澳大利亚隐私保护立法将进行重大改革

澳大利亚政府继去年11月批准《2022年隐私立法修正案（执法和其他措施）法案》后，又于2023年2月发布了对1988年《隐私法》审查的最终报告——《隐私法审查报告2022年》，其中提出了对《隐私法》的若干项改革建议，如果建议被接受，将更新立法，以解决新出现的隐私风险并改善对个人信息的保护，这是澳大利亚隐私法改革的重要一步。澳大利亚总检察长（AGD）办公室表示“拟议的改革旨在加强对个人信息的保护和个人对其信息的控制。加强隐私保护将支持数字创新，并提高澳大利亚作为值得信赖的贸易伙伴的声誉”。

一、背景情况

2019年12月，澳大利亚政府为回应澳大利亚竞争和消费者委员会（ACCC）对数字平台的调查，宣布将对1988年《隐私法》进行审查，审查的范围包括：《隐私法》的范围和适用，是否能够有效保护个人信息，以及是否能为促进良好的隐私实践提供实用和相称的框架。此后，澳大利亚政府先后于2020年10月和2021年10月发布问题文件和讨论文件，并公开征求意见。同时，澳大利亚政府还宣布了一项改革计划——推出《2021年隐私立法修正案（加强在线隐私和其他措施）法案》（《在线隐私法案》），与《隐私法》审查平行推进。2021年10月，AGD发布了关于《在线隐私法案》的征求意见稿、解释性文件和监管影响声明，并征求公众意见。2022年11月，《2022年隐私立法（执法和其他措施）修正案》（以下简称修正案）出台，并通过两院审议；2023年2月，AGD发布《隐私法审查报告2022年》（以下简称报告），并公开征求公众意见，意见反馈截止日期为2023年3月31日。预计后续，澳大利亚政府将正式对该报告作出回应，出台修正案的征求意见稿，并启动立法程序。

二、报告主要内容

报告是根据收到的对2020年10月发布的问题文件和2021年10月发布的讨论文件的反馈意见得出的。报告包含基于30个“关键主题和提案”的116项建议，这些建议提出了“影响个人以及公共和私营实体的复杂政策问题”，涵盖了广泛的隐私相关问题，主要内容如下。

（一）在《隐私法》的范围和适用方面

1.  建议扩大个人信息的定义

1988年《隐私法》第6条将“个人信息”定义为“关于已识别个人或可合理识别个人的信息或意见，无论该信息/意见是否真实，或是否以物理形式记录”，“关于”个人的信息可能包括姓名、出生日期和联系方式等信息。

报告建议将“个人信息”定义中的“关于”一词替换为“涉及”一词。这将使“个人信息”的范围更加广泛，明确了个人信息将包括技术信息（如 IP 地址、设备标识符和位置数据）、推断信息（例如从社交媒体算法中生成的对行为或偏好的预测等信息），以及与个人相关的任何其他信息。这将对人工智能行业产生重要影响，因为对推断/生成的个人信息的收集和使用将从推断/生成的那一刻开始被触发，引发后续通知和同意的适用等一系列问题。

2.  取消小企业豁免

1988年《隐私法》的适用在2000年扩展到私营部门时，引入了小企业豁免，大多数年营业额低于 300万澳元的小企业（这些企业被认为对个人隐私造成的风险很小或没有）无需遵守该法和《澳大利亚隐私原则》（Australian Privacy Principles，简称APPs）中规定的某些义务，但从事医疗健康服务、个人信息交易等不适用豁免的企业除外。报告建议取消小企业豁免，但需满足以下前提：已经进行了影响分析，充分了解取消豁免对小企业的影响；与小企业协商制定适当的支持；与小企业协商确定履行与风险相称的义务的最合适方式（例如，通过守则）；小企业有足够的机会履行新义务。

（二）在隐私保护的原则和具体要求方面

1. 加强有关同意和通知的相关要求

报告建议修改“同意”的定义，以明确“同意”必须是自愿的、知情的、最新的、具体的和明确的，这符合现有《澳大利亚隐私原则》（APPs）指南中规定的同意标准。报告指出，同意不需要明示，默示同意也可以，但前提是默示同意是“明确的”。报告还建议澳大利亚信息专员办公室（OAIC）制定关于在线服务应如何设计同意请求的指南，这可能导致许多在线服务需要重新设计流程，以满足用户体验相关要求。

2. 建议引入“控制者”和“处理者”的概念

该报告进一步建议在该法案中引入“控制者”和“处理者”的概念，目的是明确控制者（确定收集和处理信息的目的和方式的实体）和处理者（根据控制者的指示处理个人信息的实体）之间的义务和责任，这与欧盟GDPR等隐私相关立法的用语保持一致，并且可能会减轻作为“处理者”的企业的义务。报告建议让小型企业处理者遵守该法案规定的处理者义务，但是政府正在进一步咨询小型企业需要哪些支持来帮助他们遵守。

3. 建议增加关于“去识别化”的义务

报告建议扩大《澳大利亚隐私原则》(APPs)中“保护去识别化信息免遭未经授权访问或干扰的义务”的范围，并将“有义务在这种情况下采取合理措施以确保海外接收者不违反APPs”的相关规定适用于去识别化的数据集。报告还建议禁止企业/组织对从第三方获得的去标识化信息进行重新识别，并对意图造成伤害或获取不正当利益的“恶意”重新识别引入新的刑事犯罪。这些建议可能会对利用匿名化和去识别化进行数据分析的企业产生影响，包括人工智能行业企业。

4. 引入新的个人权利，包括“删除”的权利

该报告建议引入基于GDPR的删除权（或“被遗忘权”）。删除权实质上是对不再需要的个人信息进行删除的义务的延伸，个人将能够对任何类别的个人信息行使该权利。这将允许个人请求将包含其个人信息的在线搜索结果取消索引，其中个人信息包括：敏感信息（例如病史）；关于孩子的信息；过于详细的信息（例如，包含个人家庭住址或电话号码的信息）；或者不准确、过时、不完整、不相关或具有误导性的信息。搜索引擎也将被要求去除敏感信息和未成年人信息的索引。但若存在以下情形，删除权的行使将受到限制：存在抵消性公共利益；法律要求或授权；技术上不可行；轻率或无理取闹。

5. 建议对任何“高隐私风险活动”进行强制性隐私影响评估 (PIA)

报告建议建议将“高隐私风险活动”定义为“可能对个人隐私产生重大影响的活动”，企业/组织必须评估潜在的隐私影响，确定影响是否相称，并可能需要减轻这些影响。报告还建议OAIC发布指南，具体说明可能表明高风险活动的因素，以帮助企业/组织了解何时需要PIA。

6. 建议针对儿童和弱势群体的进行额外保护

报告建议的保护措施包括：对现有的OAIC关于同意和能力等主题的指南进行编纂；要求实体的收集通知和隐私政策“清晰易懂”；要求实体在进行公平合理测试时考虑对弱势群体的重大影响，并且必须执行PIA；针对面向儿童的服务制定儿童在线隐私规则，类似于英国的适龄设计规则。

（二）在监管与执法方面

1. 建议扩大监管机构执法权力并加大处罚力度

报告建议，在2022年11月修正案加重处罚和扩大OAIC权力的基础上，进一步加强《隐私法》执行的相关措施，包括引入新的民事处罚，并扩大OAIC在调查、公众质询和裁决方面的权力。报告还建议修改《隐私法》第13G节（“严重或反复侵犯隐私”的民事处罚条款），就何为“严重干扰”提供更多指导，因为“严重干扰”的门槛已经放宽至可能包括涉及“敏感信息”或其他敏感信息的干扰、对大量个人造成不利影响的干扰（针对大规模网络事件），以及未能采取适当措施保护个人信息的情形。

2. 建议将“严重侵犯隐私”确定为“法定侵权行为”并确立个人直接诉讼权

根据现行法律，个人无法直接对不当处理其个人信息的实体采取行动，只能先向OAIC投诉，由OAIC决定采取何种行动。报告建议将“故意或鲁莽的严重侵犯隐私行为”引入“法定侵权行为”，并允许个人就该法目前未涵盖的侵犯隐私行为直接提起诉讼。这将允许个人和代表团体直接向联邦法院申请赔偿该损失或损害，但个人和代表团体仍需要在提出任何法庭申请之前先向OAIC提出申诉，并由OAIC或公认的外部争议解决方案（例如，行业监察员）对申诉进行调解评估，而不是取代现有的投诉流程。

3. 建议缩短数据泄露报告和通报的时间

在现有制度下，如果实体有合理理由怀疑但尚不相信发生了符合条件的数据泄露，则有30天的时间对泄露进行评估。报告建议，符合条件的数据泄露应在意识到或有合理理由相信已发生泄露后的72小时内向OAIC报告，还应“尽快”向受影响的个人发出通知。该报告进一步建议，向OAIC或受影响的个人发布的关于数据泄露的任何声明，都应包括该实体已采取或计划采取的应对违规行为的措施。拟议的变更将使澳大利亚的通知制度与GDPR保持一致，并提高数据泄露的透明度和问责制。

三、各方评价

舆论普遍认为，澳大利亚隐私法的拟议改革意义重大，将对处理个人信息的企业和组织产生重大影响。一方面，改革将加强对澳大利亚人的隐私保护，并改善跨境数据流动。拟议的改革将加强个人对其信息的控制权；强化透明度和问责制相关要求；扩大监管机构执法权。这将使澳大利亚的法律更好地与全球隐私保护标准保持一致，加强与澳大利亚作为值得信赖的贸易伙伴的跨境数据流动，并为澳大利亚企业和经济带来经济利益。例如，澳大利亚电子前沿数字权利倡导组织执行官乔恩·劳伦斯表示，“拟议的改革旨在确保个人对其数据及其使用方式有更大的控制权，并确保企业对他们的数据实践活动更加透明”。另一方面，改革将会增加企业合规成本和面临执法行动的风险。企业和组织为确保遵守拟议的改革，将需要在新体系和流程方面进行投资，包括进行隐私影响评估、更新隐私政策以及实施新的数据可移植性和删除流程等。拟议的改革赋予监管机构新的权力，可以发布侵权通知，并对严重或屡次违反隐私原则的行为寻求民事处罚，不遵守新义务的企业和组织可能会面临执法行动。《澳大利亚金融评论报》的一篇文章评论，大型企业可能面临高达“2,200澳元/客户”的改革成本，该数字源自Gartner在美国进行的一项研究，该研究将每个删除客户数据的请求定价为1,524美元（约合2,206澳元）。澳大利亚信息产业协会首席执行官西蒙布什也表示，删除权“对行业提出重大技术挑战”。

总之，虽然改革可能会导致企业和消费者之间权力平衡的转变，个人对自己的个人信息拥有更大的控制权，企业面临合规成本的增加和执法行动的风险。但这也将使企业和组织能够与消费者建立更大的信任，提高数据处理过程的整体透明度，并加强澳大利亚与贸易伙伴之间的跨境数据流动。