澳大利亚《2022年隐私法修正案》通过:修改内容及企业的合规要点
联系微信:heguilvshi 领取优惠券,加入DPOHUB会员!
整理人:刘睿雅,北京科技大学本科生
2022年11月28日,澳大利亚针对《隐私法(PrivacyAct,1988)》的《2022年隐私法修订案(执行和其它措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022)(以下简称《修订案》)通过了参议两院的表决,目前正待总督签署后正式生效。《修订案》大幅提高了最高处罚金额标准、加大监管执法力度、扩大域外适用范围等。
1. 修订背景
今年9月22日,澳大利亚第二大电信公司Optus称公司遭到网络攻击并发生数据泄露事件[1],涉及980万Optus客户,接近澳大利亚人口的40%,是澳大利亚历史上最大的数据泄露事件之一。无独有偶,10月13日澳洲最大医疗保险公司Medibank发布消息称部分客户的个人数据(包括姓名、地址、医疗保险号码和电话号码)在网络攻击中被窃取[2]。
接连发生的重大隐私侵犯表明,澳大利亚现有的保障措施存在严重不足,司法部长马克·德雷福斯(Mark Dreyfus)提出将快速修订《隐私法》,认为现有的保护措施已经过时且不充分,需要新的、更严厉的处罚向各公司发出必须更好地保护收集到的数据的信号。
2. 历史修订
澳大利亚的隐私数据保护条例由联邦、六个州和两个领地共同制定。联邦层面,监管依据为《隐私法》及其中的13项澳大利亚隐私原则(Australian Privacy Principles,简称隐私原则),对个人信息的采集、使用、储存和披露进行了规定,适用于澳大利亚联邦政府机关和大多数私营部门,即“澳大利亚隐私原则实体”(APP Entities)[3]。
澳大利亚现行《隐私法》可以追溯到1988年,即《Privacy Act 1988》,当时起草该法规是为了保护被澳大利亚政府机构占有的个人信息,规范联邦公共部门的权力,主要包括联邦政府机构,适用范围有限。
2009年澳大利亚第一次全面修订,将其范围扩大到大部分私营部门。
2014年澳大利亚第二次全面修订,引入隐私保护原则,该原则规定了私营机构和政府部门对个人信息处理、使用和收集的方式。
2018年第三次全面修订中引入了个人数据泄露申报计划,规定了各职能实体在应对数据泄露事件方面的具体要求。
2019年澳大利亚政府针对大型科技公司(如Twitter、Google等)依靠收集和分析消费者的数据运行的商业行为模式进行调研,从而展开审查和修订《隐私法》工作,并于次年10月出台修订意见,进行进一步讨论,提案包括提高处罚到接近欧盟GDPR的水平、规范在高风险的场景中的数据处理活动等。
2021年10月,澳大利亚官方公布了《在线隐私保护法案》的立法草案[4],该草案引入了“在线隐私守则”(Online Privacy code),扩大了域外管辖范围,提高了处罚力度,但最终也并未形成法案。
3. 主要变动
(1)提高处罚金额至最高5000万澳元
根据《修订案》规定,对严重或反复侵犯隐私的处罚将从目前的最高金额222万澳元大幅增加到:(三者中以最高值为准)
Ø5000万澳元;
Ø或通过滥用信息获得的任何利益价值的三倍;
Ø或无法确定所获价值,则在相关期间(至少12个月)占公司国内营业额的30%。
如前所述,提高处罚金额早在2020年《隐私法》修订意见与2021年底公布的《在线隐私保护法案》立法草案中就已显端倪。更严厉的处罚无疑敦促公司增加监管措施。
(2)OAIC执法权扩张
澳大利亚信息专员办公室 (OAIC) 是澳大利亚联邦层面的主要数据监管机构,《修订案》从数据泄露申报计划(The Notifiable Data Breaches scheme,NDB 计划) 、展开调查的决定权、与接收机构信息共享、符合公众利益可以适当披露部分信息四个方面,赋予其更大的权力,以让其更充分地参与到隐私泄露案件的解决过程:
a.加强数据泄露申报计划[5](The Notifiable Data Breaches scheme,NDB计划))
现有的NDB计划将通过以下两个重要方式得到加强:
Ø授权隐私专员评估实体遵守该计划要求的情况。
Ø就该计划的报告和通知要求,为隐私专员提供新的信息收集权。
b.展开调查的决定权
Ø有权发布侵犯隐私的通知或以其他方式告知直接受影响的人,解决隐私侵犯行为;
Ø迫使实体进行外部审查,以改善其做法,减少再次违规的可能性;
Ø提供新的信息收集权力,以进行评估,并提供新的侵权通知权力,如果实体未能在需要时提供信息,则可以使用这些权力,而无需进行诉讼。
c.与接收机构信息共享的权利
为了隐私专员履行职能的目的,可在如下情形与接收机构(执法机构、替代投诉机构和隐私监管机构)共享信息或文件:
(a)履行职能的过程中获得的信息或文件;
(b)有合理理由确信接收机构能够保护信息或文件。
d.适当披露部分信息的权利
隐私专员有权在隐私调查后发布最终决定以及有关其最终评估报告的信息,或确信符合公共利益,在考虑以下因素,可以披露在行使权力或履行职能过程中获得的信息:
(i)任何投诉人或答辩人的权利和利益;
(ii)披露是否会或可能损害专员正在进行的任何调查;
(iii)披露是否会或可能披露任何人的个人信息;
(iv)披露是否会或可能披露任何机密商业信息;
(v)专员是否合理地认为披露可能会损害由执行机构或代表执行机构进行的一项或多项与执法有关的活动;
(3)域外效力条款简化
“个人信息是由澳大利亚或外部地区的组织或运营商在行为或实践之前或当时收集或持有的”,作为限制在澳大利亚有连接点的条件之一被删除。这意味着不再要求各类组织必须在行为或实践之前或之时在澳大利亚收集或持有个人信息才认定为与澳大利亚有联系,即使在澳大利亚没有当地子公司的外国组织,也将会受到澳大利亚《隐私法》的规制。
这使得在澳开展业务的外国公司,以及对可能在离岸服务器上处理澳大利亚人信息的全球科技公司都需要遵守执行《隐私法》。
4. 小结
新修正案大幅增加罚款、执法权扩张、域外适用范围的扩大,这要求在澳开展业务的企业借此机会务必增加监管措施,确保有整体的信息治理体系和框架,规避未能正确治理和保护信息资产以及实施强大的数据生命周期管理计划会给企业带来的重大风险。
在OAIC报告的数据泄露报告中报告的个人数据泄露中,约有三分之一归因于人为错误,这是主要因素[6]。近期发生的诸多网络攻击经证实均是由组织内部的人为错误极大促成的,对企业来说,强大的信息治理可以极大地帮助最大限度地减少数据和信息风险,并使组织能够最大限度地提高数据和信息价值。
对于在澳开展业务的企业来说,应从如下方面进行审查:
(1)政策合规性
(2)数据最小化
Optus和Medibank数据泄露的关键风险之一是过度收集和过度保留个人数据,“数据最小化”原则要求主体将其收集、处理的数据内容限制于提供特定产品或服务必要的范围内,企业需要审查正在收集的个人数据,评估收集和保留的个人数据是否与处理目的直接相关。
审查安全处置个人数据的流程,根据归档政策或保留记录的监管要求,审计当不再需要保留个人数据时,是否完成个人数据的安全销毁,降低过度保留会给企业带来的重大风险。
(3)部署数据泄露事件响应计划
Ø明确规定和定期更新数据泄露期间的安排与计划,以能够应对蓄意或意外数据泄露事件
Ø进行数据泄露响应培训,培训员工相应能力
参考文献
每天两块钱,实时获取全球数据合规风险预警
如需LinkedIn诉hiQ案判决书PDF版,请加入圈子免费下载
👇
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者