新的澳大利亚隐私权保护法:您的企业是否合规?
2014年3月12日,澳大利亚隐私权保护法的重大变更正式生效,本次变更基于对1988年联邦隐私权法的修正。变更内容适用于收集并处理个人信息的私营部门与联邦公共部门组织。该法对个人信息的收集、使用、披露与处理作出了规定。
主要信息
迄今为止尚未采取合理步骤做好变更准备的组织从现在开始将不再符合法律要求。
组织合规的首要前提是理解他们该如何收集、使用、披露与处理个人信息。
组织如今需采取合理措施执行规范、程序与系统,确保其均符合新的《澳大利亚隐私权保护原则》(APPs)。这需要更加程序化的合规方式。组织要做的远不止更新其隐私保护政策这么简单。
新的规定
法规的主要改动之一是引进了《澳大利亚隐私权保护原则》,取代了之前适用于私营部门的《全国隐私权保护原则》(National PrivacyPrinciples)及适用于联邦公共部门的信息隐私权保护原则(Information PrivacyPrinciples)。《澳大利亚隐私权保护原则》适用于组织与代理机构/中介,两者共称为“APP实体”。
以下列出了澳大利亚隐私权保护原则中若干更为重要的变更。通常说来,该原则使APP实体承担更多的隐私保护义务。
对未经要求的个人信息的处理方法(APP 4)
当APP实体收到未经要求的个人信息时,必须根据澳大利亚隐私权保护原则决定在征求个人信息的情况下是否会收到此类个人信息(即这类个人信息对该实体的功能或活动来说是否有合理的必要性)。如APP实体根据澳大利亚隐私权保护原则确定不会收集这类个人信息,其必须在合法与合理的前提下对这类个人信息作销毁/去掉可识别性处理。
直接营销 (APP7)
APP实体现在禁止为直销目的使用及披露其所持有的个人信息,例外情况除外。针对使用与披露非敏感性个人信息,这一禁止性条款的例外条件之一是使用与披露必须符合APP7规定的多个条件。而针对使用与披露敏感性个人信息,为直销目的使用与披露其信息必须经本人同意。
跨境披露个人信息 (APP 8)
当APP实体向海外接收方披露个人信息时,澳大利亚隐私权保护原则规定,APP实体有义务采取合理措施确保海外接收方符合澳大利亚隐私权保护原则规定。当符合APP8中规定的相关例外情况时,该义务将不适用于披露。
最重要的是,当APP实体向海外接收方披露个人信息触犯了澳大利亚隐私权保护原则,该APP实体可为海外接收方侵犯隐私权承担责任。
个人信息安全问题 (APP11)
APP实体需采取合理措施,保护其持有的个人信息免受干扰、不正当使用、丢失及未经授权的获取、修改与披露。这一义务现扩展到APP实体必须采取合理措施使电脑系统免受攻击,这类攻击往往导致个人信息面临风险。
澳大利亚信息委员会的权限
澳大利亚信息委员会如今具备更多的权限与职能,包括以下能力:
a. 根据他或她的自主提议,执行调查或强制措施;
b. 在APP实体严重侵犯个人隐私或持续干扰个人隐私的情况下,向法庭申请民事处罚。
干扰个人隐私的民事处罚最高可达170万澳元/APP实体。这类处罚也适用于协助或在知情的情况下涉及严重或重复侵犯个人隐私的APP实体。
普华永道可如何助您合规?
我们可助您的企业符合相关法律规定:
对您的企业进行运营情况评估,以确认您的企业如何收集、持有、使用及披露个人信息;
对您的企业进行合规审核,以评估您目前的隐私权保护政策及程序与新隐私权保护法规定的要求之间的合规差距;
撰写所有法律文件以符合法律规定,包括更新您的隐私权保护政策、隐私信息收集通知书与同意书;
撰写或更新内部隐私权保护指导条例及程序文件,并提供适当的员工培训;以及
如有需要,审核合同并与第三方服务提供商及集团内部实体进行协商以对合同作出修改。
以上信息仅供参考,不构成法律意见。普华永道对信息的准确性不负任何责任。另澳洲移民法时时更新变化,以上观点仅考虑目前的澳洲移民法。
如果您有任何问题,请与普华永道中国事务部张恺联系:[email protected]
普华永道澳大利亚
PwC_Australia