在另一场备受瞩目的数据泄露事件之后，澳大利亚政府（也称为联邦政府）对澳大利亚隐私法进行了修订，赋予监管机构新的权力，并能够对严重或重复的数字隐私实施更严厉的处罚违规行为。这些修正案将包括与执法机构以及澳大利亚通信和媒体管理局 (ACMA) 共享违规信息的权力。

2022 年 10 月，澳大利亚政府向议会提交了2022 年隐私立法修正案（执法和其他措施）法案。通过重大改革，该法案加强了政府保护澳大利亚公民个人信息的承诺，并将在得到皇家强制批准后立即生效。

隐私改革成为当务之急

2022 年 9 月，澳大利亚主要电信提供商之一的客户的个人信息——例如他们的姓名、出生日期、电子邮件、护照号码、驾驶执照和医疗保险卡详细信息——被曝光。就在 2022 年 10 月，澳大利亚最大的医疗保险公司之一宣布遭受网络攻击——包括 970 万客户的个人详细信息以及有关医疗程序和诊断的敏感信息——不良行为者要求支付 1500 万澳元，否则这些详细信息将在暗网。

为敲响警钟，澳大利亚政府已拨出 550 万澳元供澳大利亚信息专员调查这些违规行为，并进一步承诺提供 3110 万澳元用于更好地保护政府网络。政府还评论说，目前的处罚“根据社区的期望”是不够的，促使对1988 年隐私法进行了改革。虽然总检察长 Mark Dreyfus KC 已经致力于对该法案进行“全面改革”，但其中一些变化现在已被快速推进以立即纳入。

该法案显着增加了《隐私法》对严重或反复违规行为适用的最高处罚，并赋予澳大利亚信息专员更大的执法权力。它进一步为委员会和澳大利亚通信和媒体管理局 (ACMA) 提供了更大的信息共享权力。该法案还引入了其他小的程序修正案，以现代化和解决任何当前的法案限制。

最显着的变化将增加根据《隐私法》对“严重或重复”隐私侵犯适用的最高处罚。对于非公司实体，最高罚款将提高至 250 万澳元。对于公司，罚款将是通过滥用信息获得的任何利益价值的三倍、公司在相关期间调整后营业额的 30% 或 5000 万澳元（以较高者为准）。这是现有罚款的近 7 倍，因为目前对非公司实体的最高民事罚款为 2,000 个罚款单位（444,000 澳元），而公司实体目前为 10,000 个罚款单位（222 万澳元）。

应该注意的是，这不适用于年营业额为 300 万澳元或以下的小企业——尽管有一些例外情况。然而，这些例外情况预计将在未来的隐私改革中被删除。

澳大利亚信息专员的新权力

新法案将进一步赋予澳大利亚信息专员额外的权力，通过扩大专员在任何调查结束期间可以作出的声明的类型来解决隐私泄露问题。例如，专员现在可以决定投诉的答辩人应准备并发布关于隐私投诉主题行为的声明。该声明可能需要提供给投诉人或可能需要正式发布。

这些变化将改变《隐私法》的域外管辖权，以涵盖在澳大利亚开展业务的外国组织，要求它们遵守该法规定的义务，即使它们不直接从澳大利亚的来源收集或持有澳大利亚人的信息。目前，只有拥有“澳大利亚链接”的外国组织才需要遵守《隐私法》规定的义务。在当今的数字时代，外国组织可以采用不直接从澳大利亚来源收集或存储信息的收集技术。这项对隐私法的改革可能是对Facebook Cambridge Analytica 丑闻的影响，其中 Meta Platforms, Inc. 目前正在澳大利亚法院争辩说所需的“澳大利亚链接”不存在。

专员还将获得新的“信息收集权”，以便对实际（或疑似）违规行为进行评估。例如，他们将能够要求个人或实体出示文件、提供信息或回答专员的问题，并且能够对未能提供该信息的个人和组织进行处罚。

通知数据泄露( NDB) 计划要求隐私法涵盖的任何组织通知任何可能因任何数据泄露而面临严重损害风险的各方，并且专员将被进一步授权对组织对 NDB 的遵守情况进行评估计划——帮助公民和受影响的各方采取行动，防止进一步侵犯他们的隐私，并告知他们被泄露的具体数据类型——任何直接识别个人身份的信息，例如姓名、地址、电话号码、电子邮件地址、社会安全号码等。

专员将进一步有权向公众发布在行使其权力过程中获得的任何信息，如果他们认为这样做符合公众利益。他们还将能够在行使其权力的过程中或为了允许其他机构行使其权力/职能而与其他投诉机构、执法机构以及州、领地或外国政府当局共享信息。该法案还扩大了澳大利亚通信和媒体管理局与任何非公司联邦实体共享信息的能力，这些信息将有助于执行联邦法律。 

未来是私人的

处理澳大利亚公民数据的组织必须解决所有可能的最佳数据隐私标准，以确保未来的合规性。在接下来的几个月里，各种规模的企业都将受到新立法的影响，现在建立强大的数据安全态势对于维持所需的个人信息保护标准至关重要。从瑞士的联邦数据保护法 (nFADP) 到德国的电信和远程媒体数据保护法 (TTDSG)，这是数字数据安全的未来，保护其公民，不遵守是每个政府的议程——每个政府都需要遵守欧洲通用数据保护条例 (GDPR) 或州立法的细微差别。

制定计划以实施围绕数据治理和数据隐私的内部和外部隐私政策和程序，遵守当地法律，这对于与澳大利亚大陆和塔斯马尼亚岛及其他地区进行数字化交易的任何企业和个人来说比以往任何时候都更加重要，随着越来越多的地区效仿。

揽阁信息推荐企业使用Thales HSM和KMS产品进行组合，以面对全球各地区的数据保护法案，Thales集团的Luna HSM和CipherTrust数据安全平台（KMS）拥有FIPS 140-2的安全认证，并且已经被各行业Top级别客户所使用，是已经被广泛验证的、有效解决隐私数据处理的产品。联系我们就可以获得您的定制化安全解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• 大量数据泄露意味着现在是时候以数据为中心的安全了

• 十大移动应用程序安全威胁：保护您的数据免受潜在风险

• 2023年4月，全球重大数据泄露事件

• Thales 2023数据威胁报告：主权、转型和全球挑战