2024-2026年改革的结构框架

本次改革分两批推进，目前仅第一批已完全落地。了解这一时间顺序，对于判断哪些内容已具有法律效力、哪些内容尚在推进中至关重要。

第一批——自2024-2025年起生效

Privacy and Other Legislation Amendment Act 2024于2024年11月获得御准，已交付若干已适用的变更：

• 严重侵犯隐私的法定侵权——个人可直接就严重隐私侵犯提起诉讼，无需证明违反了Privacy Act本身
• 新民事罚款——OAIC可就任何干扰隐私的行为寻求处罚，而不仅限于严重或反复的违规行为
• 自动化决策透明度要求——实体必须披露何时使用自动化系统对个人做出重大决定
• 人肉搜索入罪——蓄意公布个人数据以造成伤害的行为现已构成刑事罪行
• Children's Online Privacy Code——OAIC被要求为可能被儿童访问的服务制定具有约束力的准则，该准则预计于2026年发布

第二批——正就2026-2027年展开积极磋商

第二批涵盖更具结构性的变化，目前正在2025年和2026年经历政府审议程序。预期要素包括：

• 取消或大幅收窄目前豁免年营业额低于AUD 300万的实体的小型企业豁免
• 更清晰的公平合理测试，适用于每一项个人信息处理行为，独立于同意之外
• 对定向广告的明确监管，敏感类别可能须获选择加入同意
• 新增删除权，使澳大利亚法律更接近GDPR
• 对跨境数据传输实施更严格的管控

澳大利亚法律对个人信息的界定

澳大利亚Privacy Act对个人信息的界定十分宽泛。它涵盖有关已识别或可合理识别个人的任何信息，OAIC将可合理识别解释为包括在线标识符、设备ID、与其他数据结合的IP地址以及广告标识符。在实践中，用于跨站广告的Cookie、像素追踪、设备指纹识别和身份图谱均在澳大利亚法律下处理个人信息，并完全受Australian Privacy Principles (APP)合规要求的约束。

2026年澳大利亚法律下Cookie同意的运作方式

澳大利亚法律目前并不要求对所有Cookie采用完整的GDPR式选择加入横幅。但这也并非毫无限制，若干近期进展已提高了门槛。

APP 3——收集须提供通知

Australian Privacy Principle 3要求仅通过合法公平的方式收集个人信息，并告知收集目的。对于收集个人信息的Cookie，这意味着必须在收集前或收集时提供可见且具有信息量的通知。隐藏追踪不满足APP 3的要求。

APP 6——使用和披露须符合目的匹配原则

个人信息只能用于收集目的、合理相关的次要目的，或经个人同意后用于其他目的。将Cookie衍生数据共享给数字广告平台用于跨情境行为广告，通常超出主要目的范围，从而需要取得同意。

OAIC关于追踪的指引

OAIC 2024年关于追踪技术的指引措辞明确：实体应提供清晰的机制供个人选择退出追踪，对于涉及敏感信息或为重大决策进行用户画像的任何使用场景，OAIC期望获得选择加入同意。这在实践中将定向广告、程序化再营销、会话回放和行为分析明确纳入选择加入范畴，即便法规尚未在每种情况下强制要求。

2026年CMP的实用配置

目前在澳大利亚运营的大多数出版商采用CMP展示三状态横幅：接受、拒绝和自定义。对于EU或UK流量，选择加入标准严格。对于澳大利亚流量，定向广告和会话回放推荐默认选择加入，而数据分析通常可在通知加选择模式下运行，前提是已落实IP匿名化和数据最小化措施。

法定侵权——实际赋权内容

新的法定侵权制度是数字广告商在实践层面面临的最重大变化。此前，只有OAIC才能执行隐私权，个人救济途径十分有限。法定侵权制度改变了这一局面。

何为严重侵犯隐私？

该侵权制度涵盖造成严重侵犯隐私的故意或鲁莽行为，包括侵入隐居或滥用私人信息两种情形。法院将权衡严重性与公共利益及其他考量因素。

广告商应当关注的原因

激进的追踪行为——尤其是在敏感页面捕捉击键和鼠标行为的会话回放、规避用户选择退出的指纹识别，或未经授权将匿名行为与具名身份关联——均已成为侵权索赔的合理事实基础。预计2026年原告律所将开始试探边界。澳大利亚不像美国那样有集体诉讼文化，但代表性诉讼是可行的，部分律所显然正在为此布局。

儿童在线隐私准则

Children's Online Privacy Code是针对可能被儿童访问的网站出版商最具体的一项新监管措施。

适用范围

该准则适用于社交媒体服务、可能被儿童访问的相关电子服务以及特定指定互联网服务。在实践中，其覆盖范围远超纯粹的儿童网站——任何有相当数量未成年人访问的大众受众平台都可能被纳入，OAIC预计将采取包容性解读。

准则预期的核心义务

• 为18岁以下用户设置高隐私默认设置
• 限制向未成年人投放定向广告
• 禁止引导儿童选择较弱隐私设置的暗黑模式
• 提供适合年龄的数据处理说明
• 在部署处理儿童个人信息的功能前评估儿童最大利益

当前应做的准备

受众中有大量18岁以下访客的出版商，应在准则最终确定之前开始审计其追踪技术栈、广告配置和默认设置。事后改造通常比从一开始就将合规设计融入技术栈更为昂贵且更具破坏性。

2026年的执法态势

OAIC随改革获得了显著增加的资源配置。审计活动有所增加，专员已发出信号，将采取更具公开性的执法方式。

现行罚款

对严重或反复干扰隐私行为的最高民事罚款，为以下三项中的较高者：AUD 5000万、从该行为中获得收益的三倍，或实体在违规期间调整后营业额的30%。改革还引入了针对不达严重程度门槛的任何隐私干扰行为的第二级罚款，赋予OAIC更具层次的执法工具。

强制性数据泄露通知

澳大利亚自2018年起实施强制性数据泄露通知制度，OAIC在2022年和2023年澳大利亚重大数据泄露事件后执法明显趋严。任何导致未经授权披露的Cookie或追踪相关事件均可能在适用范围之内。

跨境传输与全球流量

Australian Privacy Principle 8要求实体采取合理步骤，确保境外接收方以符合APP的方式处理个人信息。对于使用全球广告技术的出版商，这意味着需要具备与澳大利亚法律实质相似的司法管辖区、与境外接收方签订具有约束力的合同承诺，或取得个人的知情同意。

传输至美国

美国目前未被认定为拥有实质相似法律的国家。因此，向美国广告技术供应商传输数据需要具有约束力的合同承诺或明确同意。依赖数据隐私框架认证的出版商——该认证涵盖欧美数据传输——应注意这些认证并不自动满足澳大利亚APP 8的要求。

2026年澳大利亚流量审计清单

• CMP在澳大利亚流量上以同等视觉显著性呈现清晰的接受、拒绝和自定义选项
• 定向广告、再营销和会话回放须获选择加入同意；数据分析在通知加数据最小化措施下运行
• 隐私政策清晰标识Cookie、像素追踪和广告标识符，并提供符合APP 3和APP 6的目的声明
• 为每个非澳大利亚处理商记录跨境传输机制（供应商清单、合同保护或同意）
• 在使用自动化系统做出重大决定的地方，披露自动化决策信息
• Children's Online Privacy Code合规准备评估已完成，并为检测到的未成年用户提供高隐私默认设置
• 对任何可能发布用户提交个人信息的功能，完成人肉搜索风险审查
• 数据泄露响应计划已与30天通知窗口和当前OAIC报告格式保持一致

2026年展望

澳大利亚正处于从较为宽松的隐私制度向日益类似欧洲和加州框架——兼具其自身澳大利亚特色——转型的结构性转变之中。第一批改革已可执行，并已开始重塑诉讼格局。第二批改革，包括收窄小型企业豁免和对定向广告的明确监管，可能在2026年或2027年生效。已投资建设GDPR级别同意技术栈的出版商和广告商，已具备大部分所需合规机制。一直依赖澳大利亚历史上较为宽松立场的主体，正带着已知缺口进入新制度。正确的做法是现在就弥补这些缺口——在法定侵权、儿童准则或OAIC审计以任何人无法掌控的时间线强迫应对之前。