安娜·约翰斯顿是主要的隐私专家,前副隐私专员新南威尔士州和塞林格的创始人和主要的隐私。
需要知道
- 建议更改个人信息的定义是隐私的关键改革
- 监管机构和提倡改变定义的一致支持获取不公平的和欺骗性的业务实践,包括分析和跟踪
- 大企业和到场行业游说反对改革尽管明确证据消费者想要更好的保护
间接识别、个性化、消歧,区分从其他所有人,或挑出…叫它你想要的,但“个人信息”的法定定义需要明确状态,它包括个人情况可以挑出,见机行事,即使他们的身份尚不清楚。
然而现在他们站,建议修改隐私法不包括这个关键改革。
我之前写的一些主题的最终报告的审查隐私法。
的一个惊喜,但不是happy-surprise-birthday-party的善良,是“个人信息”的方式治疗。
某人可以“识别”如果一个企业不知道他们的名字吗?
个人信息的定义是一个临界阈值的定义,因为隐私原则只适用于个人信息。如果一个企业能成功地认为,一些数据不是个人信息,他们可以收集、使用、披露和贸易数据而不受惩罚。
现在,个人信息的定义包括如果有人是“合理的”。但这句话是雾蒙蒙的,损害企业和消费者,谁可能会问:有人可以“识别”如果一个企业不知道他们的名字吗?
OAIC说,是的
在指导可以追溯到2017年,在一个一系列判例法决定,OAIC坚称“可识别性”在法律上并不必然要求建立一个人的名字或法律身份的信息。相反,它意味着在数据集独特性:“(g) enerally来说,一个人是“确认”时,在一群人,他或她是“杰出的”从所有其他组的成员…这可能不一定涉及识别个人的名字”。
总检察长的部门说,是的
最终报告引用,没有挑战,OAIC位置,指出“测试不需要,一个人的法律身份被提供的信息可以追溯到相关的特定的人。”
基于欧洲和加州的隐私法和别人,我们的全球贸易伙伴说,是的
每个显式地扩大了可识别性的意义,或引入了可识别性的替代品作为阈值元素的定义。GDPR称之为“挑出”。加州法律(CCPA)包括在其个人信息的定义,数据”能够被联系在一起,或可以合理地联系,直接或间接地与特定消费者或家庭”,如果不首先需要通过一个可辨认性测试。2019年隐私信息管理、国际标准ISO 27701,是相似的。
到场企业跟踪消费者的购买行为和数据匹配的品牌和企业。
澳大利亚人希望答案是肯定的
在一个2018年罗伊摩根报告在数字平台上对消费的看法和行为,79%的数字平台用户认为电话或设备信息,和67%的数字平台用户可以合理地认为浏览历史信息被用来识别的时候在网上做事情。的OAIC 2020社区对隐私的态度调查显示,只有约四分之一(24%)的澳大利亚人感到严密保护,个人的隐私信息,绝大多数(83%)的澳大利亚人希望政府做更多的保护他们的隐私数据。公众对加强隐私法的支持在2022年飙升健康保险公司后,澳都斯和数据泄露。
绝大多数(83%)的澳大利亚人希望政府采取更多措施,保护他们的隐私
和最近的研究,释放上个月的消费政策研究中心发现,大多数澳大利亚人认为他们的IP地址,设备id,位置数据和在线搜索历史是他们的“个人信息”。事实上,受访者更有可能考虑这个数据的个人信息不是像性和残疾类别的数据。这项研究表明,大多数澳大利亚人也不舒服,正在使用的数据类型的公司创建一个个人资料,或被收集,或与其他公司共享。
所以说“不”是谁?
现在,一些行业说不,或者他们游说,答案是否定的,或者他们添加的雾模糊了术语与消费者打交道时,假装答案是否定的。
一些行业是利用定义周围的雾匹配客户记录从不同的设备和不同的应用程序和不同公司之间共享用户属性,认为他们正在使用的数据不是“合理的”,因此隐私规则(禁止未经许可不相关的公司共享他们的客户的个人信息)不适用。
例如,我们已经看到行业观点没有人可以“合理确定”面部检测,或non-cookie有针对性的广告。和法律学术凯瑟琳•坎普强调了虚伪关于“匿名”数据被媒体和消费者到场公司,尤其是相比,他们私下里告诉品牌对他们跨品牌数据匹配,套装中的在线跟踪、分析和“可寻址”目标的能力。
行业球员承认,改革将迫使我们停止做一些事情,我们可能不应该做的
在一篇关于法律改革提案,援引一位业内球员承认改革将“迫使我们停止做一些事情我们也许不应该做”。的另一个说,使用散列的邮件:“很容易链接这两个数据集在一起,然后再识别个人信息”。如果法律是澄清状态,假名像散列邮件(促进个体层面的数据匹配)构成“个人信息”,结果将是“对现有行业实践产生重大影响”,因为“有成千上万的到场公司和出版商使用散列邮件”(关于客户匹配数据,配置文件和目标他们不同意)。
作为维多利亚时代的信息专员斯文Bluemmel所说:“我可以利用你如果我知道你的恐惧,你的可能的政治倾向,你的队列。我不需要知道你是谁;我只需要知道你有一组属性,尤其接受一切我卖或者愤怒我想煽动人们之间。我不需要知道你的名字。因此,可以说,这取决于你如何解释它,我不需要“个人信息”。我只是需要一系列的属性,让我利用你。”
媒体出版和到场行业参与者知道这是真实的,但他们会尽他们所能维持雾在短语“合理的”,所以,他们的实践可以留在阴影。
行业正在努力淡化隐私的改革
只要法定的措辞“个人信息”的定义不清晰和准确,雾不会消散。宣扬的改革将无法阻止这些广泛,秘密数据共享实践。
雾清算的恐惧是这个行业的原因是推动水的改革提议——或者完全杀死他们。在被描述为一个“隐私反击”,行业游说团体代表数字平台,媒体巨头和广告公司”计划一个跨行业反攻,以风返回键的建议“在最后的报告。
数字和到场行业的目标之一是游说“更合理的定义(个人信息)…(拟议中的定义)似乎不可行”。
隐私法评论的建议最终报告不提供我们需要的清晰或强度
这是什么激进的和不切实际的在最后的报告中建议,值得这样的关注反攻?改变这个词“关于”“与”。就是这样。三个字。三个字。根据最终的报告,这是唯一的实际变化提出的法定定义“个人信息”。其余将在指导,或事情的列表可能或不可能的个人信息,或者在列表的组织应该“对”的事情,当“做自己的评估”的定义可能意味着什么。
这意味着行业游说已经成功,因为这是一个缩水的部门提出的2021年,在他们吗讨论文件在审查。然后,整个提案包括添加一个额外的句子!也许审查小组被说服,天空会下降,如果他们敢将下列单词添加到行动,就像他们在2021年最初提议,抓住你的帽子在这里,因为这是可怕的激进的东西:
“一个人是“合理的”如果他们能够被识别,直接或间接地。”
消费者调查显示,澳大利亚人不舒服公司使用他们的个人信息资料。
2021年的讨论文件指出,这样的定义“将覆盖情况下,一个人区别于他人或有一个概要文件关联到一个假名或标识符,尽管没有被命名为“。
我知道,vive la革命不是,但是这温和的建议从2021年甚至不出现在最终的报告中。
根据最终的报告,只有一个提交反对应该修改定义明确的命题包括当有人可以在一组区别于其他所有(即使不是命名)为了被异形,目标,或者以某种方式采取行动。
然而…最终报告中的建议不提供我们需要的清晰或强度。
目前的提议
而不是提出一个修改个人信息的定义,明确包含特色化的类型标识符,允许在线行为广告和其他实践去不加以控制,最终报告提出了一个完整独立的政权调节某些用例,直接营销、在线定位和交易。(和他们不通过触摸“个人信息”的定义,但说这些特殊规定这些特殊用例,有时去除了识别信息的甚至是身份不明的数据范围内。)
但当你读到这些新规则的细节在20章最终报告,唯一的实质性权利是退出的定向广告。这些建议将不影响信息的收集,或建筑或共享配置文件,或者使用我们的信息来创建“形似观众”;所有的东西在幕后免费通行证。
当前提议让消费者容易伤害
它不像隐私伤害只有来自直接营销,在线目标或个人信息交易。区分个人和他人的能力,为了追踪,形象,定位、联系和影响,也在跟踪的起点,监测和滥用。隐私伤害可能来自个人数字助理,聊天机器人或生成人工智能给错误的建议,或应用程序监控健康然后泄漏信息给第三方。他们可以来自面向女性的反堕胎人士使用地理防御。
个性化在线算法引擎的柴油燃料,放大影响力的声音,推动在线恨的列车,错误信息和极端主义
个性化在线算法引擎的柴油燃料,放大影响力的声音,和驱动列车在线仇恨,导致从错误和极端主义爆炸在情绪障碍支持内容,否认大屠杀和种族灭绝。
为什么该方法行不通呢
就像我们说在我们提交隐私法审查,玩耍立法鼹鼠试图通过规范具体用例是保证让行为修改过时的那一天。调节特定用例也只能转移战场,这样的争论将成为商业行为是什么,这些定义的用例。(这是在我们到达之前提出额外的规则“不明身份”和“消除识别信息”数据,这将不需要如果个人信息的定义是固定的。)
我们也已经知道明确的问题转向OAIC指导是行不通的。现在我这里描述的行为发生,尽管现有OAIC指导的定义个人信息(因此所有隐私规则)适用于数据,使一个人成为“杰出的”所有其他组的成员,而不需要知道他们的名字。
保护消费者需要发生什么
作为最终报告本身,编纂OAIC指导使命题“更容易执行”。
这就是为什么它是至关重要的修改“个人信息”的法定定义隐私法,它适用于所有行业和所有用例,不容忽视。
所以亲爱的司法部长,请把这历史性机遇加强但简化和澄清。只是一个额外的句子会这么做:
“一个人是“合理的”如果他们能够区别于其他所有人,即使他们的身份尚不清楚。”
一个额外的句子会清除雾,保护澳大利亚人他们期望的方式,简化法规遵循,停止虚伪声称工业,拉近澳大利亚法律和对齐与我们的贸易伙伴,通过构建成的措辞行为本身是什么从OAIC已经决定和指导。
这只是一个额外的句子,但它将使所有的差异。
这篇文章被转载的塞林格隐私的博客。
图片:盖蒂,除非另有说明。
