官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
1. 前言
澳大利亚政府宣布修订1988年《隐私法》以增加罚款。严重侵犯或反复侵犯隐私(即违反隐私法)的最高罚款将增加到1000万澳元(约合630万欧元)的上限,处以违法所得的三倍,或澳大利亚年收入的10%,较高者为准。
澳大利亚政府总检察长部目前正在对《隐私法》进行全面审查,包括同意要求、例外和行动权。审查可能会导致《隐私法》的重大变化。
1.1. 关键法案、法规、指令
澳大利亚个人数据保护的主要立法是《隐私法》及其《澳大利亚隐私原则》(“APPs”)。
联邦政府的法律:
1988 年隐私保护法(Privacy Act 1988)
2001 年隐私保护法(Privacy Act 2001)
2003 年反垃圾邮件法(Spam Act 2003)
维多利亚州政府的法律:
2014 年隐私和数据保护法(Privacy and Data Protection Act 2014)
2018 年儿童信息共享计划规程(Child Information Sharing Scheme Regulations 2018)
2017 年数据共享法(Data Sharing Act 2017)。
1.2. 指南
由OAIC发布主要的准则和指南,可在OAIC网站上查阅,包括:
数据泄露准备和响应;
去标识化决策框架;
制定APP隐私政策指南;
个人信息保护指南;
隐私影响评估指南.
1.3. 判例法
最近获得的值得注意的隐私专员的决定和承诺包括:
专员发起对优步技术公司和优步公司(隐私)的调查 [2021] AICmr 34;
“QP”和澳大利亚联邦银行有限公司(隐私)[2019] Al Cmr 48;
澳大利亚联邦银行可执行承诺;
卫生署可执行承诺.
2. 适用范围
2.1. 个人范围
除所有联邦政府机构外,《隐私法》/APPs适用于所有私营部门组织(统称为“APP实体”),但以下情况除外:
任何时候年营业额低于300万澳元(约合190万欧元)的组织(包括其所有相关法人团体)(除非他们使用或披露个人信息以谋取利益或收集和使用健康信息);
州或领地当局或部门,尽管须公布数据泄露条款适用于所有涉及者。
2.2. 地域范围
《隐私法》/APP适用于在澳大利亚开展业务的所有组织,包括从澳大利亚居民那里收集个人信息,或通过向澳大利亚居民推广离岸实体/网站。
请注意,即使离岸实体(例如位于澳大利亚境外的云托管提供商)不与澳大利亚的个人直接接触,不参与促进这些个人之间的交易,也不直接收集这些个人的个人信息,该实体仍然可能在澳大利亚开展业务,因为它是APP实体的服务供应商。
2.3. 数据范围
APP实体对个人信息的所有处理(即收集、使用和披露)均受《隐私法》/APP的约束。但是,《隐私法/应用程序》不涵盖对去识别化或匿名数据的处理。
不受《隐私法》/APP 约束的情况包括非商业身份的个人、雇主曾经持有的员工记录(请参阅第 13 节)、小型企业(例如低于 300 万澳元(约 190 万欧元),以及媒体组织。
3. 数据保护监管机构
3.1. 数据保护的主要监管机构
信息专员办公室(OAIC)负责调查违反《隐私法》隐私原则和信用报告规定的行为。 隐私专员是《隐私法》/APPs的相关监管机构。隐私专员设在澳大利亚信息专员(目前与隐私专员是同一人)内,两者都在OAIC中。
3.2. 主要权力、职责和责任
隐私专员负责接收和解决投诉,进行主动调查,并发布有关《隐私法/APPs》的解释和执行的指导。私隐专员亦可就严重侵犯私隐或多次侵犯私隐行为进行罚款。
4. 关键定义
数据控制者:与欧洲法律不同,澳大利亚隐私法中没有数据“控制者”的概念。
数据处理者:与欧洲法律不同,澳大利亚隐私法中没有数据“处理者”的概念。
个人数据:已识别个人或可合理识别的个人的信息。
敏感数据: “敏感信息”是个人信息的子集,包括有关个人种族或民族血统、政治观点、政治协会成员资格、宗教信仰或从属关系、哲学信仰、专业或贸易协会成员资格、工会成员资格、性取向或做法的信息或意见, 犯罪记录和健康信息、遗传信息和/或用于自动生物特征验证或生物特征识别的生物特征信息。
健康数据:“健康信息”是“敏感信息”的一部分,其定义包括有关健康的信息或意见,包括个人的疾病、残疾或伤害,向个人提供或将要提供的健康服务,遗传信息,以及个人对未来提供健康服务的表达愿望。
假名化:根据第2条APP规则,在可行的情况下,APP实体有义务为个人提供使用假名方式行权的选择。“假名”和“假名化”在《隐私法》中没有具体定义,在实践中,与GDPR中的定义几乎没有区别。
5. 法律依据
5.1. 同意
根据APP 3.3,收集个人的敏感信息需要“同意”。即使征得同意,也只有在实体的一项或多项业务合理必要的情况下,才能收集敏感信息。
5.2. 法律义务
“法律义务”是收集相关敏感信息必须征得同意的例外情况。但是,这并不能避免APP 5下的义务,即在收集该信息时或之前通知个人(APP 5.2)。
5.3. 数据主体的利益
类似于上述“法律义务”,实体可以免除征得个人同意收集敏感信息,如果此类信息对帮助找到据报失踪的人或减轻或防止对生命、健康、 或任何个人的安全是合理必要的。
5.4. 数据控制者的合法利益
该实体可以在未经同意的情况下收集有关可疑非法活动或严重不当行为的敏感信息,以行使和捍卫合法利益。
6. 原则
根据《隐私法》/APPs,所有APP实体的主要义务包括:
实体必须以公开透明的方式管理个人信息。
个人可选择使用匿名或假名行使权利。
实体须按照标准收集个人信息和敏感信息。
实体须以特定方式处理未经请求的个人信息。
收集个人信息前展示隐私政策。
实体只能出于收集信息的目的而使用或披露个人信息。
除非例外情况,否则组织不得出于直接营销的目的使用或披露个人信息。
实体在向境外接收方披露个人信息前,应当采取合理措施,确保境外接收方不违反澳大利亚隐私原则。
除非例外情况,否则组织不得使用或披露与政府相关的标识符。
实体必须采取合理措施,确保其收集的个人信息准确、最新、完整。
组织应采取合理步骤,确保其收集的个人信息不受滥用、未经授权的访问和披露。
持有个人信息的实体必须根据要求允许个人访问该信息
个人拥有更正个人信息的权利。
关于信息安全义务,需要注意,它不是一刀切的义务。实体规模越大,收集的个人信息越多,信息越敏感,数据持有越集中等,安全义务就越大。最好参照隐私专员关于保护个人信息的指南。
7. 控制者和处理者义务
7.1. 数据传输
跨境披露个人信息,需满足的条件:
获得个人同意;或
实体应采取合理措施确保海外接收方遵守《隐私法》下的隐私原则,且因海外接收方违反《隐私法》而承担责任;或
接收者国家法律要求不低于澳大利亚隐私原则,且个人可以采取行动执行法律约束力;或
该实体是一个机构,信息披露是基于信息共享的国际协议授权的,或
该实体是一个机构(agency),实体应配合海外执法机构执法。
7.2. 数据处理记录
澳大利亚隐私法没有明确要求“数据处理记录”。
7.3. 数据保护影响评估
澳大利亚隐私法考虑了隐私影响评估(“PIA”),但除政府机构外,并未强制要求进行隐私影响评估。但是,强烈建议使用 PIA 来履行 APP 1.2 下的义务。
7.4. 数据保护官任命
据澳大利亚隐私法,DPO不是强制性的,但隐私专员建议任命DPO。在实践中,我们看到越来越多的隐私官角色。
7.5. 数据泄露通知
澳大利亚对所有“符合条件的数据泄露”进行了强制性通知。在实体发生数据泄露后尽快通知OAIC和所有受影响的个人。
7.6. 数据保留
除上述安全义务外,《隐私法/APP》还要求APP实体在完成收集信息的通知目的,且满足法律要求保存期限后,删除或去识别其拥有的所有个人信息。也就是说,个人信息不能无限期保存。
7.7. 儿童数据
澳大利亚隐私法中没有关于儿童个人信息的具体规定。但是,OAIC已提供指导,通常可以对15岁及以上的人通知隐私收集声明。
7.8. 特殊类别的个人数据
根据澳大利亚隐私法,“特殊类别的个人信息”主要包含在“敏感信息”下,在实践中,数据保护义务对敏感信息的适用更为严格。例如,采取合理措施保护个人信息免遭未经授权的披露、使用或丢失的义务在持有“敏感信息”方面更为严格。
澳大利亚隐私法中纳入了“税号信息”和“信用信息”的其他具体要求。
8. 数据主体权利
8.1. 知情权
在收集该信息时或之前,实体有义务将APP 5.2中的规定事项通知个人。如果难以实行,则必须在收集该信息后尽快通知。通知内容包括谁在收集,收集目的,信息的用途以及可能向谁披露。
8.2. 访问权
访问APP实体持有的个人信息的权利。
8.3. 更正权
要求更正APP实体持有的个人信息的权利。
8.4. 删除权
个人信息被用于收集目的已达成,且法律不再要求保存时,实体有义务删除或去识别个人信息(无论个人是否要求)。
8.5. 反对/选择退出的权利
不接受直接营销以及不披露个人信息的权利。根据同意收集的个人信息都将受到个人撤回意的约束。
8.6. 其他权利
用户行权时,允许用户使用假名或者不表明身份,除非其他法律额外要求,或企业用此匿名信息无法帮用户行权。
9. 处罚
OAIC/隐私专员对实体最高处以210 万澳元(约 130 万欧元)的罚款。
私隐专员还有权公开说明侵权行为的全部细节(在投诉的情况下)和隐私专员的调查结果。
不准确之处还望各位朋友指正!
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者