Luật liên bang mới năm 2023

Vào ngày 28 tháng 9 năm 2023, Chính phủ Liên bang đã trả lời báo cáo của Bộ trưởng Tư pháp về việc xem xét Đạo luật Quyền riêng tư 1988 (Cth) bằng cách chỉ ra rằng, trong số 116 đề xuất được đưa ra, Chính phủ đồng ý với 38 đề xuất trong số đó và 68 đề xuất khác về nguyên tắc. Khi Chính phủ đồng ý về mặt nguyên tắc, điều đó cho thấy rằng cần phải có sự tham gia sâu hơn với các tổ chức và phân tích tác động toàn diện trước khi đưa ra quyết định cuối cùng về đề xuất

Mặc dù phần lớn sẽ phụ thuộc vào hình thức cuối cùng của bất kỳ sửa đổi lập pháp nào, Chính phủ cam kết đưa ra luật vào năm 2024. ;

Thay đổi về phạm vi và cách xử lý thông tin cá nhân

Một định nghĩa mở rộng về "thông tin cá nhân"

Để phù hợp với các tiêu chuẩn toàn cầu, Chính phủ đồng ý về nguyên tắc áp dụng khái niệm mở rộng hơn về thông tin cá nhân để bao gồm dữ liệu kỹ thuật và suy luận (ví dụ:. Địa chỉ IP và số nhận dạng thiết bị khác)

Những dạng "thông tin nhạy cảm" mới

Có sự hỗ trợ về mặt nguyên tắc để đưa thông tin gen và dữ liệu theo dõi vị trí địa lý chính xác dưới dạng các dạng thông tin nhạy cảm mới

Thông tin cá nhân về… một cá nhân chưa biết?

Khái niệm "người được nhận dạng hợp lý" sẽ được mở rộng để bao gồm một cá nhân mà họ có thể được phân biệt với tất cả những người khác (ngay cả khi danh tính của họ không được biết) hoặc khi thông tin làm tăng khả năng một cá nhân bị tái phát hiện.

Khi nào bạn có thể được "xác định lại"?

Vì việc hủy nhận dạng là một quá trình theo ngữ cảnh nên không có gì ngạc nhiên khi Chính phủ đồng ý về nguyên tắc rằng việc tái nhận dạng sẽ tính đến tất cả các thông tin có sẵn có thể khiến một cá nhân được nhận dạng một cách hợp lý. Quan điểm của Chính phủ về các biện pháp bảo vệ cụ thể đối với thông tin không được xác định danh tính vẫn chưa rõ ràng

Một định nghĩa mở rộng về "bộ sưu tập"

Có lẽ không còn gì phải bàn cãi nữa, về nguyên tắc, Chính phủ đồng ý rằng việc thu thập thông tin thu được từ bất kỳ nguồn nào và bằng bất kỳ phương tiện nào, kể cả thông tin được suy luận hoặc tạo ra, phải là việc thu thập cho các mục đích của Đạo luật.

Xử lý thông tin “công bằng và hợp lý”

Về nguyên tắc, Chính phủ đồng ý chuyển từ kiểm tra hiện tại về "sự cần thiết hợp lý" sang kiểm tra xem việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong các trường hợp có "công bằng và hợp lý" hay không. Bài kiểm tra "công bằng và hợp lý" sẽ hoạt động như một bài kiểm tra khách quan được đánh giá từ góc độ của một người biết điều và chuyển sự mất cân bằng quyền lực hiện tại theo hướng có lợi cho các cá nhân. Thử nghiệm này có thể được áp dụng bất kể cá nhân có đồng ý với việc thu thập, sử dụng và tiết lộ thông tin cá nhân của họ hay không

Hình thức đồng ý của cá nhân

Chính phủ ủng hộ việc tăng cường trách nhiệm đối với các tổ chức đang tìm cách dựa vào điều gì đó ngoài sự đồng ý rõ ràng, với yêu cầu được đề xuất là phải có dấu hiệu rõ ràng về sự đồng ý của cá nhân thông qua hành động rõ ràng

Rút lại sự đồng ý

Về nguyên tắc, Chính phủ đồng ý rằng Đạo luật về quyền riêng tư nên công nhận rõ ràng khả năng một cá nhân rút lại sự đồng ý theo cách dễ tiếp cận

Những thay đổi đối với Nguyên tắc quyền riêng tư (APP) của Úc

Mã APP để tăng tính linh hoạt

Vì các APP dựa trên nguyên tắc nên Chính phủ đã xác định nhu cầu về các mã APP chi tiết và mang tính quy định sẽ áp đặt các yêu cầu cụ thể bổ sung đối với các ngành hoặc lĩnh vực cụ thể. Mã APP sẽ được Văn phòng Ủy viên Thông tin Úc (OAIC) ​​thiết lập theo chỉ đạo hoặc phê duyệt của Bộ trưởng Tư pháp

Chính sách bảo mật và thông báo thu thập

Để cải thiện tính minh bạch trong hoạt động thông tin cá nhân của một tổ chức, Chính phủ đã nhấn mạnh vào các chính sách quyền riêng tư và thông báo thu thập phải rõ ràng, ngắn gọn, cập nhật và mọi cá nhân đều có thể truy cập được. Để hỗ trợ các tổ chức, về nguyên tắc, nó đồng ý phát triển các mẫu tiêu chuẩn để áp dụng tự nguyện

Tác động đến doanh nghiệp

Loại bỏ miễn trừ doanh nghiệp nhỏ

Chính phủ đồng ý về nguyên tắc với Đạo luật quyền riêng tư áp dụng cho các doanh nghiệp nhỏ, hiện được miễn trừ. Tham vấn thêm được gắn cờ để quản lý tốt nhất sự cân bằng giữa chi phí tuân thủ đối với các doanh nghiệp nhỏ và mong muốn được bảo vệ đầy đủ cho các cá nhân

Trách nhiệm giải trình của tổ chức

Quan điểm của Chính phủ là để cải thiện các biện pháp bảo vệ quyền riêng tư và giảm thiểu rủi ro, cần phải có trách nhiệm giải trình của tổ chức. Điều này có thể đạt được bởi một nhân viên bảo mật cấp cao được chỉ định, xác định và ghi lại mục đích của bất kỳ thông tin cá nhân nào được xử lý trước hoặc tại thời điểm thông tin đó được thu thập, sử dụng hoặc tiết lộ và các tổ chức thực hiện các bước hợp lý để đảm bảo thông tin cá nhân do bên thứ ba thu thập được thu thập hợp pháp

Bảo mật thông tin cá nhân

Việc tập trung vào bảo mật thông tin sẽ tiếp tục. OAIC cũng sẽ cung cấp hướng dẫn về những bước hợp lý mà các tổ chức nên thực hiện, sao cho các kết quả cơ bản về quyền riêng tư phù hợp với Chiến lược An ninh Mạng Úc 2023-2030 của Chính phủ

Lưu giữ và tiêu hủy thông tin cá nhân

Đối với quá trình xử lý cuối vòng đời, Chính phủ nhận thấy rằng các tổ chức nên thiết lập khoảng thời gian lưu giữ tối thiểu và tối đa của riêng mình (có tính đến loại, mức độ nhạy cảm và mục đích của thông tin) và nên chỉ định những khoảng thời gian đó trong chính sách quyền riêng tư của họ

Miễn trừ hồ sơ nhân viên

Việc miễn trừ hồ sơ nhân viên có thể tiếp tục được áp dụng ở mức độ nào đối với các tổ chức thuộc khu vực tư nhân khi họ xử lý thông tin cá nhân của nhân viên hiện tại và trước đây vẫn chưa được xác định. Đặc biệt, đề xuất tham vấn sâu hơn về cách thức tương tác giữa quyền riêng tư và nơi làm việc cũng như tác động và thời gian của các nghĩa vụ bảo mật mới đối với các doanh nghiệp nhỏ

Yêu cầu đối với các hoạt động có rủi ro cao về quyền riêng tư

Khi một tổ chức tham gia vào các hoạt động có rủi ro cao (các ví dụ lịch sử được cung cấp trong báo cáo của Bộ trưởng Tư pháp là việc thu thập thông tin tiêm chủng COVID-19 và truy tìm người tiếp xúc), các tổ chức có thể phải tiến hành Đánh giá tác động đến quyền riêng tư trước khi bắt đầu hoạt động . Các hoạt động có rủi ro cao này sẽ được hỗ trợ bởi hướng dẫn từ OAIC, cơ quan sẽ phát triển hướng dẫn thực hành cụ thể cho các công nghệ mới và các rủi ro về quyền riêng tư mới nổi

Các cá nhân dễ bị tổn thương và quyền riêng tư của họ

Trường hợp một cá nhân đang gặp phải tình trạng dễ bị tổn thương (ví dụ:. một đứa trẻ, nạn nhân của bạo lực gia đình hoặc bạo lực gia đình hoặc những người chơi cờ bạc có vấn đề) hoặc có thể có nguy cơ bị tổn hại cao hơn do bị can thiệp vào quyền riêng tư của họ, Chính phủ nhận thấy rằng cần phải áp dụng các biện pháp bảo vệ quyền riêng tư bổ sung. Mặc dù OAIC sẽ cung cấp hướng dẫn về danh sách các yếu tố không đầy đủ, nhưng các tổ chức sẽ chú trọng nhiều hơn để đảm bảo họ thu thập, sử dụng và tiết lộ thông tin cá nhân của một cá nhân dễ bị tổn thương một cách thích hợp.

Kế hoạch vi phạm dữ liệu đáng chú ý

Các vụ vi phạm dữ liệu gần đây đã xác định rằng chương trình hiện tại không phù hợp với mục đích vì nó tập trung vào báo cáo và thông báo ban đầu về vi phạm thay vì tạo điều kiện cho việc ứng phó với vi phạm. Về nguyên tắc, Chính phủ đồng ý rằng các tổ chức nên đặt ra các bước đã thực hiện hoặc sẽ thực hiện để ứng phó với hành vi vi phạm dữ liệu và đã xác định rằng cần phải tham vấn thêm để xác định xem liệu các tổ chức có cần thực hiện các bước hợp lý để ngăn chặn hoặc giảm thiểu tác hại có thể xảy ra hay không.

Sự khác biệt giữa người kiểm soát và người xử lý thông tin cá nhân

Hiện tại, Đạo luật quyền riêng tư và APP quan tâm đến ai 'nắm giữ' thông tin cá nhân và không phân biệt giữa người kiểm soát (người "kiểm soát" và "giữ" thông tin cá nhân) và người xử lý (tức là. nhà cung cấp dịch vụ thuê ngoài). Về nguyên tắc, Chính phủ đồng ý phân biệt giữa hai khu vực này, điều này sẽ giúp Úc phù hợp với các khu vực pháp lý khác và giảm bớt sự phức tạp cũng như gánh nặng pháp lý đặt lên các nhà xử lý

Tạo điều kiện thuận lợi cho các luồng dữ liệu ở nước ngoài

Để hỗ trợ các tổ chức truyền dữ liệu ra nước ngoài một cách an toàn, Chính phủ đồng ý đưa ra danh sách các quốc gia được quy định có luật về quyền riêng tư về cơ bản tương tự nhau để cho phép tiết lộ thông tin cá nhân mà không cần đến các điều khoản hợp đồng hoặc các biện pháp khác. Điều này sẽ tương tự như "quyết định đầy đủ" của GDPR. Trong trường hợp một quốc gia không phải là quốc gia được quy định, Chính phủ đồng ý về nguyên tắc đưa ra các điều khoản hợp đồng tiêu chuẩn và tự nguyện để hỗ trợ các tổ chức

Trao quyền cho một cá nhân đối với thông tin cá nhân của họ

Quyền riêng tư cá nhân được mở rộng

Về nguyên tắc, Chính phủ đồng ý mở rộng quyền riêng tư của cá nhân nhằm cải thiện tính minh bạch và kiểm soát thông tin cá nhân của họ. Điều này sẽ chứng kiến ​​sự mở rộng của một số quyền hiện có, các quyền mới và một số miễn trừ, kết hợp lại với nhau, có thể có tác động đáng kể đến các tổ chức về mặt chi phí trực tiếp và gián tiếp.

Tiếp thị trực tiếp, nhắm mục tiêu và giao dịch

Chính phủ đồng ý về nguyên tắc rằng các cá nhân có toàn quyền từ chối cho phép thông tin cá nhân của họ được sử dụng hoặc tiết lộ cho mục đích tiếp thị. Hơn nữa, tổ chức nên cung cấp thông tin cho người dùng trực tuyến liên quan đến việc sử dụng hệ thống nhắm mục tiêu (chẳng hạn như thuật toán và lập hồ sơ để đề xuất nội dung) và cần có sự đồng ý của cá nhân trước khi tổ chức có thể trao đổi thông tin cá nhân của họ

Khả năng yêu cầu bồi thường của một cá nhân

Mặc dù Chính phủ công nhận rằng các cá nhân phải có quyền hành động trực tiếp để yêu cầu bồi thường và tăng cường kiểm soát thông tin cá nhân của họ, nhưng bất kỳ quyền hành động trực tiếp nào cũng sẽ yêu cầu cá nhân đó trước tiên phải nộp đơn khiếu nại với OAIC hoặc cơ chế giải quyết tranh chấp bên ngoài được công nhận. Điều này nhằm khuyến khích việc giải quyết sớm và giảm thiểu gánh nặng cho Tòa án.

Đề xuất áp dụng biện pháp tra tấn theo luật định đối với hành vi xâm phạm nghiêm trọng quyền riêng tư

Người ta đề xuất rằng nguyên nhân hành động này sẽ yêu cầu xâm phạm quyền riêng tư hoặc là xâm phạm nghiêm trọng vào sự tách biệt hoặc lạm dụng nghiêm trọng thông tin cá nhân và sẽ cho phép một cá nhân tìm cách khắc phục tại tòa án. Hành vi vi phạm pháp luật này sẽ hoạt động độc lập với khả năng yêu cầu bồi thường của một cá nhân theo Đạo luật quyền riêng tư

Trao quyền cho cơ quan quản lý

Phản ứng điều tiết hợp tác

Chính phủ sẽ tiếp tục hỗ trợ các cơ quan quản lý khác nhau trong không gian mạng (ASIC, ACCC, APRA, OAIC) ​​để thực thi các vấn đề liên quan đến việc xử lý sai thông tin cá nhân

OAIC được trao quyền

OAIC sẽ được trao thêm quyền hạn để điều tra và truy tố các quy định về hình phạt dân sự. Nó cũng sẽ được trao quyền thực hiện các cuộc điều tra và đánh giá công khai về sự chấp thuận hoặc chỉ đạo của Bộ trưởng Tư pháp. Là một phần của kế hoạch này, OAIC sẽ tiến hành đánh giá tổ chức chiến lược và các cuộc điều tra sẽ được thực hiện để xem xét tính khả thi của mô hình tài trợ ngành để hỗ trợ OAIC

Quy định về hình phạt dân sự theo bậc

Đạo luật quyền riêng tư hiện quy định các hành vi vi phạm quyền riêng tư nghiêm trọng hoặc lặp đi lặp lại tương đương với điều khoản hình phạt dân sự "cấp cao nhất". Để khuyến khích tuân thủ Đạo luật quyền riêng tư, Chính phủ đồng ý với việc đưa ra điều khoản hình phạt dân sự mức trung bình mới để điều chỉnh các vi phạm quyền riêng tư "không nghiêm trọng" và điều khoản hình phạt dân sự cấp thấp đối với các vi phạm hành chính cụ thể của Đạo luật quyền riêng tư và Ứng dụng

Dự luật sửa đổi Kho bạc năm 2023 là gì?

Luật liên bang có cao hơn luật tiểu bang Úc không?

5 quyền hiến định ở Úc là gì?

Dự luật Sơ tán Di cư sửa đổi thành Dự luật An toàn 2023 là gì?