2024-2026年改革嘅結構框架

今次改革分兩批推進，目前只有第一批完全落地。了解呢個時間順序，對於判斷邊啲內容已具法律效力、邊啲內容仲喺推進中至關重要。

第一批——自2024-2025年起生效

Privacy and Other Legislation Amendment Act 2024於2024年11月獲得御准，已交付若干已適用嘅變更：

• 嚴重侵犯私隱嘅法定侵權——個人可以直接就嚴重私隱侵犯提起訴訟，唔需要證明違反咗Privacy Act本身
• 新民事罰款——OAIC可就任何干擾私隱嘅行為尋求處罰，唔單止係嚴重或反覆嘅違規行為
• 自動化決策透明度要求——實體必須披露幾時用自動化系統對個人作出重大決定
• 起底入罪——蓄意公布個人數據以造成傷害嘅行為而家已構成刑事罪行
• Children's Online Privacy Code——OAIC被要求為可能被兒童訪問嘅服務制定具有約束力嘅守則，該守則預計於2026年發布

第二批——正就2026-2027年展開積極磋商

第二批涵蓋更具結構性嘅變化，目前正喺2025年同2026年經歷政府審議程序。預期要素包括：

• 取消或者大幅收窄目前豁免年營業額低於AUD 300萬嘅實體嘅小型企業豁免
• 更清晰嘅公平合理測試，適用於每一項個人信息處理行為，獨立於同意之外
• 對定向廣告嘅明確監管，敏感類別可能須取得選擇加入同意
• 新增刪除權，令澳洲法律更接近GDPR
• 對跨境數據傳輸實施更嚴格嘅管控

澳洲法律對個人信息嘅界定

澳洲Privacy Act對個人信息嘅界定十分寬泛。佢涵蓋有關已識別或可合理識別個人嘅任何信息，OAIC將可合理識別解釋為包括網上標識符、設備ID、與其他數據結合嘅IP地址以及廣告標識符。實際上，用於跨站廣告嘅Cookie、像素追蹤、設備指紋識別同身份圖譜均喺澳洲法律下處理個人信息，並完全受Australian Privacy Principles (APP)合規要求嘅約束。

2026年澳洲法律下Cookie同意嘅運作方式

澳洲法律目前唔要求對所有Cookie採用完整嘅GDPR式選擇加入橫幅。但係，呢個都唔係毫無限制，若干近期進展已提高咗門檻。

APP 3——收集須提供通知

Australian Privacy Principle 3要求只以合法公平嘅方式收集個人信息，並告知收集目的。對於收集個人信息嘅Cookie，呢個意味著必須喺收集前或者收集時提供可見且具信息量嘅通知。隱藏追蹤唔滿足APP 3嘅要求。

APP 6——使用同披露須符合目的匹配原則

個人信息只可用於收集目的、合理相關嘅次要目的，或者經個人同意後用於其他目的。將Cookie衍生數據共享畀數字廣告平台用於跨情境行為廣告，通常超出主要目的範圍，從而需要取得同意。

OAIC關於追蹤嘅指引

OAIC 2024年關於追蹤技術嘅指引措辭清晰：實體應提供清晰機制供個人選擇退出追蹤，對於涉及敏感信息或為重大決策進行用戶畫像嘅任何使用場景，OAIC期望取得選擇加入同意。呢個喺實踐中將定向廣告、程序化再營銷、會話回放同行為分析明確納入選擇加入範疇，即便法規仲未喺每種情況下強制要求。

2026年CMP嘅實用配置

目前喺澳洲運營嘅大多數出版商採用CMP展示三狀態橫幅：接受、拒絕同自定義。對於EU或UK流量，選擇加入標準嚴格。對於澳洲流量，定向廣告同會話回放推薦預設選擇加入，而數據分析通常可喺通知加選擇模式下運行，前提係已落實IP匿名化同數據最小化措施。

法定侵權——實際賦權內容

新嘅法定侵權制度係數字廣告商喺實踐層面面臨嘅最重大變化。以前，只有OAIC先可以執行私隱權，個人救濟途徑十分有限。法定侵權制度改變咗呢個局面。

乜嘢係嚴重侵犯私隱？

該侵權制度涵蓋造成嚴重侵犯私隱嘅故意或魯莽行為，包括侵入隱居或濫用私人信息兩種情形。法院將權衡嚴重性與公共利益及其他考量因素。

廣告商應當關注嘅原因

激進嘅追蹤行為——尤其係喺敏感頁面捕捉擊鍵同鼠標行為嘅會話回放、規避用戶選擇退出嘅指紋識別，或者未經授權將匿名行為與具名身份關聯——均已成為侵權索賠嘅合理事實基礎。預計2026年原告律所將開始試探邊界。澳洲唔似美國咁有集體訴訟文化，但代表性訴訟係可行嘅，部分律所顯然正喺為此布局。

兒童網上私隱守則

Children's Online Privacy Code係針對可能被兒童訪問嘅網站出版商最具體嘅一項新監管措施。

適用範圍

該守則適用於社交媒體服務、可能被兒童訪問嘅相關電子服務以及特定指定互聯網服務。實際上，其覆蓋範圍遠超純粹嘅兒童網站——任何有相當數量未成年人訪問嘅大眾受眾平台都可能被納入，OAIC預計將採取包容性解讀。

守則預期嘅核心義務

• 為18歲以下用戶設置高私隱默認設置
• 限制向未成年人投放定向廣告
• 禁止引導兒童選擇較弱私隱設置嘅暗黑模式
• 提供適合年齡嘅數據處理說明
• 喺部署處理兒童個人信息嘅功能前評估兒童最大利益

而家應做嘅準備

受眾中有大量18歲以下訪客嘅出版商，應喺守則最終確定之前開始審計其追蹤技術棧、廣告配置同默認設置。事後改造通常比從一開始就將合規設計融入技術棧更為昂貴且更具破壞性。

2026年嘅執法態勢

OAIC隨改革獲得咗顯著增加嘅資源配置。審計活動有所增加，專員已發出信號，將採取更具公開性嘅執法方式。

現行罰款

對嚴重或反覆干擾私隱行為嘅最高民事罰款，為以下三項中嘅較高者：AUD 5000萬、從該行為中獲得收益嘅三倍，或者實體喺違規期間調整後營業額嘅30%。改革仲引入咗針對唔達嚴重程度門檻嘅任何私隱干擾行為嘅第二級罰款，賦予OAIC更具層次嘅執法工具。

強制性數據洩露通知

澳洲自2018年起實施強制性數據洩露通知制度，OAIC喺2022年同2023年澳洲重大數據洩露事件後執法明顯趨嚴。任何導致未經授權披露嘅Cookie或追蹤相關事件均可能喺適用範圍之內。

跨境傳輸同全球流量

Australian Privacy Principle 8要求實體採取合理步驟，確保境外接收方以符合APP嘅方式處理個人信息。對於使用全球廣告技術嘅出版商，呢個意味著需要具備與澳洲法律實質相似嘅司法管轄區、與境外接收方簽訂具有約束力嘅合同承諾，或者取得個人嘅知情同意。

傳輸至美國

美國目前未被認定為擁有實質相似法律嘅國家。因此，向美國廣告技術供應商傳輸數據需要具有約束力嘅合同承諾或明確同意。依賴數據私隱框架認證嘅出版商——該認證涵蓋歐美數據傳輸——應注意呢啲認證並唔自動滿足澳洲APP 8嘅要求。

2026年澳洲流量審計清單

• CMP喺澳洲流量上以同等視覺顯著性呈現清晰嘅接受、拒絕同自定義選項
• 定向廣告、再營銷同會話回放須取得選擇加入同意；數據分析喺通知加數據最小化措施下運行
• 私隱政策清晰標識Cookie、像素追蹤同廣告標識符，並提供符合APP 3同APP 6嘅目的聲明
• 為每個非澳洲處理商記錄跨境傳輸機制（供應商清單、合同保護或同意）
• 喺使用自動化系統作出重大決定嘅地方，披露自動化決策信息
• Children's Online Privacy Code合規準備評估已完成，並為檢測到嘅未成年用戶提供高私隱默認設置
• 對任何可能發布用戶提交個人信息嘅功能，完成起底風險審查
• 數據洩露響應計劃已與30天通知窗口同當前OAIC報告格式保持一致

2026年展望

澳洲正處於從較為寬鬆嘅私隱制度向日益類似歐洲同加州框架——兼具其自身澳洲特色——轉型嘅結構性轉變之中。第一批改革已可執行，並已開始重塑訴訟格局。第二批改革，包括收窄小型企業豁免同對定向廣告嘅明確監管，可能喺2026年或者2027年生效。已投資建設GDPR級別同意技術棧嘅出版商同廣告商，已具備大部分所需合規機制。一直依賴澳洲歷史上較為寬鬆立場嘅主體，正帶著已知缺口進入新制度。正確嘅做法係而家就彌補呢啲缺口——喺法定侵權、兒童守則或者OAIC審計以任何人無法掌控嘅時間線迫使應對之前。