2024年11月16日,澳大利亚议会发布了关于《隐私和其他立法修正案》中包含的第一套《隐私法》改革的报告,旨在对其1988年《隐私法》进行改革,并针对严重侵犯隐私和 “人肉搜索”(doxxing)行为引入新的法律规定。该法案由澳大利亚总检察长办公室提出,由参议院法律和宪法事务立法委员会负责审议。法案主要包括三个部分:一是隐私改革,旨在提升个人隐私保护,增强监管机构执法能力,促进海外数据安全流通;二是设立针对严重侵犯隐私行为的法定侵权责任;三是在《刑法典》中新增 “人肉搜索” 相关刑事犯罪条款。
数字时代隐私问题凸显:随着数字化进程加速,个人信息处理方式发生巨大变化,数据量剧增,同时也带来了如数据泄露、欺诈、身份盗窃、未经授权的监视等风险,现行《隐私法》已难以适应新时代需求。公众对隐私改革的强烈支持:根据澳大利亚信息专员办公室的调查,大部分民众认为个人信息保护至关重要,且多数人希望政府加强相关立法。法律改革的必要性:澳大利亚法律改革委员会(ALRC)和澳大利亚竞争与消费者委员会(ACCC)均建议对《隐私法》进行改革,以应对数字时代隐私挑战,增强个人信息保护。实施隐私法改革第一阶段措施:政府根据对《隐私法》的审查结果,同意实施一系列改革措施,包括加强执法工具、规范海外数据流动、制定儿童在线隐私法规等。引入法定侵权责任:针对严重侵犯隐私行为,建立法定侵权诉讼,使个人在隐私受侵害时有法律途径寻求救济,同时平衡隐私与其他公共利益,如言论自由和媒体自由。打击 “人肉搜索” 行为:通过在《刑法典》中设立新的刑事犯罪条款,明确 “人肉搜索” 行为的违法性,加强对个人信息的保护,遏制此类行为对个人造成的严重危害。澳大利亚隐私原则(APP)法案部长权力与公众咨询:法案授权部长指示信息专员制定APP法案,包括临时法案。在注册前,专员需公开草案并邀请公众提交意见,公众咨询期至少 40 天。这一规定旨在确保 APP 原则的应用更具透明度和可操作性。临时 APP法案的特殊规定:临时 APP法案在紧急情况下可快速制定,有效期最长 12 个月。其目的是在紧急状况下灵活应对隐私问题,如在疫情期间指导数据收集工作,但需确保其制定过程的严谨性和必要性。行业观点与争议:部分行业组织认为临时APP法案的 12 个月期限可能不足以让企业完成系统改革以符合要求;而另一些组织则担心信息专员权力的扩大会增加企业合规负担,导致混乱和不确定性。紧急声明信息共享规定:紧急声明需明确可共享的个人信息种类、允许共享的实体类型及共享目的,且共享目的必须与应对紧急情况相关,如协助救援、执法、协调响应等,以确保在紧急状况下个人信息的合理使用,同时保护个人隐私。潜在问题与修正建议:法案起草可能存在错误,如国家广播公司(ABC 和 SBS)在紧急声明下获取个人信息的规定可能与预期不符,委员会建议修正,以确保媒体机构在紧急情况下的信息获取符合法律本意,避免隐私泄露风险。儿童在线隐私法案(COP Code)制定与适用范围:信息专员需制定 COP Code,明确儿童隐私相关 APP 原则的应用,适用于提供特定在线服务且可能被儿童访问的 APP 实体,但排除健康服务提供者(部分情况除外),以保护儿童在数字环境中的隐私权益。咨询与定义问题:多数参与者支持制定该法案,但对咨询期和利益相关者参与度提出质疑。委员会建议将咨询期延长至至少 60 天,并要求专员与相关行业机构协商,以确保法案制定的科学性和合理性。同时,对于 “儿童” 的定义及相关服务范围的界定也存在争议,需进一步明确以避免漏洞和歧义。海外数据流动APP 8.3的引入与影响:法案引入APP 8.3,允许通过法规规定与澳大利亚隐私法 “实质相似” 的国家或认证体系,以促进跨境数据流动,增强数据传输的法律确定性,降低企业合规成本。行业反馈与改进方向:行业组织对 “实质相似” 的定义缺乏明确性表示担忧,建议参考国际认证体系,如 “跨境隐私规则” 和 “国际标准组织 27701”,并进一步明确相关机制和标准,以确保海外数据接收方的隐私保护水平,避免因法律差异导致的数据安全风险。侵犯隐私的处罚分层处罚体系:法案对严重侵犯隐私行为引入民事处罚,根据侵犯的严重程度、涉及信息的敏感性、影响范围等因素确定处罚层级,最高可处 2000 个penalty units(目前约 62.6 万澳元),对非严重侵犯隐私行为也设有相应处罚,旨在建立与侵权行为严重性相匹配的处罚机制。行业建议与执法改进:部分行业建议根据侵权行为带来的利益或企业营业额确定处罚,同时辅以教育和宣传活动,帮助企业理解合规要求,促进隐私文化建设,确保处罚制度的有效性和公平性。(二)严重侵犯隐私的法定侵权责任(Schedule 2)侵权责任构成要件隐私侵犯行为的界定:被告需通过侵入原告隐私或滥用原告相关信息的方式,故意或鲁莽地侵犯原告隐私,且原告在当时情况下应合理期望享有隐私,才能构成侵权责任,明确了侵权行为的认定标准和主观过错要求。损害证明与公共利益平衡:证明损害并非侵权责任成立的必要条件,但损害程度会影响对侵权严重性的评估。若被告以公共利益为由侵犯隐私,需提供证据证明公共利益超过原告隐私保护利益,法院将综合权衡各方利益,确保法律适用的公正性和合理性。豁免与辩护条款新闻活动豁免:法案对新闻活动提供豁免,但范围和定义存在争议。部分人认为应扩大豁免范围,涵盖更多新闻相关活动和人员;而另一些人则担心豁免过宽会导致媒体滥用权力,侵犯他人隐私,因此需明确豁免的界限和条件,平衡新闻自由与隐私保护。执法和情报机构豁免:执法和情报机构在合理认为侵犯隐私对执法或国家安全必要时可获豁免,但豁免范围和条件引发关注,需确保机构在行使权力时不滥用豁免权,保障公民隐私不受非法侵犯。公共利益辩护与其他豁免建议:部分组织建议增加公共利益辩护条款,明确被告在特定情况下可援引公共利益进行辩护;同时,也有人对法案未提及的商业豁免、艺术表达等方面提出疑问,需进一步探讨这些因素在侵权责任认定中的地位和作用。(三)“人肉搜索” 犯罪条款(Schedule 3)犯罪行为定义与处罚“人肉搜索” 的界定:法案将 “人肉搜索” 定义为通过运输服务恶意或骚扰性地公开个人数据,包括姓名、照片、联系方式、住址等信息,明确了犯罪行为的构成要素,以便准确打击此类行为。处罚力度与针对性:根据行为性质和对象,处罚分为不同层级,最高可处七年监禁,旨在通过严厉处罚遏制 “人肉搜索” 行为,保护个人隐私免受严重侵害,维护社会秩序和公民安全感。条款争议与建议行为界定的模糊性:部分人认为 “人肉搜索” 定义过于宽泛,可能涵盖一些合法信息披露行为,如公众利益新闻报道、在线论坛讨论等,需要进一步明确界限,避免过度限制言论自由。处罚合理性与公众教育:对于处罚力度是否过高以及处罚标准的合理性存在争议,同时强调需要加强公众教育,提高对 “人肉搜索” 危害的认识,引导公众合法使用和保护个人信息。委员会总体认可法案对《隐私法》改革和应对隐私问题的重要性,但也关注到法案在实施过程中可能面临的挑战,需在保护隐私与促进数字经济发展、保障其他公共利益之间寻求平衡。具体建议儿童在线隐私法案:延长COP Code的咨询期至至少 60 天,并要求信息专员与相关行业机构协商,以充分考虑各方利益,确保法案的有效性和可行性。紧急声明:修正紧急声明条款中关于媒体机构获取个人信息的规定,确保国家广播公司在紧急情况下的信息获取符合法律意图,避免隐私泄露风险。隐私执法:赋予信息专员在发出侵权通知前向实体发出补救通知的权力,同时明确隐私政策中信息披露要求,避免损害商业机密信息,保障企业合法权益与隐私执法的平衡。法定侵权责任:建议政府考虑修订相关条款,明确法院在权衡公共利益时的考量因素,合理分配被告举证责任,明确 “艺术表达” 属于自由表达形式,确保侵权责任制度的公平性和合理性。“人肉搜索” 犯罪条款:在考虑相关建议的基础上,支持法案通过,但需注意条款的明确性和合理性,避免对合法行为的过度限制,确保打击犯罪与保障公民权利的平衡。立法程序问题时间紧迫与合并问题:法案审议时间过短,影响利益相关者充分参与和深入分析;同时,将不同政策领域的内容合并在一个法案中,可能迫使参议员在无法充分支持所有条款的情况下对整个法案进行表决,不利于议会对争议事项的审慎决策。利益相关者参与不足:政府未发布法案的征求意见稿,且未公开成本效益分析,剥夺了参议院和利益相关者全面评估法案的机会,影响立法质量和民主监督。具体条款意见隐私改革(Schedule 1):支持委员会关于儿童在线隐私法案和紧急声明的建议,但对临时 APP法案的豁免条款表示担忧,认为议会应保留对其的监督权力,避免权力过度集中。法定侵权责任(Schedule 2):鉴于利益相关者提出的众多复杂问题和不同意见,建议将该部分从法案中删除,进行更广泛的咨询,充分考虑各方利益和潜在影响,确保法案的可行性和公正性。“人肉搜索” 犯罪条款(Schedule 3):支持引入 “人肉搜索” 犯罪条款,但需根据利益相关者的建议进行修订,明确行为界限,避免条款过于宽泛导致误判,确保打击犯罪与保护言论自由的平衡。对法案的肯定与支持:认可法案在处理一些起草问题上的合理性,但强调法案在实质性问题上存在不足,未能充分解决隐私改革中的关键问题。关键问题未解决缺乏全面改革路线图:政府未提供明确的隐私改革路线图,导致企业和社会对未来改革方向和时间安排缺乏预期,增加了不确定性,影响隐私保护工作的系统性推进。个人信息定义过时:现行《隐私法》对 “个人信息” 的定义未能涵盖当前在线环境中被商业化和武器化利用的信息,如实时位置数据、浏览历史等,急需更新以适应时代发展,保护公民隐私权益。公平合理测试缺失:应引入公平合理测试,规范个人信息的处理过程,确保其符合社区期望,解决《隐私法》过度依赖同意机制导致的问题,提高隐私保护水平。同意机制不合理:当前隐私法中同意的定义过于简单,缺乏对理解的要求,导致个人在保护隐私方面承担过重负担,应借鉴欧盟《通用数据保护条例》(GDPR)的经验,改进同意机制,增强个人对隐私的控制。《2024 年隐私及其他立法修正案(条款)》在澳大利亚隐私法律改革进程中具有重要意义,但也面临诸多挑战。法案在隐私改革、法定侵权责任和打击 “人肉搜索” 等方面的规定引发了广泛讨论和争议。委员会及各方提出的建议为法案的完善提供了方向,但仍需政府进一步权衡各方利益,明确改革路径,完善相关条款,确保法案既能有效保护个人隐私,又能适应数字时代的发展需求,促进经济社会的健康发展。同时,随着技术的不断进步和社会观念的变化,隐私保护将持续成为法律领域关注的重点,澳大利亚在这方面的改革经验和教训也将为其他国家提供有益参考。