Cấu trúc của Cải cách 2024–2026

Cải cách đang được triển khai theo hai giai đoạn và chỉ có giai đoạn đầu tiên đã hoàn toàn có hiệu lực. Hiểu được trình tự là quan trọng để biết những gì có hiệu lực pháp lý so với những gì đang đến.

Giai đoạn 1 — Có hiệu lực từ 2024–2025

Privacy and Other Legislation Amendment Act 2024, được phê duyệt vào tháng 11 năm 2024, đã mang lại một số thay đổi đã áp dụng:

• Tội phạm pháp lý cho các vi phạm bảo mật nghiêm trọng — các cá nhân có thể kiện trực tiếp đối với các vi phạm bảo mật nghiêm trọng, mà không cần chứng minh vi phạm bản thân Privacy Act
• Hình phạt dân sự mới — OAIC có thể yêu cầu hình phạt cho bất kỳ sự can thiệp vào bảo mật, không chỉ đối với các vi phạm nghiêm trọng hoặc lặp đi lặp lại
• Yêu cầu minh bạch cho việc ra quyết định tự động — các thực thể phải tiết lộ khi các quyết định quan trọng về các cá nhân được đưa ra bằng cách sử dụng hệ thống tự động
• Doxxing bị hình sự hóa — việc cố ý xuất bản dữ liệu cá nhân để gây hại giờ là tội hình sự
• Children's Online Privacy Code — OAIC được yêu cầu phát triển một bộ quy tắc ràng buộc cho các dịch vụ có khả năng được truy cập bởi trẻ em, với bộ quy tắc dự kiến vào năm 2026

Giai đoạn 2 — Đang tích cực tham vấn cho 2026–2027

Giai đoạn thứ hai bao gồm các thay đổi cấu trúc hơn và đang được thực hiện thông qua thỏa thuận chính phủ vào năm 2025 và 2026. Các yếu tố dự kiến bao gồm:

• Loại bỏ hoặc thu hẹp đáng kể miễn trừ doanh nghiệp nhỏ hiện đang miễn trừ các thực thể có doanh thu hàng năm dưới AUD 3 triệu
• Một kiểm tra công bằng và hợp lý rõ ràng hơn áp dụng cho mọi việc xử lý thông tin cá nhân, độc lập với sự đồng ý
• Quy định rõ ràng về quảng cáo nhắm mục tiêu, với sự đồng ý opt-in có thể xảy ra đối với các danh mục nhạy cảm
• Một quyền xóa mới, đưa luật Úc gần hơn với GDPR
• Kiểm soát chặt chẽ hơn đối với chuyển dữ liệu xuyên biên giới

Điều gì được tính là Thông tin Cá nhân theo Luật Úc

Privacy Act của Úc định nghĩa thông tin cá nhân rộng rãi. Nó bao gồm bất kỳ thông tin nào về một cá nhân được xác định hoặc có thể xác định một cách hợp lý, và OAIC diễn giải có thể xác định một cách hợp lý để bao gồm các số nhận dạng trực tuyến, ID thiết bị, địa chỉ IP kết hợp với dữ liệu khác và số nhận dạng quảng cáo. Trong thực tế, cookie, theo dõi pixel, dấu vân tay thiết bị và đồ thị danh tính được sử dụng để quảng cáo đa trang web đều xử lý thông tin cá nhân theo luật Úc và hoàn toàn nằm trong phạm vi tuân thủ Australian Privacy Principles (APP).

Đồng ý Cookie Hoạt động như thế nào theo Luật Úc năm 2026

Luật Úc hiện tại không yêu cầu banner opt-in đầy đủ theo phong cách GDPR cho tất cả cookie. Nhưng đây cũng không phải là vùng tự do, và một số phát triển gần đây đã nâng cao tiêu chuẩn.

APP 3 — Thu thập Yêu cầu Thông báo

Australian Privacy Principle 3 yêu cầu rằng thông tin cá nhân chỉ được thu thập bằng các phương tiện hợp pháp và công bằng, với thông báo về mục đích. Đối với các cookie thu thập thông tin cá nhân, điều này có nghĩa là một thông báo có thể nhìn thấy và đầy đủ thông tin phải được trình bày trước hoặc vào thời điểm thu thập. Theo dõi ẩn không thỏa mãn APP 3.

APP 6 — Sử dụng và Tiết lộ Yêu cầu Khớp Mục đích

Thông tin cá nhân chỉ có thể được sử dụng cho mục đích nó được thu thập, cho một mục đích phụ liên quan hợp lý, hoặc với sự đồng ý của cá nhân. Chia sẻ dữ liệu thu được từ cookie với nền tảng quảng cáo kỹ thuật số để quảng cáo hành vi đa ngữ cảnh thường nằm ngoài mục đích chính, điều này đẩy nó về phía sự đồng ý.

Hướng dẫn của OAIC về Theo dõi

Hướng dẫn năm 2024 của OAIC về các công nghệ theo dõi không mơ hồ: các thực thể nên cung cấp cơ chế rõ ràng cho các cá nhân từ chối theo dõi, và đối với bất kỳ trường hợp sử dụng nào liên quan đến thông tin nhạy cảm hoặc lập hồ sơ cho các quyết định quan trọng, OAIC kỳ vọng sự đồng ý opt-in. Điều đó đặt quảng cáo nhắm mục tiêu, nhắm mục tiêu lại lập trình, phát lại phiên và phân tích hành vi vào vùng opt-in trong thực tế, ngay cả khi luật chưa bắt buộc trong mọi trường hợp.

Cấu hình CMP Thực tế năm 2026

Hầu hết các nhà xuất bản hoạt động tại Úc hiện chạy CMP trình bày banner ba trạng thái: Chấp nhận, Từ chối và Tùy chỉnh. Đối với lưu lượng truy cập EU hoặc UK, opt-in là nghiêm ngặt. Đối với lưu lượng truy cập Úc, opt-in là mặc định được khuyến nghị cho quảng cáo nhắm mục tiêu và phát lại phiên, trong khi phân tích thường có thể chạy theo mô hình thông báo và lựa chọn miễn là ẩn danh hóa IP và giảm thiểu dữ liệu đã được áp dụng.

Tội phạm Pháp lý — Điều nó Thực sự Cho phép

Tội phạm pháp lý mới là thay đổi quan trọng nhất cho các nhà quảng cáo kỹ thuật số về mặt thực tế. Trước đây, chỉ có OAIC mới có thể thực thi các quyền bảo mật và các biện pháp khắc phục cá nhân còn hạn chế. Tội phạm pháp lý thay đổi điều này.

Vi phạm Bảo mật Nghiêm trọng là gì?

Tội phạm bao gồm hành vi cố ý hoặc liều lĩnh gây ra vi phạm bảo mật nghiêm trọng, thông qua xâm phạm sự cô đơn hoặc lạm dụng thông tin cá nhân. Tòa án sẽ cân nhắc mức độ nghiêm trọng so với lợi ích công cộng và các cân nhắc khác.

Tại sao Nhà quảng cáo nên Quan tâm

Theo dõi tích cực, đặc biệt là phát lại phiên ghi lại các lần nhấn phím và hành vi con trỏ trên các trang nhạy cảm, dấu vân tay vượt qua opt-out của người dùng, hoặc liên kết hành vi ẩn danh với danh tính được đặt tên một cách trái phép — tất cả những điều này giờ là các căn cứ thực tế hợp lý cho khiếu nại tội phạm. Dự kiến các công ty nguyên đơn sẽ bắt đầu kiểm tra các giới hạn vào năm 2026. Úc không có văn hóa kiện tập thể của Hoa Kỳ, nhưng các hành động đại diện là có thể và một số công ty rõ ràng đang định vị cho chúng.

Bộ quy tắc Bảo mật Trực tuyến cho Trẻ em

Children's Online Privacy Code là mảnh quy định mới cụ thể nhất cho các nhà xuất bản có trang web có khả năng được truy cập bởi trẻ em.

Ai nằm trong Phạm vi

Bộ quy tắc áp dụng cho các dịch vụ mạng xã hội, các dịch vụ điện tử có liên quan có khả năng được truy cập bởi trẻ em và một số dịch vụ internet được chỉ định. Trong thực tế, điều này vươn tới xa hơn các trang web thuần túy dành cho trẻ em — bất kỳ nền tảng đa đối tượng nào mà một số lượng đáng kể trẻ vị thành niên truy cập đều có khả năng bị bắt và OAIC dự kiến sẽ đưa ra cách giải thích bao gồm.

Các Nghĩa vụ Cốt lõi Dự kiến trong Bộ quy tắc

• Cài đặt mặc định bảo mật cao cho người dùng dưới 18 tuổi
• Hạn chế quảng cáo nhắm mục tiêu đối với trẻ vị thành niên
• Cấm các mô hình tối thúc đẩy trẻ em hướng tới cài đặt bảo mật yếu hơn
• Giải thích xử lý dữ liệu phù hợp với độ tuổi
• Đánh giá về lợi ích tốt nhất của trẻ em trước khi triển khai các tính năng xử lý thông tin cá nhân của chúng

Chuẩn bị gì Ngay bây giờ

Các nhà xuất bản có đối tượng bao gồm số lượng đáng kể khách truy cập dưới 18 tuổi nên bắt đầu kiểm tra ngăn xếp theo dõi, cấu hình quảng cáo và cài đặt mặc định trước khi Bộ quy tắc được hoàn thiện. Thích nghi ngược sau thực tế thường tốn kém hơn và gây gián đoạn hơn so với thiết kế tuân thủ vào ngăn xếp từ đầu.

Thái độ Thực thi năm 2026

OAIC đã nhận được nguồn lực tăng cường đáng kể cùng với các cải cách. Hoạt động kiểm toán đã tăng và Ủy viên đã báo hiệu cách tiếp cận thực thi công khai hơn.

Các Hình phạt Có Hiệu lực

Hình phạt dân sự tối đa cho sự can thiệp nghiêm trọng hoặc lặp đi lặp lại vào bảo mật là giá trị lớn hơn trong số: AUD 50 triệu, gấp ba lần lợi ích thu được từ hành vi, hoặc 30 phần trăm doanh thu điều chỉnh của thực thể trong thời gian vi phạm. Cải cách cũng đã giới thiệu tầng hình phạt thứ hai cho bất kỳ sự can thiệp nào vào bảo mật không đáp ứng ngưỡng nghiêm trọng, cung cấp cho OAIC các công cụ thực thi được hiệu chỉnh hơn.

Vi phạm Dữ liệu Phải Thông báo

Úc đã có chương trình thông báo vi phạm dữ liệu bắt buộc từ năm 2018, và OAIC đã rõ ràng tích cực trong thực thi sau các sự cố vi phạm dữ liệu lớn của Úc năm 2022 và 2023. Bất kỳ sự cố liên quan đến cookie hoặc theo dõi nào dẫn đến tiết lộ trái phép đều có khả năng nằm trong phạm vi.

Chuyển dữ liệu Xuyên biên giới và Lưu lượng Toàn cầu

Australian Privacy Principle 8 yêu cầu các thực thể thực hiện các bước hợp lý để đảm bảo những người nhận ở nước ngoài xử lý thông tin cá nhân nhất quán với các APP. Đối với một nhà xuất bản sử dụng công nghệ quảng cáo toàn cầu, điều này có nghĩa là một thẩm quyền có luật pháp tương tự đáng kể, một cam kết ràng buộc theo hợp đồng từ người nhận ở nước ngoài, hoặc sự đồng ý được thông báo từ cá nhân.

Chuyển dữ liệu sang Hoa Kỳ

US hiện không được công nhận là có luật pháp tương tự đáng kể. Do đó, chuyển dữ liệu cho các nhà cung cấp công nghệ quảng cáo US đòi hỏi cam kết ràng buộc theo hợp đồng hoặc sự đồng ý rõ ràng. Các nhà xuất bản dựa vào chứng nhận Data Privacy Framework — bao gồm các chuyển dữ liệu EU–US — nên lưu ý rằng các chứng nhận đó không tự động thỏa mãn yêu cầu APP 8 của Úc.

Danh sách Kiểm tra Kiểm toán cho Lưu lượng Úc năm 2026

• CMP trình bày các tùy chọn Chấp nhận, Từ chối và Tùy chỉnh rõ ràng với tầm nổi bật hình ảnh bằng nhau trên lưu lượng Úc
• Quảng cáo nhắm mục tiêu, nhắm mục tiêu lại và phát lại phiên yêu cầu sự đồng ý opt-in; phân tích chạy theo thông báo cộng với giảm thiểu dữ liệu
• Chính sách bảo mật xác định rõ ràng cookie, theo dõi pixel và số nhận dạng quảng cáo, với tuyên bố mục đích phù hợp với APP 3 và APP 6
• Cơ chế chuyển dữ liệu xuyên biên giới được ghi chép cho mọi bộ xử lý không phải Úc (danh sách nhà cung cấp, bảo vệ hợp đồng hoặc sự đồng ý)
• Việc ra quyết định tự động được tiết lộ khi các quyết định quan trọng được đưa ra bằng cách sử dụng các hệ thống như vậy
• Đánh giá sẵn sàng cho Children's Online Privacy Code đã hoàn thành, với các cài đặt mặc định bảo mật cao có sẵn cho người dùng vị thành niên được phát hiện
• Đánh giá rủi ro Doxxing đã hoàn thành cho bất kỳ chức năng nào có thể xuất bản thông tin cá nhân do người dùng gửi
• Kế hoạch ứng phó vi phạm dữ liệu được điều chỉnh theo cửa sổ thông báo 30 ngày và định dạng báo cáo OAIC hiện tại

Triển vọng năm 2026

Úc đang ở giữa sự chuyển đổi cấu trúc từ chế độ bảo mật nhẹ nhàng hơn sang chế độ ngày càng giống các khung pháp lý của châu Âu và California — với những đặc điểm Úc riêng của nó. Giai đoạn đầu tiên đã có thể thực thi và đang định hình lại các vụ kiện. Giai đoạn thứ hai, bao gồm việc thu hẹp miễn trừ doanh nghiệp nhỏ và quy định rõ ràng về quảng cáo nhắm mục tiêu, có khả năng có hiệu lực vào năm 2026 hoặc 2027. Các nhà xuất bản và nhà quảng cáo đã đầu tư vào ngăn xếp đồng ý cấp GDPR đã có hầu hết máy móc họ cần để tuân thủ. Những người đã dựa vào lập trường nhẹ nhàng hơn trong lịch sử của Úc đang bước vào chế độ mới với các khoảng trống đã biết. Bước đi đúng đắn là đóng những khoảng trống đó ngay bây giờ — trước khi tội phạm pháp lý, Bộ quy tắc Trẻ em hoặc kiểm toán OAIC buộc câu hỏi theo lịch trình mà không ai kiểm soát.