국가정보_호주

  •  유럽
  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아
  •  프랑스
  • 태국
  • 대만
  • 필리핀
  •  말레이시아

법률체계

1 개인정보보호 법률체계

가. 프라이버시법(Privacy Act)

(1) 개요

호주 프라이버시법(Privacy Act)은 연방정부가 취급하는 개인정보보호와 경제협력개발기구(OECD) 지침에 부합하는 개인정보의 처리에 관한 안전조치 이행을 위하여 1988년 말에 제정되었다. 동 법의 제정을 통하여 호주 정부는 개인정보보호에 관한 국제기준 달성을 위한 11개 개인정보 원칙과 지침을 마련하였다.

프라이버시법(Privacy Act)은 이후 여러 차례의 개정을 거치면서 개인정보보호에 관한 추가적인 규정들을 도입하였다. 2000년에는 증대되는 개인정보 요구에 대응하여 ‘인권 및 기회균등 위원회(HREOC)’에서 분리된 ‘개인정보보호 위원회(OPC, the Office of the Privacy Commissioner)’가 설립되었다. 또한, 2001년에는 프라이버시법(Privacy Act)의 적용 대상을 확대하여 일반 민간조직에도 적용하기 시작했으며 이와 관련하여 국가 프라이버시 원칙(NPP, National Privacy Principles) 10개 항목도 확립하였다. 2010년에 이르러서는 개인정보보호 위원회(OPC)를 개편하여 개인정보보호에 관한 사안을 포괄적으로 규율하는 새로운 규제기구, 정보위원회(OAIC, the Office of the Australian Information Commissioner)를 설립하였고, 2014년에는 민간과 공공 부문을 아우르는 호주 프라이버시 원칙(APP, Australia Privacy Principles) 13개 항목과 실천강령(code of practice)도 확립하기에 이르렀으며, 2018년 2월에는 오랜 검토 끝에 개인정보 침해통지제도를 확대하여 운영하고 있다. 프라이버시법에 관한 변천 과정은 아래와 같이 정리할 수 있다.

[표 1] 호주 프라이버시법 변천내용

호주 프라이버시법 1988년 ~ 2018년 변천 내용에 대한 설명을 제공합니다.
년도 변경내용
1988년 프라이버시법(Privacy Act) 제정
1991년 신용보고 (Credit reporting) 규정 프라이버시법 제3-A장 추가
- 프라이버시법(Privacy Act) 개정안에 따라, 1991년 9월 24일 신용평가기관과 소비자 신용보고서에 관한 사항이 추가
1994년 수도 특별 준주(ACT) 공공기관으로 적용 범위 확대
- 수도 특별 준주(ACT) 소재 공공기관은 수도 특별 준주 정부 서비스법(Australian Capital Territory Government Service Act 1994)에 따라 프라이버시법(Privacy Act)의 규제를 적용하는 것으로 명시
2000년 개인정보보호 위원회(OPC) 설치
- 프라이버시 수정법에 따라, 인권 및 기회균등 위원회(HREOC)에서 독립된 개인정보보호 위원회(OPC)를 설치
2001년 일부 민간조직에 대해서도 프라이버시법을 적용
- 프라이버시법(Privacy Act)을 일부 민간조직에까지 적용을 확대하고 개인정보처리에 관한 민간조직에 적용되는 국가 프라이버시 원칙(NPP) 10개 항목을 확립
2010년 호주 정보위원회(OAIC) 설치·운용
- 2010년 11월 호주 정보위원회(정보위원회(OAIC))의 출범에 따라 개인정보보호 위원회(OPC)는 호주 정보위원회(정보위원회(OAIC))에 통합하도록 개편
2011년 노퍽섬(Norfolk Island) 공공기관으로 적용 범위 확대
- 영토법 개혁법(Territories Law Reform Act 2010)에 따라 호주 외부영토 노퍽섬에 소재한 공공기관은 프라이버시법(Privacy Act)의 규제를 적용하는 것으로 규정
2014년 중대한 법률규정 개정
호주 프라이버시 원칙(APP)이 기존 정보 프라이버시 원칙(IPP)과 국가 프라이버시 원칙(NPP)을 대신하여 수도 특별 준주와 노퍽섬 소재 공공기관과 일부 민간조직의 개인정보처리에 관한 사항을 규제하도록 개정
- 프라이버시법 제3-A장을 개정하여 더욱 포괄적인 신용보고를 허용- 신용제공자는 프라이버시법에 따라 외부분쟁 인정제도(EDR)에 참여하는 경우에만 신용평가 업무에 참여할 수 있는 새로운 요건을 적용
- 정보 프라이버시에 관한 실무강령(APP codes)과 신용보고서에 관한 실무 강령(CR codes)에 관한 새로운 법률규정을 추가
- 정보위원회(정보위원회(OAIC))가 공익목적의 실무강령을 개발하고 등록할 수 있도록 허용
- 정보위원회(정보위원회(OAIC))의 집행권 확대
ACT 개인정보보호 개혁
- 수도 특별 준주(ACT) 공공기관에 적용되는 새로운 개인정보 보호법을 도입
2018년 개인정보 침해사고 통지의무 확장
- 2017에 개정된 프라이버시법은 침해사고에 대한 통지의무를 확장

(2) 구성

프라이버시법(Privacy Act)은 총 9개 장, 100개 조항과 부칙(schedule)으로 구성되었으며, 공공기관과 민간조직이 취급하는 개인정보의 수집, 이용 및 제공에 관한 규율뿐만 아니라 신용 정보, 납세 정보 등 특정 분야 또는 특정 정보에 대한 특화된 규정도 포함하고 있다. 세부적인 구성을 살펴보면, [제1장 서문][제2장 해석]에서는 각각 법 제정 목적 및 적용 범위에 관해 기술하고 분야별 주요 용어의 사용을 정의하였다.

[제3장 정보 프라이버시]는 개인정보를 처리하는 주체, 취급 환경에 따라 프라이버시 침해로 간주하는 행위와 예외로 인정하는 행위에 대하여 정의하고, 개인정보를 처리하는 기본 원칙인 호주 프라이버시 원칙(APP)을 부칙으로 규정하고 있다. 또한, 제3장은 개인 납세번호 정보에 관한 규정도 포함하고 있으며. 1991년 개정을 통해 추가된 [제 3A장 신용평가]에서는 소비자 신용평가(crediting reporting)에 관한 규정을 제시하고 있는데, 금융기관(신용제공자, credit providers)과 신용평가기관(Credit Reporting bodies)에 제공할 개인정보의 범주와 유형, 그리고 해당 정보를 취급하는 주체와 그 정보가 처리되는 목적 등을 다루고 있다. [제3B장 프라이버시 규약]에서는 호주 프라이버시 원칙(APP, Australia Privacy Principles)에 기반한 APP 실무강령(APP codes), CR 실무강령(Credit Reporting codes)의 개발 및 등록 등에 관한 사항을 각각 명시하였다. 그리고 개인정보 유출 통지에 관한 규정은 [제3C장 적정한 개인정보 유출에 대한 통지]에서 다루며, 통지 대상, 통지 절차 등의 원칙을 정한다.

[제4장 정보위원회의 기능]에서는 위원회의 권한 및 기능을 명시하고 있다.

[제5장 조사]에서는 민원 또는 위원회 주도의 개인정보 침해에 대한 위원회의 조사, 그리고 조사결과에 대한 조치 또는 결정에 관한 내용을 규정하고 있다.

[제6장 공익 및 임시적 공익 결정] 및 [제6A장 비상 및 재난 시 개인정보처리]는 개인정보보호 규정 적용이 면제되는 공익 결정에 관한 사항과 비상 또는 재난 시에 허용되는 개인정보의 처리에 관해 규정하고 있다. 특히, [제 6B 장 집행]에서는 민사 처벌(civil penalty), 실행 확약(enforceable undertakings), 명령(injunction) 등 위원장의 법 집행 권한을 명시하고 있다.

[제7장 프라이버시 자문위원회]는 그밖에 프라이버시 자문위원회의 구성과 운영에 관한 사항을 규정한다.

[제8장 비밀유지 의무]는 조직의 비밀유지 의무에 관한 내용을 규정하고 있다.

마지막 [제9장 기타]에서는 건강정보 관련한 지침의 발행 등에 대해 명시하고 있다.

[표 2] 프라이버시법(Privacy Act) 구성

프라이버시법 구성
구분 주요 내용

제1장

서문

(Preliminary)

 

제정 목적, 적용 범위 등

제2장

해석

(Interpretation)

1절 일반 정의

(General definitions)

일반 용어에 대한 정의

2절 신용평가 관련 주요 정의

(Key definitions relating to credit reporting)

신용평가와 관련된 용어에 대한 정의

3절 다른 사안들

(Other matters)

개인정보 취급 관련 특정 행위 또는 관행 등에 대한 정의

적용 면제 관련 행위 또는 관행

제3장

정보 프라이버시

(Information privacy)

1절 프라이버시 침해

(Interferences with privacy)

프라이버시 침해 행위

관계법인(related body corporate) 간의 개인정보 수집, 제공

해외에서의 프라이버시 침해

심각하거나 반복적인 프라이버시 침해 행위

2절 호주 프라이버시 원칙

(Australian Privacy Principles)

13가지 APP(별도 부칙으로 규정)

APP 적용 예외(허용된 일반 상황, 허용된 건강 관련 상황 등, 연방정부와의 계약 이행 등)

3절 납세번호 정보

(Tax file number information)

납세번호 취급에 대한 규칙 제정

제3A장

신용평가

(Credit reporting)

제1절 소개

(Introduction)

3A장 개요

제2절 신용평가기구

(Credit reporting bodies)

신용평가기구의 개인 신용평가 정보의 수집, 이용, 제공 및 정보의 최신성, 정확성

신용평가 정보에 대한 개인의 열람 및 정정권, 신용평가 정보의 보유기간 등

제3절 신용제공업자

(Credit providers)

신용제공업자의 개인 신용정보의 수집, 이용, 제공 등에 대한 원칙 및 적용 면제

개인의 열람, 정정권 적용 예외 등

제4절 유관정보처리자

(Affected information recipients)

보험업자의 개인정보 이용 또는 제공 원칙

제5절 민원

(Complaints)

개인정보 침해 시 제기할 수 있는 개인의 민원 신청 권리, 절차

제6절 신용평가 정보의 비인가된 획득

(Unauthorised obtaining of credit reporting information etc.)

불법적인 신용평가보고서 정보 획득에 대한 처벌 규정

제7절 법원 명령

(Court orders)

개인정보 처리 주체의 법 위반에 대한 법원의 명령권

제3B장

프라이버시 규약

(Privacy codes)

제1절 소개

(Introduction)

개요

제2절 공인된 APP 규약

(Registered APP codes)

APP 규약 및 공인된 APP 규약 개념

APP 규약 개발, 등록 및 변경, 폐지

제3절 공인된 CR 규약

(Registered CR code)

CR 규약 및 공인된 CR 규약 개념

CR 규약 개발, 등록 및 변경, 폐지

제4절 일반 사항

(General matters)

규약 등록, 규약 등록 관련 가이드라인 등

제3C장

적정한 개인정보 유출에 대한 통지

(Notification of eligible data breaches)

제1절 소개

(Introduction)

개요, 적용 예외

제2절 적정한 개인정보 유출

(Eligible data breach)

적정한 개인정보 유출 개념 및 피해구제 예외 대상

심각한 피해 초래 여부 결정 기준

제3절 적정한 개인정보 유출 통지

(Notification of eligible data breaches)

적정한 개인정보 유출 여부 평가 및 예외

적정한 개인정보 유출에 대한 통지 및 예외

정보위원회의 통지 명령 권한 및 예외

제4장

정보위원회의 기능

(Functions of the Information Commissioner)

제2절 위원회의 기능

(Functions of Commissioner)

프라이버시 가이드 개발

신용평가정보, 납세번호 정보 관련 처리에 대한 모니터링 등

제3절 위원회 보고

(Reports by Commissioner)

위원회 조사 및 모니터링 결과에 대한 관련 부처 보고

프라이버시 관련 법안 검토 등

제3절A 위원회의 평가

(Assessments by, or at the direction of, the Commissioner)

호주 프라이버시 원칙(APP)에 대한 검토

개인정보 영향평가 시행 지시

제4절 기타

(Miscellaneous)

정보자유법에 정보 공개 제한 등

제5장

조사

(Investigations etc.)

제1절A 소개

(Introduction)

개요

제1절 민원 및 위원회 주도의 조사

(Investigation of complaints and investigations on the Commissioner’s initiative)

개인정보 침해에 대한 민원 제기 및 처리

집단 민원의 조건 및 조사

화해 조치, 예비 조사, 자료 요구 등 조사 절차

대체 민원 처리 기관 이전 등

제2절 민원 조사 결과에 대한 결정

(Determinations following investigation of complaints)

민원 또는 위원회 주도의 조사에 대해 기각, 침해 행위 중지, 개선 조치, 피해 보상을 위한 조치 또는 금전적 보상

제3절 집행

(Enforcement)

위원회 결정에 대한 이행 의무

위원회 결정 집행을 위한 연방 법원에 소송제기

위원회 결정에 대한 서면 증서

제4절 연방 정부기관과 관련된 결정의 검토 및 집행

(Review and enforcement of determinations involving Commonwealth agencies)

위원회 결정에 대한 이행 의무

위원회 결정 미이행에 대한 연방 법원에 이행 신청 등

제5절 기타

(Miscellaneous)

법무부에 법률상담 지원 신청

출석 거부, 허위 진술 등에 대한 처벌

현장 조사권, 제출이 제한되는 정보 등

제6장

공익 및 임시적 공익 결정

(Dealing with personal information in emergencies and disasters)

제1절 공익 결정

(Object and interpretation)

위원회의 공익 결정 및 결정의 효력

공익 결정 신청 및 위원회의 조치 등

제2절 임시적 공익 결정

(Temporary public interest determinations)

위원회의 임시적 공익 결정 및 결정의 효력

효력의 정지 등

제3절 결정의 등록

(Register of determinations)

결정의 등록 및 대중에 공개

제6A장

비상 및 재난 시 개인정보 처리

(Dealing with personal information in emergencies and disasters)

제1절 목적과 해석

(Object and interpretation)

주요 용어 및 ‘허용된 목적’에 대한 정의

제2절 비상 선언

(Declaration of emergency)

국내 및 해외에서의 비상 선언 요건

비상 선언문 양식, 효력 및 중지 시점

제3절 개인정보의 이용, 제공

(Provisions dealing with the use and disclosure of personal information)

비상/재난 시 개인정보 수집, 이용 및 제공이 허용되는 요건

제4절 기타

(Other matters)

불법적인 개인정보 제공에 대한 벌칙

비밀유지 등 다른 조항과의 관계

제6B장

집행

(Enforcement)

제1절 민사 처벌

(Civil penalties)

근거 법령에 따른 위원장 권한, 관련 법원 및 규제력 범위

제2절 실행 확약

(Enforceable undertakings)

근거 법령에 따른 위원장 권한, 관련 법원 및 규제력 범위

제3절 명령

(Injunctions)

근거 법령에 따른 위원장 권한, 관련 법원 및 규제력 범위

제7장

프라이버시 자문위원회

(Privacy Advisory Committee)

 

자문위원회의 설립 및 위원회 구성, 기능

구성원의 해고 및 사임, 위원회 회의 개최 등

제8장

비밀유지 의무

(Obligations of confidence)

 

이 장의 적용 및 효력

법원의 관할권 등

제9장

기타

(Miscellaneous)

 

의학 연구 가이드라인, 건강정보에 대한 APP 가이드라인 등 발행

부칙

호주 프라이버시 원칙

(Australian Privacy Principles)

1부 개인정보 프라이버시의 고려

2부 개인정보의 수집

3부 개인정보의 처리

4부 개인정보의 무결성

5부 개인정보에 대한 접근, 수정

(3) 주요내용

1) ‘개인정보’와 ‘민감한 개인정보’ 정의

프라이버시법(Privacy Act)은 개인정보(personal information)를 ‘식별된(identified)’ 또는 ‘식별 가능한’ 개인(individual)에 관한 정보나 견해(opinion)로서 정보나 견해의 사실 여부와 물리적 형태의 기록 여부와는 무관하다고 정하고 있다. 이러한 정의에 따라, 정보위원회(정보위원회(OAIC))는 단편적으로 개인을 식별할 수 없다 하더라도 개인정보를 처리하는 주체가 이미 보유하였거나 접근 가능한 다른 정보와 결합하여 합리적으로 특정한 개인을 식별할 수 있게 할 때도 이를 개인정보로 인식한다.

또한, 프라이버시법은 일반적으로 '민감한 정보'를 잘못 취급하면 해당 개인에게 더 해로운 영향을 미칠 수 있다는 점을 고려하여 '민감한 정보'에 대해 더 높은 수준의 보호조치를 요구하고 있다. '민감한 정보'는 개인정보 보호법에 따라 정의되며 개인의 인종 또는 민족, 정치적 견해, 직업적 또는 정치적 또는 종교적 소속 또는 회원 자격, 성적 지향 또는 관행, 범죄기록, 건강, 유전학 및/또는 생체 인식에 대한 정보를 포함하고 있다. 예를 들어, 요청된 개인정보의 수집을 다루는 APP 제3원칙은 관련된 개인이 수집에 동의하고 정보가 수집 주체의 기능 혹은 활동에 합리적으로 필요한 경우를 제외하고 민감한 정보의 수집을 금지하고 있다. 이는 민감하지 않은 일반 개인정보의 수집이 수집 주체의 합법적인 기능이나 활동에 합리적으로 필요한 경우에는 가벼운 수준에서 허용하고 있는 것과 대비되는 부분이다.

프라이버시법이 인식하는 개인정보 개념은 대부분 명확하게 인식되지만, 일부 개인정보에 해당하는지가 명확하지 않으면 맥락과 상황에 따라 결정하기도 한다. 따라서 프라이버시법은 개인정보처리 주체(APP entity)1) 에 호주 프라이버시 원칙(APP)을 가능한 보수적으로 적용할 것을 권고하고 있다. 또한, 프라이버시법이 개인정보 해당여부를 명확하게 구분하지 않는 경우에는 다른 법률에 의해 개인정보 여부를 규정하는 경우도 있다. 예를 들어 통신가로채기 및 접근법(TIA Act, Telecommunications Interception and Access Act)은 프라이버시법 제정의 취지에 따라 속성정보(metadata)를 개인정보로 인식한다. 프라이버시법은 개인정보를 민감한 개인정보, 신용 정보, 직원기록, 납세번호정보 등 다양한 유형으로 구분하여 규율하며 각각에 대한 개념과 특징은 아래 표와 같다.

1) 호주 프라이버시법의 규정을 적용받은 조직, 주로 연방 공공기관과 조건을 충족하는 민간조직을 포함

[표 3] 개인정보의 유형

개인정보의 유형
구분 정의 비고

민감정보(제6조)

(sensitive information)

개인의 인종, 민족 정보 및 정치적 견해, 정당 가입정보, 종교, 철학, 노조 가입현황, 성적 성향, 범죄기록 등에 관한 정보 또는 견해

건강정보, 유전적 정보, 생체 식별을 위해 사용되는 생체(바이오) 정보에 관한 정보 또는 견해

개인정보 수집, 이용, 제공 시 개인의 동의 필요

※ 일반 정보의 경우, 정보처리 주체의 행위나 기능에 필요한 경우 동의 없이 처리 가능

건강정보(제6-FA조)

(health information)

개인의 질병, 장애, 부상 또는 개인이 향후에 받을 의료 서비스에 대한 의사 표시된 바람(expressed wishes) 또는 개인이 제공받을 (또는 이미 제공받은) 건강서비스에 대한 정보 또는 견해

개인에게 건강서비스 제공하기 위해 수집된 다른 개인정보

개인의 장기기증(또는 기증 의사)등에 관련하여 수집된 다른 개인정보

개인 또는 친족의 건강을 예측할 수 있는 개인의 유전적 정보

민감정보에 속하여 민감정보와 같이 취급되나, 이와 별도로 건강정보에 특화된 규정이 있음

※ 건강정보 처리가 허용되는 예외 규정(법 제16조), 건강정보의 이용․제공 등에 대한 가이드라인 관련 규정(제95A) 등

신용 정보(제6-N조)

(credit information)

개인에 대한 식별정보

개인에 대한 소비자의 부채 정보 (consumer credit liability information)

개인의 상환 명세 정보 등

신용 정보는 제3-A장을 통해 다른 정보와 별도로 규율됨

납세번호 정보(제6조)

(tax file number information)

합법적 수집 여부 또는 물리적 형태의 기록 여부와 관계없이, 개인의 신원과 연결되는 방식으로 납세번호를 기록하는 정보

납세 정보는 제3장 4절(납세번호 정보) 및 ‘프라이버시 납세번호 규정’을 통해 별도 규율됨

직원 기록(제6조)

(employee record)

직원의 고용과 관련한 직원의 개인정보의 기록을 말하는 것으로, 건강정보를 비롯하여 다음의 정보를 의미 함

  • 직원의 업무, 교육, 징계, 사직
  • 직원의 고용 종료, 고용 기간 및 조건
  • 직원의 개인 비상 연락 정보
  • 직원의 성과, 수행활동
  • 직원의 고용 시간, 급여
  • 직원의 노동조합 등 조합 가입
  • 직원의 병가, 휴직 등
  • 직원의 납세, 금융 및 연금 관련 사항

민간 기관의 직원 기록은 일반적으로 프라이버시법(Privacy Act) 적용 면제 대상

2) 적용 대상

프라이버시법(Privacy Act)은 동 법의 시행에 따른 규정을 APP 주체(APP entity)에게 적용한다고 규정하고 있는데, 이들 APP 주체는 호주 연방에 소속한 공공기관 및 소속 공직자 그리고 민간조직으로 구분된다. 그러나 APP 주체에는 ① 연간 매출액이 300만 호주 달러에 미치지 않는 소규모 사업자, ② 등록된 정당, ③ 각 주(state)와 준주(territory)의 공공기관은 포함되지 않는다.
그러나, 아래의 어느 조건에 해당하면, 민간조직의 연간 매출액 3백만 호주 달러 이하 사업자의 경우라도 다음의 경우에는 동 프라이버시법의 적용을 받는다고 규정하고 있다.

건강 서비스를 제공하는 민간 기관. 건강 서비스를 제공하는 기관으로서 아래에 해당하면.

  • 민간병원, 개인병원, 약국, 보건지원 전문인(allied health professional) 등 전통적인 건강서비스 제공자
  • 자연 치료사(naturopaths), 척추 지압사 등 보완적 치료사(complementary therapist)
  • 체육관, 비만 관리 클리닉
  • 아동 보호 센터, 민간 학교, 고등 교육기관(tertiary educational institutions)

영리 목적으로 개인정보를 제공받거나 제공하는 경우

신용평가기관

연방정부와 서비스 계약 체결된 자

Fair Work(Registered Organizations) Act 2009에 따라 인가된 노동조합

프라이버시법 적용을 신청한 사업자

프라이버시법에 적용되는 사업과 관련된 사업자

Privacy Regulation 2013에 규정된 사업자

또한, 소규모 사업자를 포함하여 다음의 관행을 수행하는 조직이나 개인정보처리가 아래에 해당하면,

Anti-Money Laundering and Counter-Terrorism Financing Act 2006과 동 법의 하위 법령과 관련된 보고 기관이나 당국의 행위

주택 임차 DB 운영과 관련된 행위나 관행 등

소비자 신용평가 정보(신용평가기관, 신용제공업자 등 포함)를 취급하는 경우

납세번호 가이드라인에 따른 납세번호를 취급하는 경우

My Health Records Act 2012에 따른 My Health Record와 Healthcare Identifiers Act 2010에 따른 개인 건강관리 식별자(Healthcare Identifiers)를 취급하는 경우

일반적으로 연방이 아닌 각 자치주(준주)가 설립하여 운영하는 병원, 건강관리시설을 비롯한 지방정부 기관은 자체 개인정보 보호법 적용 대상으로 인식되고 있으며, 아래에 해당해도 프라이버시법의 규제 대상으로 보지 아니한다.

  • 개인적 또는 가사 목적으로 개인정보를 처리하는 개인
  • 호주 국립 대학교, 공립학교
  • 과거 또는 현재 고용 관계와 관련하여 회사가 직원의 기록을 취급하는 경우
  • 소규모 사업자 중 예외 대상(위 적용 대상에 명시)
  • 프라이버시 기준 준수를 표명한 언론사
  • 공인된 정당이나 정치적 대표자

3) 적용 범위

호주 프라이버시 원칙(APPS)을 비롯한 프라이버시법(Privacy Act)은 호주와 연결성(Australian link)이 있으면 국외 영토(external territory)에서도 적용되는데 민간 기관이나 소규모 사업자가 다음에 해당하면 호주와 연결성이 인정된다.

호주 시민권자 또는 영주권자

호주나 국외 영토에서 형성/설립된 동업자 또는 신탁(trust)인 경우

호주나 국외 영토에 설립된 법인

호주나 국외 영토에 통제/관리 조직이 있는 비법인 조합

(위의 경우에 속하지 않더라도) 호주나 국외 영토에서 사업을 하면서 호주나 국외 영토의 개인정보를 수집하거나 보유하는 경우

4) 개인정보처리 동의

프라이버시법은 정보 주체의 ‘동의’에 관한 별도의 장으로 할애하고 있지는 않으나, ‘동의’를 개인정보처리에 관한 원칙에 있어 매우 중대한 요건으로 제시하고 있다. 정보 주체는 개인정보처리 주체(APP Entity)에 동의를 제공함으로써 해당 조직이 본인의 개인정보에 관한 법적 권한을 부여했음을 나타내고 있으며, 예외로 규정된 상황을 제외하고 개인정보처리를 수행하고자 하는 개인정보처리 주체는 반드시 정보 주체의 동의를 획득해야 한다고 규정하고 있다.
호주 프라이버시 원칙(APPS, Australia Privacy Principles) 이전 정보 프라이버시 원칙(IPP)과 국가 프라이버시 원칙(NPP)은 개인정보처리 주체에게 정보 주체의 동의를 필수사항으로 요구하지 않았다. 그러나 또한, 조직은 민감한 개인정보의 처리와 수집 목적 이외의 목적으로 개인정보를 활용하거나 이전하는 것을 일반적으로 허용하지 않았는데, 이러한 금지에 대한 예외적인 조건으로 정보 주체의 동의를 획득할 것을 요구하고 있었다. 그러나 프라이버시법에 따라 프라이버시 원칙(APP s, Australia Privacy Principles)이 확립된 이후에는 기본적으로 정보주체의 동의를 필수적으로 요구되고 있다.
프라이버시법은 '동의'를 '명시적인 동의 또는 묵시적인 동의에 대한 의사 표현'으로 규정함으로써, 구두 또는 서면을 통한 명시적 동의뿐만 아니라 정보주체의 행동에서 동의 의사를 합리적으로 추론할 수 있는 경우에는 묵시적인 동의를 획득한 것으로 인정하고 있다.
또한, 프라이버시법은 유효한 ‘동의’의 필수적인 전제 요건으로서 ‘자발성’을 들고 있으며, 이를 준수하기 위해서 정보주체는 개인정보처리에 대한 전반적인 이해능력, 동의 제공 능력, 의사소통 능력이 보장되어야 한다고 언급하고 있다. 이러한 ‘동의’의 자발성 요건을 충족하였는지에 있어 일반적으로 정보주체가 정보제공요청에 대해 동의하지 않을 수 있는 선택권을 명백하게 갖고 있었는지에 근거하여 판단해서 한다는 것이 중론이다.2) 이러한 인식에 따라, 프라이버시법은 극단적인 압력과 강압 때문에 제공된 동의는 효력이 없는 것으로 인식한다.

2) 동의의 선택권 판단과 관련해서 동의를 보류하는 것 자체가 개인의 금전적 비용이나 노력을 수반하지 않았는지 아닌지를 들고 있다.

5) 침해

프라이버시법(Privacy Act)은 프라이버시를 침해하는 행위를 다음과 같이 규정하고 여기에 포함되지 않는 행위는 침해가 아니라고 명시하였다. 침해의 정도가 심각하거나 반복적인 침해 행위는 최대 2,000 페널티 유닛3)의 민사 처벌 부과 대상이다.

3) Penalty unit은 호주에서 채택한 벌금 부과 금액 단위로 1 페널티 유닛은 2017년 7월 발표 기준으로 210 호주 달러에 해당

개인정보처리 주체(APP Entity) : APP 또는 공인된 APP 규약을 위반하는 행위

신용평가정보 관련 : 동 법의 제3-A장 신용평가정보 관련 조항 또는 공인된 CR 규약을 위반하는 행위

정부와 계약된 서비스 제공자 : 정부와의 계약 조항이 APP 또는 공인된 APP 규약과 부합하지 않기 때문에 개인정보와 관련한 행위가 APP와 규약 위반에 해당하지 않은 경우, 그 계약 이행에 부합하지 않는 방법으로 개인정보처리가 이루어질 때

납세번호 관련 : 납세번호 규정을 위반하거나 납세번호를 불법적으로 요구하는 행위

개인정보 유출 통지 : 개인정보 유출 통지 의무를 지난 주체가 이 법의 통지 관련 조항을 위반 할 때

다음의 행위는 프라이버시 침해에 해당하지 않는다.

계열사(related bodies corporate) : 계열사로부터 개인정보를 수집하거나 계열사에게 개인정보를 제공하는 행위는 (이때 수집된 목적과 동일한 경우에 한해 이용 또는 제공 가능하며, 수집된 개인정보와 관련된 행위가 APP 또는 공인된 APP 규약을 위반하는 경우는 프라이버시 침해에 해당한다)

제휴사 변경 관련 : 같은 업무에 대해 제휴사가 변경되어 제휴사 간 개인정보를 이전하는 행위(제휴 업무의 변경 없이 제휴사만 변경되고, 이전 제휴사의 담당자 중 1명 이상이 새로운 제휴사에서 계속해서 근무를 수행하며, 이전 제휴사의 파산 직후 즉시 이전이 이루어지는 경우)

해외에서의 행위 : 해외에서 수행한 행위고, 그 행위가 해당국의 관련법에 따른 경우

6) 호주 프라이버시 원칙

프라이버시법의 부칙 제1조에서는 호주 프라이버시 원칙(APPS, Australian Privacy Principles)을 규정하고, 호주 연방정부, 대상이 되는 민간조직, 건강서비스 제공자 및 비영리 기관 등 개인정보처리 주체(APP Entity)가 개인정보처리에 관한 기준을 제시하고 있다. 호주 프라이버시 원칙(APPS)은 그 이전까지 민간과 호주 연방정부 기관에 각각 적용되었던 국가 프라이버시 원칙(NPP, National Privacy Principles)과 정보 프라이버시 원칙(IPP, Information Privacy Principles)을 통합·대체하기 위하여 2014년 제정되었다. 호주 프라이버시 원칙(APPS)은 크게 5가지 영역으로 구성되어 있으며, 해당 영역에 관하여 총 13개 원칙을 제시하고 있다.
첫 번째 영역은 [개인정보 프라이버시 고려]로 개인정보 관리의 투명성, 개방성, 익명성, 가명 성을 다루고 있다. 두 번째 영역 [개인정보 수집]은 요청된(solicited) 또는 요청되지 않는 개인정보의 수집․처리 시 원칙과 개인에 대한 통지 기준을 규정하고 있으며, 세 번째 영역은 개인정보의 이용, 제공 및 직접 마케팅에서의 원칙 그리고 국외 이전 시 기준 등 [개인정보 취급]에 관한 원칙이다. 다음으로 [개인정보의 무결성]을 통해 개인정보의 최신성 유지, 안전한 관리 등을 규정하고, 마지막 영역은 [개인정보의 접근, 정정]으로 개인정보에 대한 개인의 권리를 설명하고 있다.

[표 4] 호주 프라이버시 원칙(APP)

호주 프라이버시 원칙(APP)
구분 호주 프라이버시 원칙(APP)

(1영역)

개인정보 프라이버시 고려

-Consideration of personal information privacy-

1원칙 : 공개적이고 투명한 개인정보 관리

2원칙 : 익명화 및 가명화

(2영역)

개인정보 수집

-Collection of personal information-

3원칙 : 요청된(solicited) 개인정보의 수집

4원칙 : 원치 않는 개인정보처리

5원칙 : 개인정보 수집에 대한 통지

(3영역)

개인정보 취급

-Dealing with personal information-

6원칙 : 개인정보 사용 또는 공개

7원칙 : 직접 마케팅

8원칙 : 개인정보의 국외 이전

9원칙 : 정부 관련 식별자의 채택, 이용 또는 제공

(4영역)

개인정보의 무결성

-Integrity of personal information-

10원칙 : 개인정보의 품질

11원칙 : 개인정보의 보안

(5영역)

개인정보의 접근, 정정

-Access to, and correction of, personal information-

12원칙 : 개인정보 열람

13원칙 : 개인정보의 정정

프라이버시법이 규정하는 호주 프라이버시 원칙(APPS, Australia Privacy Principles)의 세부내용은 아래와 같다.

제1원칙: 개인정보의 공개적이고 투명한 관리

- 제1원칙은 개인정보처리 주체(APP Entity)가 개인정보보호에 필요한 관행과 절차, 그리고 그러한 절차를 구현하는 시스템을 요구하고 있으며 개인정보처리에 관한 정책을 개발하고 쉽게 활용할 수 있는 체계에 관한 요구사항을 규정하고 있다.

제2원칙: 익명성 및 가망성

- 제2원칙은 개인정보처리 주체(APP Entity)가 정보주체의 개인정보를 다루는 가정에서 익명화 또는 가명화에 관한 권한을 규정하고 있다.

제3원칙: 개인정보 수집

- 하나 이상의 합법적인 기능이나 활동을 수행하기 위하여 합리적으로 필요한 경우에만 개인정보처리 주체(APP Entity)가 개인정보를 수집할 수 있도록 허용되어야 하며
-현실적으로 불가능하거나 다른 법규에 따라 규정된 예외적인 상황이 아닌 한 개인정보는 정보주체로부터 직접 수집되어야 하며,
- 개인의 민감한 정보를 수집하기 위해서는 반드시 정보주체의 동의를 획득하거나 다른 법률에 따라 규정된 예외가 적용된 경우에만 허용된다.

제4원칙: 요청되지 않은 개인정보처리

- 제4원칙은 개인정보처리 주체(APP Entity)가 정보주체가 요청하지 않은 개인정보를 수신한 경우, 만약 기업이 정보를 요청했다면 제3원칙에 따라 해당 정보를 수집할 수 있었는지에 대해 고려하도록 요구하고 있다.

- - 그러한 고려를 통해, 제3원칙에 따라 개인정보를 수집할 수 없었거나 개인정보가 연방정부 기록(Commonwealth record)에 포함되어 있지 않은 경우, 해당 개인정보를 신속히 파기하거나 익명처리 해야 한다.

제5원칙: 개인정보 수집에 대한 통지

- 제5원칙에서는 개인정보처리 주체(APP Entity)가 개인정보를 수집하거나 이전하는 경우, 관련 사항을 정보 주체에게 통지하도록 요구하고 있다.
- 제5원칙은 정보 주체의 개인정보가 제3자로부터 수집되는지 여부, 수집 목적, 정보 주체 본인의 개인정보에 대한 액세스와 수정에 관한 권리를 포괄적으로 부여한다.
- 제5원칙의 준수를 위하여 개인정보처리 주체(APP Entity)는 일반적으로 개인정보를 수집하는 양식 또는 기타 자료에 '수집 진술서'에 의한 처리의무를 요구받는다. 또한, 이러한 진술서는 개인정보처리 주체의 개인정보 보호 정책에 대한 링크를 참조하고 포함해야 한다고 규정하고 있다.

제6원칙: 개인정보의 사용 또는 공개

- 제6원칙은 정보 주체가 동의하지 않는 한, 수집된 목적 이외의 목적으로 개인정보처리 주체가 개인정보를 사용하거나 공개하는 행위를 금지하고 있다.
- 단, 정보 주체의 건강이나 안전을 도모하는 데 필요하거나 공익을 위한 예외적인 상황에 대해서도 별도로 규정하고 있다.

제7원칙: 직접 마케팅

- 제7원칙은 일반적으로 정보 주체가 합리적으로 기대하거나 동의하지 않는 한 직접 마케팅 목적으로 개인정보를 사용하는 것을 금지하고 있다.

제8원칙: 개인정보 국외 이전

- 제8원칙은 개인정보처리 주체(APP Entity)가 국외의 정보수신자에게 개인정보를 이전하는 경우에는 수신자가 호주 프라이버시 원칙(APPS)을 위반하지 않도록 합당한 조치를 하도록 요구하고 있다.
- 개인정보 해외이전의 경우, 개인정보처리 주체(APP Entity)는 일반적으로 해외 수신자에게 계약상의 의무를 부과하도록 요구하고 있으며, 이러한 의무에는 아래의 사항을 포함한다.
- 개인정보처리 주체(APP Entity)는 국외의 정보수신자가 호주 프라이버시 원칙(APPS)과 유사한 수준의 보호를 제공하는 개인정보 보호 법령 또는 지침에 의해 규율되고 있는지를 반드시 확인할 것
- 개인정보의 해외이전에 관한 동의 획득과 관련하여 정보 주체의 동의를 획득하기 위한 절차로서 개인정보처리 주체(APP Entity)는 정보 주체에게 해당 동의 절차를 제공하게 되면, 해당 개인정보가 더 이상 호주 프라이버시 원칙(APPS)에 의한 보호조치와 개인정보처리 주체의 보호 의무가 더 이상 유효하지 않음을 정보 주체가 충분히 이해한 상태에서 해외이전에 관한 동의를 획득할 것
- 이와 관련하여, 프라이버시법은 국외의 정보수신자가 호주 프라이버시 원칙(APPS)을 위반하는 경우, 해당 개인정보를 이전한 개인정보처리 주체(APP Entity)에게도 책임을 부과한다고 규정하고 있다.

제9원칙: 정부 관련 식별자의 채택, 이용 또는 제공

- 제9원칙에서 언급하는 정부 관련 식별자는 개인의 면허번호, Medicare번호, 여권번호 및 납세 파일 번호를 포함한 정부 기관이 발행한 식별정보를 의미한다.
- 아래의 경우를 제외하면 개인정보처리 주체(APP Entity)가 정부 관련 식별자를 채택, 이용 또는 제공하는 행위를 금지한다.

  • 법률에 따라 요구되거나 승인된 경우
  • 개인의 신원을 확인하기 위해 필수적으로 요구되는 경우
  • 사전에 규정된 다른 예외가 적용되는 경우
제10원칙: 개인정보의 품질

- 제10원칙은 개인정보처리 주체(APP Entity)가 수집, 사용, 공개 및 보유하는 개인정보가 정확하고 최신의 상태로 유지되고 완전함을 보장하기 위해 합당한 조처를 하도록 요구하고 있다.
- 또한, 개인정보는 사용 또는 공개 목적과 관련된 범위 내에서만 사용 또는 공개할 수 있다고 명시하고 있다.

제11원칙: 개인정보의 보안

- 제11원칙은 개인정보처리 주체(APP Entity)가 정보를 오용, 간섭 및 손실, 무단 액세스, 수정 또는 침해로부터 보호하기에 합당한 조처를 하도록 요구하고 있다.
- 당 원칙에 따라, 개인정보처리 주체(APP Entity)는 법률에 따라 별도로 보관해야 하는 경우를 제외하면, 더는 필요하지 않은 개인정보는 파기하거나 익명화해야 한다.

제12원칙: 개인정보에 대한 액세스

- 제12원칙은 규정된 예외가 적용되지 않는 한, 개인정보처리 주체(APP Entity)는 정보 주체가 요청하는 경우에는 해당 개인정보에 대한 액세스 권한을 제공해야 한다고 규정하고 있다.

제13원칙: 개인정보의 정정

- 제13원칙은 개인정보를 보유하는 목적과 관련하여 개인정보가 부정확하다고 판단한 정보 주체가 정정을 요구하는 경우에는 개인정보처리 주체(APP Entity)가 보유한 개인정보 정정에 필요한 합당한 조처를 하도록 요구하고 있다. 이를 통하여 개인정보처리 주체(APP Entity)는 이미 정보의 불완전성과 오해의 여지를 완전히 제거하도록 조치해야 한다고 요구하고 있다.
- 그러나, 개인정보처리 주체(APP Entity)가 정보 주체의 수정요청을 거부하는 경우에는 거부 사유를 제공해야 하며 해당 정보가 정확하지 않다는 정보 주체의 견해를 입증하는 진술을 개인정보에 기록할 수 있도록 조치해야 한다.
- 또한, 개인정보처리 주체가 보관 중인 개인정보에 수정사항이 있는 경우, 해당 조직은 수정전의 개인정보를 제공한 제3자에게도 해당 수정 사실을 통지하도록 권고하고 있다.

프라이버시법은 이러한 호주 프라이버시 원칙(APPS)을 개인정보처리 주체(APP Entity)에게 준수하도록 요구하고 있으나, ‘예외가 허용되는 일반적인 상황(permitted general situation for exertion)’을 제16장에 별도로 규정함으로써 프라이버시 원칙(APPS)의 일부 원칙 즉, 민감한 개인정보의 수집(제3원칙), 개인정보의 이용 또는 제공(제6원칙 및 제8원칙) 그리고 정부 관련 식별자의 이용 또는 제공(제9원칙), ‘예외적인 응급상황’에서는 적용을 면제하도록 허용하고 있다. 그러한 ‘예외가 허용된 일반적인 상황’은 아래를 포함한다.

  • 개인의 생명, 건강 또는 안전, 혹은 대중의 건강이나 안전에 대한 심각한 위협을 줄이거나 막는 행위
  • 불법적인 활동이나 심각한 위법 행위로 의심되는 것에 대해 취하는 적절한 행위
  • 실종된 것으로 보고된 사람을 찾는 행위
  • 법적 또는 합당한 주장을 하는 행위
  • 대안적 분쟁 해결(ADR) 과정을 수행하는 행위
  • 외교기능 또는 영사기능을 수행하는 행위(연방정부 기관에만 적용)
  • 규정된 국방 활동을 수행하는 행위(군사 조직에만 적용)

7) 신용평가

호주 프라이버시 원칙(APP)이 일반 개인정보처리 주체의 보호 원칙을 다룬다면, 프라이버시법 제3-A장은 신용 정보 관련 처리 기관의 의무와 신용 정보에 대한 보호 기준을 다룬다. 따라서 호주 프라이버시 원칙(APPS)은 이 장에서 다루는 정보처리에 적용되지 않거나 일부분만 적용된다. 신용 정보 관련 처리 기관은 은행 등과 같은 신용제공자, 신용평가기관, 보험업체 등이 포함되며 각 주체에서 다루는 정보의 유형이나 범위가 다르므로, 각 처리 주체의 유형별로 각각의 절에서 구분하여 규율한다. 이러한 신용 정보 관련 처리 기관이 다루는 정보는 비교적 민감한 정보이므로 엄격한 규율이 적용되는데, 기본적으로 사업 수행 과정에서 필요하거나 법령에서 특별히 허용하는 경우 등을 제외하고는 정보의 수집, 이용 또는 제공이 금지된다. 특히 직접 마케팅이나 사전 선별(Pre-screening) 평가 등 특별한 목적을 위해 처리되는 경우에는 더욱 제한적으로 허용된다. 또한, 정보의 보안, 최신성 유지와 개인의 열람권, 정정 요청권을 위한 기준을 명시하였으며, 이 장의 내용을 위반한 경우 개인은 해당 신용제공업자 또는 신용평가기관 등에 민원을 제기할 수 있으며, 해당 개인정보처리 주체는 신속히 응대하고 민원을 조사해야 한다.

8) 납세번호 정보

개인의 납세 파일 번호(TFN, Tax File Number)는 세금을 내는 호주 국민과 거주자에게 부여되는 고유번호로서, TFN 정보는 개인의 신원과 연관하여 기록한 정보를 말한다. TFN 정보는 이를 취급할 수 있도록 인가받은 자에 의해서만 처리할 수 있으며, 정보위원장이 TFN 정보의 수집, 이용, 저장 및 보안 조치에 관한 사항을 별도의 규정으로 마련하도록 명시하였다. 이에 따라 2015년 2월 Privacy (Tax File Number) Rule 2015가 발행되었으며, 이 규정은 구속력 있는 규범으로 이전에 마련된 TFN 지침(Tax File Number Guidelines 2011)을 대체한다. TFN 규정에 따라 TFN 정보는 주민 식별 번호(National Identification Number)로 사용될 수 없으며, 승인된 TFN 수신자는 조세법(Taxation Act) 등에 승인된 목적으로만 TFN을 수집, 이용, 제공할 수 있다. 또한, TFN 정보에 대한 인가되지 않은 접속, 분실 등으로부터 보호하고 이용 목적이 달성된 경우에는 안전한 파기 또는 비식별화 등 적절한 조처를 해야 한다. 이 밖에도 TFN을 취급하는 직원의 교육에 대한 사항을 비롯하여 정보위원회(OAIC)와 다른 TFN 규율 기관 등의 책임 사항, TFN 정보와 인권과의 관계 등을 명시하였다.

9) 유출 통지

프라이버시법(Privacy Act)의 개인정보 유출 통지 규정은 2017년에 신설되어 2018년 2월부터 시행되었다. ∆개인정보에 인가되지 않은 접근, 제공이 이루어지거나 개인정보가 분실되었고, ∆이 결과 개인에게 심각한 피해가 예상되나, ∆개인정보처리 주체가 이를 구제할 수 없을 때, 이를 ‘적정한 개인정보 유출(eligible data breach)’로 규정하였다. 개인정보처리 주체는 적정한 개인정보 유출 시 개인 및 정보위원회(OAIC)에 이 사실을 통지해야 할 의무가 있으며, 해당 유출이 적정한 개인정보 유출인지 여부를 판단하기 위해 고려되어야 할 기준으로 개인정보의 종류, 민감성, 개인정보보호 조치방법, 개인정보가 유출된 환경, 개인정보를 습득한 자의 유형 등을 명시하였다. 적정한 개인정보 유출로 확신하지 않고 단지 의심되는 경우에는 합리적인 기간 내에 이를 평가하여 결정해야 한다. 또한, 개인정보 유출 인지 후 가능한 한 신속히 유출에 대한 진술서를 작성하여 정보위원회(OAIC)에 제출하고 개인에게 통지해야 하는데, 진술서에 포함되어야 하는 내용으로 개인정보처리 주체의 신원/연락처, 유출과 관련된 개인정보 항목, 개인이 유출에 대응하기 위해 취할 수 있는 조치 등이 나열되었다. 유출 통지 시에는 이메일 등 평소 개인과의 소통 수단을 이용하여 개별 통지를 할 수 있으며, 어려운 경우는 개인정보처리 주체의 홈페이지에 게재하거나 언론 공개도 가능하다. 다만, 법 집행기관의 법 집행 행위, 타 법률의 기밀조항과의 충돌 등의 경우는 통지 대상에서 면제된다. 개인정보 유출 통지에 대한 상세 규정은 제4장 개인정보보호 사고 시 대응절차의 제1절 개인정보 유출 통지를 참고한다.

10) 프라이버시 규약

프라이버시 규약(privacy codes)은 개인정보처리에 관한 문서로 만들어진 실행 규약(code of practice)으로, 일반 개인정보처리를 위한 APP 규약과 신용평가 정보처리를 위한 CR 규약으로 각각 구분하여 규정하였다. 먼저 프라이버시 원칙(APPS) 규약에는 적용 방법, 규정에 구속되는 주체, 규정의 발효 기간 등이 명시되어야 하며, 이 외에도 추가로 부과된 요구사항, 동 법에 규정된 면제 행위에 대한 적용, 내부 민원 처리 절차 등을 포함할 수 있다. 또한, APP 규약은 처리하는 모든 개인정보 혹은 특정 유형의 개인정보에 적용하거나, 특정 개인정보처리 행위 또는 특정 산업 분야 또는 특정 유형의 기술을 사용하는 주체에 적용되도록 규정할 수도 있으며, 개인정보처리 주체, 해당 분야를 대표하는 협의체, 정보위원회(OAIC)가 개발하고 정보위원회(OAIC)에 의해 ‘공인된 APP 규약(registered APP codes)’으로서 승인받을 수 있다. 강제력이 없는 APP 규약과는 달리 ‘공인된 APP 규약’은 하나의 법규(legislative instrument)로써 이를 위반하는 것은 개인정보 침해 행위로 간주하여 처벌의 대상이 될 수 있다. 한편, 정보위원회(OAIC)는 ‘공인된 APP 규약’에 관한 변경·폐기 요청을 승인하거나 재량으로 변경·폐기할 수도 있다. CR 규약 또는 ‘공인된 CR 규약’은 신용평가 정보에 대하여 APP 규약 또는 ‘공인된 APP 규약’과 동일하게 적용한다.

11) 정보위원회의 기능

정보위원회(OAIC)는 프라이버시법(Privacy Act) 및 다른 법률에 근거한 프라이버시 보호 업무, FOI Act(Freedom of Information Act 1982)에 근거한 업무와 Australian Information Commissioner Act 2010에 근거한 정부의 정보정책 관련 업무 등 크게 3가지 기능을 수행한다. 그중 개인정보보호와 관련하여, 법규 준수 지원, 조사 및 법 집행 기능 그리고 이와 관련된 가이드, 모니터링 또는 자문 등의 활동을 수행한다.

12) 조사

동 법의 규정을 위반하거나, 또는 프라이버시 침해 관련하여 정보위원회(OAIC)에 조사 권한이 주어진 다른 법률 등을 위반하여 개인의 프라이버시가 침해된 경우, 개인은 정보위원회(OAIC)에 민원을 제기할 수 있다. 정보위원회(OAIC)는 이에 따라 민원을 조사하며, 이외에도 정보위원회(OAIC) 재량에 따라, 즉 프라이버시 원칙(APPs) 제1원칙(공개적이고 투명한 개인정보 관리)을 위반하여 조사하는 것이 바람직하다고 판단되는 행위에 대해서도 조사를 진행할 수 있다. 민원에 대한 조사는 민원인이 피 민원 기관에 직접 일차적 민원을 제기하여 해결을 시도한 건에 대해서만 진행하며, 정보위원회(OAIC)는 프라이버시 침해 행위가 없거나, 침해 행위 인지 후 12개월 이상이 지나 민원이 제기된 경우, 정보위원회(OAIC)의 정보 요청에 대해 민원인의 응답이 없는 경우, 선의에 의한 민원이 아닌 경우 등에 대해서는 조사하지 않을 수 있다. 또한, 대체 민원 기관에서 처리하는 것이 효과적이라고 판단되는 경우에는 해당 기관에 이관할 수 있다. 민원인 또는 피 민원인 등은 위원회의 조사에 필요한 정보를 제공하거나 회의에 참석해야 하며, 이를 위반할 시에는 민사 처벌이 부과될 수 있다. 정보위원회(OAIC)는 민원 조사 과정 또는 이전에 당사자 간 합리적인 해결을 위해 조정의 노력을 해야 하며, 조정이 이루어지지 않으면 정보위원회(OAIC)의 결정에 따라야 한다. 정보위원회(OAIC) 결정에는 조사결과에 따라 민원의 기각 또는 프라이버시를 침해한 위반 행위의 중단, 민원인의 손해나 피해를 보상하려는 조치 이행 또는 금전적 보상 등이 포함된다. 피 민원 기관은 이와 같은 정보위원회(OAIC)의 결정을 준수해야 하며, 민원인 또는 정보위원회(OAIC)는 연방법원 등에 이러한 결정에 대한 집행 명령을 내리도록 기소할 수 있다.

13) 법 집행

프라이버시법(Privacy Act)은 동 법을 위반한 자에게 부과하는 법 집행의 유형을 민사 처벌(civil penalty), 실행 확약(enforceable undertaking) 및 명령(injunction) 등으로 명시하였고, Regulatory Powers Act에 따라 정보위원회(OAIC)는 연방법원 또는 연방 순회 법원(federal circuit court)에 각 법 집행을 신청할 수 있는 권한을 부여받았다. 그러한 집행 권한 중에서 민사 처벌은 개인에 ‘심각한’ 침해를 주거나 프라이버시 침해 행위를 반복하는 개인정보처리 주체(APP Entity)에게 2,000 페널티 유닛을 부과하는 규정 이외에도 제3-A장 신용평가 관련 규정에 다양한 민사 처벌 규정 등이 포함되어 있다. 실행 확약(enforceable undertaking)은 정보위원회(OAIC)와 개인 또는 정보위원회(OAIC)와 개인정보처리 주체(APP Entity) 간에 문서로 만들어진 합의를 말하며, 명령(injunction)은 동 법을 위반한 자 등에게 특정한 행위를 강제하거나 금지하는 법원의 명령을 의미하는 것으로서, 동 법을 실질적으로 위반한 경우뿐만 아니라, 향후 위반 행위의 발생이 합리적으로 예상되는 경우에 적용될 수 있다.동 프라이버시법은 개인정보처리 주체(APP Entity)가 개인의 개인정보 규정을 심각하게 또는 반복적으로 침해하는 경우, 법인의 경우 과징금 규모를 최대 180만 호주 달러, 비-법인(정부 기관, 개인 사업자, 파트너십, 신탁, 비법인 협회 등)의 경우 최대 36만 호주 달러까지 부과할 수 있다고 명시하고 있다. 특히 아래 명시한 개인정보처리 주체(APP Entity)의 행위에 대해서는 중대한 위반으로 처벌한다.

  • 호주 프라이버시 원칙(APPS)을 위반하는 행위
  • 해당 산업의 규제기관이 수립하여 운용하는 호주 프라이버시 원칙(APPS) 실무규칙 위반
  • 프라이버시법의 신용보고 관련 조항을 위반하는 행위
  • 공인된 CR 규약을 위반하는 행위
  • 영연방 계약규정을 위반하는 행위
  • 프라이버시법에 따라 개인정보 감독기구가 시행하는 규칙을 위반하는 행위

2 기타 개인정보보호 법령

가. 각 주의 개인정보보호 자치법령

호주는 6개의 자치주와 2개의 준주로 구성된 연방 국가로서 각 자치주 또는 준주는 별도의 개인정보보호 법규를 제정하여 각 자치정부의 공공기관 등을 규율하고 있다. 주요 자치구별 법률은 수도 특별 준주(ACT, Australian Capital Territory) 정보 프라이버시법(Information Privacy Act 2014), 노든 테리토리(Northern Territory)준주 정보법(Information Act 2002), 뉴사우스웨일스주 NWS, New South Wales) 주 프라이버시와 개인정보 보호법(Privacy and Personal Information Protection Act 1998), 퀸즐랜드(Queensland)주 정보 프라이버시법(Information Privacy Act 2009), 태즈메이니아(Tasmania)주 개인정보 보호법(Personal Information Protection Act 2004), 그리고 빅토리아(Victoria)주 프라이버시와 데이터 보호법(Privacy and Data Protection Act 2014) 등이 있다.

나. 분야별·영역별 개인정보보호 법률

호주 내 자치정부 별로 운영하는 개인정보보호 법률 외에도 분야별, 영역별로 적용하는 다양한 개인정보보호 법령이 마련되어 있다. 먼저 연방에 적용되는 법으로는 상업적 목적의 전자적 메시지 전송을 담당하는 스팸법(the Spam Act 2003), 텔레마케팅과 팩스 마케팅을 규율하는 수신 거부 등록법(DNCR Act, Do Not Call Register Act 2006)을 비롯하여, 통신법(Telecommunications Act 1997) 등이 있다. 개인의 의료 및 건강정보와 관련해서는 연방정부 단위의 국민 건강법(National Health Act 1953), 나의 건강기록법(My Health Records Act 2012), 의료식별자법(Healthcare Identifiers Act 2010) 등 세부 영역별로 규율하는 법령이 마련되어 있다. 각 자치주 단위별로도 뉴사우스웨일스주의 건강 기록과 정보 프라이버시법(Health Records and Information Privacy Act 2002), 빅토리아주의 건강기록법(Health Records Act 2001), 호주 수도 특별 준주(ACT)의 건강기록법(Health Records Act 1997) 등이 있다. 직장 내 직원 모니터링과 관련해서는 연방정부 단위의 감시기기법(Surveillance Devices Act 2004)을 비롯하여 각 자치주 단위별로 빅토리아주의 감시기기법(Surveillance Devices Act 1999), 뉴사우스웨일스주의 직장감시법(Workplace Surveillance Act 2005), 호주 수도 특별 준주(ACT)의 직장 프라이버시법(Workplace Privacy Act 2011) 등이 마련되어 있다.

[표 1] 호주의 개인정보보호 관련 주요 법률

호주의 개인정보보호 관련 주요 법률
구분 분야 법률
연방 기본법(공공/민간) 프라이버시법(Privacy Act)
스팸 스팸법(Spam Act 2003)
텔레마케팅 수신거부 등록법(Do Not Call Register Act 2006)
통신 통신법(Telecommunications Act 1997)
건강 국가 건강법(National Health Act 1953)
나의 건강 기록법(My Health Records Act 2012)
건강관리 식별자법(Healthcare Identifiers Act 2010)
직장 감시 감시 기기법(Surveillance Devices Act 2004)
지방 호주 수도 특별 준주 공공 정보 프라이버시법(Information Privacy Act 2014)
건강

건강기록법 (Health Records Act 1997)

작업장 모니터링 직장 프라이버시법 (Workplace Privacy Act 2011)
빅토리아 공공

프라이버시와 데이터 보호법

(Privacy and Data Protection Act 2014)

건강 건강기록법(Health Records Act 2001)
작업장 모니터링 감시 기기법(Surveillance Devices Act 1999)
뉴사우스웨일즈 공공

프라이버시와 개인정보보호법

(Privacy and Personal Information Protection Act 1998)

건강

건강기록과 정보 프라이버시법

(Health Records and Information Privacy Act 2002)

작업장 모니터링 직장 감시법(Workplace Surveillance Act 2005)
노든 테리터리 공공 정보법(Information Act 2002)
퀸즐랜드 공공 정보 프라이버시법(Information Privacy Act 2009)
테즈메이니아 공공

개인정보보호법

(Personal Information Protection Act 2004)

(1) 스팸법(Spam Act 2003)

누구든 상업적 목적으로 이메일, 인스턴트 메시지, 문자를 전송하는 경우 스팸법의 적용을 받는다. 마케팅 목적의 팩스나 인터넷 팝업 광고 또는 음성 텔레마케팅은 적용 대상이 아니다. 상업적 목적의 전자적 메시지를 합법적으로 전송하기 위해서는 수신인의 사전 동의가 필요하며, 수신을 거부할 수 있는 기능을 제공해야 한다. 만약 메시지 발송자가 정부 기관, 자선단체, 종교단체, 비정부 기관, 공인된 정당이면 이러한 의무 조치가 면제된다. 그러나 이러한 면제 대상도 이들이 직접 메시지를 전송하지 않고 제삼자를 통해 발송하는 경우에는 의무 조치를 이행해야 한다. 또한, 면제 대상 여부와 상관없이 상업적 목적의 전자적 메시지를 전송하려는 경우는 반드시 메시지 수신인이 발송자를 식별할 수 있도록 발송자에 대한 정확한 정보를 표시해야 한다. 상업적 목적이 아닌 사실적 메시지를 전송하는 경우에는 스팸법을 적용받지 않으나 일반적으로 소식지는 단순히 사실적 메시지만을 전송하는 것이 아니라 전송자의 서비스나 상품의 홍보 목적으로 전송되는 경우가 많으므로 이때에도 스팸법에 따른 조치가 필요하다.

(2) 수신거부 등록법(DNCR Act, Do Not Call Register Act 2006)

수신거부등록부(Do Not Call Register)는 요청하지 않는 텔레마케팅 전화나 팩스 수신이 거부된 전화번호, 팩스 번호(호주 국내 번호만 가능) 등이 등록된 보안 DB를 말한다. 개인 또는 기관 등이 자신의 번호를 등록할 수 있으며 한번 등록한 번호는 등록인이 삭제하기 전까지 계속 유효하다. 일반 대중은 개인이나 가정용 전화, 팩스 번호를 등록할 수 있고, 정부 기관이나 긴급서비스 관련 공공기관은 정부 전용 전화번호 또는 긴급서비스 번호를, 그리고 기업은 팩스 전용 번호를 등록할 수 있다. 텔레마케팅이나 팩스 마케팅을 하는 회사는 수신 거부 전화번호가 등록부에 등록된 지 30일 이내에 처리해야 하며, 수신 거부 등록자의 프라이버시 보호를 위해 그들의 전화번호 정보만 수집할 수 있다. 수신 거부 등록된 번호에 메시지를 전송했거나 전송하려는 경우에는 동 법에 따라 처벌을 받을 수 있다. 수신 거부 등록부는 호주 미디어 통신부(ACMA, Australian Communications and Media Authority)에서 규율한다. 이외에도 ACMA는 텔레마케팅 전화가 아닌 유형을 명시한 수신 거부 등록 규정(Do Not Call Register Regulations 2017), 팩스 마케팅의 최소 요건을 규정한 팩스 마케팅 산업 규정(Fax Marketing Industry Standard 2011), 그리고 텔레마케팅과 팩스 마케팅 전화의 최소 요건을 명시한 통신 텔레마케팅과 리서치 전화 규정 (Telecommunications (Telemarketing and Research Calls) Industry Standard 2017)을 규율한다.

(3) 통신법(Telecommunications Act 1997)

통신법은 통신과 콘텐츠를 전송하는 회선을 제공하는 통신사업자(carrier), 회선을 이용하여 전화/인터넷 서비스를 제공하는 사업자(carriage service provider)를 비롯한 다양한 통신서비스 제공자(telecommunications service provider)의 활동을 규율한다. 전기통신법 56조는 '통신사업자'를 동 법의 따라 부여된 통신사 면허의 보유자4)로 정의한다. 면허를 소지한 통신사는 서비스 제공자와 콘텐츠 서비스가 대중에게 제공되는 기반시설을 제공하는 조직을 의미한다. 동 법 제13장에 따라 통신서비스 제공자 등이 통신서비스를 제공하면서 획득한 개인정보 즉 개인의 통신 내용, 통신서비스 또는 다른 개인적인 사항 등을 이용하거나 제공하는 경우에는 최대 징역 2년에 처할 수 있다. 합법적으로 이용 중인 개인정보라도 추가적인 근거 없이 2차적으로 이용, 제공해도 위법 행위로 규정하였다. 또 동 법 5장은 따라 통신법과 통신 차단 및 접근법에서 허용하는 범위 내에서 제3자 제공이 이루어진 경우, 통신서비스 제공자는 정보 제공에 대한 사항(정보를 제공받은 자, 제공일자, 제공근거 등)을 기록해야 하고 그 기록을 최대 3년간 보관해야 한다. 법 제6장은 통신서비스 행위와 관련한 사안에 대한 산업 규약(industry codes) 개발에 대해 다루고 있는데, 그중 개인정보보호 관련 내용이 포함된 규약은 프라이버시법(Privacy Act)에 어긋나지 않도록 정보위원회(OAIC)의 검토(consult)를 받도록 규정하였다.

4) 호주 미디어 통신청(ACMA)은 면허를 받은 통신사 및 지명된 통신사 목록을 발행한다.

(4) 통신 가로채기 및 접근법(TIA Act, Telecommunications Interception and Access Act 1979)

통신 가로채기 및 접근법(TIA Act)은 개인정보보호를 위한 조치의 목적으로 감청과 저장된 통신 내용에 대한 접근을 금지하고 있다. 통신서비스 제공사업자는 고객의 통신서비스 사용에 대한 정보 공개를 금지하는 통신법 1997에 의해 보호된다. 단, 동 법에 따른 규정은 사법기관 및 수사기관이 업무를 수행할 수 있도록 이러한 금지에 대한 예외적인 상황을 아래와 같이 명시하고 있다.

  • 감청을 위한 영장을 확보한 경우
  • 보관된 통신 내용에 접근하기 위한 영장을 확보한 경우
  • 개인정보 공개에 관한 승인을 확보한 경우

한편, 정보기관, 연방경찰 등의 수사기관은 동 법에 명시된 국가안보 또는 사법 집행의 목적을 달성하기 위한 경우에만 영장을 받거나 권한을 부여받을 수 있다. 감시 기기법(Surveillance Devices Act 2004)은 기관의 감시장치 사용에 적용되고, 동 법에 따라 적격 기관은 관련 범죄를 조사하기 위해 감시장치를 사용하는 영장을 신청할 수 있다.

(5) 건강정보 보호 관련 법률

호주 프라이버시법(Privacy Act)에서 건강정보는 민감한 개인정보 유형 중의 하나로서 민감한 개인정보 취급에 필요한 추가적인 보호조치를 요구하고 있다. 동 법은 이에 더해 건강정보의 특수성을 반영하여 건강정보 취급 관련 예외규정 등을 두고 있으며, 건강서비스를 제공하는 자 또는 건강정보를 보유하는 자는 이들이 취급하는 건강정보가 아닌 다른 개인정보에 대해서도 프라이버시법(Privacy Act)의 적용을 받도록 규정한다. 여기서 건강서비스 제공자는 병원, 건강 클리닉, 약국, 민간치료사 등 일반적인 의료, 건강 시설 이외에도 보육 시설, 민간 학교, 체육시설, 비만 관리 클리닉 등 넓은 범주의 건강정보 취급자가 포함된다.

이 외 건강 관련 정보의 보호에 관한 법률로는 나의 건강기록법(My Health Records Act 2012), 건강관리 식별자법(Healthcare Identifiers Act 2010)이 있다. 나의 건강기록법은 호주 정부가 운영하는 건강 기록 시스템, 즉 개인의 질병, 알레르기, 건강 상태, 처방 명세, 의료 서비스 이용 명세 등의 정보를 요약하여 기록한 나의 건강 기록(My Health Records)에 대한 접근 및 보호에 대해 규율한다. 건강서비스 제공자는 동 법을 통해 규정된 절차 및 범주에 대해서만 개인의 건강정보를 열람 또는 제공할 수 있다. 정보위원회(OAIC)는 건강정보 유출 또는 침해와 관련하여 신고 접수 및 민원 조사의 권한이 있다. 동 법에 따라 건강관리 식별자를 이용하거나 제공하는 것은 프라이버시법(Privacy Act)에 따른 프라이버시 침해 행위로 간주하여 정보위원회(OAIC)의 조사 대상이 된다. 이 밖에도 국민 건강법(National Health Act 1953)에 따라 운영되고 있는 의료 및 약재 보험 제도(MBS/PBS, Medicare and pharmaceutical benefits schemes)와 관련한 민원 처리를 위해 수집하는 개인정보를 보호하기 위해 발행된 MBS/PBS 프라이버시 지침(MBS/PBS Guidelines Privacy Guidelines for the Medicare benefits and Pharmaceutical Benefits Programs)이 있다. 이 지침은 국가 건강법에 따라 정보위원회(OAIC)가 발행하였다.

top