2024-2026年改革个结构框架

本次改革分两批推进，目前只有第一批完全落地了。了解这个时间顺序，对于判断哪些内容已经有法律效力、哪些内容还在推进中至关重要。

第一批——自2024-2025年起生效

Privacy and Other Legislation Amendment Act 2024于2024年11月获得御准，已经交付了若干已适用个变更：

• 严重侵犯隐私个法定侵权——个人可以直接就严重隐私侵犯提起诉讼，勿需要证明违反了Privacy Act本身
• 新民事罚款——OAIC可就任何干扰隐私个行为寻求处罚，勿单只是严重或反复个违规行为
• 自动化决策透明度要求——实体必须披露啥辰光用自动化系统对个人作出重大决定
• 人肉搜索入罪——蓄意公布个人数据以造成伤害个行为现在已经构成刑事罪行
• Children's Online Privacy Code——OAIC被要求为可能被儿童访问个服务制定具有约束力个准则，该准则预计于2026年发布

第二批——正就2026-2027年展开积极磋商

第二批涵盖更具结构性个变化，目前正在2025年跟2026年经历政府审议程序。预期要素包括：

• 取消或者大幅收窄目前豁免年营业额低于AUD 300万个实体个小企业豁免
• 更清晰个公平合理测试，适用于每一项个人信息处理行为，独立于同意之外
• 对定向广告个明确监管，敏感类别可能需要取得选择加入同意
• 新增删除权，使澳大利亚法律更接近GDPR
• 对跨境数据传输实施更严格个管控

澳大利亚法律对个人信息个界定

澳大利亚Privacy Act对个人信息个界定十分宽泛。伊涵盖有关已识别或可合理识别个人个任何信息，OAIC将可合理识别解释为包括网络标识符、设备ID、与其他数据结合个IP地址以及广告标识符。实际上，用于跨站广告个Cookie、像素追踪、设备指纹识别跟身份图谱都在澳大利亚法律下处理个人信息，并且完全受Australian Privacy Principles (APP)合规要求个约束。

2026年澳大利亚法律下Cookie同意个运作方式

澳大利亚法律目前勿要求对所有Cookie采用完整个GDPR式选择加入横幅。但是，这个也勿是毫无限制个，若干近期进展已经提高了门槛。

APP 3——收集须提供通知

Australian Privacy Principle 3要求只以合法公平个方式收集个人信息，并告知收集目的。对于收集个人信息个Cookie，这意味着必须在收集前或者收集辰光提供可见且具信息量个通知。隐藏追踪勿满足APP 3个要求。

APP 6——使用跟披露须符合目的匹配原则

个人信息只能用于收集目的、合理相关个次要目的，或者经个人同意后用于其他目的。将Cookie衍生数据分享给数字广告平台用于跨情境行为广告，通常超出主要目的范围，从而需要取得同意。

OAIC关于追踪个指引

OAIC 2024年关于追踪技术个指引措辞清楚：实体应提供清晰机制供个人选择退出追踪，对于涉及敏感信息或为重大决策进行用户画像个任何使用场景，OAIC期望取得选择加入同意。这在实践中将定向广告、程序化再营销、会话回放跟行为分析明确纳入选择加入范畴，即便法规还勿是在每种情况下强制要求。

2026年CMP个实用配置

目前在澳大利亚运营个大多数出版商采用CMP展示三状态横幅：接受、拒绝跟自定义。对于EU或UK流量，选择加入标准严格。对于澳大利亚流量，定向广告跟会话回放推荐默认选择加入，而数据分析通常可以在通知加选择模式下运行，前提是已经落实IP匿名化跟数据最小化措施。

法定侵权——实际赋权内容

新个法定侵权制度是数字广告商在实践层面面临个最重大变化。以前，只有OAIC才能执行隐私权，个人救济途径十分有限。法定侵权制度改变了这个局面。

啥叫严重侵犯隐私？

该侵权制度涵盖造成严重侵犯隐私个故意或鲁莽行为，包括侵入隐居或滥用私人信息两种情形。法院将权衡严重性与公共利益及其他考量因素。

广告商应当关注个原因

激进个追踪行为——尤其是在敏感页面捕捉击键跟鼠标行为个会话回放、规避用户选择退出个指纹识别，或者未经授权将匿名行为与具名身份关联——都已经成为侵权索赔个合理事实基础。预计2026年原告律所将开始试探边界。澳大利亚勿像美国那样有集体诉讼文化，但代表性诉讼是可行个，部分律所显然正在为此布局。

儿童网络隐私准则

Children's Online Privacy Code是针对可能被儿童访问个网站出版商最具体个一项新监管措施。

适用范围

该准则适用于社交媒体服务、可能被儿童访问个相关电子服务以及特定指定互联网服务。实际上，伊个覆盖范围远超纯粹个儿童网站——任何有相当数量未成年人访问个大众受众平台都可能被纳入，OAIC预计将采取包容性解读。

准则预期个核心义务

• 为18岁以下用户设置高隐私默认设置
• 限制向未成年人投放定向广告
• 禁止引导儿童选择较弱隐私设置个暗黑模式
• 提供适合年龄个数据处理说明
• 在部署处理儿童个人信息个功能前评估儿童最大利益

现在应做个准备

受众中有大量18岁以下访客个出版商，应当在准则最终确定之前开始审计伊拉个追踪技术栈、广告配置跟默认设置。事后改造通常比从一开始就将合规设计融入技术栈更加昂贵、更具破坏性。

2026年个执法态势

OAIC随改革获得了显著增加个资源配置。审计活动有所增加，专员已经发出信号，将采取更具公开性个执法方式。

现行罚款

对严重或反复干扰隐私行为个最高民事罚款，为以下三项中个较高者：AUD 5000万、从该行为中获得收益个三倍，或者实体在违规期间调整后营业额个30%。改革还引入了针对勿达严重程度门槛个任何隐私干扰行为个第二级罚款，赋予OAIC更具层次个执法工具。

强制性数据泄露通知

澳大利亚自2018年起实施强制性数据泄露通知制度，OAIC在2022年跟2023年澳大利亚重大数据泄露事件后执法明显趋严。任何导致未经授权披露个Cookie或追踪相关事件都可能在适用范围之内。

跨境传输跟全球流量

Australian Privacy Principle 8要求实体采取合理步骤，确保境外接收方以符合APP个方式处理个人信息。对于使用全球广告技术个出版商，这意味着需要具备与澳大利亚法律实质相似个司法管辖区、与境外接收方签订具有约束力个合同承诺，或者取得个人个知情同意。

传输至美国

美国目前未被认定为拥有实质相似法律个国家。因此，向美国广告技术供应商传输数据需要具有约束力个合同承诺或明确同意。依赖数据隐私框架认证个出版商——该认证涵盖欧美数据传输——应当注意这些认证并勿自动满足澳大利亚APP 8个要求。

2026年澳大利亚流量审计清单

• CMP在澳大利亚流量上以同等视觉显著性呈现清晰个接受、拒绝跟自定义选项
• 定向广告、再营销跟会话回放须取得选择加入同意；数据分析在通知加数据最小化措施下运行
• 隐私政策清晰标识Cookie、像素追踪跟广告标识符，并提供符合APP 3跟APP 6个目的声明
• 为每个非澳大利亚处理商记录跨境传输机制（供应商清单、合同保护或同意）
• 在使用自动化系统作出重大决定个地方，披露自动化决策信息
• Children's Online Privacy Code合规准备评估已完成，并为检测到个未成年用户提供高隐私默认设置
• 对任何可能发布用户提交个人信息个功能，完成人肉搜索风险审查
• 数据泄露响应计划已与30天通知窗口跟当前OAIC报告格式保持一致

2026年展望

澳大利亚正处于从较为宽松个隐私制度向日益类似欧洲跟加州框架——兼具伊自身澳大利亚特色——转型个结构性转变之中。第一批改革已经可以执行，并已开始重塑诉讼格局。第二批改革，包括收窄小企业豁免跟对定向广告个明确监管，可能在2026年或者2027年生效。已经投资建设GDPR级别同意技术栈个出版商跟广告商，已具备大部分所需合规机制。一直依赖澳大利亚历史上较为宽松立场个主体，正带着已知缺口进入新制度。正确个做法是现在就弥补这些缺口——在法定侵权、儿童准则或者OAIC审计以任何人勿能掌控个时间线迫使应对之前。