Commonwealth of Australia Bills

[Index] [Search] [Download] [Related Items] [Help]


This is a Bill, not an Act. For current law, see the Acts databases.


DIGITAL ID BILL 2023

 

 

 

2022-2023 

 

The Parliament of the 

Commonwealth of Australia 

 

THE SENATE 

 

 

 

 

Presented and read a first time 

 

 

 

 

Digital ID Bill 2023 

 

No.      , 2023 

 

(Finance) 

 

 

 

A Bill for an Act to provide for the accreditation of 

entities in relation to digital IDs and to establish the 

Australian Government Digital ID System, and for 

related purposes 

   

   

   

 

 

No.      , 2023 

Digital ID Bill 2023 

i

 

 

Contents 

Chapter

 

1--Introduction

 

2

 

Part 1

--

Preliminary

 

2

 

Short title ................................................................................................ 2

 

Commencement ..................................................................................... 2

 

Objects.................................................................................................... 2

 

Simplified outline of this Act ............................................................... 3

 

Act binds the Crown.............................................................................. 5

 

Extension to external Territories .......................................................... 5

 

Extraterritorial operation ....................................................................... 5

 

Concurrent operation of State and Territory laws ............................... 6

 

Part 2

--

Interpretation

 

7

 

Definitions.............................................................................................. 7

 

10 

Meaning of 

attribute

 of an individual ................................................ 14

 

11 

Meaning of 

restricted attribute

 of an individual ............................... 15

 

12 

Fit and proper person considerations ................................................. 16

 

Chapter

 

2--Accreditation

 

17

 

Part 1

--

Introduction

 

17

 

13 

Simplified outline of this Chapter ...................................................... 17

 

Part 2

--

Accreditation

 

18

 

Division 1

--

Applying for accreditation

 

18

 

14 

Application for accreditation .............................................................. 18

 

Division 2

--

Accreditation

 

19

 

15 

Digital ID Regulator must decide whether to accredit an 

entity ..................................................................................................... 19

 

16 

Accreditation is subject to conditions ................................................ 20

 

17 

Conditions on accreditation ................................................................ 21

 

18 

Conditions relating to restricted attributes of individuals ................. 22

 

19 

Requirements before Accreditation Rules impose conditions 

relating to restricted attributes or biometric information of 

individuals ............................................................................................ 23

 

20 

Variation and revocation of conditions on accreditation .................. 24

 

21 

Applying for variation or revocation of conditions on 

accreditation ......................................................................................... 25

 

22 

Notice before changes to conditions on accreditation....................... 25

 

23 

Notice of decision of changes to conditions on accreditation .......... 26

 

 

 

ii

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Division 3

--

Varying, suspending and revoking accreditation

 

27

 

24 

Varying accreditation .......................................................................... 27

 

25 

Suspension of accreditation ................................................................ 27

 

26 

Revocation of accreditation ................................................................ 30

 

Division 4

--Minister's directions regarding accreditation

 

33

 

27 

Minister's directions regarding accreditation

 .................................... 33

 

Division 5

--

Accreditation Rules

 

34

 

28 

Accreditation Rules ............................................................................. 34

 

Division 6

--

Other matters relating to accreditation

 

36

 

29 

Digital IDs must be deactivated on request ....................................... 36

 

30 

Accredited services must be accessible and inclusive ...................... 36

 

31 

Prohibition on holding out that an entity is accredited ..................... 36

 

Chapter

 

3--Privacy

 

37

 

Part 1

--

Introduction

 

37

 

32 

Simplified outline of this Chapter ...................................................... 37

 

33 

Chapter applies to accredited entities only to extent entity is 

providing accredited services ............................................................. 37

 

34 

APP-equivalent agreements ................................................................ 37

 

Part 2

--

Privacy

 

39

 

Division 1

--

Interaction with the Privacy Act 1988

 

39

 

35 

Extended meaning of 

personal information

 in relation to 

accredited entities ................................................................................ 39

 

36 

Privacy obligations for non-APP entities ........................................... 39

 

37 

Contraventions of privacy obligations in APP-equivalent 

agreements ........................................................................................... 40

 

38 

Contraventions of Division 2 are interferences with privacy ........... 41

 

39 

Notification of eligible data breaches

--

accredited entities 

that are APP entities ............................................................................ 42

 

40 

Notification of eligible data breaches

--

accredited entities 

that are not APP entities ...................................................................... 42

 

41 

Notification of corresponding data breaches

--

accredited 

State or Territory entities that are not APP entities ........................... 43

 

42 

Additional function of the Information Commissioner..................... 43

 

43 

Information Commissioner may share information .......................... 44

 

Division 2

--

Additional privacy safeguards

 

45

 

44 

Collection of certain attributes of individuals is prohibited ............. 45

 

45 

Individuals must expressly consent to disclosure of certain 

attributes of individuals to relying parties ......................................... 46

 

 

 

No.      , 2023 

Digital ID Bill 2023 

iii

 

 

46 

Disclosure of restricted attributes of individuals ............................... 46

 

47 

Restricting disclosure of unique identifiers ....................................... 47

 

48 

Restrictions on collecting, using and disclosing biometric 

information........................................................................................... 48

 

49 

Authorised collection, use and disclosure of biometric 

information of individuals

--

general rules ......................................... 49

 

50 

Accredited entities may collect etc. biometric information for 

purposes of government identity documents ..................................... 51

 

51 

Destruction of biometric information of individuals......................... 53

 

52 

Other rules relating to biometric information .................................... 54

 

53 

Data profiling to track online behaviour is prohibited ...................... 54

 

54 

Certain personal information must not be used or disclosed 

for prohibited enforcement purposes.................................................. 55

 

55 

Personal information must not be used or disclosed for 

prohibited marketing purposes ........................................................... 57

 

56 

Accredited identity exchange providers must not retain 

certain attributes of individuals .......................................................... 57

 

Chapter

 

4--Australian Government Digital ID 

System

 

59

 

Part 1

--

Introduction

 

59

 

57 

Simplified outline of this Chapter ...................................................... 59

 

Part 2

--

Australian Government Digital ID System

 

61

 

Division 1

--

Australian Government Digital ID System

 

61

 

58 

Digital ID Regulator must oversee and maintain the 

Australian Government Digital ID System ........................................ 61

 

59 

Circumstances in which entities may provide or receive 

services within the Australian Government Digital ID 

System .................................................................................................. 61

 

Division 2

--

Participating in the Australian Government Digital 

ID System

 

64

 

60 

Phasing-in of participation in the Australian Government 

Digital ID System ................................................................................ 64

 

61 

Applying for approval to participate in the Australian 

Government Digital ID System .......................................................... 64

 

62 

Approval to participate in the Australian Government Digital 

ID System............................................................................................. 65

 

63 

Approval to participate in the Australian Government Digital 

ID System is subject to conditions ..................................................... 67

 

64 

Conditions on approval to participate in the Australian 

Government Digital ID System .......................................................... 67

 

 

 

iv

 

Digital ID Bill 2023

 

No.      , 2023

 

 

65 

Conditions relating to restricted attributes of individuals ................. 70

 

66 

Variation and revocation of conditions .............................................. 72

 

67 

Applying for variation or revocation of conditions on 

approval ................................................................................................ 72

 

68 

Notice before changes to conditions on approval.............................. 72

 

69 

Notice of decision of changes of conditions on approval ................. 73

 

Division 3

--

Varying, suspending and revoking approval to 

participate

 

75

 

70 

Varying approval to participate in the Australian 

Government Digital ID System .......................................................... 75

 

71 

Suspension of approval to participate in the Australian 

Government Digital ID System .......................................................... 75

 

72 

Revocation of approval to participate in the Australian 

Government Digital ID System .......................................................... 78

 

Division 4

--Minister's directions regarding participation

 

81

 

73 

Minister's directions regarding participation

..................................... 81

 

Division 5

--

Other matters relating to the Australian 

Government Digital ID System

 

82

 

74 

Creating and using a digital ID is voluntary ...................................... 82

 

75 

Restriction on collection of restricted attributes of 

individuals by participating relying parties ....................................... 83

 

76 

Notice before exemption is revoked................................................... 84

 

77 

Holding etc. information outside Australia........................................ 84

 

78 

Reportable incidents ............................................................................ 85

 

79 

Interoperability .................................................................................... 86

 

80 

Service levels for accredited entities and participating 

relying parties ...................................................................................... 88

 

81 

Entities may conduct testing in relation to the Australian 

Government Digital ID System .......................................................... 88

 

82 

Use and disclosure of personal information to conduct 

testing ................................................................................................... 89

 

83 

Prohibition on holding out that an entity holds an approval ............. 89

 

Part 3

--

Liability and redress framework

 

90

 

Division 1

--

Liability of participating entities

 

90

 

84 

Accredited entities participating in the Australian 

Government Digital ID System protected from liability in 

certain circumstances .......................................................................... 90

 

Division 2

--

Statutory contract

 

91

 

85 

Statutory contract between entities participating in the 

Australian Government Digital ID System ........................................ 91

 

 

 

No.      , 2023 

Digital ID Bill 2023 

v

 

 

86 

Participating entities to maintain insurance as directed by the 

Digital ID Regulator ............................................................................ 92

 

87 

Dispute resolution procedures ............................................................ 93

 

Division 3

--

Redress framework

 

94

 

88 

Redress framework .............................................................................. 94

 

Chapter

 

5--Digital ID Regulator

 

95

 

Part 1

--

Introduction

 

95

 

89 

Simplified outline of this Chapter ...................................................... 95

 

Part 2

--

Digital ID Regulator

 

96

 

90 

Digital ID Regulator ............................................................................ 96

 

91 

Functions of the Digital ID Regulator................................................ 96

 

92 

Powers of the Digital ID Regulator .................................................... 97

 

Chapter

 

6--System Administrator

 

98

 

Part 1

--

Introduction

 

98

 

93 

Simplified outline of this Chapter ...................................................... 98

 

Part 2

--

System Administrator

 

99

 

94 

System Administrator.......................................................................... 99

 

95 

Functions of the System Administrator ............................................. 99

 

96 

Powers of the System Administrator................................................ 100

 

97 

Directions to the System Administrator ........................................... 100

 

Chapter

 

7--Digital ID Data Standards

 

101

 

Part 1

--

Introduction

 

101

 

98 

Simplified outline of this Chapter .................................................... 101

 

Part 2

--

Digital ID Data Standards

 

102

 

99 

Digital ID Data Standards ................................................................. 102

 

100 

Requirement to consult before making ............................................ 102

 

Part 3

--

Digital ID Data Standards Chair

 

104

 

Division 1

--

Establishment and functions of the Digital ID Data 

Standards Chair

 

104

 

101 

Digital ID Data Standards Chair....................................................... 104

 

102 

Functions of the Digital ID Data Standards Chair .......................... 104

 

103 

Powers of the Digital ID Data Standards Chair............................... 104

 

104 

Directions to the Digital ID Data Standards Chair .......................... 104

 

 

 

vi

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Division 2

--

Appointment of the Digital ID Data Standards 

Chair

 

106

 

105 

Appointment ...................................................................................... 106

 

106 

Term of appointment ......................................................................... 106

 

107 

Acting appointments ......................................................................... 106

 

108 

Application of the finance law etc.................................................... 107

 

Division 3

--

Terms and conditions for the Digital ID Data 

Standards Chair

 

108

 

109 

Remuneration..................................................................................... 108

 

110 

Leave of absence ............................................................................... 108

 

111 

Outside work ...................................................................................... 109

 

112 

Resignation of appointment .............................................................. 109

 

113 

Termination of appointment ............................................................. 109

 

114 

Other terms and conditions ............................................................... 110

 

Division 4

--

Other matters

 

111

 

115 

Arrangements relating to staff .......................................................... 111

 

Chapter

 

8--Trustmarks and registers

 

112

 

Part 1

--

Introduction

 

112

 

116 

Simplified outline of this Chapter .................................................... 112

 

Part 2

--

Digital ID trustmarks

 

113

 

117 

Digital ID trustmarks......................................................................... 113

 

118 

Authorised use of digital ID trustmarks etc. .................................... 113

 

119 

Displaying digital ID trustmark ........................................................ 114

 

Part 3

--

Registers

 

115

 

120 

Digital ID Accredited Entities Register ........................................... 115

 

121 

AGDIS Register................................................................................. 116

 

Chapter

 

9--Administration

 

118

 

Part 1

--

Introduction

 

118

 

122 

Simplified outline of this Chapter .................................................... 118

 

Part 2

--

Compliance and enforcement

 

120

 

Division 1

--

Enforcement powers

 

120

 

123 

Civil penalty provisions .................................................................... 120

 

124 

Infringement notices.......................................................................... 121

 

125 

Enforceable undertakings.................................................................. 121

 

126 

Injunctions.......................................................................................... 122

 

 

 

No.      , 2023 

Digital ID Bill 2023 

vii

 

 

Division 2

--

Directions powers

 

124

 

Subdivision A

--Digital ID Regulator's directions powers

 

124

 

127 

Digital ID Regulator's power to give directions to entities in 

relation to accreditation and participation........................................ 124

 

128 

Digital ID Regulator's power to give directions to protect the 

integrity or performance of the Australian Government 

Digital ID System .............................................................................. 125

 

129 

Remedial directions to accredited entities etc. ................................ 126

 

Subdivision B

--System Administrator's directions powers

 

127

 

130 

System Administrator's power to give directions to protect 

the integrity or performance of the Australian Government 

Digital ID System .............................................................................. 127

 

Division 3

--

Compliance assessments

 

129

 

131 

Compliance assessments ................................................................... 129

 

132 

Entities must provide assistance to persons undertaking 

compliance assessments .................................................................... 130

 

Division 4

--

Power to require information or documents

 

131

 

133 

Digital ID Regulator's power to require information or 

documents .......................................................................................... 131

 

134 

System Administrator's power to require information or 

documents .......................................................................................... 132

 

Part 3

--

Record keeping

 

133

 

135 

Record keeping by participating entities and former 

participating entities .......................................................................... 133

 

136 

Destruction or de-identification of certain information .................. 133

 

Part 4

--

Review of decisions

 

135

 

137 

Reviewable decisions ........................................................................ 135

 

138 

Internal review of decisions .............................................................. 138

 

139 

Reconsideration by decision-maker ................................................. 139

 

140 

Review by the Administrative Appeals Tribunal ............................ 139

 

Part 5

--

Applications under this Act

 

140

 

141 

Requirements for applications .......................................................... 140

 

142 

Powers in relation to applications .................................................... 140

 

143 

Decisions not required to be made in certain circumstances .......... 141

 

Part 6

--

Fees

 

142

 

Division 1

--

Fees charged by the Digital ID Regulator

 

142

 

144 

Charging of fees by Digital ID Regulator etc. ................................. 142

 

145 

Review of fees ................................................................................... 143

 

 

 

viii

 

Digital ID Bill 2023

 

No.      , 2023

 

 

146 

Recovery of fees charged by the Digital ID Regulator ................... 143

 

147 

Commonwealth not liable to pay fees charged by entities that 

are part of the Commonwealth ......................................................... 143

 

Division 2

--

Fees charged by accredited entities

 

145

 

148 

Charging of fees by accredited entities in relation to the 

Australian Government Digital ID System ...................................... 145

 

Chapter

 

10--Other matters

 

146

 

Part 1

--

Introduction

 

146

 

149 

Simplified outline of this Chapter .................................................... 146

 

Part 2

--

Advisory committees

 

147

 

150 

Advisory committees ........................................................................ 147

 

Part 3

--

Confidentiality

 

148

 

151 

Prohibition on entrusted persons using or disclosing certain 

kinds of protected information ......................................................... 148

 

152 

Authorised uses and disclosures of protected information by 

entrusted persons ............................................................................... 149

 

153 

Disclosing personal or commercially sensitive information to 

courts and tribunals etc. by entrusted persons ................................. 150

 

Part 4

--

Other matters

 

151

 

154 

Annual report by the Digital ID Regulator ...................................... 151

 

155 

Annual report by Information Commissioner.................................. 151

 

156 

How this Act applies in relation to non-legal persons .................... 152

 

157 

Attributing conduct to the Commonwealth, States and 

Territories etc. .................................................................................... 153

 

158 

Bodies corporate and due diligence ................................................. 154

 

159 

Protection from civil action .............................................................. 155

 

160 

Geographical jurisdiction of civil penalty provisions ..................... 155

 

161 

Interaction with tax file number offences ........................................ 158

 

162 

Review of operation of Act ............................................................... 158

 

163 

Delegation

--

Minister ........................................................................ 159

 

164 

Delegation

--

Digital ID Regulator ................................................... 159

 

165 

Delegation

--

System Administrator ................................................. 160

 

166 

Delegation

--

Digital ID Data Standards Chair ................................ 160

 

167 

Instruments may incorporate etc. material as in force or 

existing from time to time ................................................................. 160

 

168 

Rules

--

general matters ..................................................................... 161

 

169 

Rules

--

requirement to consult ......................................................... 162

 

 

 

 

No.      , 2023

 

Digital ID Bill 2023

 

1

 

 

A Bill for an Act to provide for the accreditation of 

entities in relation to digital IDs and to establish the 

Australian Government Digital ID System, and for 

related purposes 

The Parliament of Australia enacts: 

Chapter 1 

 Introduction 

Part 1 

 Preliminary 

 

  

 

Section 1 

 

2

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Chapter

 

1--Introduction

 

Part

 

1--Preliminary

 

   

1  Short title 

 

  This Act is the 

Digital ID Act 2023

2  Commencement 

 

(1)  Each provision of this Act specified in column 1 of the table 

commences, or is taken to have commenced, in accordance with 

column 2 of the table. Any other statement in column 2 has effect 

according to its terms. 

10 

 

11 

Commencement information 

Column 1 

Column 2 

Column 3 

Provisions 

Commencement 

Date/Details 

1.  The whole of 

the Act 

A single day to be fixed by Proclamation. 

However, if the provisions do not commence 

within the period of 6 months beginning on 

the day this Act receives the Royal Assent, 

they commence on the day after the end of 

that period. 

 

Note: 

This table relates only to the provisions of this Act as originally 

12 

enacted. It will not be amended to deal with any later amendments of 

13 

this Act. 

14 

 

(2)  Any information in column 3 of the table is not part of this Act. 

15 

Information may be inserted in this column, or information in it 

16 

may be edited, in any published version of this Act. 

17 

3  Objects 

18 

 

(1)  The objects of this Act are as follows: 

19 

Introduction 

 Chapter 1

 

Preliminary  

Part 1

 

 

 

 

 

Section 4 

 

No.      , 2023

 

Digital ID Bill 2023

 

3

 

 

 

(a)  to provide individuals with secure, convenient, voluntary and 

inclusive ways to verify their identity in online transactions 

with government and businesses; 

 

(b)  to promote privacy and the security of personal information 

used to verify the identity or attributes of individuals; 

 

(c)  to facilitate economic benefits for, and reduce burdens on, the 

Australian economy by encouraging the use of digital IDs 

and online services; 

 

(d)  to promote trust in digital ID services amongst the Australian 

community. 

10 

 

(2)  These objects are to be achieved by: 

11 

 

(a)  establishing an accreditation scheme for entities providing 

12 

digital ID services; and 

13 

 

(b)  providing additional privacy safeguards for the provision of 

14 

accredited digital ID services; and 

15 

 

(c)  establishing an Australian Government Digital ID System 

16 

that is secure, easy to use, voluntary, accessible, inclusive 

17 

and reliable; and 

18 

 

(d)  strengthening the oversight and regulation of: 

19 

 

(i)  accredited digital ID service providers; and 

20 

 

(ii)  entities participating in the Australian Government 

21 

Digital ID System; and 

22 

 

(iii)  the integrity and performance of the Australian 

23 

Government Digital ID System. 

24 

4  Simplified outline of this Act 

25 

This Act establishes an accreditation scheme for entities providing 

26 

digital ID services. The Digital ID Regulator (which is the 

27 

Australian Competition and Consumer Commission) may, on 

28 

application, accredit certain kinds of entities as accredited attribute 

29 

service providers, accredited identity exchange providers, 

30 

accredited identity service providers or entities that provide, or 

31 

propose to provide, services of a kind prescribed by the 

32 

Accreditation Rules. 

33 

Chapter 1 

 Introduction 

Part 1 

 Preliminary 

 

  

 

Section 4 

 

4

 

Digital ID Bill 2023

 

No.      , 2023

 

 

When providing accredited services, accredited entities must 

comply with certain privacy safeguards. These safeguards are in 

addition to, and build on, the safeguards contained in the 

Privacy 

Act 1988

. An accredited entity may be liable to a civil penalty if 

certain privacy safeguards are breached. 

The Digital ID Regulator oversees and maintains the Australian 

Government Digital ID System. Certain kinds of accredited entities 

can apply to the Digital ID Regulator to participate in the system. 

Certain kinds of relying parties can also apply for approval to 

participate in the system. If a relying party holds an approval, it is 

10 

known as a participating relying party. 

11 

There is a System Administrator whose functions include 

12 

providing assistance to entities participating in the Australian 

13 

Government Digital ID System and managing the availability of 

14 

the Australian Government Digital ID System. 

15 

The Digital ID Standards Chair may make Digital ID Data 

16 

Standards about various matters, including technical integration 

17 

requirements for entities to participate in the Australian 

18 

Government Digital ID System and, if required to do so by the 

19 

Accreditation Rules or the Digital ID Rules, technical, data or 

20 

design standards relating to accreditation. 

21 

The Digital ID Rules may set out marks, symbols, logos or designs 

22 

(called digital ID trustmarks) that may or must be used by 

23 

accredited entities and participating relying parties. 

24 

The Digital ID Regulator must establish and maintain the Digital 

25 

ID Accredited Entities Register and the AGDIS Register. 

26 

The Digital ID Regulator and the Information Commissioner may 

27 

take enforcement action against accredited entities and other 

28 

entities. The Digital ID Regulator can give directions regarding 

29 

accreditation and participation in the Australian Government 

30 

Digital ID System or require entities to undergo compliance 

31 

assessments or produce information or documents. The System 

32 

Administrator can also give directions to entities regarding 

33 

Introduction 

 Chapter 1

 

Preliminary  

Part 1

 

 

 

 

 

Section 5 

 

No.      , 2023

 

Digital ID Bill 2023

 

5

 

 

participation in the Australian Government Digital ID System and 

require entities to produce information or documents. 

Accredited entities that hold or held an approval to participate in 

the Australian Government Digital ID System have certain 

record-keeping responsibilities and are required to destroy or 

de-identify certain information in the possession or control of the 

entity. 

Entities can apply for merits review of certain decisions made 

under this Act. 

This Act also deals with other administrative matters such as 

10 

annual reports and delegations. 

11 

5  Act binds the Crown 

12 

 

  This Act binds the Crown in each of its capacities. 

13 

6  Extension to external Territories 

14 

 

  This Act extends to every external Territory. 

15 

7  Extraterritorial operation 

16 

 

(1)  This Act extends to acts, omissions, matters and things outside 

17 

Australia. 

18 

Note: 

Geographical jurisdiction for civil penalty provisions is dealt with in 

19 

section 160. 

20 

 

(2)  This Act has effect in relation to acts, omissions, matters and 

21 

things outside Australia subject to: 

22 

 

(a)  the obligations of Australia under international law, including 

23 

obligations under any international agreement binding on 

24 

Australia; and 

25 

 

(b)  any law of the Commonwealth giving effect to such an 

26 

agreement. 

27 

Chapter 1 

 Introduction 

Part 1 

 Preliminary 

 

  

 

Section 8 

 

6

 

Digital ID Bill 2023

 

No.      , 2023

 

 

8  Concurrent operation of State and Territory laws 

 

  This Act is not intended to exclude or limit the operation of a law 

of a State or Territory that is capable of operating concurrently 

with this Act. 

Introduction 

 Chapter 1

 

Interpretation  

Part 2

 

 

 

 

 

Section 9 

 

No.      , 2023

 

Digital ID Bill 2023

 

7

 

 

Part

 

2--Interpretation

 

   

9  Definitions 

In this Act: 

Accreditation Rules

 means rules made under section 168 for the 

purposes of the provisions in which the term occurs. 

accredited attribute service provider

 means an attribute service 

provider that is accredited under section 15 as an accredited 

attribute service provider. 

accredited entity

: each of the following is an accredited entity: 

10 

 

(a)  an accredited attribute service provider; 

11 

 

(b)  an accredited identity exchange provider; 

12 

 

(c)  an accredited identity service provider; 

13 

 

(d)  if Accreditation Rules are made for the purposes of 

14 

paragraph 14(1)(d)

--

an entity that is accredited to provide 

15 

services of a kind prescribed by the Accreditation Rules for 

16 

the purposes of that paragraph. 

17 

accredited identity exchange provider

 means an identity exchange 

18 

provider that is accredited under section 15 as an accredited 

19 

identity exchange provider. 

20 

accredited identity service provider

 means an identity service 

21 

provider that is accredited under section 15 as an accredited 

22 

identity service provider. 

23 

accredited service

, of an accredited entity, means the services 

24 

provided, or proposed to be provided, by the entity in the entity's 

25 

capacity as a particular kind of accredited entity. 

26 

Note: 

Conditions may be imposed on an entity's accredited service

s, 

27 

including specifying the manner in which such services must be 

28 

provided or excluding specific services from the entity's accreditation 

29 

altogether (see section 17). 

30 

Example:  Acme Co is an accredited identity service provider. Under its 

31 

conditions of accreditation, its accredited service is generating, 

32 

Chapter 1 

 Introduction 

Part 2 

 Interpretation 

 

  

 

Section 9 

 

8

 

Digital ID Bill 2023

 

No.      , 2023

 

 

managing, maintaining and verifying information relating to the 

identity of an individual. Its conditions exclude from its accreditation 

the provision of the following services: 

(a)  generating, binding, managing and distributing authenticators to 

an individual; 

(b)  binding, managing and distributing authenticators generated by 

an individual. 

adverse or qualified security assessment

 means an adverse 

security assessment, or a qualified security assessment, within the 

meaning of Part IV of the 

Australian Security Intelligence 

10 

Organisation Act 1979

11 

affected entity

: see section 137. 

12 

AGDIS Register 

means the register kept under section 121. 

13 

APP entity

 has the same meaning as in the 

Privacy Act 1988

14 

APP-equivalent agreement

: see section 34. 

15 

attribute

 of an individual: see section 10. 

16 

attribute service provider

 means an entity that provides, or 

17 

proposes to provide, a service that verifies and manages an 

18 

attribute of an individual. 

19 

Australia 

when used in a geographical sense, includes the external 

20 

Territories. 

21 

Australian entity

 means any of the following: 

22 

 

(a)  an Australian citizen or a permanent resident of Australia; 

23 

 

(b)  a body corporate incorporated by or under a law of the 

24 

Commonwealth or a State or Territory; 

25 

 

(c)  a Commonwealth entity, or a Commonwealth company, 

26 

within the meaning of the 

Public Governance, Performance 

27 

and Accountability Act 2013

28 

 

(d)  a person or body that is an agency within the meaning of the 

29 

Freedom of Information Act 1982

30 

 

(e)  a body specified, or the person holding an office specified, in 

31 

Part I of Schedule 2 to the 

Freedom of Information Act 1982

32 

 

(f)  a department or authority of a State; 

33 

Introduction 

 Chapter 1

 

Interpretation  

Part 2

 

 

 

 

 

Section 9 

 

No.      , 2023

 

Digital ID Bill 2023

 

9

 

 

 

(g)  a department or authority of a Territory; 

 

(h)  a partnership formed in Australia; 

 

(i)  a trust created in Australia; 

 

(j)  an unincorporated association that: 

 

(i)  has a governing body; and 

 

(ii)  has its central management or control in Australia. 

Australian Government Digital ID System

: see subsection 58(2). 

authenticator

 means the technology for authenticating an 

individual's 

digital ID. 

Note: 

Passwords and cryptographic keys are examples of authenticators. 

10 

biometric information

 of an individual: 

11 

 

(a)  means information about any measurable biological 

12 

characteristic relating to an individual that could be used to 

13 

identify the individual or verify the individual's identity; and

 

14 

 

(b)  includes biometric templates. 

15 

civil penalty provision 

has the same meaning as in the Regulatory 

16 

Powers Act. 

17 

compliance assessment

: see section 131. 

18 

cyber security incident

 means one or more acts, events or 

19 

circumstances that involve: 

20 

 

(a)  unauthorised access to, modification of or interference with a 

21 

system, service or network; or 

22 

 

(b)  an unauthorised attempt to gain access to, modify or interfere 

23 

with a system, service or network; or 

24 

 

(c)  unauthorised impairment of the availability, reliability, 

25 

security or operation of a system, service or network; or 

26 

 

(d)  an unauthorised attempt to impair the availability, reliability, 

27 

security or operation of a system, service or network. 

28 

decision-maker

 for a reviewable decision means: 

29 

 

(a)  for a decision under section 27 or 73

--

the Minister; or 

30 

 

(b)  for a decision under section 130

--

the System Administrator; 

31 

or 

32 

Chapter 1 

 Introduction 

Part 2 

 Interpretation 

 

  

 

Section 9 

 

10

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(c)  otherwise

--

the Digital ID Regulator. 

digital ID

 of an individual means a distinct electronic 

representation of the individual that enables the individual to be 

sufficiently distinguished when interacting online with services. 

Digital ID Accredited Entities Register

 means the register kept 

under section 120. 

Digital ID Data Standards

 means the standards made under 

section 99. 

Digital ID Data Standards Chair

 means: 

 

(a)  if a person holds an appointment under section 105

--

that 

10 

person; or 

11 

 

(b)  otherwise

--

the Minister. 

12 

digital ID fraud incident

 means an act, event or circumstance that: 

13 

 

(a)  occurs in connection with: 

14 

 

(i)  an accredited service of an accredited entity; or 

15 

 

(ii)  a service that a participating relying party is approved to 

16 

provide, or provide access to, within the Australian 

17 

Government Digital ID System; and 

18 

 

(b)  results in any of the following being, or suspected of being, 

19 

compromised or rendered unreliable: 

20 

 

(i)  a digital ID of an individual; 

21 

 

(ii)  an attribute of an individual; 

22 

 

(iii)  an authenticator relating to an individual; 

23 

 

(iv)  a representation relating to an attribute of an individual; 

24 

 

(v)  a representation relating to a digital ID of an individual. 

25 

Digital ID Regulator

: see section 90. 

26 

Digital ID Rules

 means the rules made under section 168 for the 

27 

purposes of the provisions in which the term occurs. 

28 

digital ID system

 means a federation of entities that facilitates, 

29 

manages or relies on services that provide for either or both of the 

30 

following in an online environment: 

31 

 

(a)  the verification of the identity of individuals; 

32 

Introduction 

 Chapter 1

 

Interpretation  

Part 2

 

 

 

 

 

Section 9 

 

No.      , 2023

 

Digital ID Bill 2023

 

11

 

 

 

(b)  the authentication of a digital ID of, or information 

associated with, individuals. 

Note: 

Entities in the federation may include one or more relying parties, 

identity exchanges, identity service providers, attribute service 

providers and other kinds of service providers. 

digital ID trustmark

: see subsection 117(2). 

enforcement body

 has the same meaning as in the 

Privacy Act 

1988

enforcement related activity

 has the same meaning as in the 

Privacy Act 1988

10 

entity

 means any of the following: 

11 

 

(a)  an individual; 

12 

 

(b)  a body corporate; 

13 

 

(c)  a Commonwealth entity, or a Commonwealth company, 

14 

within the meaning of the 

Public Governance, Performance 

15 

and Accountability Act 2013

16 

 

(d)  a person or body that is an agency within the meaning of the 

17 

Freedom of Information Act 1982

18 

 

(e)  a body specified, or the person holding an office specified, in 

19 

Part I of Schedule 2 to the 

Freedom of Information Act 1982

20 

 

(f)  a department or authority of a State; 

21 

 

(g)  a department or authority of a Territory; 

22 

 

(h)  a partnership; 

23 

 

(i)  an unincorporated association that has a governing body; 

24 

 

(j)  a trust. 

25 

entrusted person

: see subsection 151(2). 

26 

identity exchange provider

 means an entity that provides, or 

27 

proposes to provide, a service that conveys, manages and 

28 

coordinates the flow of data or other information between 

29 

participants in a digital ID system. 

30 

identity service provider

 means an entity that provides, or proposes 

31 

to provide, a service that: 

32 

Chapter 1 

 Introduction 

Part 2 

 Interpretation 

 

  

 

Section 9 

 

12

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(a)  generates, manages, maintains or verifies information 

relating to the identity of an individual; and 

 

(b)  generates, binds, manages or distributes authenticators to an 

individual; and 

 

(c)  binds, manages or distributes authenticators generated by an 

individual. 

one-to-many matching

: see subsection 48(4). 

paid work

 means work for financial gain or reward (whether as an 

employee, a self-employed person or otherwise). 

participate

: an entity 

participates

 in the Australian Government 

10 

Digital ID System at a particular time if, at that time: 

11 

 

(a)  the entity holds an approval under section 62 to participate in 

12 

the system; and 

13 

 

(b)  either: 

14 

 

(i)  the entity is directly connected to an accredited entity 

15 

that is participating in the Australian Government 

16 

Digital ID System; or 

17 

 

(ii)  the entity is an accredited entity that is directly 

18 

connected to a participating relying party. 

19 

participating relying party

: a relying party is a 

participating 

20 

relying party

 if: 

21 

 

(a)  the relying party holds an approval under section 62 to 

22 

participate in the Australian Government Digital ID System; 

23 

and 

24 

 

(b)  the participation start day for the relying party has arrived or 

25 

passed. 

26 

participation start day

 for an entity means the day notified to the 

27 

entity by the Digital ID Regulator for the purposes of 

28 

paragraph 62(6)(d) as the day on which the entity must begin to 

29 

participate in the Australian Government Digital ID System. 

30 

personal information

31 

 

(a)  means information or an opinion about an identified 

32 

individual, or an individual who is reasonably identifiable: 

33 

 

(i)  whether the information or opinion is true or not; and 

34 

Introduction 

 Chapter 1

 

Interpretation  

Part 2

 

 

 

 

 

Section 9 

 

No.      , 2023

 

Digital ID Bill 2023

 

13

 

 

 

(ii)  whether the information or opinion is recorded in a 

material form or not; and 

 

(b)  to the extent not already covered by paragraph (a), includes 

an attribute of an individual. 

privacy impact assessment

 has the meaning given by 

subsection 33D(3) of the 

Privacy Act 1988

protected information

: see subsection 151(4). 

Regulatory Powers Act 

means the 

Regulatory Powers (Standard 

Provisions) Act 2014

relying party 

means an entity that relies, or seeks to rely, on an 

10 

attribute of an individual that is provided by an accredited entity to: 

11 

 

(a)  provide a service to the individual; or 

12 

 

(b)  enable the individual to access a service. 

13 

restricted attribute

 of an individual: see section 11. 

14 

reviewable decision

: see section 137. 

15 

Secretary

 means the Secretary of the Department. 

16 

security

, other than in the following provisions, has its ordinary 

17 

meaning: 

18 

 

(a)  subsection 27(1); 

19 

 

(b)  subsection 73(1); 

20 

 

(c)  subsection 137(3). 

21 

shielded person

 means a person to whom one or more of the 

22 

following paragraphs apply: 

23 

 

(a)  the person has acquired or used an assumed identity under 

24 

Part IAC of the 

Crimes Act 1914

 or a corresponding assumed 

25 

identity law within the meaning of that Part; 

26 

 

(b)  an authority for the person to acquire or use an assumed 

27 

identity has been granted under that Part or such a law; 

28 

 

(c)  a witness identity protection certificate has been given for the 

29 

person under Part IACA of the 

Crimes Act 1914

30 

 

(d)  a corresponding witness identity protection certificate has 

31 

been given for the person under a corresponding witness 

32 

Chapter 1 

 Introduction 

Part 2 

 Interpretation 

 

  

 

Section 10 

 

14

 

Digital ID Bill 2023

 

No.      , 2023

 

 

identity protection law within the meaning of Part IACA of 

the 

Crimes Act 1914

 

(e)  the person is a participant as defined in the 

Witness 

Protection Act 1994

 

(f)  the person is or was on a witness protection program 

conducted by a State or Territory in which a complementary 

witness protection law (as defined in the 

Witness Protection 

Act 1994

) is in force; 

 

(g)  the person is involved in administering such a program under 

such a law and the person has acquired an identity under that 

10 

law. 

11 

State or Territory privacy authority

 means a State or Territory 

12 

authority (within the meaning of the 

Privacy Act 1988

) that has 

13 

functions to protect the privacy of individuals (whether or not the 

14 

authority has other functions). 

15 

System Administrator

: see section 94. 

16 

this Act

 includes: 

17 

 

(a)  the Accreditation Rules; and 

18 

 

(b)  the Digital ID Data Standards; and 

19 

 

(c)  the Digital ID Rules; and 

20 

 

(d)  the service levels determined under section 80; and 

21 

 

(e)  the Regulatory Powers Act as it applies in relation to this 

22 

Act. 

23 

verifiable credential

 means a tamper-evident credential with 

24 

authorship that can be cryptographically verified. 

25 

10  Meaning of 

attribute

 of an individual 

26 

 

(1)  An 

attribute

 of an individual means information that is associated 

27 

with the individual, and includes information that is derived from 

28 

another attribute. 

29 

 

(2)  Without limiting subsection (1), an 

attribute

 of an individual 

30 

includes the following: 

31 

 

(a) 

the individual's current or former name;

 

32 

Introduction 

 Chapter 1

 

Interpretation  

Part 2

 

 

 

 

 

Section 11 

 

No.      , 2023

 

Digital ID Bill 2023

 

15

 

 

 

(b) 

the individual's current or former 

address; 

 

(c) 

the individual's date of birth;

 

 

(d)  information about whether the individual is alive or dead; 

 

(e) 

the individual's phone number;

 

 

(f) 

the individual's email address;

 

 

(g)  if the individual has a digital ID

--

the time and date the 

digital ID was created; 

 

(h)  biometric information of the individual; 

 

(i)  a restricted attribute of the individual; 

 

(j) 

information or an opinion about the individual's:

 

10 

 

(i)  racial or ethnic origin; or 

11 

 

(ii)  political opinions; or 

12 

 

(iii)  membership of a political association; or 

13 

 

(iv)  religious beliefs or affiliations; or 

14 

 

(v)  philosophical beliefs; or 

15 

 

(vi)  sexual orientation or practices. 

16 

11  Meaning of 

restricted attribute

 of an individual 

17 

 

(1)  A 

restricted attribute

 of an individual means: 

18 

 

(a)  health information (within the meaning of the 

Privacy Act 

19 

1988

) about the individual; or 

20 

 

(b)  an identifier of the individual that has been issued or assigned 

21 

by or on behalf of: 

22 

 

(i)  the Commonwealth, a State or a Territory; or 

23 

 

(ii)  an authority or agency of the Commonwealth, a State or 

24 

a Territory; or 

25 

 

(iii)  a government of a foreign country; or 

26 

 

(c)  information or an opinion about the individual

'

s criminal 

27 

record; or 

28 

 

(d)  information or an opinion about the 

individual's membership 

29 

of a professional or trade association; or 

30 

 

(e)  information or an opinion about the 

individual's membership 

31 

of a trade union; or 

32 

 

(f)  other information or opinion that is associated with an 

33 

individual and is prescribed by the Accreditation Rules. 

34 

Chapter 1 

 Introduction 

Part 2 

 Interpretation 

 

  

 

Section 12 

 

16

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(2)  Without limiting paragraph (1)(b), an identifier of an individual 

includes the following: 

 

(a) 

the individual's tax file number (within the meaning of 

section 202A of the 

Income Tax Assessment Act 1936

); 

 

(b) 

the individual's medicare number (within the meaning of 

Part VII of the 

National Health Act 1953

); 

 

(c) 

the individual's healthcare identifier (within the meaning of 

the 

Healthcare Identifiers Act 2010

); 

 

(d) 

if the person holds a driver's licence issued under the law of 

a State or Territory

--the number of that driver's licence.

 

10 

12  Fit and proper person considerations 

11 

 

  In having regard to whether an entity is a fit and proper person for 

12 

the purposes of this Act, the Digital ID Regulator: 

13 

 

(a)  must have regard to the matters (if any) specified in the 

14 

Digital ID Rules; and 

15 

 

(b)  may have regard to any other matters the Digital ID 

16 

Regulator considers relevant. 

17 

Accreditation 

 Chapter 2

 

Introduction  

Part 1

 

 

 

 

 

Section 13 

 

No.      , 2023

 

Digital ID Bill 2023

 

17

 

 

Chapter

 

2--Accreditation

 

Part

 

1--Introduction

 

   

13  Simplified outline of this Chapter 

The Digital ID Regulator may, on application, accredit certain 

kinds of entities as accredited attribute service providers, 

accredited identity exchange providers, accredited identity service 

providers or entities that provide, or propose to provide, services of 

a kind prescribed by the Accreditation Rules. 

An 

entity's accreditation is subject to conditions. 

Some conditions 

10 

are imposed by the Act and others may be imposed by the Digital 

11 

ID Regulator or the Accreditation Rules. Conditions may include 

12 

restrictions relating to the services an entity is accredited to 

13 

provide, the manner in which those services must be provided and 

14 

the kinds of restricted attributes of individuals an entity is 

15 

authorised to collect or disclose. 

16 

The conditions imposed by the Digital ID Regulator on an entity's 

17 

accreditation, and the entity's accreditation itself, can be varied or 

18 

revoked. Accreditation can also be suspended. 

19 

The Minister may give directions to the Digital ID Regulator 

20 

regarding the accreditation of an entity if, for reasons of security, 

21 

the Minister considers it appropriate to do so. The Digital ID 

22 

Regulator must comply with such directions. 

23 

An accredited entity must deactivate a digital ID of an individual if 

24 

requested to do so, and must comply with requirements relating to 

25 

the accessibility and useability of accredited services that are 

26 

prescribed by the Accreditation Rules. 

27 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 1 

 Applying for accreditation 

 

Section 14 

 

18

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Part

 

2--Accreditation

 

Division

 

1--Applying for accreditation

 

14  Application for accreditation 

 

(1)  An entity covered by subsection (2) may apply to the Digital ID 

Regulator for accreditation as one or more of the following kinds 

of accredited entities: 

 

(a)  an accredited attribute service provider; 

 

(b)  an accredited identity exchange provider; 

 

(c)  an accredited identity service provider; 

 

(d)  an entity that provides, or proposes to provide, a service of a 

10 

kind prescribed by the Accreditation Rules. 

11 

 

(2)  An entity is covered by this section if the entity is one of the 

12 

following: 

13 

 

(a)  a body corporate incorporated by or under a law of the 

14 

Commonwealth or a State or Territory; 

15 

 

(b)  a registered foreign company within the meaning of the 

16 

Corporations Act 2001

17 

 

(c)  a Commonwealth entity, or a Commonwealth company, 

18 

within the meaning of the 

Public Governance, Performance 

19 

and Accountability Act 2013

20 

 

(d)  a person or body that is an agency within the meaning of the 

21 

Freedom of Information Act 1982

22 

 

(e)  a body specified, or the person holding an office specified, in 

23 

Part I of Schedule 2 to the 

Freedom of Information Act 1982

24 

 

(f)  a department or authority of a State; 

25 

 

(g)  a department or authority of a Territory. 

26 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Accreditation 

 Division 2

 

 

Section 15 

 

No.      , 2023

 

Digital ID Bill 2023

 

19

 

 

Division

 

2--Accreditation

 

15  Digital ID Regulator must decide whether to accredit an entity 

 

(1)  This section applies if an entity has made an application under 

section 14 for accreditation as an accredited entity. 

 

(2)  The Digital ID Regulator must decide: 

 

(a)  to accredit the entity; or 

 

(b)  to refuse to accredit the entity. 

 

(3)  The Digital ID Regulator must not accredit an entity: 

 

(a)  as an accredited attribute service provider unless the entity 

provides, or will provide, some or all of the services 

10 

described in the definition of attribute service provider; or 

11 

 

(b)  as an accredited identity exchange provider unless the entity 

12 

provides, or will provide, some or all of the services 

13 

described in the definition of identity exchange provider; or 

14 

 

(c)  as an accredited identity service provider unless the entity 

15 

provides, or will provide, some or all of the services 

16 

described in the definition of identity service provider; or 

17 

 

(d)  if Accreditation Rules made for the purposes of 

18 

paragraph 14(1)(d) prescribe services

--

as an entity that 

19 

provides services of the kind prescribed unless the entity 

20 

provides, or will provide, some or all of the services of that 

21 

kind. 

22 

 

(4)  The Digital ID Regulator must not accredit an entity if: 

23 

 

(a)  a direction under subsection 27(1) (about security) directing 

24 

the Digital ID Regulator to refuse to accredit the entity is in 

25 

force; or 

26 

 

(b)  the Digital ID Regulator is not satisfied that the entity is able 

27 

to comply with this Act; or 

28 

 

(c)  Accreditation Rules made for the purposes of section 28 

29 

require specified criteria to be met and the entity does not 

30 

meet the criteria; or 

31 

 

(d)  Accreditation Rules made for the purposes of section 28 

32 

require the Digital ID Regulator to be satisfied of specified 

33 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 2 

 Accreditation 

 

Section 16 

 

20

 

Digital ID Bill 2023

 

No.      , 2023

 

 

matters and the Digital ID Regulator is not satisfied of those 

matters. 

 

(5)  In deciding whether to accredit the entity, the Digital ID Regulator: 

 

(a)  must have regard to the matters (if any) prescribed by the 

Accreditation Rules; and 

 

(b)  may have regard to the following: 

 

(i)  whether the entity is a fit and proper person; 

 

(ii)  any other matters the Digital ID Regulator considers 

relevant. 

Note: 

In having regard to whether an entity is a fit and proper person for the 

10 

purposes of subparagraph (b)(i), the Digital ID Regulator must have 

11 

regard to any matters specified in the Digital ID Rules and may have 

12 

regard to any other matters considered relevant (see section 12). 

13 

 

(6)  The Digital ID Regulator must: 

14 

 

(a)  give written notice of a decision to accredit, or to refuse to 

15 

accredit, the entity; and 

16 

 

(b)  if the decision is to refuse to accredit the entity

--

give reasons 

17 

for the decision to the entity. 

18 

 

(7)  If the Digital ID Regulator decides to accredit the entity, the notice 

19 

must also set out the following: 

20 

 

(a)  the kind or kinds of accredited entity that the entity is 

21 

accredited as; 

22 

 

(b)  the day the accreditation comes into force; 

23 

 

(c) 

any conditions imposed on the entity's accreditation under 

24 

subsection 17(2). 

25 

16  Accreditation is subject to conditions 

26 

 

(1)  The accreditation of an entity as an accredited entity is subject to 

27 

the following conditions (the 

accreditation conditions

): 

28 

 

(a)  the conditions set out in subsection 17(1); 

29 

 

(b)  the conditions (if any) imposed by the Digital ID Regulator 

30 

under subsection 17(2), including as varied under 

31 

subsection 20(1); 

32 

 

(c)  the conditions (if any) determined by the Accreditation Rules 

33 

under subsection 17(5). 

34 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Accreditation 

 Division 2

 

 

Section 17 

 

No.      , 2023

 

Digital ID Bill 2023

 

21

 

 

 

(2)  An accredited entity must comply with the accreditation conditions 

that apply to the entity. 

Note: 

Failure to comply with an accreditation condition may result in a 

suspension or revocation of the entity'

s accreditation (see sections 25 

and 26). 

17  Conditions on accreditation 

Conditions imposed by the Act 

 

(1)  The accreditation of an entity as an accredited entity is subject to 

the condition that the accredited entity must comply with this Act. 

Conditions imposed by the Digital ID Regulator 

10 

 

(2)  The Digital ID Regulator: 

11 

 

(a)  may impose conditions on the accreditation of an entity, 

12 

either at the time of accreditation or at a later time, if the 

13 

Digital ID Regulator considers that doing so is appropriate in 

14 

the circumstances; and 

15 

 

(b)  must impose conditions on the accreditation of an entity, 

16 

either at the time of accreditation or at a later time, if directed 

17 

to do so under subsection 27(1). 

18 

 

(3)  Conditions may be imposed under paragraph (2)(a) on application 

19 

by the entity or on the Digital ID Regulator's own initiative.

 

20 

 

(4)  Without limiting paragraph (2)(a), the Digital ID Regulator may 

21 

impose conditions relating to the following: 

22 

 

(a)  any limitations, exclusions or restrictions in relation to the 

23 

accredited services of the entity; 

24 

 

(b)  the circumstances or manner in which the accredited services 

25 

of the entity must be provided; 

26 

 

(c)  the kinds of restricted attributes of individuals (if any) that 

27 

the entity is authorised to collect or disclose and the 

28 

circumstances in which such attributes may be collected or 

29 

disclosed; 

30 

 

(d)  the kinds of restricted attributes of individuals (if any) that 

31 

the entity must not collect; 

32 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 2 

 Accreditation 

 

Section 18 

 

22

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(e)  the kinds of biometric information (if any) of an individual 

the entity is authorised to collect, use or disclose and the 

circumstances in which such information may be collected, 

used or disclosed; 

 

(f) 

the entity's information technology systems

 through which 

the entity's accredited services are provided

, including 

restrictions on changes to such systems; 

 

(g) 

actions that the entity must take before the entity's 

accreditation is suspended or revoked. 

Conditions imposed by the Accreditation Rules 

10 

 

(5)  The Accreditation Rules may determine that the accreditation of 

11 

each accredited entity, or each accredited entity included in a 

12 

specified class, is subject to specified conditions. 

13 

 

(6)  Without limiting subsection (5), the Accreditation Rules may 

14 

impose conditions relating to the matters in subsection (4). 

15 

18  Conditions relating to restricted attributes of individuals 

16 

Matters to which the Digital ID Regulator must have regard before 

17 

authorising disclosure etc. of restricted attributes 

18 

 

(1)  Subsection (2) applies if the Digital ID Regulator proposes to 

19 

impose a condition on an entity's 

accreditation authorising the 

20 

entity to collect or disclose a restricted attribute of an individual. 

21 

 

(2)  In deciding whether to impose the condition, the Digital ID 

22 

Regulator must have regard to the following matters: 

23 

 

(a)  whether the entity has provided sufficient justification for the 

24 

need to collect or disclose the restricted attribute; 

25 

 

(b)  whether the entity has demonstrated that a similar outcome 

26 

cannot be achieved without collecting or disclosing the 

27 

restricted attribute; 

28 

 

(c)  if the collection or disclosure of the restricted attribute is 

29 

regulated by other legislative or regulatory requirements

--

30 

whether the entity would be able to comply with those 

31 

requirements if the condition were imposed; 

32 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Accreditation 

 Division 2

 

 

Section 19 

 

No.      , 2023

 

Digital ID Bill 2023

 

23

 

 

 

(d)  the potential harm that could result if restricted attributes of 

that kind were disclosed to an entity that was not authorised 

to collect them; 

 

(e)  community expectations as to whether restricted attributes of 

that kind should be handled more securely than other kinds of 

attributes; 

 

(f)  any of the following information provided by the entity 

seeking authorisation to collect or disclose the restricted 

attribute: 

 

(i) 

the entity's risk assessment plan as it relates to the 

10 

restricted attribute; 

11 

 

(ii) 

the entity's privacy impact assessment as it relates to the 

12 

restricted attribute; 

13 

 

(iii) 

the effectiveness of the entity's protective security 

14 

(including security governance, information security, 

15 

personnel security and physical security), privacy 

16 

arrangements and fraud control arrangements; 

17 

 

(iv)  if the entity is not a participating relying party

--

the 

18 

arrangements in place between the entity and relying 

19 

parties for the protection of the restricted attribute from 

20 

further disclosure; 

21 

 

(g)  any other matter the Digital ID Regulator considers relevant. 

22 

Requirement to give statement of reasons if authorisation given 

23 

 

(3)  If the Digital ID Regulator imposes the condition authorising the 

24 

entity to collect or disclose a restricted attribute of an individual, 

25 

the Digital ID Regulator must publish on the Digital ID 

26 

Regulator's website a state

ment of reasons for giving the 

27 

authorisation. 

28 

19  Requirements before Accreditation Rules impose conditions 

29 

relating to restricted attributes or biometric information 

30 

of individuals 

31 

 

(1)  Subsection (2) applies if the Minister proposes to make 

32 

Accreditation Rules for the purposes of subsection 17(5) providing 

33 

that accredited entities, or specified kinds of accredited entities, are 

34 

authorised to: 

35 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 2 

 Accreditation 

 

Section 20 

 

24

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(a)  collect or disclose restricted attributes of individuals; or 

 

(b)  collect, use or disclose biometric information of individuals. 

Note: 

The Minister must also consult the Information Commissioner before 

making such rules (see paragraph 169(1)(b)). 

 

(2)  In deciding whether to make the rules, the Minister must have 

regard to the following matters: 

 

(a)  the potential harm that could result if the information were 

disclosed to an entity; 

 

(b)  community expectations about the collection, use or 

disclosure of the information; 

10 

 

(c)  if the collection or disclosure of the restricted attribute is 

11 

regulated by other legislative or regulatory requirements

--

12 

whether the entities would be able to comply with those 

13 

requirements if the rules were made; 

14 

 

(d)  any privacy impact assessment that has been conducted in 

15 

relation to the proposal to make the rules; 

16 

 

(e)  any other matter the Minister considers relevant. 

17 

20  Variation and revocation of conditions on accreditation 

18 

 

(1)  The Digital ID Regulator may vary or revoke a condition imposed 

19 

on an entity's accreditation under 

paragraph 17(2)(a): 

20 

 

(a)  at any time, on the Digital ID Regulato

r's own initiative; or

 

21 

 

(b)  on application by the entity under section 21; 

22 

if the Digital ID Regulator considers it is appropriate to do so. 

23 

 

(2)  Without limiting subsection (1), the Digital ID Regulator may have 

24 

regard to matters relating to the security, reliability and stability of 

25 

the Australian Government Digital ID System when considering 

26 

whether it is appropriate to vary or revoke a condition. 

27 

 

(3)  The Digital ID Regulator must revoke a condition imposed under 

28 

paragraph 17(2)(b) if the direction to impose the condition is 

29 

revoked. 

30 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Accreditation 

 Division 2

 

 

Section 21 

 

No.      , 2023

 

Digital ID Bill 2023

 

25

 

 

21  Applying for variation or revocation of conditions on 

accreditation 

 

(1)  An accredited entity may apply for a condition imposed on the 

entity's 

accreditation under paragraph 17(2)(a) to be varied or 

revoked. 

Note: 

See Part 5 of Chapter 9 for matters relating to applications. 

 

(2)  If, after receiving an application under subsection (1), the Digital 

ID Regulator refuses to vary or revoke a condition, the Digital ID 

Regulator must give to the entity written notice of the refusal, 

including reasons for the refusal. 

10 

22  Notice before changes to conditions on accreditation 

11 

 

(1) 

The Digital ID Regulator must not, on the Digital ID Regulator's 

12 

own initiative: 

13 

 

(a)  impose a condition under paragraph 17(2)(a) 

on an entity's 

14 

accreditation after the entity has been accredited; or 

15 

 

(b)  vary or revoke a condition under subsection 20(1); 

16 

unless the Digital ID Regulator has given the entity a written notice 

17 

in accordance with subsection (2) of this section. 

18 

 

(2)  The notice must: 

19 

 

(a)  state the proposed condition, variation or revocation; and 

20 

 

(b)  request the entity to give the Digital ID Regulator, within the 

21 

period specified in the notice, a written statement relating to 

22 

the proposed condition, variation or revocation. 

23 

 

(3)  The Digital ID Regulator must consider any written statement 

24 

given within the period specified in the notice before making a 

25 

decision to: 

26 

 

(a)  impose a condition under paragraph 17(2)(a) 

on an entity's 

27 

accreditation; or 

28 

 

(b)  vary or revoke a condition under subsection 20(1) on an 

29 

entity's accreditation.

 

30 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 2 

 Accreditation 

 

Section 23 

 

26

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(4)  This section does not apply if the Digital ID Regulator reasonably 

believes that the need to impose, vary or revoke the condition is 

serious and urgent. 

 

(5)  If this section does not apply to an entity because of subsection (4), 

the Digital ID Regulator must give a written statement of reasons 

to the entity as to why the Digital ID Regulator reasonably believes 

that the need to impose, vary or revoke the condition is serious and 

urgent. 

 

(6)  The statement of reasons under subsection (5) must be given within 

7 days after the condition is imposed, varied or revoked. 

10 

23  Notice of decision of changes to conditions on accreditation 

11 

 

(1)  Subject to subsection (2), the Digital ID Regulator must give an 

12 

entity written notice of a decision to impose, vary or revoke a 

13 

condition on an entity's accreditation.

 

14 

 

(2)  The Digital ID Regulator is not required to give an entity notice of 

15 

the decision if notice of the condition was given in a notice under 

16 

subsection 15(7). 

17 

 

(3)  The notice must: 

18 

 

(a)  state the condition or the variation, or state that the condition 

19 

is revoked; and 

20 

 

(b)  state the day on which the condition, variation or revocation 

21 

takes effect. 

22 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Varying, suspending and revoking accreditation 

 Division 3

 

 

Section 24 

 

No.      , 2023

 

Digital ID Bill 2023

 

27

 

 

Division

 

3--Varying, suspending and revoking 

accreditation

 

24  Varying accreditation 

 

  The Digital ID Regulator may vary the accreditation of an 

accredited entity to take account of a change in the accredited 

entity's name.

 

Note: 

The Digital ID Regulator can also vary conditions on accreditation 

(see section 20). 

25  Suspension of accreditation 

Digital ID Regulator must suspend accreditation 

if Minister's 

10 

direction about suspension is in force 

11 

 

(1)  The Digital ID Regulator must, in writing, suspend the 

12 

accreditation of an accredited entity if a direction under 

13 

subsection 27(1) directing the Digital ID Regulator to do so is in 

14 

force in relation to the entity. 

15 

Digital ID Regulator may decide to suspend accreditation in other 

16 

circumstances 

17 

 

(2)  The Digital ID Regulator may, in writing, suspend the 

18 

accreditation of an accredited entity if: 

19 

 

(a)  the Digital ID Regulator reasonably believes that the 

20 

accredited entity has contravened or is contravening this Act; 

21 

or 

22 

 

(b)  the Digital ID Regulator reasonably believes that there has 

23 

been a cyber security incident involving the entity; or 

24 

 

(c)  the Digital ID Regulator reasonably believes that a cyber 

25 

security incident involving the entity is imminent; or 

26 

 

(d)  if the entity is a body corporate

--

the entity becomes a 

27 

Chapter 5 body corporate (within the meaning of the 

28 

Corporations Act 2001

); or 

29 

 

(e)  the Digital ID Regulator is satisfied that it is not appropriate 

30 

for the entity to be an accredited entity; or 

31 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 3 

 Varying, suspending and revoking accreditation 

 

Section 25 

 

28

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(f)  circumstances specified in the Accreditation Rules apply in 

relation to the entity. 

Note: 

The Digital ID Regulator may impose conditions on an enti

ty's 

accreditation before suspending it (see paragraph 17(4)(g)) and can 

give directions to give effect to a decision to suspend an entity's 

accreditation (see paragraph 127(1)(b)). 

 

(3)  The reference to cyber security incident in paragraph (2)(b) does 

not include acts, events or circumstances covered by paragraph (b) 

or (d) of the definition of that term unless the Digital ID Regulator 

is satisfied that the attempts referred to in those paragraphs involve 

10 

an unacceptable risk to the provision of the entit

y's accredited 

11 

services. 

12 

 

(4)  In determining whether the Digital ID Regulator is satisfied of the 

13 

matter in paragraph (2)(e), regard may be had to whether the entity 

14 

is a fit and proper person. 

15 

Note: 

In having regard to whether an entity is a fit and proper person, the 

16 

Digital ID Regulator must have regard to any matters specified in the 

17 

Digital ID Rules and may have regard to any other matters considered 

18 

relevant (see section 12). 

19 

 

(5)  Subsection (4) does not limit paragraph (2)(e). 

20 

Digital ID Regulator may suspend accreditation on application 

21 

 

(6)  The Digital ID Regulator may, on application by an accredited 

22 

entity, suspend the accreditation of the entity. 

23 

Note: 

See Part 5 of Chapter 9 for matters relating to applications. 

24 

Show cause notice must generally be given before decision to 

25 

suspend 

26 

 

(7)  Before suspending the accreditation of an entity under 

27 

subsection (2), the Digital ID Regulator must give a written notice 

28 

(a 

show cause notice

) to the entity. 

29 

 

(8)  The show cause notice must: 

30 

 

(a)  state the grounds on which the Digital ID Regulator proposes 

31 

to suspend the entity's accreditation; and

 

32 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Varying, suspending and revoking accreditation 

 Division 3

 

 

Section 25 

 

No.      , 2023

 

Digital ID Bill 2023

 

29

 

 

 

(b)  invite the entity to give the Digital ID Regulator, within 28 

days after the day the notice is given, a written statement 

showing cause why the Digital ID Regulator should not 

suspend the accreditation. 

Exception

--

cyber security incident 

 

(9)  Subsection (7) does not apply if the suspension is on a ground 

mentioned in paragraph (2)(b) or (c). 

Notice of suspension 

 

(10)  If the Digital ID Regulator suspends 

an entity's a

ccreditation under 

subsection (1), (2) or (6), the Digital ID Regulator must give the 

10 

entity a written notice stating the following: 

11 

 

(a) 

that the entity's accreditation is suspended;

 

12 

 

(b)  if the entity is accredited as more than one kind of accredited 

13 

entity

--

the accreditation that is suspended; 

14 

 

(c)  the reasons for the suspension; 

15 

 

(d)  the day the suspension is to start; 

16 

 

(e)  if the accreditation is suspended for a period

--

the period of 

17 

the suspension; 

18 

 

(f)  if the accreditation is suspended until a specified event 

19 

occurs or action is taken

--

the event or action. 

20 

Effect of suspension 

21 

 

(11) 

If an entity's accreditation is suspended under 

this section: 

22 

 

(a)  the entity is taken not to be accredited while the suspension is 

23 

in force; and 

24 

 

(b)  if the entity holds an approval to participate in the Australian 

25 

Government Digital ID System as an accredited entity

--

the 

26 

entity is taken not to hold that 

approval while the entity's 

27 

accreditation is suspended. 

28 

Revocation of suspension 

29 

 

(12)  If the Digital ID Regulator suspends 

an entity's accreditation under 

30 

subsection (2), the Regulator may revoke the suspension by written 

31 

notice to the entity. 

32 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 3 

 Varying, suspending and revoking accreditation 

 

Section 26 

 

30

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(13) 

If the Digital ID Regulator suspends an entity's accreditation under 

subsection (6), the Regulator must revoke the suspension by 

written notice to the entity if the entity requests the suspension be 

revoked. 

 

(14)  A notice given under subsection (12) or (13) must specify the day 

the revocation takes effect. 

26  Revocation of accreditation 

Digital ID Regulator must revoke accreditation if Minister gives a 

direction to do so 

 

(1)  The Digital ID Regulator must, in writing, revoke the accreditation 

10 

of an accredited entity if the Minister gives a direction under 

11 

subsection 27(1) to do so. 

12 

Revocation on Digital ID Regulator's own initiativ

13 

 

(2) 

The Digital ID Regulator may, in writing, revoke an entity's 

14 

accreditation if: 

15 

 

(a)  the Digital ID Regulator reasonably believes that the 

16 

accredited entity has contravened or is contravening this Act; 

17 

or 

18 

 

(b)  the Digital ID Regulator reasonably believes that: 

19 

 

(i)  there has been a cyber security incident involving the 

20 

entity; and 

21 

 

(ii)  the cyber security incident is serious; or 

22 

 

(c)  if the entity is a body corporate

--

the entity becomes a 

23 

Chapter 5 body corporate (within the meaning of the 

24 

Corporations Act 2001

); or 

25 

 

(d)  the Digital ID Regulator is satisfied that it is not appropriate 

26 

for the entity to be an accredited entity; or 

27 

 

(e)  circumstances specified in the Accreditation Rules apply in 

28 

relation to the entity. 

29 

Note: 

The Digital ID Regulator may i

mpose conditions on an entity's 

30 

accreditation before revoking it (see paragraph 17(4)(g)) and can give 

31 

directions to give effect to a decision to revoke an entity's 

32 

accreditation (see paragraph 127(1)(b)). 

33 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Varying, suspending and revoking accreditation 

 Division 3

 

 

Section 26 

 

No.      , 2023

 

Digital ID Bill 2023

 

31

 

 

 

(3)  In determining whether the Digital ID Regulator is satisfied of the 

matter in paragraph (2)(d), regard may be had to whether the entity 

is a fit and proper person. 

Note: 

In having regard to whether an entity is a fit and proper person, the 

Digital ID Regulator must have regard to any matters specified in the 

Digital ID Rules and may have regard to any other matters considered 

relevant (see section 12). 

 

(4)  Subsection (3) does not limit paragraph (2)(d). 

Revocation on application 

 

(5)  The Digital ID Regulator must, on application by an entity, revoke 

10 

the entity's accreditation.

 

11 

Note: 

See Part 5 of Chapter 9 for matters relating to applications. 

12 

Date of effect 

13 

 

(6)  The revocation takes effect on the day determined by the Digital 

14 

ID Regulator. 

15 

Approval must also be revoked 

16 

 

(7)  If: 

17 

 

(a) 

an entity's accre

ditation is revoked under subsection (1), (2) 

18 

or (5); and 

19 

 

(b)  the entity holds an approval to participate in the Australian 

20 

Government Digital ID System; 

21 

the Digital ID Regulator must at the same time revoke the entity's 

22 

approval to participate as an accredited entity. 

23 

Show cause notice must generally be given before decision to 

24 

revoke 

25 

 

(8)  Before revoking the accreditation of an entity under subsection (2), 

26 

the Digital ID Regulator must give a written notice (a 

show cause 

27 

notice

) to the entity. 

28 

 

(9)  The show cause notice must: 

29 

 

(a)  state the grounds on which the Digital ID Regulator proposes 

30 

to revoke the entity's accreditation; and

 

31 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 3 

 Varying, suspending and revoking accreditation 

 

Section 26 

 

32

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(b)  invite the entity to give the Digital ID Regulator, within 28 

days after the day the notice is given, a written statement 

showing cause why the Digital ID Regulator should not 

revoke the accreditation. 

Exception

--

cyber security incident 

 

(10)  Subsection (8) does not apply if the revocation is on a ground 

mentioned in paragraph (2)(b). 

Notice of revocation 

 

(11)  If the Digital ID Regulator is to revoke 

an entity's accreditation 

under subsection (1), (2) or (5), the Digital ID Regulator must give 

10 

the entity a written notice stating the following: 

11 

 

(a) 

that the entity's accreditation is to be revoked;

 

12 

 

(b)  if the entity is accredited as more than one kind of accredited 

13 

entity

--

the accreditation that is to be revoked; 

14 

 

(c)  the reasons for the revocation; 

15 

 

(d)  the day the revocation is to take effect. 

16 

Accreditation can be revoked even while suspended 

17 

 

(12)  Despite paragraph 25(11)(a), the Digital ID Regulator may revoke 

18 

an entity's accreditation under this 

section even if a suspension is 

19 

in force under section 25 in relation to the entity. 

20 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Minister's directions regarding accreditation

 

 Division 4

 

 

Section 27 

 

No.      , 2023

 

Digital ID Bill 2023

 

33

 

 

Division

 

4--Minister's directions regarding accreditation

 

27  

Minister's directions regarding ac

creditation 

 

(1)  The Minister may, in writing, direct the Digital ID Regulator to do 

any of the following if, for reasons of security (within the meaning 

of the 

Australian Security Intelligence Organisation Act 1979

), 

including on the basis of an adverse or qualified security 

assessment in respect of a person, the Minister considers it 

appropriate to do so: 

 

(a)  refuse to accredit an entity; 

 

(b)  impose conditions on the accreditation of an entity; 

10 

 

(c)  suspend the accreditation of an accredited entity; 

11 

 

(d)  revoke the accreditation of an accredited entity. 

12 

 

(2)  If the Minister gives a direction under subsection (1), the Digital 

13 

ID Regulator must comply with the direction. 

14 

 

(3)  The direction remains in force unless it is revoked by the Minister. 

15 

The Minister must notify the Digital ID Regulator and the entity if 

16 

the Minister revokes the direction. 

17 

 

(4)  Despite subsection (3), a direction given under subsection (1) to 

18 

revoke the accreditation of an accredited entity cannot be revoked. 

19 

 

(5)  A direction given under this section is not a legislative instrument. 

20 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 5 

 Accreditation Rules 

 

Section 28 

 

34

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Division

 

5--Accreditation Rules

 

28  Accreditation Rules 

 

(1)  The Accreditation Rules must provide for and in relation to matters 

concerning the accreditation of entities. 

 

(2)  Without limiting subsection (1), the Accreditation Rules may deal 

with the following matters: 

 

(a)  requirements that entities must meet in order to become and 

remain an accredited entity, including requirements relating 

to the following: 

 

(i)  privacy; 

10 

 

(ii)  security; 

11 

 

(iii)  fraud control; 

12 

 

(iv)  incident management and reporting; 

13 

 

(v)  disaster recovery; 

14 

 

(vi)  user experience and inclusion; 

15 

 

(b)  without limiting paragraph (a), requirements relating to the 

16 

conduct of, and reporting on, privacy impact assessments, 

17 

fraud assessments and security assessments; 

18 

 

(c)  technical, data or design standards relating to the provision of 

19 

accredited services of accredited entities; 

20 

 

(d)  without limiting paragraph (c), standards relating to the 

21 

testing of the information technology systems of entities; 

22 

 

(e) 

the conduct of periodic reviews of an entity's compliance 

23 

with specified requirements of the Accreditation Rules, 

24 

including the timing of such reviews, who is to conduct such 

25 

reviews and the provision of reports about such reviews to 

26 

the Digital ID Regulator; 

27 

 

(f)  the obligations of accredited entities in relation to monitoring 

28 

their compliance with this Act; 

29 

 

(g)  requirements relating to the collection, holding, use and 

30 

disclosure of personal information of individuals; 

31 

Accreditation 

 Chapter 2

 

Accreditation  

Part 2

 

Accreditation Rules 

 Division 5

 

 

Section 28 

 

No.      , 2023

 

Digital ID Bill 2023

 

35

 

 

 

(h)  matters relating to representatives or nominees of individuals 

in relation to the creation, maintenance or deactivation of 

digital IDs of individuals; 

 

(i)  requirements or restrictions relating to the generation of 

digital IDs for children. 

Note: 

In relation to subparagraph (2)(a)(iv), the Digital ID Rules may also 

provide for such arrangements in relation to incidents that occur 

within the Australian Government Digital ID System (see 

subsection 78(1)). 

Chapter 2 

 Accreditation 

Part 2 

 Accreditation 

Division 6 

 Other matters relating to accreditation 

 

Section 29 

 

36

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Division

 

6--Other matters relating to accreditation

 

29  Digital IDs must be deactivated on request 

 

(1)  This section applies if an accredited identity service provider 

generates a digital ID of an individual. 

 

(2)  The accredited identity service provider must, if requested to do so 

by the individual, deactivate the digital ID of the individual as soon 

as practicable after receiving the request. 

30  Accredited services must be accessible and inclusive 

 

(1)  The Accreditation Rules must provide for and in relation to 

requirements relating to the accessibility and useability of the 

10 

accredited services of accredited entities. 

11 

 

(2)  Without limiting subsection (1), the Accreditation Rules may deal 

12 

with the following matters: 

13 

 

(a)  requirements to comply with accessibility standards or 

14 

guidelines; 

15 

 

(b)  requirements relating to useability testing; 

16 

 

(c)  requirements relating to device or browser access. 

17 

31  Prohibition on holding out that an entity is accredited 

18 

 

  An entity must not hold out that the entity is an accredited entity if 

19 

that is not the case. 

20 

Civil penalty: 

1,000 penalty units. 

21 

Privacy 

 Chapter 3

 

Introduction  

Part 1

 

 

 

 

 

Section 32 

 

No.      , 2023

 

Digital ID Bill 2023

 

37

 

 

Chapter

 

3--Privacy

 

Part

 

1--Introduction

 

   

32  Simplified outline of this Chapter 

When providing accredited services, accredited entities must 

comply with certain privacy safeguards. These safeguards are in 

addition to, and build on, the safeguards contained in the 

Privacy 

Act 1988

An accredited entity may be liable to a civil penalty if certain 

privacy safeguards are breached, such as collecting certain 

10 

attributes of individuals such as their political opinions or racial 

11 

origin. There are restrictions on collecting, using or disclosing 

12 

biometric information of individuals and on data profiling to track 

13 

online behaviour is prohibited. 

14 

33  Chapter applies to accredited entities only to extent entity is 

15 

providing accredited services 

16 

 

  This Chapter applies to an accredited entity only to the extent the 

17 

entity is providing its accredited services. 

18 

34  APP-equivalent agreements 

19 

 

(1)  The Minister may, on behalf of the Commonwealth, enter into an 

20 

agreement (an 

APP-equivalent agreement

) with an entity covered 

21 

by subsection (2) that prohibits the entity from collecting, holding, 

22 

using or disclosing personal information in any way that would, if 

23 

the entity were an organisation within the meaning of the

 Privacy 

24 

Act 1988

, breach an Australian Privacy Principle. 

25 

 

(2)  The entities are as follows: 

26 

 

(a)  a department or authority of a State; 

27 

 

(b)  a department or authority of a Territory. 

28 

Chapter 3 

 Privacy 

Part 1 

 Introduction 

 

  

 

Section 34 

 

38

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(3)  The Minister must provide the Information Commissioner with a 

copy of an APP-equivalent agreement within 14 days after it is 

entered into. 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Interaction with the Privacy Act 1988 

 Division 1

 

 

Section 35 

 

No.      , 2023

 

Digital ID Bill 2023

 

39

 

 

Part

 

2--Privacy

 

Division

 

1--Interaction with the Privacy Act 1988

 

35  Extended meaning of 

personal information

 in relation to 

accredited entities 

 

  To the extent not already covered by the definition of 

personal 

information

 

within the 

Privacy Act 1988

, attributes of individuals, 

to the extent that they are in the possession or control of accredited 

entities, are taken, for the purposes of that Act, to be personal 

information about an individual. 

Note 1: 

This section has the effect of extending the meaning of personal 

10 

information in the 

Privacy Act 1988

 as it applies to accredited entities 

11 

to mirror the meaning of that term as it is used in this Act (see 

12 

section 9). 

13 

Note 2: 

This means that the requirements in the 

Privacy Act 1988

 about 

14 

collecting, using and disclosing personal information under that Act 

15 

extend to attributes of individuals to the extent that information is in 

16 

the possession or control of accredited entities. However, this applies 

17 

only to the extent the information is collected, used or disclosed when 

18 

those entities are providing their accredited services (see section 33). 

19 

36  Privacy obligations for non-APP entities 

20 

 

(1)  This section applies to an accredited entity that is not an APP 

21 

entity. 

22 

Note: 

The obligations of accredited entities that are APP entities in relation 

23 

to the handling of personal information are set out in the 

Privacy Act 

24 

1988

25 

 

(2)  The accredited entity must not do an act or engage in a practice 

26 

with respect to personal information unless: 

27 

 

(a)  the 

Privacy Act 1988

 applies in relation to the act or practice 

28 

as if the entity were an organisation within the meaning of 

29 

that Act; or 

30 

 

(b)  a law of a State or Territory that provides for all of the 

31 

following applies in relation to the act or practice: 

32 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 1 

 Interaction with the Privacy Act 1988 

 

Section 37 

 

40

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(i)  protection of personal information comparable to that 

provided by the Australian Privacy Principles; 

 

(ii)  monitoring of compliance with the law; 

 

(iii)  a means for an individual to seek recourse if the 

individual's personal information is dealt with in a way 

contrary to the law; or 

 

(c)  all of the following apply: 

 

(i)  neither paragraph (a) nor (b) apply to the acts or 

practices of the entity; 

 

(ii)  the entity has an APP-equivalent agreement with the 

10 

Commonwealth; 

11 

 

(iii)  the agreement includes a term that prohibits the entity 

12 

from collecting, holding, using or disclosing personal 

13 

information in any way that would, if the entity were an 

14 

organisation within the meaning of the 

Privacy Act 

15 

1988

, breach an Australian Privacy Principle. 

16 

37  Contraventions of privacy obligations in APP-equivalent 

17 

agreements 

18 

 

(1)  This section applies to an entity if the entity has an APP-equivalent 

19 

agreement with the Commonwealth. 

20 

 

(2)  An act or practice of the entity that contravenes a term of the 

21 

agreement in relation to an individual and collecting, holding, 

22 

using or disclosing their personal information is taken to be: 

23 

 

(a)  an interference with the privacy of the individual for the 

24 

purposes of the 

Privacy Act 1988

; and 

25 

 

(b)  covered by sections 13 and 13G of that Act. 

26 

Note: 

An act or practice that is, or may be, an interference with privacy may 

27 

be the subject of a complaint under section 36 of the 

Privacy Act 

28 

1988

29 

 

(3)  The entity is taken, for the purposes of Part V of the 

Privacy Act 

30 

1988

 and any other provision of that Act that relates to that Part, to 

31 

be an organisation (within the meaning of that Act) if: 

32 

 

(a)  an act or practice of the entity has contravened, or may have 

33 

contravened, the term of the agreement in relation to an 

34 

individual; and 

35 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Interaction with the Privacy Act 1988 

 Division 1

 

 

Section 38 

 

No.      , 2023

 

Digital ID Bill 2023

 

41

 

 

 

(b)  the act or practice is the subject of a complaint to, or an 

investigation by, the Information Commissioner under Part V 

of the 

Privacy Act 1988

 

(4)  Sections 80V and 80W of the 

Privacy Act 1988

 apply in relation to 

the term of the agreement as if the term were a provision of that 

Act. 

38  Contraventions of Division 2 are interferences with privacy 

 

(1)  An act or practice of an accredited entity that contravenes a 

provision of Division 2 of this Part in relation to personal 

information about an individual is taken to be: 

10 

 

(a)  an interference with the privacy of the individual for the 

11 

purposes of the 

Privacy Act 1988

; and 

12 

 

(b)  covered by sections 13 and 13G of that Act. 

13 

Note: 

An act or practice that is, or may be, an interference with privacy may 

14 

be the subject of a complaint under section 36 of the 

Privacy Act 

15 

1988

16 

 

(2)  The respondent to a complaint under the 

Privacy Act 1988

 about 

17 

the act or practice, other than an act or practice of an agency or 

18 

organisation, is the entity that engaged in the act or practice. 

19 

 

(3)  The entity is taken, for the purposes of Part V of the 

Privacy Act 

20 

1988

 and any other provision of that Act that relates to that Part, to 

21 

be an organisation if: 

22 

 

(a)  the act or practice of the entity that contravenes a provision 

23 

of Division 2 of this Part is the subject of a complaint to, or 

24 

an investigation by, the Information Commissioner under 

25 

Part V of the 

Privacy Act 1988

; and 

26 

 

(b)  the entity is not an agency or organisation. 

27 

 

(4)  In this section: 

28 

agency

 has the same meaning as in the 

Privacy Act 1988

29 

organisation

 has the same meaning as in the 

Privacy Act 1988

30 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 1 

 Interaction with the Privacy Act 1988 

 

Section 39 

 

42

 

Digital ID Bill 2023

 

No.      , 2023

 

 

39  Notification of eligible data breaches

--

accredited entities that are 

APP entities 

 

(1)  This section applies to an accredited entity if the entity: 

 

(a)  is an APP entity; and 

 

(b)  is aware that there are reasonable grounds to believe that 

there has been an eligible data breach (within the meaning of 

the 

Privacy Act 1988

) of the entity relating to the 

entity's 

accredited services; and 

 

(c)  is required under section 26WK of the 

Privacy Act 1988

 to 

give the Information Commissioner a statement that complies 

10 

with subsection 26WK(3) of that Act. 

11 

 

(2)  The entity must also give a copy of the statement to the Digital ID 

12 

Regulator at the same time as the statement is given to the 

13 

Information Commissioner. 

14 

40  Notification of eligible data breaches

--

accredited entities that are 

15 

not APP entities 

16 

 

(1)  This section applies to an accredited entity that is not an APP 

17 

entity. 

18 

 

(2)  Despite subsection (1), this section does not apply to an accredited 

19 

entity if: 

20 

 

(a)  the entity is a department or authority of a State or Territory; 

21 

and 

22 

 

(b)  a law of the State or Territory provides for a scheme for the 

23 

notification of data breaches that: 

24 

 

(i)  covers the entity; and 

25 

 

(ii)  is comparable to the scheme provided for in Part IIIC of 

26 

the 

Privacy Act 1988

27 

Note: 

See section 41 for requirements in relation to these entities. 

28 

 

(3)  Part IIIC of the 

Privacy Act 1988

, and any other provision of that 

29 

Act that relates to that Part, apply in relation to the accredited 

30 

entity as if the entity were an APP entity. 

31 

 

(4)  If: 

32 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Interaction with the Privacy Act 1988 

 Division 1

 

 

Section 41 

 

No.      , 2023

 

Digital ID Bill 2023

 

43

 

 

 

(a)  the accredited entity is aware that there are reasonable 

grounds to believe that there has been an eligible data breach 

(within the meaning of the 

Privacy Act 1988

) of the entity 

relating to the 

entity's accredited services

; and 

 

(b)  because of the operation of subsection (3) of this section, the 

entity is required under section 26WK of that Act to give the 

Information Commissioner a statement that complies with 

subsection 26WK(3) of that Act; 

the entity must also give a copy of the statement to the Digital ID 

Regulator at the same time as the statement is given to the 

10 

Information Commissioner. 

11 

41  Notification of corresponding data breaches

--

accredited State or 

12 

Territory entities that are not APP entities 

13 

 

(1)  This section applies to an accredited entity if: 

14 

 

(a)  the entity is not an APP entity; and 

15 

 

(b)  the entity is a department or authority of a State or Territory; 

16 

and 

17 

 

(c)  the entity is required under a law of the State or Territory to 

18 

give a statement (however described) that corresponds to 

19 

section 26WK of the 

Privacy Act 1988

 to another entity (the 

20 

notified entity

); and 

21 

 

(d)  the statement relates to the accredited services of the entity. 

22 

 

(2)  The entity must also give a copy of the statement to the Digital ID 

23 

Regulator and the Information Commissioner at the same time as 

24 

the statement is given to the notified entity. 

25 

42  Additional function of the Information Commissioner 

26 

 

 

In addition to the Information Commissioner's functions under the 

27 

Privacy Act 1988

, the Information Commissioner has the function 

28 

of providing advice, on request by the Digital ID Regulator, on 

29 

matters relating to the operation of this Act. 

30 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 1 

 Interaction with the Privacy Act 1988 

 

Section 43 

 

44

 

Digital ID Bill 2023

 

No.      , 2023

 

 

43  Information Commissioner may share information 

 

  Sections 33A and 33B of the 

Privacy Act 1988

 apply as if a 

reference in those sections to that Act included a reference to this 

Act. 

Note: 

Sections 33A and 33B of the 

Privacy Act 1988

 allow the Information 

Commissioner to share information acquired in the course of 

exercising powers, or performing functions or duties, under that Act in 

certain circumstances. 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 44 

 

No.      , 2023

 

Digital ID Bill 2023

 

45

 

 

Division

 

2--Additional privacy safeguards

 

44  Collection of certain attributes of individuals is prohibited 

 

(1)  An accredited entity must not collect any of the following 

attributes of an individual: 

 

(a) 

information or an opinion about an individual's racial or 

ethnic origin; 

 

(b)  information or an opinion 

about an individual's political 

opinions; 

 

(c)  information or an opinion 

about an individual's membership 

of a political association; 

10 

 

(d)  information or an opinion 

about an individual's religious 

11 

beliefs or affiliations; 

12 

 

(e)  information or an opinion 

about an individual's philosophical 

13 

beliefs; 

14 

 

(f)  information or an opinion 

about an individual's sexual 

15 

orientation or practices. 

16 

Civil penalty: 

1,500 penalty units. 

17 

 

(2)  Subsection (1) does not apply if the accredited entity: 

18 

 

(a)  did not solicit the attribute of the individual; and 

19 

 

(b)  destroys the attribute, as soon as practicable, after becoming 

20 

aware the accredited entity has collected the attribute. 

21 

Note: 

A person who wishes to rely on this subsection bears an evidential 

22 

burden in relation to the matters in this subsection (see section 96 of 

23 

the Regulatory Powers Act). 

24 

 

(3)  Subsection (1) does not prevent other kinds of attributes (

permitted 

25 

attributes

) of individuals from being collected if the permitted 

26 

attributes are not primarily of the kind described in subsection (1), 

27 

even if attributes of the kind described in that subsection can 

28 

reasonably be inferred from the permitted attributes. 

29 

Example: 

Even if an individual's racial or ethnic origin can reasonably be

 

30 

inferred from the individual's name or place of birth, this does not 

31 

prevent the individual's name or place of birth from being 

collected. 

32 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 45 

 

46

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(4)  In this section: 

solicits

: an accredited entity 

solicits

 an attribute of an individual if 

the accredited entity requests another entity to provide the attribute, 

or to provide information that includes the attribute. 

45  Individuals must expressly consent to disclosure of certain 

attributes of individuals to relying parties 

 

  When verifying the identity of an individual or authenticating a 

digital ID of, or information about, an individual to a relying party, 

an accredited entity must not disclose any of the following 

attributes of the individual to the relying party without the express 

10 

consent of the individual: 

11 

 

(a) 

the individual's 

current name or former name; 

12 

 

(b) 

the individual's address;

 

13 

 

(c) 

the individual's date of birth;

 

14 

 

(d) 

the individual's phone number;

 

15 

 

(e) 

the individual's email address;

 

16 

 

(f)  an attribute of a kind prescribed by the Accreditation Rules. 

17 

Civil penalty: 

1,500 penalty units. 

18 

46  Disclosure of restricted attributes of individuals 

19 

 

(1)  When verifying the identity of an individual or authenticating a 

20 

digital ID of, or information about, an individual to a relying party, 

21 

an accredited entity must not disclose a restricted attribute of the 

22 

individual to the relying party without the express consent of the 

23 

individual. 

24 

Civil penalty: 

1,500 penalty units. 

25 

 

(2)  An accredited entity must not disclose a restricted attribute of an 

26 

individual to a relying party that is not a participating relying party 

27 

i

f the accredited entity's conditions o

n accreditation do not include 

28 

an authorisation to disclose the restricted attribute to the relying 

29 

party. 

30 

Civil penalty: 

1,500 penalty units. 

31 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 47 

 

No.      , 2023

 

Digital ID Bill 2023

 

47

 

 

47  Restricting disclosure of unique identifiers 

 

(1)  This section applies if: 

 

(a)  an accredited entity (the 

assigning entity

) assigns a unique 

identifier to an individual within a digital ID system; and 

 

(b)  the assigning entity discloses the unique identifier to another 

accredited entity or to a relying party. 

 

(2)  The assigning entity must not disclose the unique identifier to any 

other entity other than: 

 

(a)  if the unique identifier was disclosed to another accredited 

entity

--

the other accredited entity; or 

10 

 

(b)  if the unique identifier was disclosed to a relying party

--

the 

11 

relying party. 

12 

Civil penalty: 

1,500 penalty units. 

13 

 

(3)  The accredited entity to whom the unique identifier is disclosed 

14 

must not disclose the unique identifier to any other entity. 

15 

Civil penalty: 

1,500 penalty units. 

16 

 

(4)  Subsections (2) and (3) do not apply if the disclosure of the unique 

17 

identifier is for one or more of the following purposes: 

18 

 

(a)  detecting, reporting or investigating a contravention, or an 

19 

alleged contravention, of a provision of this Act; 

20 

 

(b)  conducting proceedings in relation to a contravention, or an 

21 

alleged contravention, of a civil penalty provision of this Act; 

22 

 

(c)  detecting, reporting or investigating either of the following 

23 

within a digital ID system: 

24 

 

(i)  a digital ID fraud incident; 

25 

 

(ii)  a cyber security incident: 

26 

 

(d)  conducting an assessment of the matter referred to in 

27 

paragraph 33C(1)(g) of the 

Privacy Act 1988

 (about 

28 

assessments by the Information Commissioner in relation to 

29 

the handling and maintenance of personal information in 

30 

accordance with certain aspects of this Act); 

31 

 

(e)  detecting, reporting, investigating or prosecuting an offence 

32 

against a law of the Commonwealth, a State or a Territory. 

33 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 48 

 

48

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Note: 

A person who wishes to rely on this subsection bears an evidential 

burden in relation to the matter mentioned in this subsection (see 

section 96 of the Regulatory Powers Act). 

 

(5)  Subsections (2) and (3) also do not apply if the disclosure of the 

unique identifier is: 

 

(a)  to a contractor engaged by the accredited entity; and 

 

(b)  for the purposes of the contractor providing an accredited 

service, or part of an accredited service, of the accredited 

entity. 

Note: 

A person who wishes to rely on this subsection bears an evidential 

10 

burden in relation to the matter mentioned in this subsection (see 

11 

section 96 of the Regulatory Powers Act). 

12 

 

(6)  Subsections (2) and (3) also do not apply if the unique identifier is 

13 

disclosed to another entity if the other entity is facilitating access to 

14 

the entity for whom the unique identifier was created. 

15 

Note: 

A person who wishes to rely on this subsection bears an evidential 

16 

burden in relation to the matter mentioned in this subsection (see 

17 

section 96 of the Regulatory Powers Act). 

18 

48  Restrictions on collecting, using and disclosing biometric 

19 

information 

20 

 

(1)  An accredited entity may collect, use or disclose biometric 

21 

information of an individual only if: 

22 

 

(a)  the collection, use or disclosure is authorised under 

23 

section 49 or 50; and 

24 

 

(b)  unless the collection, use or disclosure is authorised under 

25 

paragraph 49(3)(a) or subsection 49(5), (6) or (8)

--

the 

26 

individual to whom the information relates has expressly 

27 

consented to the collection, use or disclosure of the biometric 

28 

information. 

29 

Civil penalty: 

1,500 penalty units. 

30 

 

(2)  An accredited entity may retain biometric information of an 

31 

individual only if the retention is authorised under section 49 or 50. 

32 

Note: 

Section 51 contains rules about destruction of biometric information 

33 

that has been retained under section 49. 

34 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 49 

 

No.      , 2023

 

Digital ID Bill 2023

 

49

 

 

Civil penalty: 

1,500 penalty units. 

 

(3)  To avoid doubt, and without limiting subsection (1), an accredited 

entity must not: 

 

(a)  collect, use or disclose biometric information of an individual 

for the purpose of one-to-many matching of the individual; or 

 

(b)  collect, use or disclose biometric information of an individual 

to determine whether the individual has multiple digital IDs. 

 

(4) 

One-to-many matching

 means the process of comparing a kind of 

biometric information of an individual against that kind of 

biometric information of individuals generally to identify the 

10 

particular individual. 

11 

49  Authorised collection, use and disclosure of biometric 

12 

information of individuals

--

general rules 

13 

 

(1)  An accredited entity is authorised to collect, use or disclose 

14 

biometric information of an individual if: 

15 

 

(a)  the accredited 

entity's conditions on accreditation authorise 

16 

the collection, use, or disclosure of the biometric 

17 

information; and 

18 

 

(b)  the biometric information of the individual is collected, used 

19 

or disclosed for the purposes of the accredited entity doing 

20 

either or both of the following: 

21 

 

(i)  verifying the identity of the individual; 

22 

 

(ii)  authenticating the individual to their digital ID. 

23 

 

(2)  An accredited entity is authorised to collect, use or disclose 

24 

biometric information of an individual if: 

25 

 

(a)  the biometric information is contained in a verifiable 

26 

credential that is in control of the individual; and 

27 

 

(b)  the Accreditation Rules prescribe requirements relating to the 

28 

collection, use or disclosure of the biometric information; 

29 

and 

30 

 

(c)  the collection, use or disclosure complies with those 

31 

requirements. 

32 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 49 

 

50

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(3)  An accredited entity is authorised to disclose biometric information 

of an individual to a law enforcement agency (within the meaning 

of the 

Australian Crime Commission Act 2002

) only if: 

 

(a)  the disclosure of the information is required or authorised by 

or under a warrant issued under a law of the Commonwealth, 

a State or a Territory; or 

 

(b)  the information is disclosed with the express consent of the 

individual to whom the biometric information relates, or 

purports to relate, and the disclosure is for the purpose of: 

 

(i)  verifying the identity of the individual; or 

10 

 

(ii)  investigating or prosecuting an offence against a law of 

11 

the Commonwealth, a State or a Territory. 

12 

 

(4)  Subsection (3) applies despite: 

13 

 

(a)  any law of the Commonwealth, a State or a Territory 

14 

(whether enacted or made before or after this subsection); or 

15 

 

(b)  a warrant (other than a warrant of a kind mentioned in 

16 

paragraph (3)(a)), authorisation or order issued under such a 

17 

law. 

18 

 

(5)  An accredited entity is authorised to disclose biometric information 

19 

of an individual if the disclosure is to the individual to whom the 

20 

biometric information relates. 

21 

 

(6)  An accredited entity is authorised to retain, use or disclose 

22 

biometric information of an individual if: 

23 

 

(a)  the accredited entity collected the information in accordance 

24 

with subsection (1); and 

25 

 

(b)  the information is retained, used or disclosed for the purposes 

26 

of undertaking testing in relation to the information; and 

27 

 

(c)  the entity complies with any requirements prescribed by the 

28 

Accreditation Rules. 

29 

 

(7)  Without limiting paragraph (6)(c), Accreditation Rules made for 

30 

the purposes of that paragraph may prescribe requirements in 

31 

relation to the following matters: 

32 

 

(a)  the purposes for which testing may be undertaken; 

33 

 

(b)  the kinds of testing that may be undertaken using biometric 

34 

information; 

35 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 50 

 

No.      , 2023

 

Digital ID Bill 2023

 

51

 

 

 

(c)  the circumstances in which testing of the biometric 

information may be undertaken; 

 

(d)  the manner in which the biometric information that has been 

retained for testing must be destroyed; 

 

(e)  the preparation, content, approval and implementation of 

ethics plans relating to the testing of the biometric 

information; 

 

(f)  obtaining express consent of individuals to whom the 

biometric information relates; 

 

(g)  reporting of testing results to the Digital ID Regulator. 

10 

 

(8)  An accredited entity is authorised to retain, use or disclose 

11 

biometric information of an individual if: 

12 

 

(a)  the entity collected the information in accordance with 

13 

subsection (1); and 

14 

 

(b)  the information is retained, used or disclosed for the purposes 

15 

of preventing or investigating a digital ID fraud incident; and 

16 

 

(c)  the entity complies with any requirements prescribed by the 

17 

Accreditation Rules. 

18 

 

(9)  Without limiting paragraph (8)(c), Accreditation Rules made for 

19 

the purposes of that paragraph may prescribe requirements in 

20 

relation to the following matters: 

21 

 

(a)  the manner in which biometric information that has been 

22 

retained for preventing or investigating digital ID fraud 

23 

incidents must be destroyed; 

24 

 

(b)  the reporting of fraud prevention or investigation activities to 

25 

the Digital ID Regulator. 

26 

50  Accredited entities may collect etc. biometric information for 

27 

purposes of government identity documents 

28 

 

(1)  This section applies if: 

29 

 

(a)  an accredited entity collects biometric information of an 

30 

individual under subparagraph 49(1)(b)(i) for the purpose of 

31 

verifying the identity of the individual; and 

32 

 

(b)  the accredited entity has verified that the biometric 

33 

information is legitimate. 

34 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 50 

 

52

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Note: 

Because this Chapter applies to an entity only to the extent that the 

entity is providing accredited services (see section 33), this 

section does not affect information collected, held etc. by the entity in 

its capacity as the issuer of the document or other credential. 

 

(2)  If the entity is covered by subsection (3), the entity may collect, 

use, disclose or retain the biometric information for the purposes of 

issuing a document or other credential that: 

 

(a)  contains personal information about the individual; and 

 

(b)  the individual has expressly consented to the issue of; and 

 

(c) 

can be used to assist the individual to prove the individual's 

10 

age or identity or a permission or authorisation that the 

11 

individual holds; and 

12 

 

(d)  is issued by or on behalf of the entity. 

13 

 

(3)  The entities covered by this subsection are as follows: 

14 

 

(a)  a body corporate incorporated by or under a law of the 

15 

Commonwealth or a State or Territory; 

16 

 

(b)  a Commonwealth entity, or a Commonwealth company, 

17 

within the meaning of the 

Public Governance, Performance 

18 

and Accountability Act 2013

19 

 

(c)  a person or body that is an agency within the meaning of the 

20 

Freedom of Information Act 1982

21 

 

(d)  a body specified, or the person holding an office specified, in 

22 

Part I of Schedule 2 to the 

Freedom of Information Act 1982

23 

 

(e)  a department or authority of a State; 

24 

 

(f)  a department or authority of a Territory. 

25 

 

(4)  Subsection (2) applies despite anything else in this Division. 

26 

 

(5)  If: 

27 

 

(a)  the entity (the 

first entity

) is not covered by subsection (3); 

28 

and 

29 

 

(b)  the first entity has a written agreement with another entity 

30 

(the 

government entity

) that is covered by that subsection; 

31 

and 

32 

 

(c)  the agreement provides for the first entity to disclose the 

33 

biometric information of the individual to the government 

34 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 51 

 

No.      , 2023

 

Digital ID Bill 2023

 

53

 

 

entity for the purposes of issuing a document or other 

credential that: 

 

(i)  contains personal information about the individual; and 

 

(ii)  the individual has expressly consented to the issue of; 

and 

 

(iii)  can be used to assist the individual to prove the 

individual's age or identity or a permission or 

authorisation that the individual holds; and 

 

(iv)  is issued by or on behalf of the entity; 

the entity may disclose the biometric information in accordance 

10 

with the agreement if the disclosure occurs within 14 days after the 

11 

biometric information is collected. 

12 

51  Destruction of biometric information of individuals 

13 

 

(1)  Subject to subsections (2), (3), (4) and (5), if an accredited entity 

14 

collects biometric information of an individual for the purposes of 

15 

verifying an individual's identity

 only, the provider must destroy 

16 

the information immediately after the verification is complete. 

17 

Civil penalty: 

1,500 penalty units. 

18 

 

(2)  Subject to subsections (3), (4) and (5), if: 

19 

 

(a)  an accredited entity collects biometric information of an 

20 

individual; and 

21 

 

(b)  the information is collected for the purposes of authenticating 

22 

the individual to their digital ID (regardless of whether that 

23 

information is also collected for the purposes of verifying the 

24 

individual's identity

); and 

25 

 

(c)  the individual has not given express consent for that 

26 

information to be retained for the purposes of further 

27 

authenticating of the individual to their digital ID; 

28 

the provider must destroy the information immediately after the 

29 

authentication is complete. 

30 

Civil penalty: 

1,500 penalty units. 

31 

 

(3)  Subject to subsections (4) and (5), if: 

32 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 52 

 

54

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(a)  an accredited entity collects biometric information of an 

individual with the express consent of the individual to 

whom the information relates; and 

 

(b)  the information is collected for the purposes of authenticating 

the individual to their digital ID; and 

 

(c)  the individual withdraws their consent; 

the accredited entity must destroy the information immediately 

after the consent is withdrawn. 

 

(4)  If an accredited entity retains biometric information of an 

individual in accordance with subsection 49(6) (about testing), the 

10 

accredited entity must destroy the information at the earlier of: 

11 

 

(a)  the completion of testing the information; and 

12 

 

(b)  14 days after the entity collects the information. 

13 

Civil penalty: 

1,500 penalty units. 

14 

 

(5)  If an accredited entity retains biometric information of an 

15 

individual in accordance with subsection 49(8) (about preventing 

16 

investigating digital ID fraud incidents), the accredited entity must 

17 

destroy the information at the earlier of: 

18 

 

(a)  immediately after the completion of activities relating to the 

19 

prevention or investigation of the digital ID fraud incident (as 

20 

the case may be); and 

21 

 

(b)  14 days after the entity collects the information. 

22 

Civil penalty: 

1,500 penalty units. 

23 

52  Other rules relating to biometric information 

24 

 

(1)  The Accreditation Rules may provide for and in relation to the 

25 

collection, use, disclosure, storage or destruction of biometric 

26 

information of individuals by accredited entities. 

27 

 

(2)  Without limiting subsection (1), the Accreditation Rules may 

28 

provide for requirements relating to quality, security or fraud. 

29 

53  Data profiling to track online behaviour is prohibited 

30 

 

(1)  An accredited entity must not use or disclose information if: 

31 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 54 

 

No.      , 2023

 

Digital ID Bill 2023

 

55

 

 

 

(a)  the information is personal information about an individual 

that is in the entity's possession or control; and

 

 

(b)  the information is any of the following: 

 

(i)  information about the services provided by the entity 

that the individual has accessed, or attempted to access; 

 

(ii)  information relating to how or when access was 

obtained or attempted to be obtained by the individual; 

 

(iii)  information relating to the method of access or 

attempted access by the individual; 

 

(iv) 

the date and time the individual's identity was verified.

 

10 

Civil penalty: 

1,500 penalty units. 

11 

 

(2)  Subsection (1) applies even if the individual has consented to the 

12 

use or disclosure. 

13 

 

(3)  However, subsection (1) does not apply if the use or disclosure: 

14 

 

(a)  is for purposes relating to the provision the 

entity's 

15 

accredited services (including improving the performance or 

16 

useability of the entity's information technology systems 

17 

through which those services are provided); or 

18 

 

(b)  is for the purposes of the entity complying with this Act; or 

19 

 

(c)  is required or authorised by or under a law of the 

20 

Commonwealth, a State or a Territory. 

21 

Note: 

A person who wishes to rely on this subsection bears an evidential 

22 

burden in relation to the matter mentioned in this subsection (see 

23 

section 96 of the Regulatory Powers Act). 

24 

54  Certain personal information must not be used or disclosed for 

25 

prohibited enforcement purposes 

26 

 

(1)  An accredited entity must not use or disclose personal information 

27 

of an individual t

hat is in the entity's possession or control 

for the 

28 

purposes of enforcement related activities conducted by, or on 

29 

behalf of, an enforcement body unless: 

30 

 

(a)  the personal information is not biometric information of the 

31 

individual; and 

32 

 

(b)  any of the following apply: 

33 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 54 

 

56

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(i)  at the time the information is used or disclosed, the 

accredited entity is satisfied that the enforcement body 

has started proceedings against a person for an offence 

against a law of the Commonwealth, a State or a 

Territory; 

 

(ii)  at the time the information is used or disclosed, the 

accredited entity is satisfied that the enforcement body 

has started proceedings against a person in relation to a 

breach of a law imposing a penalty or sanction; 

 

(iii)  the disclosure of the information is required or 

10 

authorised by or under a warrant issued under a law of 

11 

the Commonwealth, a State or a Territory; 

12 

 

(iv)  the information is used or disclosed for the purposes of 

13 

reporting a suspected or actual digital ID fraud incident 

14 

or suspected or actual cyber security incident; 

15 

 

(v)  the information is used or disclosed by the accredited 

16 

entity for the purposes of complying with this Act; 

17 

 

(vi)  the information is disclosed with the express consent of 

18 

the individual to whom the personal information relates, 

19 

or purports to relate, and the disclosure is for the 

20 

purpose of verifying the identity of the individual, or 

21 

investigating or prosecuting an offence against a law of 

22 

the Commonwealth, a State or a Territory. 

23 

Civil penalty: 

1,500 penalty units. 

24 

 

(2)  Subsection (1) does not apply in relation to enforcement related 

25 

activities conducted by, or on behalf of, an enforcement body 

26 

under, or for the purpose of, this Act or the 

Privacy Act 1988

27 

 

(3)  Despite section 96 of the Regulatory Powers Act, in proceedings 

28 

for a civil penalty order against a person for a contravention of 

29 

subsection (1), the person does not bear an evidential burden in 

30 

relation to the matter in subparagraphs (1)(b)(i) to (vi) or 

31 

subsection (2). 

32 

 

(4)  This section applies despite: 

33 

 

(a)  section 86E of the 

Crimes Act 1914

 (about disclosure of 

34 

personal information to certain entities for integrity 

35 

purposes); and 

36 

Privacy 

 Chapter 3

 

Privacy  

Part 2

 

Additional privacy safeguards 

 Division 2

 

 

Section 55 

 

No.      , 2023

 

Digital ID Bill 2023

 

57

 

 

 

(b)  any other law of the Commonwealth, a State or a Territory, 

whether enacted or made before or after the commencement 

of this section. 

55  Personal information must not be used or disclosed for 

prohibited marketing purposes 

 

(1)  An accredited entity must not use or disclose personal information 

about an individual 

that is in the entity's possession or cont

rol for 

any of the following purposes: 

 

(a)  offering to supply goods or services; 

 

(b)  advertising or promoting goods or services; 

10 

 

(c)  enabling another entity to offer to supply goods or services; 

11 

 

(d)  enabling another entity to advertise or promote goods or 

12 

services; 

13 

 

(e)  market research. 

14 

Civil penalty: 

1,500 penalty units. 

15 

 

(2)  Subsection (1) does not apply to the disclosure of personal 

16 

information about an individual if: 

17 

 

(a)  the information is disclosed to an individual for the purposes 

18 

of: 

19 

 

(i)  offering to supply 

the entity's accredited 

services; or 

20 

 

(ii)  advertising or promoting 

the entity's accredited 

21 

services; and 

22 

 

(b)  the information is disclosed to the individual with the 

23 

individual's express consent.

 

24 

Note: 

A person who wishes to rely on this subsection bears an evidential 

25 

burden in relation to the matter mentioned in this subsection (see 

26 

section 96 of the Regulatory Powers Act). 

27 

56  Accredited identity exchange providers must not retain certain 

28 

attributes of individuals 

29 

 

(1)  This section applies if, during an authenticated session, an 

30 

accredited identity exchange provider receives any of the following 

31 

attributes of an individual: 

32 

 

(a)  a restricted attribute of the individual; 

33 

Chapter 3 

 Privacy 

Part 2 

 Privacy 

Division 2 

 Additional privacy safeguards 

 

Section 56 

 

58

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(b) 

the individual's name;

 

 

(c) 

the individual's address;

 

 

(d)  the indiv

idual's date of birth;

 

 

(e) 

the individual's phone number;

 

 

(f) 

the individual's email address;

 

 

(g)  an attribute of a kind prescribed by the Accreditation Rules. 

 

(2)  The accredited identity exchange provider must not retain the 

attribute of the individual after the end of the authenticated session. 

Civil penalty: 

1,500 penalty units. 

 

(3)  In this section: 

10 

authenticated session

 has the meaning given by the Accreditation 

11 

Rules. 

12 

Australian Government Digital ID System 

 Chapter 4

 

Introduction  

Part 1

 

 

 

 

 

Section 57 

 

No.      , 2023

 

Digital ID Bill 2023

 

59

 

 

Chapter

 

4--Australian Government Digital 

ID System

 

Part

 

1--Introduction

 

   

57  Simplified outline of this Chapter 

The Australian Government Digital ID System is overseen and 

maintained by the Digital ID Regulator. To participate in the 

Australian Government Digital ID System, an entity must meet 

certain criteria, including being either an accredited entity or a 

relying party and holding an approval from the Digital ID 

10 

Regulator to participate. 

11 

Only certain kinds of accredited entities and relying parties can 

12 

apply to the Digital ID Regulator to participate, and specified 

13 

criteria must be met before the Digital ID Regulator gives an 

14 

approval. If a relying party holds an approval, it is known as a 

15 

participating relying party. 

16 

An entity's approval to participate in the Australian Government 

17 

Digital ID System is subject to conditions. Some conditions are 

18 

imposed by the Act and others may be imposed by the Digital ID 

19 

Regulator or the Digital ID Rules. Conditions may include 

20 

requirements relating to the kinds of attributes of individuals an 

21 

entity is authorised to collect or disclose, or that it must not collect. 

22 

The conditions imposed by the Digital ID Regulator on an entity's 

23 

approval to participate, and the entity's approval itself, can be 

24 

varied or revoked. An entity's approval to participate in the 

25 

Australian Government Digital ID System can also be suspended. 

26 

The Minister may give directions to the Digital ID Regulator 

27 

regarding the approval of an entity to participate in the Australian 

28 

Government Digital ID System if, for reasons of security, the 

29 

Minister considers it appropriate to do so. The Digital ID Regulator 

30 

must comply with such directions. 

31 

Chapter 4 

 Australian Government Digital ID System 

Part 1 

 Introduction 

 

  

 

Section 57 

 

60

 

Digital ID Bill 2023

 

No.      , 2023

 

 

A participating relying party must not, as a condition of providing 

a service or access to a service, require an individual to create or 

use a digital ID. There are some exceptions to this, including if the 

relying party holds an exemption granted by the Digital ID 

Regulator. 

The Digital ID Rules may make provision in relation to the 

following: 

 

(a)  notifying and managing incidents that have occurred, or 

are reasonably suspected of having occurred, in relation 

to the Australian Government Digital ID System; 

10 

 

(b)  requirements relating to interoperability; 

11 

 

(c)  a redress framework for incidents that occur in relation 

12 

to accredited services of accredited entities that are 

13 

provided within the Australian Government Digital ID 

14 

System. 

15 

A statutory contract is taken to be in force between entities 

16 

participating in the Australian Government Digital ID System. An 

17 

entity that is party to the contract may apply to the Federal Circuit 

18 

and Family Court of Australia (Division 2) if the entity has 

19 

suffered, or is likely to suffer, loss or damage as a result of a 

20 

breach of this statutory contract. 

21 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Australian Government Digital ID System 

 Division 1

 

 

Section 58 

 

No.      , 2023

 

Digital ID Bill 2023

 

61

 

 

Part

 

2--Australian Government Digital ID System

 

Division

 

1--Australian Government Digital ID System

 

58  Digital ID Regulator must oversee and maintain the Australian 

Government Digital ID System 

 

(1)  The Digital ID Regulator must oversee and maintain a digital ID 

system. 

 

(2)  The 

Australian Government Digital ID System

 means the digital 

ID system overseen and maintained by the Digital ID Regulator 

under subsection (1). 

59  Circumstances in which entities may provide or receive services 

10 

within the Australian Government Digital ID System 

11 

 

(1)  An entity mentioned in column 1 of an item in the following table 

12 

may provide or receive services within the Australian Government 

13 

Digital ID System if the entity satisfies the requirements set out in 

14 

column 2 of that item. 

15 

 

16 

Services provided or received within the Australian Government Digital ID 

System 

Item 

Column 1 

Entity 

Column 2 

Requirements 

Attribute service provider 

(a) the attribute service provider: 

(i) must be an accredited attribute 

service provider; and 

(ii) must hold an approval under 

section 62 to participate in the 

system; and 

(b) the participation start day for the 

attribute service provider must have 

arrived or passed 

Identity exchange provider 

(a) the identity exchange provider: 

(i) must be an accredited identity 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 1 

 Australian Government Digital ID System 

 

Section 59 

 

62

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Services provided or received within the Australian Government Digital ID 

System 

Item 

Column 1 

Entity 

Column 2 

Requirements 

exchange provider; and 

(ii) must hold an approval under 

section 62 to participate in the 

system; and 

(b) the participation start day for the 

identity exchange provider must have 

arrived or passed 

Identity service provider 

(a) the identity service provider: 

(i) must be an accredited identity 

service provider; and 

(ii) must hold an approval under 

section 62 to participate in the 

system; and 

(b) the participation start day for the 

identity service provider must have 

arrived or passed 

Relying party 

(a) the relying party: 

(i) must be an Australian entity or 

registered foreign company 

(within the meaning of the 

Corporations Act 2001

); and 

(ii) must hold an approval under 

section 62 to participate in the 

system; and 

(b) the participation start day for the 

relying party must have arrived or 

passed 

An entity that provides, or 

proposes to provide, services 

of a kind prescribed by the 

Accreditation Rules for the 

purposes of 

paragraph 14(1)(d) 

(a) the entity: 

(i) must be accredited to provide 

services of that kind; and 

(ii) must hold an approval under 

section 62 to participate in the 

system; and 

(iii) must meet any other 

requirements prescribed by the 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Australian Government Digital ID System 

 Division 1

 

 

Section 59 

 

No.      , 2023

 

Digital ID Bill 2023

 

63

 

 

Services provided or received within the Australian Government Digital ID 

System 

Item 

Column 1 

Entity 

Column 2 

Requirements 

Digital ID Rules; and 

(b) the participation start day for the entity 

must have arrived or passed 

 

(2)  An entity contravenes this subsection if: 

 

(a)  the entity provides or receives services within the Australian 

Government Digital ID System; and 

 

(b)  the entity is not an entity mentioned in column 1 of an item 

in the table in subsection (1). 

Civil penalty: 

1,000 penalty units. 

 

(3)  Subsection (2) does not apply to the following when performing 

functions or exercising powers under this Act: 

 

(a)  the Digital ID Regulator; 

 

(b)  the System Administrator. 

10 

 

(4)  Despite section 96 of the Regulatory Powers Act, in proceedings 

11 

for a civil penalty order against a person for a contravention of 

12 

subsection (2), the person does not bear an evidential burden in 

13 

relation to the matter in subsection (3). 

14 

 

(5)  An entity contravenes this subsection if: 

15 

 

(a)  the entity provides or receives services within the Australian 

16 

Government Digital ID System; and 

17 

 

(b)  the entity is an entity mentioned in column 1 of an item in the 

18 

table in subsection (1); and 

19 

 

(c)  the entity does not satisfy one or more requirements set out in 

20 

column 2 of that item. 

21 

Civil penalty: 

1,000 penalty units. 

22 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 2 

 Participating in the Australian Government Digital ID System 

 

Section 60 

 

64

 

Digital ID Bill 2023

 

No.      , 2023

 

 

Division

 

2--Participating in the Australian Government 

Digital ID System

 

60  Phasing-in of participation in the Australian Government Digital 

ID System 

 

(1)  The Minister may, by legislative instrument, determine the entities 

that may apply to the Digital ID Regulator for approval to 

participate in the Australian Government Digital ID System. 

Note: 

The determination may specify entities by class (see 

subsection 33(3A) of the 

Acts Interpretation Act 1901

). 

 

(2)  The determination may specify entities in any way, including by 

10 

reference to: 

11 

 

(a)  whether the entities are relying parties or accredited entities; 

12 

or 

13 

 

(b)  kinds of relying parties; or 

14 

 

(c)  kinds of accredited entities; or 

15 

 

(d)  whether the entity belongs to the public or private sector. 

16 

 

(3)  The Minister: 

17 

 

(a)  must not revoke the determination; and 

18 

 

(b)  may vary the determination only to: 

19 

 

(i)  specify additional kinds of entities that may apply; or 

20 

 

(ii)  correct an error, defect or irregularity in the 

21 

determination. 

22 

61  Applying for approval to participate in the Australian 

23 

Government Digital ID System 

24 

 

  An entity may apply to the Digital ID Regulator for approval to 

25 

participate in the Australian Government Digital ID System if: 

26 

 

(a)  the entity is an accredited entity that is a non-corporate 

27 

Commonwealth entity, within the meaning of the 

Public 

28 

Governance, Performance and Accountability Act 2013

; or 

29 

 

(b)  the entity is a relying party that is: 

30 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Participating in the Australian Government Digital ID System 

 Division 2

 

 

Section 62 

 

No.      , 2023

 

Digital ID Bill 2023

 

65

 

 

 

(i)  a Commonwealth entity, or a Commonwealth company, 

within the meaning of the 

Public Governance, 

Performance and Accountability Act 2013

; or 

 

(ii)  a person or body that is an agency within the meaning 

of the 

Freedom of Information Act 1982

; or 

 

(iii)  a body specified, or the person holding an office 

specified, in Part I of Schedule 2 to the 

Freedom of 

Information Act 1982

; or 

 

(c)  the entity is covered by a determination made under 

section 60 and is: 

10 

 

(i)  an accredited entity; or 

11 

 

(ii)  an entity that has applied for accreditation under 

12 

section 14; or 

13 

 

(iii)  a relying party that is an Australian entity; or 

14 

 

(iv)  a relying party that is a registered foreign company 

15 

(within the meaning of the 

Corporations Act 2001

). 

16 

Note 1: 

Only entities of particular kinds can be, or apply to be, an accredited 

17 

entity (see subsection 14(2)). 

18 

Note 2: 

See Part 5 of Chapter 9 for matters relating to applications. 

19 

62  Approval to participate in the Australian Government Digital ID 

20 

System 

21 

 

(1)  The Digital ID Regulator may approve an entity to participate in 

22 

the Australian Government Digital ID System if: 

23 

 

(a)  the entity has made an application under section 61; and 

24 

 

(b)  unless the entity is a relying party

--

the entity is an accredited 

25 

entity; and 

26 

 

(c)  the Digital ID Regulator is satisfied that the entity will 

27 

comply with the Digital ID Data Standards that apply in 

28 

relation to the entity and that relate to participation in the 

29 

Australian Government Digital ID System; and 

30 

 

(d)  if the Digital ID Regulator makes a requirement under 

31 

paragraph 131(1)(a) in relation to the entity

--

the entity has 

32 

been assessed as being able to comply with this Act; and 

33 

 

(e)  the Digital ID Regulator is satisfied that it is appropriate to 

34 

approve the entity to participate in the system; and 

35 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 2 

 Participating in the Australian Government Digital ID System 

 

Section 62 

 

66

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(f)  any other requirements prescribed by the Digital ID Rules are 

met. 

 

(2)  Without limiting paragraph (1)(e), the Digital ID Regulator may 

have regard to the following matters when considering whether it is 

appropriate to approve the entity: 

 

(a)  whether the entity is a fit and proper person; 

 

(b)  whether the entity has appropriate procedures for dealing 

with the identities (whether real or not, and whether assumed 

or not) of shielded persons. 

Note: 

In having regard to whether an entity is a fit and proper person for the 

10 

purposes of paragraph (a), the Digital ID Regulator must have regard 

11 

to any matters specified in the Digital ID Rules and may have regard 

12 

to any other matters considered relevant (see section 12). 

13 

 

(3)  Without limiting paragraph (1)(f), the Digital ID Rules may 

14 

prescribe requirements relating to the security, reliability and 

15 

stability of the Australian Government Digital ID System. 

16 

 

(4)  However, the Digital ID Regulator must not approve an entity to 

17 

participate in the Australian Government Digital ID System if a 

18 

direction under subsection 73(1) (about security) directing the 

19 

Digital ID Regulator to refuse to approve the entity is in force. 

20 

 

(5)  The Digital ID Regulator must: 

21 

 

(a)  give written notice of a decision to approve, or to refuse to 

22 

approve, an entity to participate in the Australian 

23 

Government Digital ID System; and 

24 

 

(b)  if the decision is to refuse to approve the entity

--

give 

25 

reasons for the decision to the entity. 

26 

 

(6)  If the Digital ID Regulator approves an entity to participate in the 

27 

Australian Government Digital ID System, the notice must set out: 

28 

 

(a)  the day the approval comes into force; and 

29 

 

(b)  whether the entity is a participating relying party or an 

30 

accredited entity and, if the entity is an accredited entity, the 

31 

kind of accredited entity it is accredited as; and 

32 

 

(c)  any conditions imposed on the approval under 

33 

subsection 64(2); and 

34 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Participating in the Australian Government Digital ID System 

 Division 2

 

 

Section 63 

 

No.      , 2023

 

Digital ID Bill 2023

 

67

 

 

 

(d)  the day on which the entity must begin to participate in the 

Australian Government Digital ID System. 

Note: 

It is a condition of the entity's approval that the entity 

begin to 

participate on the day referred to in paragraph (d) (see 

paragraph 64(1)(c)). An entity must not begin to participate before 

that day (see the requirements in column 2 of the table in 

subsection 59(1)). 

63  Approval to participate in the Australian Government Digital ID 

System is subject to conditions 

 

(1)  The approval of an entity to participate in the Australian 

10 

Government Digital ID System is subject to the following 

11 

conditions (the 

approval conditions

): 

12 

 

(a)  the conditions set out in subsection 64(1); 

13 

 

(b)  the conditions (if any) imposed by the Digital ID Regulator 

14 

under subsection 64(2), including as varied under 

15 

subsection 66(1); 

16 

 

(c)  the conditions (if any) determined by the Digital ID Rules for 

17 

the purposes of subsection 64(5). 

18 

 

(2)  An entity that holds an approval to participate in the Australian 

19 

Government Digital ID System must comply with the approval 

20 

conditions that apply to the entity. 

21 

Note: 

Failure to comply with an approval condition may result in a 

22 

suspension or revocation of the entity's approval to 

participate (see 

23 

sections 71 and 72). 

24 

64  Conditions on approval to participate in the Australian 

25 

Government Digital ID System 

26 

Conditions imposed by the Act 

27 

 

(1)  The approval of an entity to participate in the Australian 

28 

Government Digital ID System is subject to the following 

29 

conditions: 

30 

 

(a)  unless the entity is a relying party

--

the entity must be an 

31 

accredited entity; 

32 

 

(b)  if the entity is an accredited entity: 

33 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 2 

 Participating in the Australian Government Digital ID System 

 

Section 64 

 

68

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(i)  the entity must participate in the Australian Government 

Digital ID System only as the kind of accredited entity it 

is accredited as and approved to participate as; and 

 

(ii)  the entity must provide only its accredited services in 

the Australian Government Digital ID System; 

 

(c)  the entity must begin to participate in the Australian 

Government Digital ID System 

on the entity's 

participation 

start day; 

 

(d)  the entity must comply with this Act. 

Conditions imposed by the Digital ID Regulator 

10 

 

(2)  The Digital ID Regulator: 

11 

 

(a)  may impose conditions on the approval of an entity to 

12 

participate in the Australian Government Digital ID System, 

13 

either at the time of approval or at a later time, if the Digital 

14 

ID Regulator considers that doing so is appropriate in the 

15 

circumstances; and 

16 

 

(b)  must impose conditions on the approval of an entity to 

17 

participate in the Australian Government Digital ID System, 

18 

either at the time of approval or at a later time, if directed to 

19 

do so under subsection 73(1). 

20 

 

(3)  Conditions may be imposed under paragraph (2)(a) on application 

21 

by the entity or on the Digital ID Regulator's own initiative.

 

22 

 

(4)  Without limiting paragraph (2)(a), the Digital ID Regulator may 

23 

impose conditions that relate to any of the following: 

24 

 

(a)  the kind of accredited entity or participating relying party 

25 

that the entity must directly connect to in order to participate 

26 

in the Australian Government Digital ID System; 

27 

 

(b)  the kinds of attributes of individuals that the entity is 

28 

authorised to collect or disclose and the circumstances in 

29 

which such attributes may be collected or disclosed; 

30 

 

(c)  the kinds of attributes of individuals that the entity must not 

31 

collect; 

32 

 

(d)  for an accredited entity

--

the circumstances in which the 

33 

entity may or must not provide its accredited services within 

34 

the Australian Government Digital ID System; 

35 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Participating in the Australian Government Digital ID System 

 Division 2

 

 

Section 64 

 

No.      , 2023

 

Digital ID Bill 2023

 

69

 

 

 

(e)  for an accredited entity

--

the accredited services of the entity 

that the entity must provide within the Australian 

Government Digital ID System; 

 

(f)  for a relying party

--

the services the relying party is approved 

to provide, or to provide access to, within the Australian 

Government Digital ID System; 

 

(g) 

actions that the entity must take before the entity's approval 

to participate in the Australian Government Digital ID 

System is suspended or revoked. 

Note 1: 

For the purposes of paragraph (b), the Digital ID Regulator must have 

10 

regard to the matters in subsection 65(2) before authorising an entity 

11 

to collect or disclose restricted attributes of individuals within the 

12 

Australian Government Digital ID System. If the Digital ID Regulator 

13 

gives such an authorisation, the Digital ID Regulator must publish a 

14 

statement of reasons (see subsection 65(3)). 

15 

Note 2: 

An accredited entity may contravene a civil penalty provision of this 

16 

Act if it discloses a restricted attribute of an individual and the 

17 

accredited 

entity's conditions on accreditation do not authorise the 

18 

disclosure (see subsection 46(2)). 

19 

Conditions imposed by the Digital ID Rules 

20 

 

(5)  The Digital ID Rules may determine that the approval of each 

21 

entity, or of each entity included in a specified class, to participate 

22 

in the Australian Government Digital ID System is subject to one 

23 

or more specified conditions. 

24 

 

(6)  Without limiting subsection (5), the Digital ID Rules may impose 

25 

conditions that relate to the matters mentioned in subsection (4). 

26 

Note: 

The Minister must have regard to the matters in subsection 65(5) 

27 

before making Digital ID Rules that authorise participating relying 

28 

parties to collect or disclose restricted attributes of individuals within 

29 

the Australian Government Digital ID System. 

30 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 2 

 Participating in the Australian Government Digital ID System 

 

Section 65 

 

70

 

Digital ID Bill 2023

 

No.      , 2023

 

 

65  Conditions relating to restricted attributes of individuals 

Matters to which the Digital ID Regulator must have regard before 

authorising disclosure etc. of restricted attributes 

 

(1)  Subsection (2) applies if the Digital ID Regulator proposes to 

impose a condition on an entity's approval to 

participate in the 

Australian Government Digital ID System authorising the entity: 

 

(a)  to collect or disclose a restricted attribute of an individual 

within the Australian Government Digital ID System; or 

 

(b)  to disclose a restricted attribute of an individual that is 

collected by the entity within the Australian Government 

10 

Digital ID System to an entity outside the system. 

11 

 

(2)  In deciding whether to impose the condition, the Digital ID 

12 

Regulator must have regard to the following matters: 

13 

 

(a)  whether the entity has provided sufficient justification for the 

14 

need to collect or disclose the restricted attribute; 

15 

 

(b)  whether the entity has demonstrated that a similar outcome 

16 

cannot be achieved without collecting or disclosing the 

17 

restricted attribute; 

18 

 

(c)  if the collection or disclosure of the restricted attribute is 

19 

regulated by other legislative or regulatory requirements

--

20 

whether the entity would be able to comply with those 

21 

requirements if the condition were imposed; 

22 

 

(d)  the potential harm that could result if restricted attributes of 

23 

that kind were disclosed to an entity that was not authorised 

24 

to collect them; 

25 

 

(e)  community expectations as to whether restricted attributes of 

26 

that kind should be handled more securely than other kinds of 

27 

attributes; 

28 

 

(f)  any of the following information provided by the entity 

29 

seeking authorisation to collect or disclose the restricted 

30 

attribute: 

31 

 

(i) 

the entity'

s risk assessment plan as it relates to the 

32 

restricted attribute; 

33 

 

(ii) 

the entity's privacy impact assessment as it relates to the 

34 

restricted attribute; 

35 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Participating in the Australian Government Digital ID System 

 Division 2

 

 

Section 65 

 

No.      , 2023

 

Digital ID Bill 2023

 

71

 

 

 

(iii) 

the effectiveness of the entity's protective security 

(including security governance, information security, 

personnel security and physical security), privacy 

arrangements and fraud control arrangements; 

 

(g)  any other matter the Digital ID Regulator considers relevant. 

Requirement to give statement of reasons if authorisation given 

 

(3)  If the Digital ID Regulator imposes the condition authorising the 

entity to collect or disclose a restricted attribute of an individual, 

the Digital ID Regulator must publish on the Digital ID 

Regulator's website a statement of reasons for giving the 

10 

authorisation. 

11 

Matters to which the Minister must have regard before authorising 

12 

disclosure etc. of restricted attributes 

13 

 

(4)  Subsection (5) applies if the Minister proposes to make Digital ID 

14 

Rules for the purposes of subsection 64(5) providing that specified 

15 

kinds of entities are authorised to collect or disclose specified kinds 

16 

of restricted attributes of individuals, either generally or in 

17 

specified circumstances. 

18 

 

(5)  In deciding whether to make the Digital ID Rules, the Minister 

19 

must have regard to the following matters: 

20 

 

(a)  the potential harm that could result if restricted attributes of 

21 

that kind were disclosed to an entity; 

22 

 

(b)  community expectations as to whether restricted attributes of 

23 

that kind should be handled more securely than other kinds of 

24 

attributes; 

25 

 

(c)  if the collection or disclosure of the restricted attribute is 

26 

regulated by other legislative or regulatory requirements

--

27 

whether the entities would be able to comply with those 

28 

requirements if the rules were made; 

29 

 

(d)  any privacy impact assessment that has been conducted in 

30 

relation to the proposal to make the rules; 

31 

 

(e)  any other matter the Minister considers relevant. 

32 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 2 

 Participating in the Australian Government Digital ID System 

 

Section 66 

 

72

 

Digital ID Bill 2023

 

No.      , 2023

 

 

66  Variation and revocation of conditions 

 

(1)  The Digital ID Regulator may vary or revoke a condition imposed 

on an entity's appro

val under paragraph 64(2)(a): 

 

(a) 

at any time, on the Digital ID Regulator's own initiative; or

 

 

(b)  on application by the entity under section 67; 

if the Digital ID Regulator considers it is appropriate to do so. 

 

(2)  Without limiting subsection (1), the Digital ID Regulator may have 

regard to matters relating to the security, reliability and stability of 

the Australian Government Digital ID System when considering 

whether it is appropriate to vary or revoke a condition. 

10 

 

(3)  The Digital ID Regulator must revoke a condition imposed under 

11 

paragraph 64(2)(b) if the direction to impose the condition is 

12 

revoked. 

13 

67  Applying for variation or revocation of conditions on approval 

14 

 

(1)  An entity that holds an approval to participate in the Australian 

15 

Government Digital ID System may apply for a condition imposed 

16 

on the approval under paragraph 64(2)(a) to be varied or revoked. 

17 

Note: 

See Part 5 of Chapter 9 for matters relating to applications. 

18 

 

(2)  If, after receiving an application under subsection (1), the Digital 

19 

ID Regulator refuses to vary or revoke a condition, the Digital ID 

20 

Regulator must give to the entity written notice of the refusal, 

21 

including reasons for the refusal. 

22 

68  Notice before changes to conditions on approval 

23 

 

(1)  The Digital ID Regulator must 

not, on the Digital ID Regulator's 

24 

own initiative: 

25 

 

(a)  impose a condition under paragraph 64(2)(a) 

on an entity's 

26 

approval to participate in the Australian Government Digital 

27 

ID System after the approval has been given; or 

28 

 

(b)  vary or revoke a condition imposed under subsection 66(1); 

29 

unless the Digital ID Regulator has given the entity a written notice 

30 

in accordance with subsection (2) of this section. 

31 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Participating in the Australian Government Digital ID System 

 Division 2

 

 

Section 69 

 

No.      , 2023

 

Digital ID Bill 2023

 

73

 

 

 

(2)  The notice must: 

 

(a)  state the proposed condition, variation or revocation; and 

 

(b)  request the entity to give the Digital ID Regulator, within the 

period specified in the notice, a written statement relating to 

the proposed condition, variation or revocation. 

 

(3)  The Digital ID Regulator must consider any written statement 

given within the period specified in the notice before making a 

decision to: 

 

(a)  impose a condition under paragraph 64(2)(a) 

on an entity's 

approval to participate in the Australian Government Digital 

10 

ID System; or 

11 

 

(b)  vary or revoke a condition under subsection 66(1) on an 

12 

ent

ity's approval to 

participate in the Australian Government 

13 

Digital ID System. 

14 

 

(4)  This section does not apply if the Digital ID Regulator reasonably 

15 

believes that the need to impose, vary or revoke the condition is 

16 

serious and urgent. 

17 

 

(5)  If this section does not apply to an entity because of subsection (4), 

18 

the Digital ID Regulator must give a written statement of reasons 

19 

to the entity as to why the Digital ID Regulator reasonably believes 

20 

that the need to impose, vary or revoke the condition is serious and 

21 

urgent. 

22 

 

(6)  The statement of reasons under subsection (5) must be given within 

23 

7 days after the condition is imposed, varied or revoked. 

24 

69  Notice of decision of changes of conditions on approval 

25 

 

(1)  Subject to subsection (2), the Digital ID Regulator must give an 

26 

entity written notice of a decision to impose, vary or revoke a 

27 

condition on an entity's approval to 

participate in the Australian 

28 

Government Digital ID System. 

29 

 

(2)  The Digital ID Regulator is not required to give an entity notice of 

30 

the decision if notice of the condition was given in a notice under 

31 

subsection 62(5). 

32 

 

(3)  The notice must: 

33 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 2 

 Participating in the Australian Government Digital ID System 

 

Section 69 

 

74

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(a)  state the condition or the variation, or state that the condition 

is revoked; and 

 

(b)  state the day on which the condition, variation or revocation 

takes effect. 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Varying, suspending and revoking approval to participate 

 Division 3

 

 

Section 70 

 

No.      , 2023

 

Digital ID Bill 2023

 

75

 

 

Division

 

3--Varying, suspending and revoking approval to 

participate

 

70  Varying approval to participate in the Australian Government 

Digital ID System 

 

  The Digital ID Regulator may vary an approval given to an entity 

under section 62 to tak

e account of a change in the entity's name.

 

Note: 

The Digital ID Regulator can also vary conditions on an approval to 

participate (see section 66). 

71  Suspension of approval to participate in the Australian 

Government Digital ID System 

10 

Digital ID Regulato

r must suspend approval if Minister's direction 

11 

about suspension is in force 

12 

 

(1)  The Digital ID Regulator must, in writing, suspend an approval 

13 

given to an entity under section 62 if a direction under 

14 

subsection 73(1) directing the Digital ID Regulator to do so is in 

15 

force in relation to the entity. 

16 

Digital ID Regulator may suspend approval in other circumstances 

17 

 

(2)  The Digital ID Regulator may, in writing, suspend an approval 

18 

given to an entity under section 62 if: 

19 

 

(a)  the Digital ID Regulator reasonably believes that the entity 

20 

has contravened or is contravening this Act; or 

21 

 

(b)  the Digital ID Regulator reasonably believes that: 

22 

 

(i)  there has been a cyber security incident involving the 

23 

entity; and 

24 

 

(ii)  the incident involves a risk to the operation of the 

25 

Australian Government Digital ID System; or 

26 

 

(c)  if the entity is a body corporate

--

the entity is a Chapter 5 

27 

body corporate (within the meaning of the 

Corporations Act 

28 

2001

); or 

29 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 3 

 Varying, suspending and revoking approval to participate 

 

Section 71 

 

76

 

Digital ID Bill 2023

 

No.      , 2023

 

 

 

(d)  if the entity is an individual

--

the entity is an insolvent under 

administration; or 

 

(e)  the Digital ID Regulator is satisfied that it is not appropriate 

for the entity to participate in the Australian Government 

Digital ID System; or 

 

(f)  circumstances specified in the Digital ID Rules apply in 

relation to the entity. 

Note: 

The Digital ID Regulator may impose conditions on an entity's 

approval before suspending it (see paragraph 64(4)(g)). 

 

(3)  In determining whether the Digital ID Regulator is satisfied of the 

10 

matter in paragraph (2)(e), regard may be had to whether the entity 

11 

is a fit and proper person. 

12 

Note: 

In having regard to whether an entity is a fit and proper person, the 

13 

Digital ID Regulator must have regard to any matters specified in the 

14 

Digital ID Rules and may have regard to any other matters considered 

15 

relevant (see section 12). 

16 

 

(4)  Subsection (3) does not limit paragraph (2)(e). 

17 

Digital ID Regulator may suspend approval on application 

18 

 

(5)  The Digital ID Regulator may, on application by an entity, suspend 

19 

an approval given to the entity under section 62. 

20 

Note: 

See Part 5 of Chapter 9 for matters relating to applications. 

21 

Show cause notice must generally be given before decision to 

22 

suspend 

23 

 

(6)  Before suspending the approval of an entity under subsection (2), 

24 

the Digital ID Regulator must give a written notice (a 

show cause 

25 

notice

) to the entity. 

26 

 

(7)  The show cause notice must: 

27 

 

(a)  state the grounds on which the Digital ID Regulator proposes 

28 

to suspend the entity's approval; and

 

29 

 

(b)  invite the entity to give the Digital ID Regulator, within 28 

30 

days after the day the notice is given, a written statement 

31 

showing cause why the Digital ID Regulator should not 

32 

suspend the approval. 

33 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Varying, suspending and revoking approval to participate 

 Division 3

 

 

Section 71 

 

No.      , 2023

 

Digital ID Bill 2023

 

77

 

 

Exception

--

cyber security incident or security 

 

(8)  Subsection (6) does not apply if the suspension is on a ground 

mentioned in paragraph (2)(b). 

Notice of suspension 

 

(9) 

If the Digital ID Regulator suspends an entity's approval under 

subsection (1), (2) or (5), the Digital ID Regulator must give the 

entity a written notice stating the following: 

 

(a) 

that the entity's approval to 

participate in the Australian 

Government Digital ID System is suspended; 

 

(b)  the reasons for the suspension; 

10 

 

(c)  the day the suspension is to start; 

11 

 

(d)  if the approval is suspended for a period

--

the period of the 

12 

suspension; 

13 

 

(e)  if the approval is suspended until a specified event occurs or 

14 

action is taken

--

the event or action. 

15 

Note: 

An entity whose approval to participate is suspended remains subject 

16 

to certain obligations under this Act, including in relation to record 

17 

keeping (see section 135) and the destruction or de-identification of 

18 

personal information (see section 136). Such entities may also be 

19 

subject to directions from the System Administrator (see section 130). 

20 

Revocation of suspension 

21 

 

(10)  If the approval of an entity is suspended under subsection (1), the 

22 

suspension is revoked if the direction referred to in that 

23 

subsection is revoked. 

24 

 

(11)  The Digital ID Regulator may revoke a suspension of an approval 

25 

of an entity under subsection (2) by written notice to the entity. 

26 

 

(12)  The Digital ID Regulator may revoke a suspension of an approval 

27 

of an entity under subsection (5) by written notice to the entity, if 

28 

the entity requests the suspension be revoked. 

29 

Effect of suspension 

30 

 

(13)  If the approval of an entity to participate in the Australian 

31 

Government Digital ID System is suspended under subsection (1), 

32 

Chapter 4 

 Australian Government Digital ID System 

Part 2 

 Australian Government Digital ID System 

Division 3 

 Varying, suspending and revoking approval to participate 

 

Section 72 

 

78

 

Digital ID Bill 2023

 

No.      , 2023

 

 

(2) or (5), the entity is taken not to hold the approval while it is 

suspended. 

72  Revocation of approval to participate in the Australian 

Government Digital ID System 

Digital ID Regulator must revoke approval if Minister gives a 

direction to do so 

 

(1)  The Digital ID Regulator must, in writing, revoke an approval 

given to an entity under section 62 if the Minister gives a direction 

under subsection 73(1) to do so. 

Digital ID Regulator may revoke approval 

10 

 

(2)  The Digital ID Regulator may, in writing, revoke an approval 

11 

given to an entity under section 62 if: 

12 

 

(a)  the Digital ID Regulator reasonably believes that the entity 

13 

has contravened or is contravening this Act; or 

14 

 

(b)  the Digital ID Regulator reasonably believes that: 

15 

 

(i)  there has been a cyber security incident involving the 

16 

entity; and 

17 

 

(ii)  the cyber security incident is serious; or 

18 

 

(c)  if the entity is a body corporate

--

the entity is a Chapter 5 

19 

body corporate (within the meaning of the 

Corporations Act 

20 

2001

); or 

21 

 

(d)  if the entity is an individual

--

the entity is an insolvent under 

22 

administration; or 

23 

 

(e)  the Digital ID Regulator is satisfied that it is not appropriate 

24 

for the entity to participate in the Australian Government 

25 

Digital ID System; or 

26 

 

(f)  circumstances specified in the Digital ID Rules apply in 

27 

relation to the entity. 

28 

Note: 

The Digital ID Regulator may impose conditions on an entity's 

29 

approval before revoking it (see paragraph 64(4)(g)). 

30 

 

(3)  In determining whether the Digital ID Regulator is satisfied of the 

31 

matter in paragraph (2)(e), regard may be had to whether the entity 

32 

is a fit and proper person. 

33 

Australian Government Digital ID System 

 Chapter 4

 

Australian Government Digital ID System  

Part 2

 

Varying, suspending and revoking approval to participate 

 Division 3

 

 

Section 72 

 

No.      , 2023

 

Digital ID Bill 2023

 

79

 

 

Note: 

In having regard to whether an entity is a fit and proper person, the 

Digital ID Regulator must have regard to any matters specified in the 

Digital ID Rules and may have regard to any other matters considered 

relevant (see section 12). 

 

(4)  Subsection (3) does not limit paragraph (2)(e). 

Revocation on application 

 

(5)  The Digital ID Regulator must, on application by an entity, revoke 

an approval given to the entity under section 62. The revocation 

takes effect on the day determined by the Digital ID Regulator. 

Note: 

See Part 5 of Chapter 9 for matters relating to applications. 

10 

Show cause notice must generally be given before decision to 

11 

revoke 

12 

 

(6)  Before revoking the approval of an entity under subsection (2), the 

13 

Digital ID Regulator must give a written notice (a 

show cause 

14 

notice

) to the entity. 

15 

 

(7)  The show cause notice must: 

16 

 

(a)  state the grounds on which the Digital ID Regulator proposes 

17 

to revoke the entity's approval; and

 

18 

 

(b)  invite the entity to give the Digital ID Regulator, within 28 

19 

days after the day the notice is given, a written statement 

20 

showing cause why the Digital ID Regulator should not 

21 

revoke the approval. 

22 

Notice of revocation 

23 

 

(8)  If the Digital ID Regulator is to 

revoke an entity's approval under 

24 

subsection (1), (2) or (5), the Digital ID Regulator must give the 

25 

entity a written notice stating the following: 

26 

 

(a) 

that the entity's approval to 

part