澳大利亞隱私保護立法將進行重大改革

澳大利亞政府繼去年11月批準《2022年隱私立法修正案（執法和其他措施）法案》后，又于2023年2月發布了對1988年《隱私法》審查的最終報告——《隱私法審查報告2022年》，其中提出了對《隱私法》的若干項改革建議，如果建議被接受，將更新立法，以解決新出現的隱私風險并改善對個人信息的保護，這是澳大利亞隱私法改革的重要一步。澳大利亞總檢察長（AGD）辦公室表示“擬議的改革旨在加強對個人信息的保護和個人對其信息的控制。加強隱私保護將支持數字創新，并提高澳大利亞作為值得信賴的貿易伙伴的聲譽”。

一、背景情況

2019年12月，澳大利亞政府為回應澳大利亞競爭和消費者委員會（ACCC）對數字平臺的調查，宣布將對1988年《隱私法》進行審查，審查的范圍包括：《隱私法》的范圍和適用，是否能夠有效保護個人信息，以及是否能為促進良好的隱私實踐提供實用和相稱的框架。此后，澳大利亞政府先后于2020年10月和2021年10月發布問題文件和討論文件，并公開征求意見。同時，澳大利亞政府還宣布了一項改革計劃——推出《2021年隱私立法修正案（加強在線隱私和其他措施）法案》（《在線隱私法案》），與《隱私法》審查平行推進。2021年10月，AGD發布了關于《在線隱私法案》的征求意見稿、解釋性文件和監管影響聲明，并征求公眾意見。2022年11月，《2022年隱私立法（執法和其他措施）修正案》（以下簡稱修正案）出臺，并通過兩院審議；2023年2月，AGD發布《隱私法審查報告2022年》（以下簡稱報告），并公開征求公眾意見，意見反饋截止日期為2023年3月31日。預計后續，澳大利亞政府將正式對該報告作出回應，出臺修正案的征求意見稿，并啟動立法程序。

二、報告主要內容

報告是根據收到的對2020年10月發布的問題文件和2021年10月發布的討論文件的反饋意見得出的。報告包含基于30個“關鍵主題和提案”的116項建議，這些建議提出了“影響個人以及公共和私營實體的復雜政策問題”，涵蓋了廣泛的隱私相關問題，主要內容如下。

（一）在《隱私法》的范圍和適用方面

1.  建議擴大個人信息的定義

1988年《隱私法》第6條將“個人信息”定義為“關于已識別個人或可合理識別個人的信息或意見，無論該信息/意見是否真實，或是否以物理形式記錄”，“關于”個人的信息可能包括姓名、出生日期和聯系方式等信息。

報告建議將“個人信息”定義中的“關于”一詞替換為“涉及”一詞。這將使“個人信息”的范圍更加廣泛，明確了個人信息將包括技術信息（如 IP 地址、設備標識符和位置數據）、推斷信息（例如從社交媒體算法中生成的對行為或偏好的預測等信息），以及與個人相關的任何其他信息。這將對人工智能行業產生重要影響，因為對推斷/生成的個人信息的收集和使用將從推斷/生成的那一刻開始被觸發，引發后續通知和同意的適用等一系列問題。

2.  取消小企業豁免

1988年《隱私法》的適用在2000年擴展到私營部門時，引入了小企業豁免，大多數年營業額低于 300萬澳元的小企業（這些企業被認為對個人隱私造成的風險很小或沒有）無需遵守該法和《澳大利亞隱私原則》（Australian Privacy Principles，簡稱APPs）中規定的某些義務，但從事醫療健康服務、個人信息交易等不適用豁免的企業除外。報告建議取消小企業豁免，但需滿足以下前提：已經進行了影響分析，充分了解取消豁免對小企業的影響；與小企業協商制定適當的支持；與小企業協商確定履行與風險相稱的義務的最合適方式（例如，通過守則）；小企業有足夠的機會履行新義務。

（二）在隱私保護的原則和具體要求方面

1. 加強有關同意和通知的相關要求

報告建議修改“同意”的定義，以明確“同意”必須是自愿的、知情的、最新的、具體的和明確的，這符合現有《澳大利亞隱私原則》（APPs）指南中規定的同意標準。報告指出，同意不需要明示，默示同意也可以，但前提是默示同意是“明確的”。報告還建議澳大利亞信息專員辦公室（OAIC）制定關于在線服務應如何設計同意請求的指南，這可能導致許多在線服務需要重新設計流程，以滿足用戶體驗相關要求。

2. 建議引入“控制者”和“處理者”的概念

該報告進一步建議在該法案中引入“控制者”和“處理者”的概念，目的是明確控制者（確定收集和處理信息的目的和方式的實體）和處理者（根據控制者的指示處理個人信息的實體）之間的義務和責任，這與歐盟GDPR等隱私相關立法的用語保持一致，并且可能會減輕作為“處理者”的企業的義務。報告建議讓小型企業處理者遵守該法案規定的處理者義務，但是政府正在進一步咨詢小型企業需要哪些支持來幫助他們遵守。

3. 建議增加關于“去識別化”的義務

報告建議擴大《澳大利亞隱私原則》(APPs)中“保護去識別化信息免遭未經授權訪問或干擾的義務”的范圍，并將“有義務在這種情況下采取合理措施以確保海外接收者不違反APPs”的相關規定適用于去識別化的數據集。報告還建議禁止企業/組織對從第三方獲得的去標識化信息進行重新識別，并對意圖造成傷害或獲取不正當利益的“惡意”重新識別引入新的刑事犯罪。這些建議可能會對利用匿名化和去識別化進行數據分析的企業產生影響，包括人工智能行業企業。

4. 引入新的個人權利，包括“刪除”的權利

該報告建議引入基于GDPR的刪除權（或“被遺忘權”）。刪除權實質上是對不再需要的個人信息進行刪除的義務的延伸，個人將能夠對任何類別的個人信息行使該權利。這將允許個人請求將包含其個人信息的在線搜索結果取消索引，其中個人信息包括：敏感信息（例如病史）；關于孩子的信息；過于詳細的信息（例如，包含個人家庭住址或電話號碼的信息）；或者不準確、過時、不完整、不相關或具有誤導性的信息。搜索引擎也將被要求去除敏感信息和未成年人信息的索引。但若存在以下情形，刪除權的行使將受到限制：存在抵消性公共利益；法律要求或授權；技術上不可行；輕率或無理取鬧。

5. 建議對任何“高隱私風險活動”進行強制性隱私影響評估 (PIA)

報告建議建議將“高隱私風險活動”定義為“可能對個人隱私產生重大影響的活動”，企業/組織必須評估潛在的隱私影響，確定影響是否相稱，并可能需要減輕這些影響。報告還建議OAIC發布指南，具體說明可能表明高風險活動的因素，以幫助企業/組織了解何時需要PIA。

6. 建議針對兒童和弱勢群體的進行額外保護

報告建議的保護措施包括：對現有的OAIC關于同意和能力等主題的指南進行編纂；要求實體的收集通知和隱私政策“清晰易懂”；要求實體在進行公平合理測試時考慮對弱勢群體的重大影響，并且必須執行PIA；針對面向兒童的服務制定兒童在線隱私規則，類似于英國的適齡設計規則。

（二）在監管與執法方面

1. 建議擴大監管機構執法權力并加大處罰力度

報告建議，在2022年11月修正案加重處罰和擴大OAIC權力的基礎上，進一步加強《隱私法》執行的相關措施，包括引入新的民事處罰，并擴大OAIC在調查、公眾質詢和裁決方面的權力。報告還建議修改《隱私法》第13G節（“嚴重或反復侵犯隱私”的民事處罰條款），就何為“嚴重干擾”提供更多指導，因為“嚴重干擾”的門檻已經放寬至可能包括涉及“敏感信息”或其他敏感信息的干擾、對大量個人造成不利影響的干擾（針對大規模網絡事件），以及未能采取適當措施保護個人信息的情形。

2. 建議將“嚴重侵犯隱私”確定為“法定侵權行為”并確立個人直接訴訟權

根據現行法律，個人無法直接對不當處理其個人信息的實體采取行動，只能先向OAIC投訴，由OAIC決定采取何種行動。報告建議將“故意或魯莽的嚴重侵犯隱私行為”引入“法定侵權行為”，并允許個人就該法目前未涵蓋的侵犯隱私行為直接提起訴訟。這將允許個人和代表團體直接向聯邦法院申請賠償該損失或損害，但個人和代表團體仍需要在提出任何法庭申請之前先向OAIC提出申訴，并由OAIC或公認的外部爭議解決方案（例如，行業監察員）對申訴進行調解評估，而不是取代現有的投訴流程。

3. 建議縮短數據泄露報告和通報的時間

在現有制度下，如果實體有合理理由懷疑但尚不相信發生了符合條件的數據泄露，則有30天的時間對泄露進行評估。報告建議，符合條件的數據泄露應在意識到或有合理理由相信已發生泄露后的72小時內向OAIC報告，還應“盡快”向受影響的個人發出通知。該報告進一步建議，向OAIC或受影響的個人發布的關于數據泄露的任何聲明，都應包括該實體已采取或計劃采取的應對違規行為的措施。擬議的變更將使澳大利亞的通知制度與GDPR保持一致，并提高數據泄露的透明度和問責制。

三、各方評價

輿論普遍認為，澳大利亞隱私法的擬議改革意義重大，將對處理個人信息的企業和組織產生重大影響。一方面，改革將加強對澳大利亞人的隱私保護，并改善跨境數據流動。擬議的改革將加強個人對其信息的控制權；強化透明度和問責制相關要求；擴大監管機構執法權。這將使澳大利亞的法律更好地與全球隱私保護標準保持一致，加強與澳大利亞作為值得信賴的貿易伙伴的跨境數據流動，并為澳大利亞企業和經濟帶來經濟利益。例如，澳大利亞電子前沿數字權利倡導組織執行官喬恩·勞倫斯表示，“擬議的改革旨在確保個人對其數據及其使用方式有更大的控制權，并確保企業對他們的數據實踐活動更加透明”。另一方面，改革將會增加企業合規成本和面臨執法行動的風險。企業和組織為確保遵守擬議的改革，將需要在新體系和流程方面進行投資，包括進行隱私影響評估、更新隱私政策以及實施新的數據可移植性和刪除流程等。擬議的改革賦予監管機構新的權力，可以發布侵權通知，并對嚴重或屢次違反隱私原則的行為尋求民事處罰，不遵守新義務的企業和組織可能會面臨執法行動。《澳大利亞金融評論報》的一篇文章評論，大型企業可能面臨高達“2,200澳元/客戶”的改革成本，該數字源自Gartner在美國進行的一項研究，該研究將每個刪除客戶數據的請求定價為1,524美元（約合2,206澳元）。澳大利亞信息產業協會首席執行官西蒙布什也表示，刪除權“對行業提出重大技術挑戰”。

總之，雖然改革可能會導致企業和消費者之間權力平衡的轉變，個人對自己的個人信息擁有更大的控制權，企業面臨合規成本的增加和執法行動的風險。但這也將使企業和組織能夠與消費者建立更大的信任，提高數據處理過程的整體透明度，并加強澳大利亞與貿易伙伴之間的跨境數據流動。