Du går in i ett köpcentrum för att köpa lite matvaror. Utan din vetskap tas en elektronisk skanning av ditt ansikte av övervakningskameror i butik och lagras i en onlinedatabas. Varje gång du återvänder till den butiken jämförs ditt "ansiktsavtryck" med personer som eftersöks för snatteri eller våld.

Detta kan låta som science fiction men det är verkligheten för många av oss. Genom att misslyckas med att ta vår digitala integritet på allvar – som före detta människorättskommissionär Ed Santow har varnat – "sömngångar" Australien sig in i massövervakning.

Sekretess och den digitala miljön

Naturligtvis har företag samlat in personlig information i decennier. Om du någonsin har registrerat dig för ett lojalitetsprogram som FlyBuys så har du utfört vad marknadsföringsbyråer kallar ett "värdeutbyte". I utbyte mot förmåner från företaget (som rabatterade priser eller specialerbjudanden) har du lämnat över information om vem du är, vad du köper och hur ofta du köper det.

Konsumentdata är big business. Under 2019 visade en rapport från digitala marknadsförare WebFX att data från cirka 1 400 lojalitetsprogram rutinmässigt handlades över hela världen som en del av en bransch värd cirka 200 miljarder USD. Samma år avslöjade Australian Competition and Consumer Commissions granskning av lojalitetssystem hur många av dessa lojalitetssystem som saknade datatransparens och till och med diskriminerade utsatta kunder.

Men den digitala miljön gör datainsamlingen ännu enklare. När du tittar på Netflix, till exempel, vet företaget vad du tittar på, när du tittar på det och hur länge du tittar på det. Men de går längre och fångar också data om vilka scener eller avsnitt du tittar på upprepade gånger, betygen av ditt innehåll, antalet sökningar du gör och vad du söker efter.

Hypersamling:en ny utmaning för integritet

I slutet av förra året beordrades det kontroversiella teknikföretaget ClearView AI av den australiensiska informationskommissionären att sluta "skrapa" sociala medier efter bilderna som de samlade in i sin massiva ansiktsigenkänningsdatabas. Just den här månaden undersökte kommissionären flera återförsäljare för att skapa ansiktsprofiler för kunderna i deras butiker.

Detta nya fenomen - "hyper-insamling" - representerar en växande trend hos stora företag att samla in, sortera, analysera och använda mer information än de behöver, vanligtvis på hemliga eller passiva sätt. I många fall stöds inte hyperinsamling av ett verkligt legitimt kommersiellt eller juridiskt syfte.

Digital integritetslagar och hyperinsamling

Hyper-insamling är ett stort problem i Australien av tre anledningar.

För det första var inte Australiens integritetslagstiftning förberedd för sådana som Netflix och TikTok. Trots många ändringar går integritetslagen tillbaka till slutet av 1980-talet. Även om den tidigare justitiekanslern Christian Porter tillkännagav en översyn av lagen i slutet av 2019, har den hållits upp av det senaste regeringsskiftet.

För det andra är det osannolikt att australiensiska integritetslagar på egen hand hotar vinstbasen för utländska företag, särskilt de som är belägna i Kina. Informationskommissionären har befogenhet att beordra företag att vidta vissa åtgärder – som det gjorde med Uber 2021 – och kan genomdriva dessa genom domstolsbeslut. Men påföljderna är inte riktigt stora nog för att avskräcka företag med vinster i miljarder dollar.

För det tredje möjliggörs hyperinsamling ofta av de vaga samtycken vi ger för att få tillgång till de tjänster som dessa företag tillhandahåller. Bunnings, till exempel, hävdade att deras insamling av ditt ansiktsavtryck var tillåtet eftersom skyltar vid ingången till deras butiker berättade för kunderna att ansiktsigenkänning kan användas. Onlinemarknadsplatser som eBay, Amazon, Kogan och Catch tillhandahåller samtidigt "bundet samtycke" – i grund och botten måste du samtycka till deras sekretesspolicyer som ett villkor för att använda deras tjänster. Inget samtycke, ingen åtkomst.

TikTok och hypersamling

TikTok (ägs av det kinesiska företaget ByteDance) har till stor del ersatt YouTube som ett sätt att skapa och dela onlinevideor. Appen drivs av en algoritm som redan har fått kritik för att rutinmässigt samla in data om användare, såväl som ByteDances hemlighetsfulla inställning till innehållsmoderering och censur.

I flera år har TikTok-chefer sagt till regeringar att data inte lagras i servrar på det kinesiska fastlandet. Men dessa löften kan vara ihåliga i kölvattnet av de senaste anklagelserna.

Cybersäkerhetsexperter hävdar nu att inte bara TikTok-appen rutinmässigt ansluter till kinesiska servrar, utan att användarnas data är åtkomliga för ByteDance-anställda, inklusive den mystiska Pekingbaserade "Master Admin", som har tillgång till varje användares personliga information.

Sedan, bara den här veckan, påstods det att TikTok (som ägs av det kinesiska företaget ByteDance) också kan komma åt nästan all data som finns på telefonen den är installerad på – inklusive foton, kalendrar och e-postmeddelanden.

Enligt Kinas nationella säkerhetslagar kan regeringen beordra teknikföretag att vidarebefordra den informationen till polis eller underrättelsetjänst.

Vilka alternativ har vi?

Till skillnad från en fysisk butik har vi inte så många valmöjligheter när det gäller samtycke till digitala företags sekretesspolicyer och hur de samlar in vår information.

Ett alternativ – med stöd av krypteringsexperten Vanessa Teague på ANU – är att konsumenter helt enkelt tar bort kränkande appar tills deras skapare är villiga att underkasta sig större datatransparens. Naturligtvis innebär detta att vi låser oss utanför dessa tjänster, och det kommer bara att få stor inverkan i företaget om tillräckligt många australiensare ansluter sig.

Ett annat alternativ är att "välja bort" från påträngande datainsamling. Vi har gjort det här förut – när Mina hälsojournaler blev obligatoriska 2019 var det rekordmånga av oss som valde bort det. Även om dessa undantag minskade användbarheten av det digitala journalprogrammet, visade de att australiensare kan ta sin datasekretess på allvar.

Men exakt hur kan australiensare välja bort en massiv social app som TikTok? Just nu kan de inte – kanske måste regeringen undersöka en lösning som en del av sin granskning.

Ett ytterligare alternativ som undersöks av Privacy Act-översynen är om man ska skapa nya lagar som skulle tillåta individer att stämma företag för skadestånd för integritetsintrång. Även om rättegångar är dyra och tidskrävande, kan de bara leda till den typen av ekonomisk skada för stora företag som kan ändra deras beteende.

Oavsett vilket alternativ vi väljer måste australiensare börja bli mer insatta i sin datasekretess. Detta kan bara innebära att vi faktiskt läser dessa villkor innan vi godkänner och är beredda att "rösta med fötterna" om företag inte är ärliga om vad de gör med vår personliga information.