2026年隐私法的结构

Privacy Act是澳大利亚主要的联邦数据保护法规，由Australian Privacy Principles (APPs)将其要求付诸实施。2024年和2025年的改革在不对法案进行整体重写的前提下，对若干关键要素进行了重构。

第一阶段的变化

第一阶段改革于2024年生效，引入了若干期待已久的变化：

• 大幅提高对严重或重复隐私侵犯行为的最高处罚，使澳大利亚的处罚力度更接近GDPR水平
• 赋予OAIC自主启动调查和发出违规通知的新权力
• 出台Children's Online Privacy Code，对可能被儿童访问的服务规定了具体义务
• 加强违规通知要求，包括更短的通知时限

第二阶段的变化

第二阶段改革于2025年生效并延续至2026年，解决了更深层的架构问题：

• 严重侵犯隐私的法定侵权行为，赋予个人对严重隐私侵犯直接提起诉讼的权利
• 扩展个人信息定义，明确网络标识符和推断信息的处理方式
• 加强直接营销和定向广告的同意要求
• 对自动化决策新增透明度义务，包括获得有意义说明的权利
• 更新跨境数据流规则，改革合理措施义务

监管对象

Privacy Act适用于大多数澳大利亚政府机构，以及年营业额超过一定门槛（目前为AUD 300万）的私营组织。它还具有域外效力，适用于在澳大利亚开展业务并在澳大利亚收集或持有个人信息的境外组织。通过本地化网站或针对澳大利亚IP购买程序化广告库存服务澳大利亚用户的境外出版商，通常也在监管范围内，OAIC已在若干近期案例中援引域外条款。

个人信息的界定

Privacy Act对个人信息的定义在改革过程中得到澄清，解决了长期存在的网络标识符不确定性问题。

更新后的定义

个人信息是指关于已识别个人或合理可识别个人的信息或意见，无论该信息是否真实，也无论是否以实质形式记录。2025年改革明确，这包括网络标识符、技术数据，以及从行为数据中提取的推断信息——只要这些信息能直接或通过与其他信息结合与特定个人关联。

敏感信息

法案专门划定了一类敏感信息，包括健康信息、种族或民族背景、政治观点、政治团体成员身份、宗教信仰、哲学信仰、专业或行业协会成员身份、工会成员身份、性取向或性行为、犯罪记录、生物特征信息及生物特征模板。处理敏感信息需要明确同意，并触发更高级别的义务。

这对Cookie的影响

存储常规标识符的Cookie属于个人信息。为触及敏感信息清单的受众细分提供数据的Cookie——如健康兴趣、政治倾向、宗教归属——属于敏感信息处理，需要更严格的同意流程，而非一般广告同意。运营与敏感信息清单重叠受众细分的出版商，应专门针对这一边界审核其同意流程。

改革后Privacy Act下的Cookie同意

改革进程明确了直接营销和定向广告的同意要求，使澳大利亚向GDPR式选择加入模式靠拢，超越了历史上的澳大利亚制度。

更新后的同意标准

改革后Privacy Act下的同意必须满足：

• 自愿——在无强迫或不当压力的情况下给予
• 知情——个人了解收集哪些数据、原因及使用和披露方式
• 及时——同意对于拟议处理目的足够新近
• 具体——与明确标识的目的挂钩，而非笼统的概括同意
• 明确——通过清晰的肯定行为表达，而非从不作为中推断

合规CMP的样貌

为2026年澳大利亚流量配置的CMP应展示：

• 在任何非必要Cookie或追踪器触发前显示可见横幅
• 接受、拒绝和自定义按钮视觉权重相同——OAIC已表示将加强对暗模式横幅设计的关注
• 按目的分类的精细开关：分析、广告、个性化、跨境传输，以及任何敏感信息处理
• 敏感信息处理的独立且明确标注的流程，由其自身操作步骤把控
• 持久且易于访问的撤回同意机制
• 包含完整APP合规披露（含OAIC投诉渠道）的隐私政策

同意记录

改革提高了OAIC对基于证据执法的重视程度，同意记录已在若干近期案例中被援引。可导出的时间戳同意日志是基本预期，记录不足已在正式裁定中被指出。

改革后制度下的跨境披露

Privacy Act历史上对跨境数据流采取了与GDPR不同的方式——重点在于披露组织的问责制，而非对接收司法管辖区的事先授权。2025年的改革在不放弃这一方式的前提下对其进行了细化。

APP 8合理措施义务

Australian Privacy Principle 8要求，在向境外接收方披露个人信息之前，披露组织应采取合理措施，确保接收方不违反APPs。这通常意味着签订合同机制、对接收方隐私实践进行尽职调查审查，或依赖目的地国家具有实质相似法律制度。

问责兜底机制

如果境外接收方就披露的信息违反APPs，澳大利亚披露组织将被视为已参与该违规行为。这一问责兜底机制是跨境数据流实际执法的杠杆，也使合同机制不仅仅是一项文档工作。

2026年的实际做法

对于2026年的大多数境外出版商，实际做法是与境外处理方签订APP合规的数据传输协议，在隐私政策中记录传输情况，并维护供应商尽职调查记录，证明已履行合理措施义务。这比GDPR的事先授权方式在实质上要简单得多，但在内容上并不逊色。

数据主体权利与自动化决策

改革后的法案扩展了个人可行使的权利。

核心权利

• 访问组织持有的个人信息的权利
• 更正不准确、过时、不完整、不相关或误导性信息的权利
• 退出直接营销的权利
• 了解个人信息已被披露给哪些对象的权利
• 对产生重大影响的自动化决策获得有意义说明的权利
• 向OAIC投诉的权利

响应时限

法案设定了合理期限的响应时限，OAIC指南将「合理」解释为通常不超过30天处理访问请求。境外出版商普遍存在的差距在于，其工具和操作手册尚未针对澳大利亚特定流程进行调整，以满足这一时间窗口的运营准备要求。

Children's Online Privacy Code

该Code于2024年生效，适用于可能被儿童访问的在线服务，规定了具体义务，包括适龄设计、限制画像和定向广告、默认高隐私设置及家长参与要求。受众中包含大量18岁以下用户的出版商需要具备年龄感知流程、对未成年人细分的受限处理，以及符合Code要求的默认设置——对大多数境外出版商而言，这些均非开箱即用。

2026年的处罚与执法态势

OAIC的执法活动在2024年和2025年显著升级，2026年延续类似轨迹。

最高处罚

对于严重或重复侵犯隐私的行为，最高处罚为以下三项中的最大值：AUD 5000万、从相关行为中获得利益价值的三倍，或组织在相关期间调整后营业额的30%。这使澳大利亚的处罚力度明确进入GDPR范围，彻底改变了此前相对宽松制度的定性。

法定侵权行为

2025年严重侵犯隐私的法定侵权行为赋予个人就损害直接提起诉讼的权利，独立于监管执法之外。集体诉讼是新兴途径，2025年底和2026年初已有数起针对主要平台的集体诉讼被提起。

执法主题

OAIC近期案例集中在若干反复出现的问题：暗模式同意横幅、违规通知不足、未记录合理措施的跨境披露、未经明确同意的敏感信息处理，以及未能在合理期限内响应访问请求。

澳大利亚流量2026年审计清单

• CMP横幅中接受、拒绝和自定义按钮视觉权重相同
• 同意目的细化，且将敏感信息处理置于明确同意之后
• 隐私政策符合APP要求，完整披露境外接收方、目的、留存期限及OAIC投诉渠道
• 已与所有境外处理方签订APP 8跨境披露协议，并有文件化的供应商尽职调查记录
• 同意日志已加时间戳、可导出，并在适用留存期限内保存
• 数据主体访问工作流能够端到端在合理期限内响应
• 受众包含未成年人时，已满足Children's Online Privacy Code义务，包括适龄设计和受限画像
• 在使用相关系统作出重大决策时，可提供自动化决策说明
• 违规通知操作手册已根据改革后的时限进行调整
• 已审查供应商名单的必要性，删除未使用或冗余供应商，以减少披露面

2026年展望

澳大利亚隐私制度终于从漫长的改革进程转变为可信的执法态势。最高处罚已进入GDPR范围，OAIC拥有执行所需的权力，法定侵权行为赋予个人直接诉讼权利，Children's Online Privacy Code为任何涉及18岁以下受众的服务设定了更高门槛。对于已运行GDPR级别同意框架的出版商而言，与Privacy Act合规的差距在于运营层面而非架构层面：符合APP要求的隐私政策、APP 8文档、Children's Code默认设置，以及访问请求响应节奏。如果优先处理，这一差距可在数周内弥合。那些在2023年以前将澳大利亚视为相对宽松市场的出版商，正在经历2026年日益高昂的代价，这一趋势将持续下去。好消息是，对于已完成欧洲合规工作的出版商而言，与合规的差距很小；坏消息是，大多数出版商低估了改革后澳大利亚制度对其的实际要求。