Hükümet, otomatik karar almayı daha şeffaf hale getirmek, bilgilerin kötü niyetli olarak yeniden tanımlanmasını suç saymak ve verilerin korunmasına yönelik teknik gereklilikler eklemek için yasa taslağı hazırlayacak.
Bugün Başsavcı Mark Dreyfus bir yanıt yayınladı [pdf] departmanının incelemesinde yaptığı 116 teklifin 38’ini “kabul etti” Gizlilik Yasası [pdf].
Hükümet, üzerinde anlaşmaya varılan önerileri gelecek yıl yasalaştırmayı planlıyor; incelemeye verdiği yanıtta, ciddi mahremiyet ihlaline yönelik bir haksız fiilin getirilmesi gibi “prensipte mutabakata varılan” diğer 68 teklif hakkında daha fazla istişarede bulunulması gerektiği belirtildi; diğer 10 teklif ise basitçe “not edildi”.
Otomatik karar verme
Gizlilik Yasası “Bireyin haklarını” etkileyen “büyük ölçüde otomatikleştirilmiş kararlarda kullanılacak kişisel bilgi türlerini” tanımlayacak ve “otomatik kararların nasıl alındığına ilişkin anlamlı bilgi talep etme hakkını” kapsayacak şekilde değiştirilecektir.
Hükümetin cevabında, “Bireylere sağlanan bilgiler jargondan uzak ve anlaşılır olmalı ve ticari açıdan hassas bilgileri açığa çıkarmamalıdır.” ifadesine yer verildi.
“Büyük ölçüde otomatikleşmenin” “parametrelerinin” “dikkate alınması” gerektiğini belirten raporda, kararların “finansal ve kredi hizmetleri, konut, sigorta, eğitime kayıt, cezai adalet, istihdam fırsatları ve sağlık hizmetleri alanlarında alınanları içerebileceği” belirtildi. .”
Bu tanımın kapsamına girebilecek süreçlere örnek olarak, eski hükümetin sosyal yardım alıcılarına karşı hatalı borçlar doğuran Robodebt planı verilebilir.
Rapor, reformların, hem devlet kurumları tarafından kullanılan otomatik karar alma sistemlerini denetlemek için yasal bir çerçeve hem de bunu uygulayacak bir otorite öneren Robodebt’e yönelik olarak “hükümetin Kraliyet Komisyonu’na yanıtının bir parçası olarak uygulanacağını” söyledi.
Otomatik karar vermenin sonuçlarını gözden geçirmek ve anlamak için “kararlardan etkilenenler için açık bir yol” olmalı ve “bağımsız uzman incelemesini mümkün kılmak için sürecin nasıl çalıştığını ve iş kuralları ile algoritmaların sade bir dille açıklanması” sağlanmalıdır. “, dedi Temmuz raporunda.
Düzenleyici, “otomatik karar alma süreçlerini teknik yönleri ve bunların adalet, önyargıdan kaçınma ve müşteri kullanılabilirliği açısından etkileri açısından izleyecek ve denetleyecektir.”
Suçlu cezaları
Geçen yılın sonlarında hükümet yasada değişiklik yaptı Gizlilik Yasası “Ciddi” veya “tekrarlanan” gizlilik ihlalleriyle karşı karşıya kalan kuruluşlar için artan hukuki cezalarla veri korumayı teşvik etmek.
Bunun hangi kuruluşlara uygulanacağı hala belirsizliğini koruyor; Yaklaşık 2,3 milyon küçük işletmeyi Avustralya Gizlilik İlkeleri kapsamındaki yükümlülüklerden koruyan muafiyetin kaldırılmasına yalnızca prensipte karar verildi; ciddi bir mahremiyet ihlalinin başlatılması gibi.
Ancak hükümet, “bir başkasına zarar verme veya gayri meşru bir çıkar elde etme niyetinin olduğu durumlarda…” kötü niyetli yeniden kimlik belirlemeye yönelik cezai yaptırımların eklenmesi yönünde bir öneride bulundu.
Bu, kimliksizleştirme ve yeniden kimliklendirmenin nasıl tanımlanacağına ilişkin sorular üzerinde “istişare” yapılmasını gerektirecektir.
“Daha da önemlisi, hükümet, kimliği bilinmese bile, bir bireyin diğerlerinden ayırt edilebilmesi durumunda makul olarak kimliğinin belirlenebileceğini düşünmektedir.”
“Örneğin, bir web sitesi yayıncısı kalıcı çerezler, cihaz parmak izi veya benzeri benzersiz tanımlayıcılar kullanıyorsa, ziyaretçinin IP adresi o ziyaretçiye özel olmasa bile yayıncı bir ziyaretçiyi tanımlayabilir.”
Teknik yükümlülükler
Hükümet, Avustralya Gizlilik İlkeleri’nde, Kanun kapsamındaki kuruluşların kullanıcı verilerini korumak için nasıl gerekli olduğuna ilişkin özetlenen “makul adımların” hiçbir “teknik” veya “organizasyonel önlem” içermemesinin sorunlu olduğu konusunda hemfikirdi.
“Hükümet, Avustralya Bilgi Komisyonu Ofisi’nin, bir kuruluşun kişisel bilgileri güvende tutmak için hangi makul adımları atması gerektiği ve bir kuruluşun kişisel bilgileri yok etmek veya kimlik bilgilerini gizlemek için hangi makul adımları atması gerektiği konusunda kuruluşlara ek rehberlik sağlaması gerektiğini kabul eder.”
Ancak hükümet yalnızca prensipte “varlıkların, Hükümetin 2023-2030 Avustralya Siber Güvenlik Stratejisinin ilgili sonuçlarıyla uyumlu bir dizi temel gizlilik sonucuna uymasının gerekli olması gerektiği” konusunda anlaşmaya vardı.