司法特派员布鲁斯·比尔森的评论文章。

　　最初发表于堪培拉时报。

　　公众理所当然地期望，企业收集和存储的任何个人信息——无论大小——都将受到保护，而且只能出于提供信息的原因而使用。

　　小型企业继续享有全面豁免，不为其客户、员工和与之打交道的其他企业的个人信息提供必要和适当的保护，这是不可信的。

　　数字世界已经增加了很多，创造了新的机会和风险，处理个人信息的责任也需要与时俱进。

　　这就是为什么我的办公室一直在与澳大利亚政府合作，以确保取代目前小企业隐私豁免和任何新规定的内容是合适的，适合小企业的，容易实施的，有明确的建议和时间表，并将给客户信心。

　　虽然这种豁免不再站得住脚，但将大企业必须遵守的法律隐私原则直接适用于小企业也不现实。

　　这些原则是大企业和政府机构需要解读、解释并应用于自身情况的，而大多数小企业或家族企业没有资源或人员来驾驭和实施这些原则。

　　我们欢迎总检察长马克·德雷福斯(Mark Dreyfus)承认小企业的特殊情况和有限的时间和资源，需要支持和合理的过渡期，以及需要对变化意味着什么进行影响分析。

　　在涉及ASBFEO的咨询会议上，我们努力与官员们合作，帮助他们认识到，小企业还没有、也不会很快掌握《隐私法》。许多人也无法驾驭数据处理协议，制定隐私声明和数据泄露应对计划。这种理解对于了解小型企业的运作方式，然后适当地设计法规以允许小型企业合规至关重要。

　　小企业及其代表感到震惊的是，正在考虑的制度将要求小企业解释法律原则，并承担繁重和不熟悉的活动——这正是小企业咨询参与者所说的最糟糕的前进道路。

　　现在，重要的是，官员们的磋商将重点放在易于理解和实用的步骤上，并辅以可操作的信息，以确保小企业不会淹没在法律的技术性和复杂性中。

　　小企业不是大公司的收缩包装版。没有监管团队、专门的隐私专家、内部律师或复杂的合规系统。通常情况下，是老板在晚上10点处理这个问题，因为他们已经经营了一天的生意。

　　小型企业将需要明确的指导，以采取积极措施保护客户、员工和自己的信息，并履行自己的责任。这可能包括程序模板、信息指南和清单，说明履行其隐私义务所需的明确步骤。

　　政府需要将隐私原则转化为明确的、连续的行动，根据企业中普遍存在的隐私风险程度进行校准，从而明确回应小企业将会提出的问题:我需要做什么?

　　小型企业对新的和不熟悉的合规义务的担忧将得到缓解，因为政府将明确表示，它将提供简洁、相关和容易获得的指导，并将有一个适当的过渡期。

　　小型企业知道，如果客户对他们保护个人信息的能力失去信心，他们就会遭殃，而信息管理和保护方式的确定性增加将使他们受益。在这个充满机遇和风险的数字时代，健全可靠的“信息管理”具有引人注目的商业利益。

　　网络攻击或恶意信息的发布在很多层面上都是有害的，包括对目标小企业造成不可挽回的损害。澳大利亚网络安全中心(Australian Cyber Security Centre)最新发布的一份令人不寒而栗的报告称，每六分钟就会发生一次网络攻击，一家小企业受到攻击时，平均会遭受4.6万美元的经济损失。

　　可悲的是，在许多情况下，这最终会导致企业倒闭，因为他们再也无法恢复或重新赢得员工、客户、供应商和合作伙伴的信任。

　　政府还应将任何隐私变化纳入小型和家族企业的一系列信息管理问题，包括网络保护、安全的数字存在、管理数字平台带来的机会和风险、电子发票、数据保管和消费者数据权利参与。每一项都是由不同的(通常是未知的)领导机构、定制的职责以及对日益复杂和复杂的合规义务的担忧各自为辅地进行的。

　　所有这些都可以而且应该作为一个集成的“信息管理”计划来解决，强调业务利益以及通过熟悉的中介与小企业同步参与的任何新义务。这是政府推进重要政策目标的一个机会，同时帮助小企业加深数字参与，加强重要的信息管理工具，甚至探索负责任地使用生成式人工智能。

　　为什么我们不能探索一下，在现有的“自然业务系统”和已经熟悉的用于会计和单触式工资报告的数字平台和软件中，小企业可以将哪些需求系统化和常规化?与其四处分散资源，希望它能更好地装备小型企业，为什么不与MYOB、Xero、Intuit和henry(仅举几例)等公司合作，将关键职责和行动步骤嵌入到企业日常使用的软件中呢?

　　目前，超过九成的企业不受隐私法的约束。正确实施这一改革为扩大对客户、员工和供应商的保护提供了一个千载难逢的机会。但是，除非决策者真诚地理解和接受现实世界的情况以及时间有限和资源有限的小企业的局限性，为每个人创造一个可行的、互利的和安全的系统，否则它不会成功。