Австралия вводит более строгие наказания за нарушение конфиденциальности, но улучшит ли это защиту данных?
Кажется, что не проходит и недели, когда серьезная утечка данных не находится в центре австралийского новостного цикла. В сентябре Optus объявила об утечке информации о 10 миллионах клиентов. В октябре Woolworths объявила, что ее дочерняя компания MyDeal скомпрометировала 2 миллиона клиентских записей, а Medibank объявил об утечке, затронувшей 10 миллионов человек. В ноябре хакеры получили данные о 5 миллионах клиентов и сотрудников AirAsia. Это только самые крупные взломы, но каждую неделю происходит множество мелких инцидентов.
Конечно, мы вправе ожидать, что организации будут относиться к нашим данным ответственно и уважительно. К сожалению, многие крупные и мелкие компании не справляются со своими обязанностями и предают наше доверие. Это похоже на вопрос, когда, а не если произойдет утечка данных. Более надежные меры безопасности больше не приятны, но необходимы для организаций, стремящихся сохранить доверие клиентов.
До этой недели Закон о конфиденциальности 1998 года ограничивал максимальные гражданско-правовые санкции в случаях «серьезных или неоднократных» нарушений до 2,22 миллиона долларов (AUD). Однако потенциальные штрафные санкции были незначительными по сравнению с размером бизнеса. Например, выручка Optus составила 8 миллиардов долларов, а EBITDA — 2 миллиарда долларов в 2022 году, выручка Woolworths — 61 миллиард долларов, а выручка Medibank — 7 миллиардов долларов. Кроме того, Управление Комиссара по информации Австралии (OAIC) редко взыскивает убытки.
Однако все это может скоро измениться, поскольку предприятия будут подвергаться гораздо большему риску финансовых санкций. В понедельник, 28 ноября, в начале этой недели законопроект о внесении поправок в законодательство о конфиденциальности (принудительные и другие меры) 2022 года был принят обеими палатами парламента при поддержке обеих партий. Основным аспектом законодательства было увеличение максимальных наказаний до большего из:
- 50 миллионов долларов;
- Трехкратная стоимость любой выгоды, полученной в результате неправомерного использования информации; или же
- 30% от скорректированного оборота компании за соответствующий период.
Помимо более суровых наказаний, закон также расширил полномочия Уполномоченного по информации Австралии по расследованию нарушений, в том числе:
- Предоставить Уполномоченному по информации Австралии больше полномочий для устранения нарушений конфиденциальности;
- Укрепить схему раскрытия информации, подлежащую уведомлению, чтобы гарантировать, что Уполномоченный по информации Австралии обладает исчерпывающими знаниями и пониманием информации, скомпрометированной в результате нарушения, для оценки риска причинения вреда отдельным лицам; а также
- Предоставить Уполномоченному по информации Австралии и Австралийскому управлению по коммуникациям и средствам массовой информации более широкие полномочия по обмену информацией.
Некоторые отраслевые лоббистские группы , AWS , а также оппозиция и зеленые в парламенте выразили озабоченность по поводу некоторых аспектов законопроекта. Они были сосредоточены на отсутствии многоуровневых наказаний для организаций разного размера и благотворительных организаций; отсутствие четкого определения «серьезного» или «повторяющегося» вмешательства в частную жизнь; и включение таких терминов, как «выгода» в режим наказания, который предполагает, что компании всегда выигрывают от вмешательства в частную жизнь.
Несмотря на вышеупомянутые опасения, мы должны приветствовать эти меры, поскольку они представляют собой необходимый прогресс и демонстрируют готовность привлекать компании к ответственности. Однако есть три причины, по которым сами по себе эти меры, которые в целом сосредоточены на ужесточении штрафов, не смогут по-настоящему изменить правила игры и защитить интересы потребителей.
Во-первых, история дает мало свидетельств готовности или способности правительства налагать штрафы в соответствии с Законом о конфиденциальности. Если мы не увидим радикальный отход от этой консервативной позиции и AOIC не продемонстрирует активный подход к использованию своей новой власти, то маловероятно, что мы увидим фундаментальный сдвиг в сторону успешного сдерживания неэффективной практики.
Во-вторых, клиенты часто являются фактическими жертвами утечки данных, но не на них налагаются санкции. В лучшем случае нарушение может быть ограничено именем и адресом электронной почты человека, но в худшем случае оно может быть гораздо более серьезным: сообщается, что одна семья потеряла 40 000 долларов из-за кражи личных данных после взлома Optus , в то время как сотни жертв получили информацию о зависимостях, проблемах с психическим здоровьем и абортах, размещенных в Интернете из записей Medibank. Даже огромные штрафы не могут уменьшить их боль, если их личная информация постоянно раскрыта.
В-третьих, и это самое главное, законодательство не затрагивает сути вопроса. Многие организации изо всех сил пытаются идти в ногу с быстро меняющимся ландшафтом и не имеют возможности разрабатывать более безопасные средства контроля для предотвращения утечки данных. Даже государственные учреждения изо всех сил пытаются полностью защитить себя от кибератак. Часто пряник более эффективен, чем кнут; поэтому правительству следует делать больше для поддержки бизнеса и поощрения хорошего поведения, а не полагаться на наказания как на сдерживающий фактор.
Закон о конфиденциальности подлежит дальнейшему пересмотру в течение 2023 года. Мы надеемся, что некоторые из этих проблем будут решены, но твердо убеждены, что организациям требуется дополнительная поддержка для принятия строгих мер по обеспечению конфиденциальности и защиты в ближайшем будущем.
Не стесняйтесь подписаться на нас в LinkedIn или связаться с нами, если вы хотите обсудить конфиденциальность и защиту данных.
![В любом случае, что такое связанный список? [Часть 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
