Cấu trúc của Privacy Act năm 2026

Privacy Act là quy chế bảo vệ dữ liệu liên bang chính ở Úc, được hỗ trợ bởi Australian Privacy Principles (APPs) vận hành hóa các yêu cầu của nó. Các tranche cải cách năm 2024 và 2025 đã tái cấu trúc một số yếu tố quan trọng mà không viết lại Đạo luật từ đầu.

Tranche Đầu tiên Thay đổi Gì

Tranche cải cách đầu tiên, có hiệu lực trong năm 2024, đã giới thiệu một số thay đổi được chờ đợi từ lâu:

• Hình phạt tối đa tăng đáng kể cho các vi phạm quyền riêng tư nghiêm trọng hoặc lặp đi lặp lại, đưa hình phạt của Úc gần hơn với mức GDPR
• Quyền hạn mới cho OAIC để tiến hành điều tra theo sáng kiến của mình và ban hành thông báo vi phạm
• Children's Online Privacy Code, áp đặt các nghĩa vụ cụ thể đối với các dịch vụ có khả năng được trẻ em truy cập
• Các yêu cầu thông báo vi phạm được tăng cường, bao gồm thời hạn thông báo nhanh hơn

Tranche Thứ hai Thay đổi Gì

Tranche cải cách thứ hai, có hiệu lực trong năm 2025 và đến năm 2026, đã giải quyết các vấn đề kiến trúc hơn:

• Thiệt hại theo luật định từ hành vi xâm phạm quyền riêng tư nghiêm trọng, trao cho các cá nhân quyền khởi kiện trực tiếp về vi phạm quyền riêng tư nghiêm trọng
• Các định nghĩa mở rộng về thông tin cá nhân để làm rõ cách xử lý số nhận dạng trực tuyến và suy luận
• Các yêu cầu đồng ý được tăng cường cho tiếp thị trực tiếp và quảng cáo có mục tiêu
• Các nghĩa vụ minh bạch mới cho việc ra quyết định tự động, bao gồm quyền có giải thích có ý nghĩa
• Các quy tắc luồng dữ liệu xuyên biên giới được cập nhật với các nghĩa vụ bước hợp lý được cải cách

Ai bị Quy định

Privacy Act áp dụng cho hầu hết các cơ quan Chính phủ Úc và các tổ chức khu vực tư nhân có doanh thu hàng năm trên một ngưỡng (hiện tại là AUD 3 triệu). Nó cũng áp dụng ngoài lãnh thổ đối với các tổ chức nước ngoài kinh doanh tại Úc và thu thập hoặc nắm giữ thông tin cá nhân ở Úc. Các nhà xuất bản nước ngoài phục vụ người dùng Úc thông qua các trang web bản địa hóa hoặc hàng tồn kho lập trình mua so với các IP của Úc thường nằm trong phạm vi và OAIC đã viện dẫn quy định ngoài lãnh thổ trong một số vấn đề gần đây.

Điều gì Được Tính là Thông tin Cá nhân

Định nghĩa thông tin cá nhân của Privacy Act đã được làm rõ trong quá trình cải cách để giải quyết sự không chắc chắn lâu dài về số nhận dạng trực tuyến.

Định nghĩa Được Cập nhật

Thông tin cá nhân là thông tin hoặc ý kiến về một cá nhân được xác định, hoặc một cá nhân có thể xác định một cách hợp lý, bất kể thông tin đó có đúng hay không hoặc có được ghi lại dưới dạng vật liệu hay không. Các cải cách năm 2025 đã làm rõ rằng điều này bao gồm số nhận dạng trực tuyến, dữ liệu kỹ thuật và suy luận được rút ra từ dữ liệu hành vi khi chúng có thể được gắn kết với một cá nhân trực tiếp hoặc kết hợp với thông tin khác.

Thông tin Nhạy cảm

Đạo luật chỉ định một loại thông tin nhạy cảm bao gồm thông tin sức khỏe, nguồn gốc chủng tộc hoặc dân tộc, ý kiến chính trị, tư cách thành viên của các hiệp hội chính trị, tín ngưỡng tôn giáo, tín ngưỡng triết học, tư cách thành viên của các hiệp hội nghề nghiệp hoặc thương mại, tư cách thành viên công đoàn, xu hướng tình dục hoặc các thực hành, hồ sơ tội phạm, thông tin sinh trắc học và mẫu sinh trắc học. Xử lý thông tin nhạy cảm yêu cầu sự đồng ý rõ ràng và kích hoạt các nghĩa vụ tăng cường.

Tại sao Điều này Quan trọng đối với Cookie

Một cookie lưu trữ số nhận dạng thông thường là thông tin cá nhân. Một cookie cung cấp thông tin cho phân khúc đối tượng chạm vào danh sách nhạy cảm — sở thích sức khỏe, liên kết chính trị, liên kết tôn giáo — là xử lý thông tin nhạy cảm và yêu cầu luồng đồng ý nâng cao thay vì đồng ý quảng cáo chung. Các nhà xuất bản chạy các phân khúc đối tượng chồng chéo với danh sách nhạy cảm nên kiểm tra luồng đồng ý của mình cụ thể theo ranh giới này.

Đồng ý Cookie theo Privacy Act Được Cải cách

Quá trình cải cách đã làm rõ các yêu cầu đồng ý cho tiếp thị trực tiếp và quảng cáo có mục tiêu theo cách đưa Úc gần hơn với mô hình opt-in kiểu GDPR so với chế độ lịch sử của Úc.

Tiêu chuẩn Đồng ý Được Cập nhật

Sự đồng ý theo Privacy Act được cải cách phải là:

• Tự nguyện — được đưa ra mà không có sự ép buộc hoặc áp lực quá mức
• Được thông báo — cá nhân hiểu dữ liệu nào được thu thập, tại sao và cách chúng sẽ được sử dụng và tiết lộ
• Hiện tại — sự đồng ý đủ mới để có ý nghĩa cho quá trình xử lý đề xuất
• Cụ thể — gắn liền với các mục đích được xác định rõ ràng thay vì đồng ý theo chiếc ô chung
• Không mơ hồ — được thể hiện qua hành động xác nhận rõ ràng thay vì được suy luận từ sự không hoạt động

CMP Tuân thủ Trông như thế nào

CMP được cấu hình cho lưu lượng truy cập Úc vào năm 2026 nên trình bày:

• Một biểu ngữ hiển thị trước khi bất kỳ cookie hoặc bộ theo dõi không cần thiết nào kích hoạt
• Độ nổi bật hình ảnh bằng nhau cho Chấp nhận, Từ chối và Tùy chỉnh — OAIC đã báo hiệu sự chú ý tăng lên đến các thiết kế biểu ngữ theo mẫu tối
• Công tắc chi tiết theo từng mục đích: phân tích, quảng cáo, cá nhân hóa, chuyển dữ liệu xuyên biên giới và bất kỳ quá trình xử lý thông tin nhạy cảm nào
• Một luồng riêng biệt, được gắn nhãn rõ ràng cho quá trình xử lý thông tin nhạy cảm, được khóa đằng sau hành động của chính nó
• Một cơ chế liên tục, dễ tiếp cận để rút lại sự đồng ý
• Chính sách quyền riêng tư bằng tiếng Anh với các tiết lộ đầy đủ theo APP bao gồm kênh khiếu nại OAIC

Hồ sơ Đồng ý

Cải cách đã tăng khẩu vị của OAIC về thực thi dựa trên bằng chứng và hồ sơ đồng ý đã được trích dẫn trong một số vấn đề gần đây. Nhật ký đồng ý có thể xuất, có dấu thời gian là kỳ vọng cơ bản và hồ sơ đồng ý không đầy đủ đã bị chỉ ra trong các quyết định chính thức.

Tiết lộ Xuyên biên giới theo Chế độ Được Cải cách

Privacy Act trong lịch sử đã có cách tiếp cận khác với luồng dữ liệu xuyên biên giới so với GDPR — trọng tâm là trách nhiệm giải trình của tổ chức tiết lộ thay vì ủy quyền trước của khu vực pháp lý người nhận. Các cải cách năm 2025 đã tinh chỉnh cách tiếp cận này mà không từ bỏ nó.

Nghĩa vụ Bước Hợp lý APP 8

Australian Privacy Principle 8 yêu cầu trước khi tiết lộ thông tin cá nhân cho người nhận ở nước ngoài, tổ chức tiết lộ phải thực hiện các bước hợp lý để đảm bảo người nhận không vi phạm APPs. Điều này thường có nghĩa là một cơ chế hợp đồng, đánh giá thẩm định về các thực hành quyền riêng tư của người nhận hoặc dựa vào chế độ pháp lý tương tự đáng kể ở quốc gia đích.

Mạng lưới An toàn Trách nhiệm Giải trình

Nếu người nhận ở nước ngoài vi phạm APPs liên quan đến thông tin được tiết lộ, tổ chức tiết lộ của Úc được coi là đã tham gia vào vi phạm. Mạng lưới an toàn trách nhiệm giải trình này là đòn bẩy thực thi thực tế cho các luồng xuyên biên giới và là điều làm cho cơ chế hợp đồng không chỉ là một bài tập lập tài liệu.

Cách tiếp cận Thực tế năm 2026

Đối với hầu hết các nhà xuất bản nước ngoài vào năm 2026, cách tiếp cận làm việc là thực hiện các thỏa thuận chuyển dữ liệu tuân thủ APP với các bộ xử lý ở nước ngoài, ghi lại việc chuyển trong chính sách quyền riêng tư và duy trì hồ sơ thẩm định nhà cung cấp chứng minh nghĩa vụ bước hợp lý đã được đáp ứng. Điều này đơn giản hơn đáng kể so với cách tiếp cận ủy quyền trước của GDPR nhưng không kém nghiêm ngặt về nội dung.

Quyền của Chủ thể Dữ liệu và Ra quyết định Tự động

Đạo luật được cải cách mở rộng các quyền mà các cá nhân có thể thực hiện.

Các Quyền Cốt lõi

• Quyền truy cập vào thông tin cá nhân do tổ chức nắm giữ
• Quyền sửa chữa thông tin không chính xác, lỗi thời, không đầy đủ, không liên quan hoặc gây hiểu lầm
• Quyền từ chối tiếp thị trực tiếp
• Quyền biết thông tin cá nhân đã được tiết lộ cho ai
• Quyền có giải thích có ý nghĩa về các quyết định tự động tạo ra các hiệu ứng đáng kể
• Quyền khiếu nại với OAIC

Thời hạn Phản hồi

Đạo luật đặt ra các khung thời gian phản hồi trong thời gian hợp lý và hướng dẫn của OAIC diễn giải hợp lý là thường không vượt quá 30 ngày đối với yêu cầu truy cập. Sẵn sàng hoạt động cho cửa sổ này — với công cụ và runbooks được điều chỉnh theo các quy trình cụ thể của Úc — là khoảng cách phổ biến đối với các nhà xuất bản nước ngoài.

Children's Online Privacy Code

Code có hiệu lực trong năm 2024 áp dụng cho các dịch vụ trực tuyến có khả năng được trẻ em truy cập và áp đặt các nghĩa vụ cụ thể bao gồm thiết kế phù hợp với lứa tuổi, lập hồ sơ hạn chế và quảng cáo có mục tiêu, cài đặt quyền riêng tư mặc định cao và các yêu cầu tham gia của phụ huynh. Các nhà xuất bản có đối tượng bao gồm lưu lượng truy cập đáng kể dưới 18 tuổi cần các luồng nhận biết tuổi, xử lý hạn chế cho phân khúc vị thành niên và các mặc định phù hợp với Code — không có điều nào trong số đó có sẵn cho hầu hết các nhà xuất bản nước ngoài.

Hình phạt và Tư thế Thực thi năm 2026

Hoạt động thực thi của OAIC đã leo thang đáng kể trong năm 2024 và 2025, và năm 2026 đang trên quỹ đạo tương tự.

Hình phạt Tối đa

Đối với các vi phạm quyền riêng tư nghiêm trọng hoặc lặp đi lặp lại, hình phạt tối đa là lớn nhất trong số AUD 50 triệu, ba lần giá trị lợi ích thu được từ hành vi, hoặc 30 phần trăm doanh thu được điều chỉnh của tổ chức trong kỳ liên quan. Điều này đưa hình phạt của Úc một cách dứt khoát vào phạm vi GDPR và loại bỏ đặc điểm chế độ nhẹ nhàng trước đây được áp dụng.

Thiệt hại Theo Luật định

Thiệt hại theo luật định năm 2025 từ hành vi xâm phạm quyền riêng tư nghiêm trọng trao cho các cá nhân quyền khởi kiện trực tiếp để bồi thường thiệt hại, tách biệt với việc thực thi quy định. Các vụ kiện tập thể là con đường đang nổi lên và một số đã được đệ trình chống lại các nền tảng lớn vào cuối năm 2025 và đầu năm 2026.

Chủ đề Thực thi

Các vấn đề gần đây của OAIC tập trung xung quanh các vấn đề tái diễn: biểu ngữ đồng ý theo mẫu tối, thông báo vi phạm không đầy đủ, tiết lộ xuyên biên giới mà không có bước hợp lý được ghi lại, xử lý thông tin nhạy cảm mà không có sự đồng ý rõ ràng và không phản hồi các yêu cầu truy cập trong cửa sổ thời gian hợp lý.

Danh sách Kiểm tra Kiểm toán cho Lưu lượng truy cập Úc năm 2026

• Biểu ngữ CMP với Chấp nhận, Từ chối và Tùy chỉnh ở độ nổi bật hình ảnh bằng nhau
• Mục đích đồng ý là chi tiết và tách biệt xử lý thông tin nhạy cảm đằng sau sự đồng ý rõ ràng
• Chính sách quyền riêng tư tuân thủ APP với tiết lộ đầy đủ về người nhận nước ngoài, mục đích, thời gian lưu giữ và kênh khiếu nại OAIC
• Thỏa thuận tiết lộ xuyên biên giới APP 8 được thực hiện với tất cả các bộ xử lý ở nước ngoài với thẩm định nhà cung cấp được ghi lại
• Nhật ký đồng ý có dấu thời gian, có thể xuất và được giữ lại trong thời gian lưu giữ áp dụng
• Quy trình làm việc truy cập của chủ thể dữ liệu có thể phản hồi trong cửa sổ thời gian hợp lý từ đầu đến cuối
• Các nghĩa vụ Children's Online Privacy Code được giải quyết khi đối tượng bao gồm vị thành niên, bao gồm thiết kế phù hợp với lứa tuổi và lập hồ sơ hạn chế
• Giải thích ra quyết định tự động có sẵn khi các quyết định quan trọng được đưa ra bằng cách sử dụng các hệ thống như vậy
• Runbook thông báo vi phạm được điều chỉnh theo các thời hạn được cải cách
• Danh sách nhà cung cấp đã được xem xét về sự cần thiết, với các nhà cung cấp không sử dụng hoặc dư thừa được xóa để giảm bề mặt tiết lộ

Triển vọng năm 2026

Chế độ quyền riêng tư của Úc cuối cùng đã chuyển từ một quá trình cải cách dài sang tư thế thực thi đáng tin cậy. Hình phạt tối đa hiện nằm trong phạm vi GDPR, OAIC có quyền hạn cần thiết để thực thi chúng, thiệt hại theo luật định trao cho các cá nhân quyền khởi kiện trực tiếp và Children's Online Privacy Code nâng mức sàn cho bất kỳ dịch vụ nào chạm vào đối tượng dưới 18 tuổi. Đối với các nhà xuất bản đã chạy một chồng đồng ý cấp độ GDPR, khoảng cách đến tuân thủ Privacy Act là hoạt động hơn là kiến trúc: chính sách quyền riêng tư phù hợp APP, tài liệu APP 8, mặc định Children's Code và nhịp phản hồi yêu cầu truy cập. Khoảng cách có thể được đóng lại trong vài tuần nếu nó được ưu tiên. Các nhà xuất bản coi Úc là thị trường tương đối nhẹ nhàng trong năm 2023 đang thấy năm 2026 đắt hơn đáng kể và xu hướng sẽ tiếp tục. Tin tốt là khoảng cách đến tuân thủ nhỏ đối với bất kỳ nhà xuất bản nào đã thực hiện công việc Châu Âu; tin xấu là hầu hết các nhà xuất bản đánh giá thấp mức độ chế độ Úc được cải cách mong đợi từ họ.