黄潇怡| 中国信息通信研究院互联网法律研究中心研究员
澳大利亚政府于2022年11月28日宣布,议会已批准《2022年隐私立法修正案(执法和其他措施)法案》(以下简称修正案),修正案将在获得皇家批准后的第二天生效。修正案修订了1988年的《隐私法》、2005年《通信和媒体管理局法》(ACMA Act)和2010年的《信息专员法》(AIC Act)这三部联邦法案,以增加对严重或反复侵犯隐私的处罚,扩大澳大利亚信息专员和澳大利亚通信和媒体管理局的信息共享权力,并加强澳大利亚信息专员的执法权力。
01 背景情况
2019年12月,澳大利亚政府为回应澳大利亚竞争和消费者委员会(ACCC)对数字平台的调查,宣布将对1988年《隐私法》进行审查,审查的范围包括:《隐私法》的范围和适用,是否能够有效保护个人信息,以及是否能为促进良好的隐私实践提供实用和相称的框架。此后,澳大利亚政府先后于2020年10月和2021年10月发布问题文件和讨论文件,并公开征求意见。同时,澳大利亚政府还宣布了一项改革计划——推出《2021年隐私立法修正案(加强在线隐私和其他措施)法案》(《在线隐私法案》),与《隐私法》审查平行推进。2021年10月,澳大利亚总检察长(AGD)发布了关于《在线隐私法案》的征求意见稿、解释性文件和监管影响声明,并征求公众意见。然而,上述立法改革均未取得实质性进展。
2022年9月至10月间,澳大利亚发生了各种备受瞩目的大规模数据泄露事件,涉及Optus、Medibank Private、MyDeal等公司。其中,9月22日澳大利亚第二大电信公司Optus公司的数据泄露事件,涉及980万Optus客户,接近澳大利亚人口的40%,且遭泄露的个人信息种类繁多,包括姓名、出生日期、电话号码、电子邮件地址、身份证件号码(如驾驶执照或护照号码)以及Medicare卡号(澳大利亚公费医疗系统卡号)等,是澳大利亚历史上最大的数据泄露事件之一。案件发生后,多名澳大利亚政府官员在不同场合强调将加强个人信息保护力度,要求发生数据泄露的公司与银行分享可能受到影响的用户信息从而防止可能的金融诈骗。
大规模数据泄露倒逼澳大利亚加快进行立法改革,2022年10月22日澳大利亚总检察长马克·德雷福斯(Mark Dreyfus)指出,重大隐私泄露事件表明,现有的保护措施已经过时且不足,企业不能再将对重大数据泄露的处罚视为开展业务的成本,并宣布将出台立法,大幅增加对屡次或严重侵犯隐私行为的处罚。经过短短的一个月,《2022年隐私立法(执法和其他措施)修正案》出台,并通过两院审议,待国王批准。
02 主要内容
(一)扩大了《隐私法》的适用范围以加强域外管辖
修正案扩大了《隐私法》的域外管辖权,如果外国组织与澳大利亚有联系,则必须履行《隐私法》规定的义务。此前,根据《隐私法》规定,如果外国组织或运营商在澳大利亚开展业务并从澳大利亚境内收集或持有信息,则该外国组织与澳大利亚有联系。修正案删除了“从澳大利亚境内收集或持有信息”的规定,不再要求企业必须“在(违法)行为或实践发生之前或之时在澳大利亚收集或持有个人信息”才认定为与澳大利亚有联系,而“经营业务”成为与澳大利亚有联系的唯一标准。根据更新后的条款,即便企业使用技术手段不直接从澳大利亚收集或存储信息,但是只要在澳大利亚开展业务,也会被要求履行《隐私法》规定的相关义务。修正案确保了澳大利亚《隐私法》适用于全球科技公司在海外服务器上处理澳大利亚人个人信息的情形,以在全球化的世界中保持适用。
(二)加大对违规行为的处罚力度以形成威慑
一方面修正案加大了对严重或屡次侵犯私隐的法人团体的处罚力度,将最高罚款数额由现在的222万澳元提高至以下两者中的高者:1)5000万澳元;2)通过滥用信息获得的任何利益价值的三倍(如果法院能够确定该行为所获得的利益);或法人团体相关违法经营期间内营业额的30%(如果法院无法确定所获得的利益)。
“违法经营期”取以下期间的较长者:1)从年初开始,截至违规行为停止或提起违规行为相关诉讼月的月底(以较早开始的时间为准);2)从违规行为发生月份的月初开始,到违规行为停止或违规行为相关诉讼月的月底。
另一方面修正案加大了对法人团体以外的人(例如个体经营者或合伙企业)严重或反复侵犯隐私的处罚,并将罚款数额从最多2000个罚款单位(相当于44.4万澳元)增加到最高250万澳元。
另外,修正案没有修改“严重或反复侵犯隐私”的门槛,“严重”和“反复”的相关标准沿用澳大利亚信息专员办公室(OAIC)的行政指导《隐私监管行动指南》中的相关标准。考虑是否“严重”的相关因素包括:(a)可能受影响的人数;(b)是否涉及“敏感信息”或其他敏感性质的信息;(c)是否对一个或多个个人造成或可能造成重大不利后果;(d)弱势群体是否已经受到或可能受到特别不利影响(无论是否涉及故意或鲁莽行为)。“反复侵犯隐私”是指一个实体在两个或多个不同场合侵犯一人或多人的隐私,包括:(a)在两次或两次以上的相同行为或做法;(b)两次或多次发生的不同行为或做法。
(三)加强澳大利亚信息专员办公室(OAIC)的执法权
一是强化了数据泄露通知要求,一旦发生《隐私法》数据泄露通报计划(NDB计划)中规定的“符合条件的数据泄露”(指数据泄露可能对受影响的个人造成严重伤害的),任何组织或机构必须向OAIC提供相关信息和文件,采取相应的措施,并通知受影响的个人;OAIC可对未提供所需信息的实体发出侵权通知。如果总检察长根据第70条规定向信息专员提供证明,证明向信息专员提供有关特定事项的信息、出示特定文件和其他记录将违背公共利益,则信息专员不得行使上述权力。修正案确保专员全面了解在“符合条件的数据泄露”中泄露的信息,以评估对个人造成伤害的特定风险,以及个人应采取的应对步骤。
二是增强了信息专员的决定权,信息专员有权在调查投诉后作出决定,驳回投诉或在投诉成立时采取进一步行动,包括:审查被投诉人的相关行为或做法;审查被投诉人为确保相关行为不再重复或继续而采取的步骤(如果有的话);以及声明中规定的与这些行为或做法有关的任何其他事项。
(四)强化了澳大利亚信息专员和澳大利亚通信和媒体管理局(ACMA)的信息共享权力
一是强化信息专员信息共享的权利,修正案规定信息专员有权与接收机构分享信息或文件,以便信息专员或接收机构行使权力、履行职能或职责。接收机构可以是:执法机构、替代投诉机构;或具有隐私职能的外国政府当局。专员只可在下列情况下与接收机构分享资料或文件:(a)信息或文件是信息专员在行使权力或履行《隐私法》规定的职能或职责的过程中获得的;(b)信息专员有合理理由相信,接收机构已采取令人满意的举措来保护资料或文件。如果信息专员从澳大利亚政府机构获得信息或文件,则信息专员只能与澳大利亚政府机构(而不是州或领地当局或外国机构)的接收机构分享信息或文件。另外,接受机构使用信息必须符合信息共享的目的。
二是赋予了信息专员为公众利益披露信息的权利。如果信息专员确信披露符合公众利益,则信息专员有权披露在《隐私法》下行使权力或履行职能或职责的过程中获得的某些信息。但信息专员行使披露信息的自由裁量权必须考虑以下因素:(a)任何投诉人或被投诉人的权益;(b)披露是否或可能损害信息专员正在进行的任何调查;(c)披露是否或可能披露任何人的个人信息;(d)披露是否或可能披露任何机密商业信息;(e)信息专员是否有合理的理由相信相关披露可能会妨碍执法机构或代表执法机构进行的一项或多项执法相关活动。
参考资料:
1. https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940
2. https://parlinfo.aph.gov.au/parlInfo/search/display/display.w3p;query=Id%3A%22legislation%2Fbillsdgs%2F8863742%22
3. https://www.aph.gov.au/Parliamentary_Business/Committees/Senate/Legal_and_Constitutional_Affairs/PrivacyEnforcement2022
4. https://ministers.ag.gov.au/media-centre/tougher-penalties-serious-data-breaches-22-10-2022
5. https://iapp.org/news/a/australia-passes-privacy-legislation-amendment-bill-2022/
6. https://www.dataguidance.com/news/australia-parliament-passes%C2%A0government-privacy-penalty
7. https://www.dataguidance.com/news/australia-ag-introduces-penalty-increase-privacy
8. https://www.dataguidance.com/news/australia-parliament-passes%C2%A0government-privacy-penalty
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
