچہ
اصلاح دو مراحل میں نافذ کی جا رہی ہے، اور صرف پہلا مرحلہ مکمل طور پر مکمل ہوا ہے۔ ترتیب کو سمجھنا یہ جاننے کے لیے اہم ہے کہ قانونی طور پر کیا نافذ ہے اور کیا آنے والا ہے۔
مرحلہ 1 — 2024–2025 سے نافذ
نومبر 2024 میں منظور ہونے والے Privacy and Other Legislation Amendment Act 2024 نے کئی تبدیلیاں لائیں جو پہلے سے لاگو ہیں:
- پرائیویسی کی سنگین خلاف ورزیوں کے لیے قانونی ناجائز فعل — افراد Privacy Act کی خلاف ورزی ثابت کیے بغیر پرائیویسی کی سنگین خلاف ورزیوں کے لیے براہ راست مقدمہ دائر کر سکتے ہیں
- نئے دیوانی جرمانے — OAIC صرف سنگین یا بار بار ہونے والی خلاف ورزیوں کے لیے نہیں بلکہ پرائیویسی میں کسی بھی مداخلت کے لیے جرمانے کی درخواست کر سکتی ہے
- خودکار فیصلہ سازی کے لیے شفافیت کی ضروریات — اداروں کو یہ ظاہر کرنا ضروری ہے جب افراد کے بارے میں اہم فیصلے خودکار نظاموں کا استعمال کرتے ہوئے کیے جاتے ہیں
- Doxxing کو مجرمانہ قرار دیا گیا — نقصان پہنچانے کے لیے جان بوجھ کر ذاتی ڈیٹا شائع کرنا اب ایک مجرمانہ جرم ہے
- Children's Online Privacy Code — OAIC پابند ہے کہ وہ ان خدمات کے لیے ایک پابند ضابطہ تیار کرے جو بچوں تک رسائی کے قابل ہونے کا امکان ہے، ضابطہ 2026 میں متوقع ہے
مرحلہ 2 — 2026–2027 کے لیے فعال مشاورت کے تحت
دوسرا مرحلہ زیادہ ساختی تبدیلیوں پر محیط ہے اور 2025 اور 2026 میں حکومتی معاہدے سے گزر رہا ہے۔ متوقع عناصر میں شامل ہیں:
- چھوٹے کاروبار کی چھوٹ کا خاتمہ یا اہم تنگی جو فی الحال AUD 3 ملین سے کم سالانہ کاروبار والے اداروں کو معاف کرتی ہے
- ایک واضح منصفانہ اور معقول ٹیسٹ جو رضامندی سے قطع نظر ذاتی معلومات کے ہر استعمال پر لاگو ہوتا ہے
- حساس زمروں کے لیے opt-in رضامندی کے ساتھ ہدفی اشتہارات کا واضح ضابطہ
- ایک نئی حذف کرنے کا حق جو آسٹریلیائی قانون کو GDPR کے قریب لاتی ہے
- سرحد پار ڈیٹا منتقلی پر سخت کنٹرول
آسٹریلیائی قانون کے تحت ذاتی معلومات کیا ہے
آسٹریلیائی Privacy Act ذاتی معلومات کی وسیع تعریف کرتا ہے۔ یہ ایک شناخت شدہ یا معقول حد تک شناخت کے قابل فرد کے بارے میں کسی بھی معلومات کا احاطہ کرتا ہے، اور OAIC معقول حد تک شناخت کے قابل کی تشریح آن لائن شناخت کنندگان، ڈیوائس IDs، دیگر ڈیٹا کے ساتھ مل کر IP ایڈریس، اور اشتہاری شناخت کنندگان کو شامل کرنے کے طور پر کرتی ہے۔ عملاً، کوکیز، پکسل ٹریکنگ، ڈیوائس فنگر پرنٹنگ، اور کراس سائٹ اشتہارات کے لیے استعمال ہونے والے شناخت گراف سبھی آسٹریلیائی قانون کے تحت ذاتی معلومات پر عمل کرتے ہیں اور Australian Privacy Principles (APP) کی تعمیل کے لیے مکمل طور پر اندر آتے ہیں۔
2026 میں آسٹریلیائی قانون کے تحت کوکی رضامندی کیسے کام کرتی ہے
آسٹریلیائی قانون فی الحال تمام کوکیز کے لیے مکمل GDPR طرز opt-in بینر کی ضرورت نہیں کرتا۔ لیکن یہ آزاد بھی نہیں ہے، اور کئی حالیہ پیش رفت نے معیار کو بلند کیا ہے۔
APP 3 — جمع آوری کے لیے اطلاع درکار ہے
Australian Privacy Principle 3 کا تقاضا ہے کہ ذاتی معلومات صرف قانونی اور منصفانہ طریقوں سے، مقاصد کے اطلاع کے ساتھ جمع کی جائیں۔ ذاتی معلومات جمع کرنے والی کوکیز کے لیے، اس کا مطلب ہے کہ جمع آوری سے پہلے یا اس وقت ایک نظر آنے والا، معلوماتی نوٹس پیش کیا جانا چاہیے۔ چھپی ہوئی ٹریکنگ APP 3 کو پورا نہیں کرتی۔
APP 6 — استعمال اور افشاء کے لیے مقصد سے ملاپ ضروری ہے
ذاتی معلومات صرف اس مقصد کے لیے استعمال کی جا سکتی ہیں جس کے لیے جمع کی گئی تھیں، معقول طور پر متعلقہ ثانوی مقصد کے لیے، یا فرد کی رضامندی سے۔ کوکی سے حاصل کردہ ڈیٹا کو کراس سیاق و سباق رویے اشتہارات کے لیے ڈیجیٹل اشتہاری پلیٹ فارم کے ساتھ شیئر کرنا عام طور پر بنیادی مقصد سے باہر ہوتا ہے، جو اسے رضامندی کی طرف دھکیلتا ہے۔
ٹریکنگ پر OAIC کی رہنمائی
ٹریکنگ ٹیکنالوجیز پر OAIC کی 2024 کی رہنمائی غیر مبہم ہے: اداروں کو افراد کو ٹریکنگ سے باہر نکلنے کا واضح طریقہ کار فراہم کرنا چاہیے، اور حساس معلومات یا اہم فیصلوں کے لیے پروفائلنگ پر مشتمل کسی بھی استعمال کے لیے، OAIC opt-in رضامندی کی توقع رکھتی ہے۔ یہ ہدفی اشتہارات، پروگراماتک ریٹارگیٹنگ، سیشن ری پلے، اور رویے تجزیات کو عملی طور پر opt-in علاقے میں مضبوطی سے رکھتا ہے، چاہے قانون نے ابھی تک ہر معاملے میں اسے لازمی نہ بنایا ہو۔
عملی 2026 CMP کنفیگریشن
آسٹریلیا میں کام کرنے والے زیادہ تر ناشرین اب ایک CMP چلاتے ہیں جو تین حالتوں والا بینر پیش کرتا ہے: قبول، مسترد، اور حسب ضرورت۔ EU یا UK ٹریفک کے لیے، opt-in سخت ہے۔ آسٹریلیائی ٹریفک کے لیے، جب تک IP گمنامی اور ڈیٹا کو کم سے کم کرنا موجود ہو، ہدفی اشتہارات اور سیشن ری پلے کے لیے opt-in تجویز کردہ ڈیفالٹ ہے، جبکہ تجزیات اکثر نوٹس اور انتخاب ماڈل کے تحت چل سکتے ہیں۔
قانونی ناجائز فعل — یہ دراصل کیا ممکن بناتا ہے
نئے قانونی ناجائز فعل عملی اعتبار سے ڈیجیٹل مشتہرین کے لیے سب سے اہم تبدیلی ہے۔ پہلے، صرف OAIC پرائیویسی حقوق نافذ کر سکتی تھی، اور انفرادی علاج محدود تھے۔ قانونی ناجائز فعل اسے تبدیل کرتا ہے۔
پرائیویسی کی سنگین خلاف ورزی کیا ہے؟
ناجائز فعل جان بوجھ کر یا لاپروا طرز عمل کا احاطہ کرتا ہے جو تنہائی میں مداخلت یا نجی معلومات کے غلط استعمال کے ذریعے پرائیویسی کی سنگین خلاف ورزی کا سبب بنتا ہے۔ عدالتیں عوامی مفاد اور دیگر تحفظات کے مقابلے میں سنگینی کو تولیں گی۔
مشتہرین کو کیوں پرواہ کرنی چاہیے
جارحانہ ٹریکنگ، خاص طور پر سیشن ری پلے جو حساس صفحات پر کی اسٹروک اور کرسر رویے کو کیپچر کرتا ہے، فنگر پرنٹنگ جو صارف کے opt-out کو نظرانداز کرتی ہے، یا نامعلوم رویے کو ایک نامزد شناخت سے غیر مجاز طور پر جوڑنا — یہ سب اب ناجائز فعل کے دعوے کے لیے معقول حقیقی بنیادیں ہیں۔ توقع ہے کہ سزا دینے والی کمپنیاں 2026 میں حدود کی جانچ شروع کریں گی۔ آسٹریلیا میں امریکی جیسی کلاس ایکشن ثقافت نہیں ہے، لیکن نمائندہ کارروائیاں ممکن ہیں اور کچھ کمپنیاں واضح طور پر ان کے لیے خود کو تیار کر رہی ہیں۔
بچوں کا آن لائن پرائیویسی کوڈ
Children's Online Privacy Code ان ناشرین کے لیے نئے ضابطے کا سب سے مخصوص ٹکڑا ہے جن کی سائٹیں بچوں کے ذریعے قابل رسائی ہونے کا امکان ہے۔
کون دائرے میں ہے
ضابطہ سوشل میڈیا خدمات، متعلقہ الیکٹرونک خدمات جن تک بچوں کے ذریعے رسائی کا امکان ہے، اور بعض نامزد انٹرنیٹ خدمات پر لاگو ہوتا ہے۔ عملاً، یہ خالص بچوں کی سائٹوں سے کہیں آگے پہنچتا ہے — کوئی بھی عمومی سامعین پلیٹ فارم جس تک ایک اہم تعداد میں نابالغ رسائی حاصل کرتے ہیں وہ ممکنہ طور پر پکڑا جائے گا، اور OAIC سے وسیع تشریح اپنانے کی توقع ہے۔
ضابطے میں متوقع بنیادی ذمہ داریاں
- 18 سال سے کم عمر صارفین کے لیے اعلی پرائیویسی ڈیفالٹ ترتیبات
- نابالغوں کو ہدفی اشتہارات پر پابندیاں
- تاریک پیٹرن پر پابندیاں جو بچوں کو کمزور پرائیویسی ترتیبات کی طرف دھکیلتے ہیں
- ڈیٹا ہینڈلنگ کی عمر کے مطابق وضاحتیں
- ان خصوصیات کو لگانے سے پہلے بچے کے بہترین مفادات کی تشخیص جو ان کی ذاتی معلومات پر عمل کرتی ہیں
ابھی کیا تیار کریں
وہ ناشرین جن کے سامعین میں 18 سال سے کم عمر زائرین کی اہم تعداد شامل ہے انہیں ضابطہ حتمی شکل اختیار کرنے سے پہلے اپنے ٹریکنگ اسٹیک، اشتہاری کنفیگریشن، اور ڈیفالٹ ترتیبات کا آڈٹ شروع کرنا چاہیے۔ بعد میں ریٹروفٹنگ عام طور پر شروع سے اسٹیک میں تعمیل ڈیزائن کرنے سے زیادہ مہنگی اور زیادہ خلل انگیز ہے۔
2026 میں نافذ کرنے کا موقف
OAIC کو اصلاحات کے ساتھ ساتھ نمایاں طور پر بڑھے ہوئے وسائل ملے ہیں۔ آڈٹ سرگرمی میں اضافہ ہوا ہے، اور کمشنر نے زیادہ عوامی نافذ کرنے کے طریقہ کار کا اشارہ دیا ہے۔
نافذ جرمانے
پرائیویسی میں سنگین یا بار بار مداخلت کے لیے زیادہ سے زیادہ دیوانی جرمانہ اس میں سے زیادہ ہے: AUD 50 ملین، طرز عمل سے حاصل ہونے والے فائدے سے تین گنا، یا خلاف ورزی کی مدت کے دوران ادارے کے ایڈجسٹڈ کاروبار کا 30 فیصد۔ اصلاح نے پرائیویسی میں کسی بھی مداخلت کے لیے جرمانے کی دوسری سطح بھی متعارف کرائی جو سنگینی کی حد کو پورا نہیں کرتی، OAIC کو زیادہ کیلیبریٹڈ نافذ کرنے کے اوزار دیتے ہوئے۔
قابل اطلاع ڈیٹا خلاف ورزیاں
آسٹریلیا میں 2018 سے لازمی ڈیٹا خلاف ورزی کی اطلاع دینے کی اسکیم ہے، اور OAIC 2022 اور 2023 کے بڑے آسٹریلیائی ڈیٹا خلاف ورزی واقعات کے بعد نافذ کرنے میں نمایاں طور پر جارحانہ رہی ہے۔ کوئی بھی کوکی یا ٹریکنگ سے متعلق واقعہ جو غیر مجاز افشاء کا باعث بنتا ہے وہ ممکنہ طور پر دائرے میں ہے۔
سرحد پار منتقلی اور عالمی ٹریفک
Australian Privacy Principle 8 تقاضا کرتا ہے کہ ادارے یہ یقینی بنانے کے لیے معقول اقدامات کریں کہ بیرون ملک وصول کنندگان ذاتی معلومات کو APPs کے مطابق سنبھالیں۔ عالمی ایڈ ٹیک استعمال کرنے والے ناشر کے لیے، اس کا مطلب ہے یا تو کافی حد تک ملتے جلتے قوانین والا دائرہ اختیار، بیرون ملک وصول کنندہ سے معاہداتی پابند وعدہ، یا فرد سے باخبر رضامندی۔
امریکہ منتقلی
US کو فی الحال کافی حد تک ملتے جلتے قوانین والا تسلیم نہیں کیا گیا ہے۔ اس لیے US ایڈ ٹیک وینڈرز کو منتقلی کے لیے یا تو پابند معاہداتی وعدے یا واضح رضامندی درکار ہے۔ Data Privacy Framework سرٹیفیکیشنز پر انحصار کرنے والے ناشرین — جو EU–US منتقلی کا احاطہ کرتے ہیں — کو نوٹ کرنا چاہیے کہ وہ سرٹیفیکیشنز خود بخود آسٹریلیائی APP 8 کی ضرورت کو پورا نہیں کرتے۔
2026 میں آسٹریلیائی ٹریفک کے لیے آڈٹ چیک لسٹ
- CMP آسٹریلیائی ٹریفک پر یکساں بصری نمایانی کے ساتھ واضح قبول، مسترد، اور حسب ضرورت اختیارات پیش کرتا ہے
- ہدفی اشتہارات، ریٹارگیٹنگ، اور سیشن ری پلے کے لیے opt-in رضامندی درکار ہے؛ تجزیات نوٹس اور ڈیٹا کم سے کم کرنے کے تحت چلتے ہیں
- پرائیویسی پالیسی APP 3 اور APP 6 کے مطابق مقصد بیان کے ساتھ کوکیز، پکسل ٹریکنگ، اور اشتہاری شناخت کنندگان کو واضح طور پر شناخت کرتی ہے
- سرحد پار منتقلی کے طریقہ کار ہر غیر آسٹریلیائی پروسیسر کے لیے دستاویز کیے گئے ہیں (وینڈر لسٹ، معاہداتی تحفظات، یا رضامندی)
- خودکار فیصلہ سازی ظاہر کی جاتی ہے جہاں ایسے نظاموں کا استعمال کرتے ہوئے اہم فیصلے کیے جاتے ہیں
- Children's Online Privacy Code تیاری کا جائزہ مکمل ہو گیا ہے، جس میں پائے گئے نابالغ صارفین کے لیے اعلی پرائیویسی ڈیفالٹس دستیاب ہیں
- Doxxing خطرے کا جائزہ کسی بھی فعالیت کے لیے مکمل ہو گیا ہے جو صارف کے ذریعے جمع کردہ ذاتی معلومات شائع کر سکتی ہے
- ڈیٹا خلاف ورزی کا جواب دینے کا منصوبہ 30 دن کی اطلاع کی ونڈو اور موجودہ OAIC رپورٹنگ فارمیٹ کے مطابق ہے
2026 کا نقطہ نظر
آسٹریلیا ہلکے پرائیویسی نظام سے یورپی اور کیلیفورنیائی فریم ورک سے تیزی سے ملتے جلتے نظام کی طرف ساختی تبدیلی کے وسط میں ہے — اپنی آسٹریلیائی خصوصیات کے ساتھ۔ پہلا مرحلہ پہلے سے قابل نافذ ہے اور پہلے سے مقدمات کو نئی شکل دے رہا ہے۔ دوسرا مرحلہ، جس میں چھوٹے کاروبار کی چھوٹ کا تنگ ہونا اور ہدفی اشتہارات کا واضح ضابطہ شامل ہے، 2026 یا 2027 میں نافذ ہونے کا امکان ہے۔ جو ناشرین اور مشتہرین GDPR گریڈ رضامندی اسٹیک میں سرمایہ کاری کر چکے ہیں ان کے پاس پہلے سے تعمیل کے لیے زیادہ تر مشینری ہے۔ جو لوگ آسٹریلیا کے تاریخی طور پر ہلکے موقف پر انحصار کر رہے تھے وہ معلوم خلاء کے ساتھ نئے نظام میں داخل ہو رہے ہیں۔ صحیح قدم یہ ہے کہ ان خلاء کو ابھی بند کریں — قانونی ناجائز فعل، بچوں کا ضابطہ، یا OAIC آڈٹ کسی ایسی ٹائم لائن پر سوال کو مجبور کرنے سے پہلے جسے کوئی کنٹرول نہیں کرتا۔