在澳大利亚,隐私立法影响机构处理个人信息、监控和从事直接销售的方式。国内隐私法律和国家健康隐私法律规定了个人及健康信息的收集、使用、披露和转移。
多数国家和领土的公共机构受国家隐私法律规管,这些有时会延伸至公共机构聘请的私立机构。
也有一些专门的法律及法典规管信息、行业和活动,包括监控、通讯、直接销售、网页、犯罪记录、金融服务、政府注册、网络犯罪、身份盗窃、市场和社会研究及公司注册。
本章将介绍一些主要制度。
澳大利亚隐私原则(APPs)适用于年营业额超过300万澳元的私立机构及其关联公司,还适用于一些其它经营个人信息的机构,包括健康服务提供者和机构。澳大利亚隐私原则也适用于联邦政府机构。
法案延伸至在澳大利亚的外国公司的活动,及虽不在澳大利亚但在澳大利亚经营业务并于澳大利亚持有个人信息的外国公司的活动。澳大利亚信息专员办公室(OAIC)认定收集一居住于澳大利亚的个人的个人信息为“在澳大利亚”收集,即使当时公司是在澳大利亚以外收集信息的。
需要注意的是,隐私法案的适用不同于欧洲的模式,因为隐私法案不考虑“信息控制者”和“信息处理者”的角色及区别。
13个澳大利亚隐私原则监管受监管机构收集、存储、使用和披露个人信息的方式。有关健康和其它敏感的个人信息,包括种族或民族、宗教信仰或附属关系、政治或哲学信仰、政治、专业或贸易联盟、协会的成员、性取向或性实践、基因或生物信息及犯罪记录,做出了特别规定。
一些豁免(包括雇员记录)适用于媒体和政治相关方。
自受澳大利亚隐私原则监管的主体也受制于“须申报的信息违反”体系。当丢失、未经授权接触或披露个人信息且有可能造成严重后果时,要求主体立即向澳大利亚信息专员办公室及受影响的个人报告。
隐私法案的第IIIA部分及隐私(征信报告)行为准则适用于澳大利亚消费者征信报告系统,在该系统下,征信报告提供方获得和处理由征信报告机构如Equifax(、Illion (原名为Dun & Bradstreet及Experian持有的消费者个人信用历史。该规定主要与消费者征信信息有关,但有时也用于商业信贷安排,例如涉及专营商或保证人时。
隐私法案也监管税号保护,主要通过隐私专员颁布的有约束力的隐私(税号)规定进行保护。该规定对一些税收立法的相关规定进行了补充。
《2003年澳大利亚联邦反垃圾邮件法案》监管任何人(含个人)于澳大利亚、向澳大利亚或从澳大利亚发出的“商业电子信息”。多数情况下,未经同意,商业电子信息不得发出,且须包含有效联系信息及退订措施。收集及使用一些自动获取的邮件地址清单也被禁止。
谢绝来电登记成立于2006年,登记在册的电话号码包括家庭电话,私人移动号码及传真号码。营销人员须根据谢绝来电登记“清洗”他们的营销名单以避免呼叫这些号码或向这些号码发送传真。
一相关联的强制性行业标准通常监管电话销售及市场市场研究电话,包括阻止来电次数、通话中提供的信息、终止通话要求及主叫号码显示的使用。
尽管隐私法案监管所有个人信息(包括健康信息)的处理方式,在以下三个州/区域管辖区内有额外的健康记录法律:新南威尔士州、维多利亚州及澳大利亚首都特区。
这些健康隐私制度与澳大利亚隐私原则有许多类似之处,但在一些方面有更多规定,包括逝者、信息接触程序、保留期限及对健康服务提供者的额外要求。
澳大利亚的电子健康记录系统也包括了特别隐私要求。
监管者业已颁布了一些与健康相关的隐私指引,包括医学研究及基因信息相关。
所有州及地区都有一些监控设备的立法。这些法律一般禁止使用某些监控设备及通过监控设备获得的信息,执法除外。这些法律监管光学监控设备(如摄像机)、监听设备(如传声器)、定位跟踪装置(如GPS)及数据监控设备,法律会因管辖区的不同而不同。
澳大利亚法律改革委员会建议引入国家监控设备法律,以替代现有的州及地区法律,包括工作场所监控。
新南威尔士州及澳大利亚首都特区关于工作场所隐私有特别立法。这些法律监管明显的及隐蔽的摄像机、电脑和跟踪设备,包括:
关于电话通讯,《1979年澳大利亚联邦通讯(侦听和存取)法案》禁止在未经通讯双方同意或知晓的情况下监听或录音于通讯系统进行的通讯。
各州监听及监控设备立法通常禁止在未经谈话各方(而监听者不是其中任何一方)同意的情况下使用监听设备监听或对私人谈话进行录音。
除维多利亚州外的所有澳大利亚管辖区都有限制旧的、轻微刑事犯罪信息的使用及披露的“失效定罪”。
澳大利亚消费者保护法禁止澳大利亚贸易或商业中的某些虚假陈述及具有误导性和欺骗性的行为。这与隐私政策或声明的内容相关,有时公司对于保证达到隐私标准会过分承诺(超出法律要求),这将很难维护。
The Consumer Data Right (CDR) has first commenced in the banking and energy sectors, but is ultimately intended to extend to telecommunications and other business sectors. The CDR allows consumers to access their consumer data, and have it transferred to other accredited data recipients (such as competitor businesses).
The CDR is co-regulated by the OAIC and the ACCC, and includes a set of Privacy Safeguards as well as technical data standards.
Consistent with a general trend in common law countries, including the UK and New Zealand, there appears to be some movement in Australian courts towards recognising new rights to recover damages to for invasions of privacy generally, separate from statutory remedies for inappropriate dealing with personal information.
The federal government is considering legislating in this area, having released a law reform report in 2014 proposing either a new right to sue for serious invasions of privacy, or a new tort of harassment coupled with an extension of breach of confidence to cover emotional distress. These issues may be the subject of recommendations expected in 2023 as part of the Privacy Act review, which is also looking at the introduction of direct rights for individuals to sue for privacy breaches.
澳大利亚信息专员办公室调查个人关于违反隐私法案的隐私侵犯投诉。澳大利亚信息专员办公室还有权对潜在的隐私违反(不是特定投诉)开展调查。
调查后,澳大利亚信息专员办公室有权做出决定,要求进行联邦法院或联邦裁判法院可执行的赔偿或弥补行为等。
对隐私法案、反垃圾邮件法案或《2006年澳大利亚联邦谢绝来电登记法案》的某些违反能导致高达210万澳元的罚款。监管者也能与违反这些法案的主体协议可执行的承诺。
在一些辖区,违反隐私立法能导致罚款或监禁。例如,违反《1999年澳大利亚联邦监控设备法案》能导致长达两年的监禁或较大数额罚款。
本章内容于2019年3月1日更新有效。
