21世纪经济报道 记者郭美婷 实习生曹萩儿 广州报道
近日,《2022年隐私法修订案(执行和其它措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022)(以下简称《修订案》),在两党的支持下通过了澳大利亚参议两院的表决,目前正待总督签署后正式生效。
【资料图】
据悉,该《修订案》是对1988年澳大利亚《隐私法(Privacy Act)》的最新修订,受此前澳大利亚史上最大数据泄露案影响,该《修订案》从出台到在两党支持下获得通过,仅仅花了一个月。此次修订大幅提高了对严重或屡次侵犯隐私行为的处罚力度,并赋予澳大利亚信息专员办公室(OAIC)更广泛的监管权力。
最高可罚5000万澳元罚款力度的大幅提高让此次修订备受瞩目。
根据《修订案》规定,对于严重或屡次侵犯隐私的企业,最高罚款将从目前的222万澳元(约合人民币1076万元)提高至5000万澳元(约合人民币2.42亿元),或通过滥用信息获得的任何利益价值的三倍,又或是相关期间公司调整后营收的30%,三者中以较高者为准。
事实上,这项变革早在去年底公布的《在线隐私法案》立法草案中就已显端倪。彼时,草案尚且将对违法企业的罚款上限提升至1000万澳元。
今年9月,澳大利亚第二大电信公司Optus遭到网络攻击,导致国内40%人口的数据泄露,引发政府对《隐私法》的重新审查。
澳律政部长德雷福斯在此前接受采访时就提到,新修订的《隐私法》将使公司在违规后受到更为严厉的处罚,这样公司董事会才不会将罚款视为“经营成本”而不予理会。
“这是清理之前烂摊子的第一步。”澳总检察长马克·德雷福斯对立法表示欢迎,“新的、更严厉的处罚向大公司发出了明确的信号,即他们必须更好地保护收集到的数据。最近发生的重大隐私泄露事件表明,现有的保护措施已经过时且不充分。对重大数据泄露的处罚不能再被视为开展业务的基础成本。”
然而,《修订案》中对“严重”和“屡次”的关键术语的界定模糊,也使其在议会中受到批评。自由党参议员保罗斯卡尔提出,“那些受该法影响并将就此履行义务的人,需要一个清晰简洁的定义来理解‘严重’或‘屡次’意味着什么。”绿党参议员大卫·舒布里奇也表示,该党对该法案持有“保留意见”,并呼吁采取更精细的条款。
扩张的执法权除提高罚款额度外,新的《修订案》还赋予澳大利亚信息专员办公室 (OAIC) 更大的权力,以让其更充分地参与到隐私泄露案件的解决过程。
根据《修订案》,OAIC的执法权将在四个方面得到扩张:域外管辖、“数据泄露申报计划(The Notifiable Data Breaches scheme,NDB scheme) ”、展开调查的决定权,以及与执法机构信息共享的权力。
其中,对“数据泄露申报计划”的修订是澳大利亚政府回应此前数据泄露事件的重点手段之一。
原“数据泄露申报计划”要求,组织或机构在面对重大数据泄露时,必须将情况通知OAIC和涉及的用户。《修订案》则进一步规定了通知中必须包含被泄露信息的特定类型,例如,当用户的联系信息泄露时,通知的信息泄露类型必须明确至家庭住址、电话号码或电子邮件,该规定有利于OAIC全面了解数据泄露的情况并采取合理的应对措施。
此外值得注意的是,在涉外方面,本次《修订案》还对域外效力条款进行了简化,以保障在澳开展业务的外国公司遵守最新的法律规定。