국가정보_호주
법률체계
1 개인정보보호 법률체계
가. 프라이버시법
(1) 개요
호주 프라이버시법(Privacy Act)은 연방정부가 취급하는 개인정보보호와 경제협력개발기구(OECD) 지침에 부합하는 개인정보의 처리에 관한 안전조치 이행을 위하여 1988년 말에 제정되었다. 동법의 제정을 통하여 호주 정부는 개인정보보호에 관한 국제기준 달성을 위한 프라이버시 원칙과 지침을 마련하였다.
프라이버시법은 이후 여러 차례의 개정을 거치면서 개인정보보호에 관한 추가적인 규정들을 도입하였다. 2000년 개정에서는 증대되는 개인정보보호 요구에 대응하여 ‘인권 및 기회균등 감독기구(Human Rights and Equal Opportunity Commission)’에서 분리된 개인정보 감독기구(Office of the Privacy Commissioner)의 설립 근거 조항을 하였다. 2001년 개정을 통해서는 프라이버시법의 적용 대상을 확대하여 일반 민간조직에도 적용하기 시작했으며 이와 관련하여 국가 프라이버시 원칙(National Privacy Principles, NPP) 10개 항목도 확립하였다. 2010년에 이르러서는 개인정보 감독기구를 개편하여 개인정보보호에 관한 사안을 포괄적으로 규율하는 새로운 개인정보 감독기구(Office of the Australian Information Commissioner, OAIC)를 설립하였고, 2014년에는 민간과 공공 부문을 아우르는 호주 프라이버시 원칙(Australia Privacy Principles, APP) 13개 항목과 행동규약(code of practice)도 확립하기에 이르렀다. 2018년 2월부터는 오랜 검토 끝에 개인정보 침해 통지 제도를 확대하여 운영하고 있다.
2022년에는 호주 의회가 프라이버시법 개정안(Privacy Legislation Amendment Bill)을 승인함에 따라 개인정보 침해에 대한 처벌을 강화하고 프라이버시법 위반 기업에 대한 과징금을 확대하는 근거를 마련하였다.
[표 1] 호주 프라이버시법 변천 내용1)
[표 1] 호주 프라이버시법 변천 내용
년도
변경내용
1988년
프라이버시법 제정
1991년
● 제3A장 신용평가 (Credit reporting) 규정 추가
신용평가기관과 소비자 신용평가보고서에 관한 사항이 추가
1994년
● 수도 준주2) 공공기관으로 적용범위 확대
수도 준주 정부서비스법(Australian Capital Territory Government Service (Consequential Provisions) Act 1994)을 통해 프라이버시법 일부 조항을 개정함으로써, 수도 준주 소재 공공기관도 프라이버시법의 적용범위에 포함
2000년
● 개인정보 감독기구 최초 설립
인권 및 기회균등 감독기구에서 독립한 별도의 개인정보 감독기구 신설
2001년
● 일부 민간조직에 대해서도 프라이버시법 적용
프라이버시법을 일부 민간조직에까지 확대 적용하고 개인정보 처리에 관한 민간조직에 적용되는 국가 프라이버시 원칙 10개 항목 확립
2010년
● 개인정보 감독기구 개편
신설 개인정보 감독기구의 출범에 따라 기존 감독기구 조직은 신설 조직에 통합하도록 개편
2011년
● 노퍽섬(Norfolk Island) 공공기관으로 적용 범위 확대
영토법 개혁법(Territories Law Reform Act 2010)을 통해 프라이버시법 일부 조항을 개정함으로써 호주 외부영토인 노퍽섬에 소재한 공공기관도 프라이버시법의 적용을 받게 됨
2014년
● 중대한 법률규정
기존 정보 프라이버시 원칙과 국가 프라이버시 원칙을 호주 프라이버시 원칙으로 대체하여 수도 준주, 노퍽섬 소재 공공기관과 일부 민간조직의 개인정보 처리에 관한 사항을 규제하도록 개정
● 호주 프라이버시 원칙에 관한 규약과 신용평가에 관한 규약과 관련한 새로운 규정 추가
개인정보 감독기구가 공익목적의 구속력 있는 규약을 개발하고 등록할 수 있도록 허용
개인정보 감독기구의 집행권 확대
● 수도 준주를 위한 개인정보보호법 별도 제정
수도 준주 공공기관에 적용되는 별도의 개인정보보호법인 정보 프라이버시법(Information Privacy Act 2014) 제정
2018년
● 개인정보 침해사고 통지 의무 확대
2022년
● 개인정보 침해에 대한 처벌 강화
최대 5,000만 호주 달러 또는 이익 가치의 3배 부과
위반으로 인한 이익 가치 도출이 불가능할 경우 조정 매출액의 30% 부과
1) https://www.oaic.gov.au/privacy/the-privacy-act/history-of-the-privacy-act
2) Australian Capital Territory. 호주 수도 캔버라 주변의 특별행정자치구역을 의미하는 것으로, 당초 뉴사우스웨일스 주에 속했다가 캔버라가 수도로 발전하면서 그 주변 지역과 함께 준주를 구성하여 연방 직속 관할의 자치구역으로 새로이 편성된 지역
(2) 구성
프라이버시법은 총 9장, 100개 조항과 부칙(Schedule)으로 구성되었으며, 공공기관과 민간조직이 취급하는 개인정보의 수집, 이용 및 제공에 관한 규율뿐만 아니라 신용정보, 납세정보 등 특정 분야 또는 특정 정보에 대한 특화된 규정도 포함하고 있다. 세부적인 구성을 살펴보면, [제1장 서문]과 [제2장 해석]에서는 각각 법 제정 목적 및 적용 범위에 관해 기술하고 분야별 주요 용어의 사용을 정의하였다.
[제3장 정보 프라이버시]는 개인정보를 처리하는 주체, 취급 환경에 따라 개인정보 침해로 간주하는 행위와 예외로 인정하는 행위에 대하여 정의하고 개인정보를 처리하는 기본 원칙인 호주 프라이버시 원칙을 규정하고 있으며, 그밖에 개인 납세자번호정보에 관한 규정도 포함하고 있다. 1991년 개정을 통해 추가된 [제3A장 신용평가]에서는 소비자 신용평가(Crediting reporting)에 관한 규정을 제시하고 있는데, 금융기관(신용제공사, Credit providers)과 신용평가기관(Credit reporting bodies)에 제공할 개인정보의 범주와 유형, 그리고 해당 정보를 취급하는 주체와 그 정보가 처리되는 목적 등을 다루고 있다. [제3B장 프라이버시 규약]에서는 호주 프라이버시 원칙(Australia Privacy Principles)에 기반한 호주 프라이버시 원칙에 관한 규약(APP codes), 신용평가 규정에 기반한 신용평가에 관한 규약(CR codes)의 개발 및 등록 등에 관한 사항을 각각 명시하였다.
개인정보 침해 통지에 관한 규정은 [제3C장 적절한 개인정보 침해에 대한 통지]에서 다루며, 이 장에서는 통지 대상, 통지 절차, 정보 획득에 대한 개인정보 감독기구의 권한 등의 원칙을 정한다. [제4장 개인정보 감독기구의 기능]에서는 감독기구의 권한 및 기능을 명시하고 있고, [제5장 조사]에서는 민원 또는 직권에 의한 개인정보 침해에 대한 조사, 그리고 조사결과에 대한 조치 또는 결정에 관한 내용을 규정하고 있다.
[제6장 공익 및 임시적 공익 결정] 및 [제6A장 비상 및 재난 시 개인정보 처리]는 개인정보보호 규정 적용이 면제되는 공익 결정에 관한 사항과 비상 또는 재난 시에 허용되는 개인정보의 처리에 관해 규정하고 있다. [제6B장 집행]에서는 개인정보 감독기구의 법 집행에 관해 명시하고 있다. [제7장 프라이버시 자문위원회]는 그밖에 프라이버시 자문위원회의 구성과 운영에 관한 사항을 규정한다.
기타 [제8장 비밀유지 의무]는 조직의 비밀유지 의무에 관한 내용을 규정하고 있으며, [제9장 기타]에서는 건강정보 관련한 지침의 발행 등에 대해 명시하고 있다.
[표 2] 프라이버시법 구성
프라이버시법 구성
구분
주요 내용
제1장 서문
제정 목적, 적용 범위 등
제2장
정의
제1절 일반 정의
일반 용어에 대한 정의
2절 신용평가 관련 주요 정의
신용평가와 관련된 용어에 대한 정의
3절 기타
개인정보 취급 관련 특정 행위 또는 관행 등에 대한 정의
적용 면제 관련 행위 또는 관행
제3장
정보
프라이버시
1절 개인정보 침해
개인정보 침해 행위
관계법인(related body corporate) 간의 개인정보 수집, 제공
해외에서의 개인정보 침해
심각하거나 반복적인 개인정보 침해 행위
2절 호주 프라이버시 원칙
13가지 호주 프라이버시 원칙(별도 부칙으로 규정)
프라이버시 원칙 적용 예외(일반 상황, 보건 관련 상황, 연방정부와의 계약 이행 등)
3절 납세자번호정보
납세자번호 취급에 대한 규칙 제정
제3A장
신용평가
제1절 소개
개요
제2절 신용평가기관
신용평가기관의 개인 신용평가 정보의 수집, 이용, 제공 및 정보의 최신성, 정확성
신용평가 정보에 대한 개인의 열람 및 정정, 신용평가정보의 보유 기간 등
제3절 신용제공사
신용제공사의 개인신용정보 수집, 이용, 제공 등에 대한 원칙 및 적용 면제
개인 열람, 정정 적용 예외 등
제4절 유관 정보처리자
보험사의 개인정보 이용 또는 제공 원칙
제5절 민원
개인정보 침해 시 제기할 수 있는 개인의 민원 신청 권리, 절차
제6절 신용평가정보의 인가 없는 취득
불법적인 신용평가보고서 정보 획득에 대한 처벌 규정
제7절 법원 명령
(Court orders)
개인정보처리자의 법 위반에 대한 법원의 명령권
제3B장
프라이버시 규약
제1절 소개
개요
제2절 공인된 프라이버시 원칙에 관한 규약
프라이버시 원칙에 관한 규약 및 공인된 신용평가에 관한 규약 개념
프라이버시 원칙에 관한 규약 개발, 등록 및 변경, 폐지
제3절 공인된 신용평가에 관한 규약
신용평가에 관한 규약 및 공인된 신용평가에 관한 규약 개념
신용평가에 관한 규약 개발, 등록 및 변경, 폐지
제4절 일반 사항
규약 등록, 규약 등록 관련 지침 등
제3C장
적절한 개인정보 침해 통지
제1절 소개
개요, 적용 예외
제2절 개인정보 침해
개인정보 침해 개념 및 피해구제 예외 대상
심각한 피해 초래 여부 결정 기준
제3절 개인정보 침해 통지
개인정보 침해 여부 평가 및 예외
개인정보 침해에 대한 통지 및 예외
개인정보 감독기구의 통지 명령 권한 및 예외
제4장
개인정보 침해 관련 정보 및 문서 획득에 관한 개인정보 감독기구의 권한
제2절 감독기구의 기능
개인정보 가이드 개발
신용평가정보, 납세자번호정보 관련 처리에 대한 모니터링 등
제3절 감독기구 공유 정보 및 보고
감독기구 조사 및 모니터링 결과에 대한 관련 부처 보고
개인정보보호 관련 법안 검토 등
제3절A 감독기구의 평가
호주 프라이버시 원칙에 대한 검토
개인정보 영향평가 수행 지시
제4절 기타
정보자유법에 정보 공개 제한 등
제5장
조사
제1절A 소개
개요
제1절 민원 및 감독기구 직권에 따른 조사
개인정보 침해에 대한 민원 제기 및 처리
집단 민원 요건 및 조사
화해, 예비 조사, 자료 요구 등 조사 절차
대체 민원 처리 기관 이전 등
제2절 민원 조사결과에 관한 결정
민원 또는 감독기구 직권에 근거한 조사에 대해 기각, 침해행위 중지, 개선 조치, 피해 보상을 위한 조치 또는 금전적 제재 결정
제3절 결정 집행
감독기구 결정에 대한 이행 의무
감독기구 결정 집행을 위한 연방법원 소송제기
감독기구 결정에 대한 서면 증서
제4절 연방 정부 기관과 관련된 결정의 검토 및 집행
감독기구 결정에 대한 이행 의무
감독기구 결정 미이행에 대한 연방 법원에 이행 신청 등
제5절 기타
법무부에 법률상담 지원 신청
출석 거부, 허위 진술 등에 대한 처벌
현장 조사권, 제출이 제한되는 정보 등
제6장
공익 및 임시적 공익 결정
제1절 공익 결정
감독기구의 공익 결정 및 결정의 효력
공익 결정 신청 및 감독기구의 조치 등
제2절 임시적 공익 결정
감독기구의 임시적 공익 결정 및 결정의 효력
효력의 정지 등
제3절 결정의 등록
결정의 등록 및 대중에 공개
제6A장
비상 및 재난 시 개인정보 처리
제1절 목적과 해석
주요 용어 및 ‘허용된 목적’에 대한 정의
제2절 비상 선언
국내 및 해외에서의 비상 선언 요건
비상 선언문 양식, 효력 및 중지 시점
제3절 개인정보의 이용
비상/재난 시 개인정보 수집, 이용 및 제공
제4절 기타
불법적인 개인정보 제공 행위
비밀유지 등 다른 조항과의 관계
제6B장
집행
제1절 민사 처벌
규제권한법(Regulatory Powers Act)에 따른 민사 처벌 관련 커미셔너 권한, 관련 기관 및 규제 범위
제1A절 위반 통지
규제권한법에 따른 위반 통지 관련 커미셔너 권한, 관련 기관 및 규제 범위
제2절 시행 확약
규제권한법에 따른 시행 확약 관련 커미셔너 권한, 관련 법원 및 규제 범위
제3절 명령
규제권한법에 따른 법원에 대한 금지/이행명령 청구 관련 커미셔너 권한, 관련 법원 및 규제 범위
제7장
프라이버시 자문위원회
자문위원회의 설립 및 위원회 구성, 기능
구성원의 해촉 및 사임, 회의 개최 등
제8장
비밀유지 의무
적용 및 효력
법원의 관할권 등
제9장
기타
의학 연구 지침, 건강정보에 대한 호주 프라이버시 원칙 지침 등 발행
부칙
호주 프라이버시 원칙
1영역 개인정보 개인정보보호의 고려
2영역 개인정보의 수집
3영역 개인정보의 처리
4영역 개인정보의 무결성
5영역 개인정보에 대한 접근, 수정
(3) 주요내용
1) ‘개인정보’와 ‘민감한 개인정보’ 정의
프라이버시법은 개인정보(personal information)를 ‘식별된(identified)’ 또는 ‘합리적으로 식별 가능한(reasonably identifiable)’ 개인(individual)에 관한 정보나 견해(opinion)로서 정보나 견해의 사실 여부와 물리적 형태의 기록 여부와는 무관하다고 정하고 있다. 이러한 정의에 따라, 호주 개인정보 감독기구는 단편적으로 개인을 식별할 수 없다 하더라도 개인정보처리자가 이미 보유하였거나 접근 가능한 다른 정보와 결합하여 합리적으로 특정한 개인을 식별할 수 있게 할 때도 이를 개인정보로 본다.
또한, 프라이버시법은 일반적으로 민감한 정보를 잘못 취급하면 해당 개인에게 더 해로운 영향을 미칠 수 있다는 점을 고려하여 민감한 정보에 대해 더 높은 수준의 보호조치를 요구하고 있다. 민감한 정보는 개인의 인종 또는 민족, 정치적 견해, 직업적·정치적·종교적 소속 또는 회원 자격, 성적 지향 또는 활동, 범죄기록, 건강, 유전학 및/또는 생체 인식에 대한 정보를 포함하고 있다. 예를 들어, 요청된 개인정보의 수집을 다루는 호주 프라이버시 원칙 제3원칙은 관련된 개인이 수집에 동의하고 수집된 정보가 사업자의 기능 혹은 활동에 합리적으로 필요한 경우를 제외하고 민감한 정보의 수집을 금지하고 있다. 이는 민감하지 않은 일반 개인정보의 수집이 수집 주체의 합법적인 기능이나 활동에 합리적으로 필요한 경우에는 가벼운 수준에서 허용하고 있는 것과 대비되는 부분이다.
프라이버시법은 개인정보 및 민감한 개인정보 이외에도 신용정보, 직원기록, 납세자번호정보 등 다양한 유형의 개인정보를 구분하여 정의하고 있으며 각각에 대한 개념과 특징은 아래 표와 같다.
[표 3] 개인정보의 유형
개인정보의 유형
구분
정의
내용
민감한 개인정보(제6조)
● 개인의 인종, 민족 정보 및 정치적 견해, 정당 가입정보, 종교, 철학, 노조 가입현황, 성적 성향, 범죄기록 등에 관한 정보 또는 견해
● 건강정보, 유전적 정보, 생체 식별을 위해 사용되는 생체(바이오) 정보에 관한 정보 또는 견해
● 개인정보 수집, 이용, 제공 시 개인의 동의 필요
※ 일반 정보의 경우, 정보처리 주체의 행위나 기능에 필요한 경우 동의 없이 처리 가능
건강정보(제6FA조)
● 개인의 질병, 장애, 부상 또는 개인이 향후에 받을 의료 서비스에 대한 표현된 희망(expressed wishes) 또는 개인이 제공받았거나 향후 제공받을 건강서비스에 대한 정보 또는 견해
● 개인에게 건강서비스 제공하기 위해 수집된 다른 개인정보
● 개인의 장기기증(또는 기증 의사)에 관련하여 수집된 다른 개인정보
● 개인 또는 친족의 건강을 예측할 수 있는 개인의 유전적 정보
● 민감한 개인정보에 속하여 민감한 개인정보와 같이 취급되나, 이와 별도로 건강정보에 특화된 규정이 있음
※ 건강정보 처리가 허용되는 예외 규정(제16조), 건강정보의 이용․제공 등에 대한 지침 관련 규정(제95A) 등
신용 정보(제6N조)
● 개인에 대한 식별정보
● 개인에 대한 소비자의 부채 정보 (consumer credit liability information)
● 개인의 상환 명세 정보 등
● 신용정보는 제3A장을 통해 다른 정보와 별도로 규율
납세자번호정보(제6조)
● 합법적 수집 여부 또는 물리적 형태의 기록 여부와 관계없이, 개인의 신원과 연결되는 방식으로 납세자번호를 기록하는 정보
● 납세자번호정보는 제3장 제4절(납세자번호정보) 및 제17조에 근거한 ‘납세자번호정보 규정’을 통해 별도 규율됨
직원 기록(제6조)
(employee record)
● 직원의 고용과 관련한 직원의 개인정보 기록을 말하는 것으로, 건강정보를 비롯하여 다음의 정보를 의미함
● ▲직원의 업무, 교육, 징계, 사직 ▲직원의 고용 종료, 고용 기간 및 조건▲직원의 개인 비상연락 정보▲직원의 성과, 수행활동 ▲직원의 고용 시간, 급여 ▲직원의 노동조합 등 조합 가입 ▲직원의 병가, 휴직 등 ▲직원의 납세, 금융 및 연금 관련 사항
● 민간기관의 직원 기록은 일반적으로 프라이버시법 적용 면제 대상
2) 적용 대상
프라이버시법은 ▲호주 프라이버시 원칙(Australian Privacy Principle)에 따른 개인정보처리자 (APP entity) 및 ▲소규모 사업자(small business operator)에 적용된다. (제5B조)
여기서 개인정보처리자는 ① 호주 연방에 소속한 정부부처 및 공공부문, 소속 공직자(agency로 통칭) ② 민간 조직(organisation)으로 구분되고, (제6조) 민간 조직은 개인(individual), 법인, 합자회사, 기타 비법인단체, 신탁(trust) 중 ① 연간 매출액이 300만 호주 달러에 미치지 않는 소규모 사업자, ② 등록된 정당, ③ 각 주(state) 및 준주(territory)의 공공부문 등이 아닌 개인, 법인, 합자회사, 기타 비법인단체, 신탁을 의미한다. (제6C조)
한편, 소규모 사업자는 연간 매출액이 300만 호주 달러에 미치지 않는 소규모 사업만을 영위하는 개인, 법인, 합자회사, 비법인단체, 신탁을 뜻한다. (제6D조제3항) 다만, 상기 개인, 법인, 합자회사, 비법인단체, 신탁회사 등이 아래의 요건 중 하나를 갖추면 소규모 사업자가 아닌 위에서 언급한 호주 프라이버시 원칙에 따른 개인정보처리자로서 프라이버시법의 적용 대상이 됨을 유의해야 한다. (제6D조제4호)
① 연간 매출액 300만 호주 달러 초과
② 건강서비스를 제공함과 동시에 건강정보 보유
③ 영리 목적으로 개인정보를 타인으로부터 제공받거나 타인에게 제공
④ 연방정부와 서비스 계약을 체결한 자
⑤ 신용평가기관
3) 적용 범위
호주 프라이버시 원칙을 비롯한 프라이버시법은 호주와 연결성(Australian link)이 있으면 국외 영토(external territory)에서도 적용되는데, (제5B조) 민간 조직이나 소규모 사업자가 다음에 해당하면 호주와 연결성이 인정된다.
① 호주 시민권자 또는 영주권자
① 호주나 국외 영토에서 형성/설립된 합자회사 또는 신탁인 경우
③ 호주나 국외 영토에 설립된 법인
④ 호주나 국외 영토에 통제/관리 조직이 있는 비법인단체
⑤ (위의 경우에 속하지 않더라도) 호주나 국외 영토에서 사업을 하면서 호주나 국외 영토의 개인정보를 수집하거나 보유하는 경우
4) 개인정보 처리 동의
프라이버시법은 정보주체의 ‘동의’에 관해 별도의 장으로 할애하고 있지는 않으나, ‘동의’를 개인정보처리에 관한 원칙에 있어 중요한 요건으로 보고 있다. 정보주체는 개인정보처리자에 동의를 제공함으로써 해당 조직이 본인의 개인정보를 적법성에 근거하여 처리할 수 있도록 허용할 수 있으며, 예외로 규정된 상황을 제외하고 개인정보 처리를 수행하고자 하는 개인정보처리자는 반드시 정보주체 본인의 동의를 획득해야 한다. 호주 프라이버시 원칙으로 일원화되기 이전 형태인 국가 프라이버시 원칙(National Privacy Principles)과 정보 프라이버시 원칙(Information Privacy Principles)에서는 개인정보처리자에 정보주체의 동의를 필수사항으로 요구하지 않았다. 그러나 법률 개정에 따라 호주 프라이버시 원칙이 확립된 이후에는 기본적으로 정보주체의 동의를 필수적으로 요구하고 있다. (부칙 제6.1조 외)
5) 침해
호주 프라이버시법에서는 개인정보 처리 기록 보유 의무나 개인정보 영향평가 수행 의무, DPO 지정 의무 등을 법률에서 규정하고 있지는 않다. 그러나 프라이버시법 제14조 및 부칙에서는 호주 프라이버시 원칙을 규정하고, 호주 연방정부, 민간조직, 건강서비스 제공자 및 비영리단체 등 호주 프라이버시 원칙에 따른 개인정보처리자의 개인정보 처리에 관한 의무와 기준을 제시하고 있다. 호주 프라이버시 원칙은 그 이전까지 민간과 호주 연방정부 기관에 각각 적용되었던 국가 프라이버시 원칙과 정보 프라이버시 원칙을 통합·대체하기 위하여 2014년 법률개정 시 본격 도입된 것으로, 크게 5가지 영역에서 총 13개의 원칙을 제시하고 있다.
첫 번째 영역은 [개인정보보호 고려]로 개인정보 관리의 투명성, 개방성, 익명성, 가명성을 다루고 있다. 두 번째 영역인 [개인정보 수집]은 요청된(solicited) 또는 요청되지 않는 개인정보의 수집·처리 시 원칙과 개인에 대한 통지 기준을 규정하고 있으며, 세 번째 영역은 [개인정보 처리]로서, 개인정보의 이용, 제공 및 직접 마케팅, 국외이전 시 기준 등을 제시한다. [개인정보의 무결성]을 통해서는 개인정보의 품질 관리, 보안 등을 규정하고, 마지막으로 [개인정보의 열람 및 정정] 영역에서는 개인정보에 대한 정보주체의 권리를 설명하고 있다.
[표 4] 호주 프라이버시 원칙
호주 프라이버시 원칙
구분
영역
호주 프라이버시 원칙
I
개인정보보호 고려
● 제1원칙 : 공개적이고 투명한 개인정보 관리
● 제2원칙 : 익명성 및 가명성
II
개인정보 수집
● 제3원칙 : 요청된(solicited) 개인정보의 수집
● 제4원칙 : 요청되지 않은(unsolicited) 개인정보 처리
● 제5원칙 : 개인정보 수집에 대한 통지
III
개인정보 처리
● 제6원칙 : 개인정보 이용 또는 제공
● 제7원칙 : 직접 마케팅
● 제8원칙 : 개인정보 국외이전
● 제9원칙 : 정부 관련 식별자의 채택, 이용 또는 제공
IV
개인정보의 무결성
● 제10원칙 : 개인정보의 품질
● 제11원칙 : 개인정보의 보안
V
개인정보 열람 및 정정
● 제12원칙 : 개인정보 열람
● 제13원칙 : 개인정보 정정
프라이버시법이 규정하는 호주 프라이버시 원칙의 세부내용은 아래와 같다.
① 제1원칙: 공개적이고 투명한 개인정보 관리
제1원칙은 호주 프라이버시 원칙에 따른 개인정보처리자가 개인정보보호에 필요한 체계와 절차, 그리고 그러한 절차를 구현하는 시스템을 갖출 것을 요구하고 있으며 개인정보 처리에 관한 정책을 개발하고 개인정보를 쉽게 활용할 수 있는 체계에 관한 요건을 규정하고 있다.
② 제2원칙: 익명성 및 가명성
제2원칙은 개인정보처리자가 정보주체의 개인정보를 다루는 상황에서 정보주체의 익명화 또는 가명화에 관한 권리를 규정하고 있다. 구체적으로, 개인은 특정 사안과 관련하여 개인정보처리자와 거래할 때 자신의 신분을 밝히지 않거나 가명을 사용할 수 있는 선택권을 가져야 한다.
③ 제3원칙: 요청된 개인정보의 수집
제3원칙은 개인정보 수집의 최소성 등에 관해 규정하고 있다. 개인정보처리자는 하나 이상의 기능이나 활동을 수행하기 위하여 합리적으로 필요한 경우에만 개인정보를 수집하도록 해야 하며, 개인의 민감한 정보를 수집하기 위해서는 반드시 본인의 동의를 획득하거나 다른 법률에서 규정한 예외가 있는 경우에만 허용된다.
④ 제4원칙: 요청되지 않은 개인정보 처리
제4원칙은 개인정보처리자가 정보주체가 요청하지 않은 개인정보를 수신한 경우, 만약 기업이 합리적인 기간 내에 정보를 요청했다면 제3원칙에 따라 해당 정보를 수집할 수 있었는지에 대해 고려하도록 요구하고 있다. 그러한 고려를 통해, 제3원칙에 따라 개인정보를 수집할 수 없었거나 개인정보가 연방정부 기록(Commonwealth record)에 포함되어 있지 않은 경우, 기업은 해당 개인정보를 신속히 파기하거나 익명처리 해야 한다.
⑤ 제5원칙: 개인정보 수집에 대한 통지
제5원칙에서는 개인정보처리자가 개인정보를 수집하는 경우, 관련 사항을 정보주체에게 지체없이 통지하도록 요구하고 있다. 제5원칙은 정보주체의 개인정보 수집과 관련된 다양한 세부정보를 본인에게 알리는 것을 목표로 한다. 여기에는 ▲법인의 신원 및 연락처 정보 ▲타인으로부터 개인정보를 취득한 경우 및 취득 경위 ▲정보 수집이 호주 법률 또는 법원 명령에 따라 요구되었거나 승인되었는지 여부 ▲법인이 정보를 수집한 이유 ▲개인정보처리자가 해당 개인정보 전부 또는 일부를 수집하지 않는 경우 개인에게 미치는 주요 결과 등에 관한 다양한 정보를 포함한다.
⑥ 제6원칙: 개인정보의 이용 또는 제공
제6원칙은 개인정보 처리의 목적 제한을 규정하고 있다. 개인정보처리자는 정보주체가 동의하지 않는 한, 수집된 목적 이외의 목적으로 개인정보를 사용하거나 공개하는 행위를 할 수 없다. 단, 정보주체의 건강이나 안전을 도모하는 데 필요하거나 공익을 위한 예외적인 상황에서는 정보주체의 동의 없이도 개인정보 이용 또는 제공이 가능하다.
⑦ 제7원칙: 직접 마케팅
제7원칙은 일반적으로 정보주체가 합리적으로 기대하거나 동의하지 않는 한 직접 마케팅 목적으로 개인정보를 사용하는 것을 금지하고 있다.
⑧ 제8원칙: 개인정보 국외이전
제8원칙은 개인정보처리자가 국외의 수신자에게 개인정보를 이전하는 경우 수신자가 호주 프라이버시 원칙을 위반하지 않도록 합당한 조치를 하도록 요구하고 있다. 개인정보 국외이전 시 개인정보처리자는 일반적으로 국외의 수신자에게 계약상의 의무를 부과하도록 요구해야 하며, 이러한 의무에는 아래의 사항을 포함한다.
① 개인정보처리자는 국외의 수신자가 호주 프라이버시 원칙과 유사한 수준의 보호를 제공하는 개인정보보호 법령 등에 의해 규율되고 있는지를 반드시 확인할 것
② 개인정보의 국외이전에 관한 동의 획득과 관련하여 정보주체의 동의를 획득하기 위한 절차로서, 개인정보처리자는 정보주체에게 동의를 제공받으면서 해당 개인정보가 호주 프라이버시 원칙에 의한 보호조치와 개인정보처리자의 보호 의무로부터 더 이상 보호받지 못하게 됨을 정보주체가 충분히 이해한 상태에서 국외이전에 관한 동의를 획득할 것
이와 관련하여, 프라이버시법은 국외 수신자가 호주 프라이버시 원칙을 위반하는 경우, 해당 개인정보를 이전한 개인정보처리자에도 책임을 부과한다고 규정하고 있다.
⑨ 제9원칙: 정부 관련 식별자의 채택, 이용 또는 제공
제9원칙에서 언급하는 정부 관련 식별자는 개인의 면허번호, 의료보험(Medicare) 번호, 여권번호 및 납세자번호를 포함한 정부 기관이 발행한 식별정보를 의미한다. 개인정보처리자는 아래의 경우를 제외하면 정부 관련 식별자를 채택, 이용 또는 제공하는 행위를 할 수 없다.
① 법률에 따라 요구되거나 승인된 경우,
② 개인의 신원을 확인하기 위해 필수적으로 요구되는 경우,
③ 사전에 규정된 다른 예외가 적용되는 경우
⑩ 제10원칙: 개인정보의 품질
제10원칙은 개인정보처리자가 수집, 사용, 공개 및 보유하는 개인정보가 정확하고 최신의 상태로 유지되고 완전함을 보장하기 위해 개인정보처리자로 하여금 합당한 조치를 하도록 요구하고 있다. 또한, 개인정보처리자는 자신이 사용 및 공개하는 정보가 정확하고 최신의 상태이며 완전하고 목적에 적합하다는 것을 보장하기 위해 합리적인 절차를 수행해야 한다고 규정하고 있다.
⑪ 제11원칙: 개인정보의 보안
제11원칙은 개인정보처리자로 하여금 개인정보를 오용, 간섭 및 손실, 무단 열람, 정정 또는 침해로부터 보호하기에 합당한 조치를 취하도록 요구하고 있다. 동 원칙에 따라, 개인정보처리자가 법률이나 법원 명령에 따라 별도로 개인정보를 보유해야 하는 경우를 제외하면 개인정보처리자는 필요하지 않은 개인정보를 파기하거나 익명화해야 한다.
⑫ 제12원칙: 개인정보 열람
제12원칙은 정보주체의 열람권을 규정하고 있다. 개인정보처리자는 개인정보보호법에 규정된 예외가 적용되지 않는 한, 정보주체가 요청하는 개인정보에 대해 열람 권한을 제공해야 한다.
⑬ 제13원칙: 개인정보 정정
제13원칙은 정보주체의 정정권에 대해 규정하고 있다. 개인정보를 보유하는 목적과 관련하여 개인정보가 부정확하거나, 최신이 아니거나, 불완전하거나, 관련성이 없거나, 오해의 소지가 있다고 판단한 정보주체가 개인정보의 정정을 요청하는 경우, 개인정보처리자는 자신이 보유한 개인정보를 정정하기 위해 필요한 합리적인 절차를 밟아야 한다. 만약, 그러나, 개인정보처리자가 정보주체의 정정 요청을 거부하는 경우에는 거부 사유 및 거부에 불만을 제기할 수 있는 메커니즘에 관해 서면 통지를 본인에게 제공해야 한다.
프라이버시법은 개인정보보호법 제15조에서 개인정보처리자로 하여금 호주 프라이버시 원칙을 준수하도록 요구하고 있으나, ‘예외가 허용되는 일반적인 상황(permitted general situation for exertion)’을 제16조에 별도로 규정함으로써 프라이버시 원칙의 일반적인 적용 면제 상황을 나열하고 있다. ‘예외가 허용된 일반적인 상황’은 아래를 포함한다.
① 개인정보 수집, 사용 또는 공개에 대한 개인의 동의를 얻는 것이 불합리하거나 실행 불가능한 경우
② 개인정보 수집, 사용 또는 공개가 개인의 생명, 건강 또는 안전, 혹은 대중의 건강이나 안전에 대한 심각한 위협을 줄이거나 방지하기 위해 합리적인 경우
⑤ 개인정보처리자의 기능이나 활동에 관한 불법적인 활동이나 심각한 위법행위가 행해지고 있거나 행해지고 있다고 의심할 이유가 있는 경우
④ 실종된 것으로 보고된 사람을 찾기 위해 개인정보의 수집, 사용 또는 공개가 합리적으로 필요하다고 여겨지는 경우
⑤ 개인정보 수집, 사용 또는 공개가 법적 권리의 입증, 행사 또는 방어를 위해 합리적으로 필요한 경우
⑥ 개인정보 수집, 사용 또는 공개가 비공개 원칙의 대안적 분쟁해결 절차의 목적을 위해 합리적으로 필요한 경우
⑦ 개인정보 수집, 사용 또는 공개가 개인정보처리자의 외교 또는 영사 기능이나 활동에 필요하다고 합리적으로 여겨지는 경우 (연방 기관에만 적용)
⑧ 개인정보 수집, 사용 또는 공개가 전쟁, 평화 유지 활동, 민간 지원, 인도적 지원, 의료적 구호 등을 위해 필요한 경우 (군사 조직에만 적용)
6) 정보주체의 권리
프라이버시법 부칙에 규정된 호주 프라이버시 원칙에서는 개인정보처리자의 의무와 더불어 정보주체의 권리가 함께 규정되어 있다. 정보주체의 권리별 호주 프라이버시 원칙과 주요 내용은 다음과 같다.
[표 5] 호주 프라이버시 원칙에 규정된 정보주체의 권리
호주 프라이버시 원칙에 규정된 정보주체의 권리
구분
원칙
주요 내용
정보를 제공받을 권리
제5원칙
(제5.2조)
● 개인정보처리자는 개인정보 수집 시 관련 사항을 정보주체에게 지체없이 통지
● 통지에는 ▲법인의 신원 및 연락처 정보 ▲타인으로부터 개인정보를 취득한 경우 및 취득 경위 ▲정보 수집이 호주 법률 또는 법원 명령에 따라 요구되었거나 승인되었는지 여부 등의 내용을 포함
열람권
제12원칙
(제12.1조)
● 개인정보처리자는 정보주체의 개인정보를 보유하는 경우, 본인의 요청에 따라 해당 정보에 접근할 수 있도록 해야 함
정정권
제13원칙
(제13.1조)
● 개인정보처리자가 보유하는 정보주체의 개인정보가 부정확하거나, 최신이 아니거나, 불완전하거나, 관련성이 없거나, 오해의 소지가 있는 경우 정보주체의 요청에 따라 정보를 정정해야 함
삭제권
규정 없음
처리제한권
규정 없음
반대권
제7원칙
(제7.6조)
● 일반적인 반대권은 아니고 직접마케팅 거부 권한에 국한
● 특정 조직이 자사의 직접 마케팅 촉진을 위해 개인정보를 사용 또는 공개하는 경우, 정보주체는 직접 마케팅 연락을 받지 않도록 요청할 수 있음
● 특정 조직이 타 조직의 직접 마케팅 촉진을 위해 개인정보를 사용 또는 공개하는 경우, 정보주체는 해당 특정 조직에 대해 직접 마케팅 연락을 목적으로 개인정보 사용 또는 공개를 하지 않도록 요청할 수 있음
이동권
규정 없음
7) 개인정보 침해
프라이버시법은 개인정보를 침해하는 행위를 다음과 같이 규정하고 여기에 포함되지 않는 행위는 침해가 아니라고 명시하였다. (제13조 및 제13B조) 침해의 정도가 심각하거나 반복적인 침해 행위는 민사 처벌 부과 대상에 해당한다.
① 개인정보처리자 : 호주 프라이버시 원칙 또는 공인된 호주 프라이버시 원칙 규약 위반
② 신용평가정보 관련 : 동법 제3A장 신용평가정보 관련 조항 또는 공인된 신용평가에 관한 규약(CR codes) 위반
③ 정부와 계약된 서비스 제공자 : 정부와의 계약 조항이 호주 프라이버시 원칙 또는 공인된 프라이버시 원칙 규약에 어긋나는 이유로, 해당 계약 조항에 반하거나 일관성이 없는 방식으로 개인정보와 관련한 행위를 수행
④ 납세자번호 관련 : 납세자번호 규정을 위반하거나 납세자번호를 불법적으로 요구
⑤ 개인정보 침해 통지 : 개인정보 침해 통지 의무를 부담하는 개인정보처리자가 동법의 통지 관련 조항을 위반
다음의 행위는 프라이버시 침해에 해당하지 않는다.
① 계열사(related bodies corporate) : 계열사로부터 개인정보를 수집하거나 계열사에 개인정보를 제공하는 행위 (다만, 이때 수집된 목적과 같은 때에만 이용 또는 제공 가능하며, 수집된 개인정보와 관련된 행위가 호주 프라이버시 원칙 또는 공인된 호주 프라이버시 원칙 규약을 위반하는 경우는 프라이버시 침해에 해당)
② 제휴사 변경 관련 : 같은 업무에 대해 제휴사가 변경되어 제휴사 간 개인정보를 이전하는 행위 (제휴 업무의 변경 없이 제휴사만 변경되고, 이전 제휴사의 담당자 중 1명 이상이 새로운 제휴사에서 계속해서 근무를 수행하며, 이전 제휴사의 파산 직후 즉시 이전이 이루어지는 경우)
③ 해외에서의 행위 : 해외에서 수행한 행위이며 그 행위가 해당 국가의 관련 법률을 준수한 경우
8) 신용평가
호주 프라이버시 원칙이 일반 개인정보처리자의 보호 원칙을 다룬다면, 프라이버시법 제3A장은 신용정보 관련 처리 기관의 의무와 신용정보에 대한 보호 기준을 다룬다. 따라서 호주 프라이버시 원칙은 이 장에서 다루는 정보처리에 적용되지 않거나 일부분만 적용된다.
신용정보 관련 처리기관은 은행 등과 같은 신용제공사, 신용평가기관, 보험사 등이 포함되며 각 조직에서 다루는 정보의 유형이나 범위가 다르므로, 각 처리사업자의 유형별로 법률 내 각각의 절에서 구분하여 규율한다. 신용정보 관련 처리기관이 다루는 정보는 비교적 민감한 정보이므로 엄격한 요건이 적용되는데, 기본적으로 사업 수행 과정에서 필요하거나 법령에서 특별히 허용하는 경우 등을 제외하고는 정보의 수집, 이용 또는 제공이 금지된다. 특히 직접 마케팅이나 사전 선별(Pre-screening) 평가 등 특별한 목적을 위해 처리되는 경우에는 더욱 제한적으로 허용된다. 또한, 정보의 보안, 최신성 유지와 개인의 열람권, 정정권을 위한 기준을 명시하였으며, 이 장의 내용을 위반한 경우 개인은 해당 신용제공사 또는 신용평가기관 등에 민원을 제기할 수 있고 해당 개인정보처리자는 신속히 응대하고 민원을 조사해야 한다.
9) 납세자번호정보
개인의 납세자번호(Tax File Number)는 세금을 내는 호주 국민과 거주자에게 부여되는 고유번호로서, 납세자번호정보는 개인의 신원과 연관하여 기록한 정보를 말한다. 납세자번호정보는 이를 취급할 수 있도록 인가받은 자만 처리할 수 있으며, 개인정보 감독기구의 커미셔너가 납세자번호정보의 수집, 이용, 저장 및 보안 조치에 관한 사항을 별도의 규정으로 마련하도록 법률에서 명시하였다. 이에 따라 2015년 2월 Privacy (Tax File Number) Rule 2015가 제정되었으며, 이 규칙은 구속력 있는 규범으로 이전에 마련된 2011년 납세자번호지침(Tax File Number Guidelines 2011)을 대체한다.
납세자번호 규칙에 따라 납세자번호정보는 주민식별번호(National Identification Number)로 사용될 수 없으며, 승인된 납세자번호 수신자는 조세법(Taxation Act) 등에 승인된 목적으로만 납세자번호를 수집, 이용, 제공할 수 있다. 또한, 납세자번호정보를 인가되지 않은 접속, 분실 등으로부터 보호하고 만약 이용 목적이 달성된 경우에는 안전한 파기 또는 비식별화 등과 같은 적절한 조치를 취해야 한다. 이 밖에도 납세자번호를 취급하는 직원의 교육에 대한 사항을 비롯하여 개인정보 감독기구와 기타 납세자번호 담당 기관 등의 책임 사항, 납세자번호정보와 인권과의 관계 등을 명시하였다.
10) 개인정보 침해 통지
프라이버시법의 개인정보 침해 통지 규정은 2017년에 신설되어 2018년 2월부터 시행되었다. ① 개인정보에 인가되지 않은 접근, 제공이 이루어지거나 개인정보가 분실되었고, ② 이 결과 개인에게 심각한 피해가 예상되나, ③ 개인정보처리자가 이를 구제할 수 없을 때, 이를 통지 의무가 발생하는 ‘적격 개인정보 침해(eligible data breach)’로 규정하였다. (제26WE조) 개인정보처리자는 적격 개인정보 침해 시 개인 및 개인정보 감독기구에 이 사실을 통지해야 할 의무가 있다. 해당 침해의 적격성 여부를 판단하기 위해 고려되어야 할 기준으로 동법 제26WG조에서는 개인정보의 종류, 민감성, 개인정보보호 조치 방법, 개인정보가 침해된 환경, 개인정보를 습득한 자의 유형 등을 나열하고 있다. 적격 개인정보 침해에 대한 확신이 없이 단지 의심만 드는 경우에는 합리적인 기간 내에 이를 평가하여 결정해야 한다.
개인정보 침해 인지 후에는 가능한 한 신속히 침해에 대한 진술서를 작성하여 개인정보 감독기구에 제출하고 정보주체에게 통지해야 한다. 진술서에 포함되어야 하는 내용으로 개인정보처리자의 신원/연락처, 침해와 관련된 개인정보 항목, 정보주체가 침해에 대응하기 위해 취할 수 있는 조치 등이 있다. 침해 통지 시에는 이메일 등 평소 각 정보주체와의 소통 수단을 이용하여 개별 통지를 할 수 있으며, 어려운 경우는 개인정보처리자의 홈페이지에 게재하거나 언론 공개도 가능하다. 다만, 법 집행기관의 법 집행 행위, 타 법률의 기밀조항과의 충돌 등이 발생하는 경우는 통지 대상에서 면제된다.
11) 프라이버시 원칙 규약
프라이버시 규약(privacy codes)은 개인정보처리에 관한 문서로 만들어진 행동규약(code of practice)으로, ① 호주 프라이버시 원칙 규약과 ② 신용평가에 관한 규약 등으로 각각 구분하여 규정하고 있다. 먼저 호주 프라이버시 원칙 규약에는 적용 방법, 규정에 구속되는 주체, 규정의 발효 기간 등이 명시되어야 하며, 이외에도 추가로 부과된 요건, 동법에 규정된 면제 행위에 대한 적용, 내부 민원 처리 절차 등을 포함할 수 있다
또한, 호주 프라이버시 원칙 규약은 처리하는 모든 개인정보 혹은 특정 유형의 개인정보에 적용하거나, 특정 개인정보처리 행위, 특정 산업 분야, 특정 유형의 기술을 사용하는 주체에 적용되도록 규정할 수도 있으며, 개인정보처리자, 해당 분야를 대표하는 협의체 등이 개발하고 개인정보 감독기구로부터 ‘공인된 호주 프라이버시 원칙 규약(registered APP codes)’으로서 승인받을 수 있다. 강제력이 없는 호주 프라이버시 원칙 규약과는 달리 ‘공인된 호주 프라이버시 원칙 규약’은 하나의 법규범으로서 이를 위반하는 경우 개인정보 침해 행위로 간주하여 처벌의 대상이 될 수 있다. 한편, 개인정보 감독기구는 ‘공인된 호주 프라이버시 원칙 규약’에 관한 변경·폐기 요청을 승인하거나 재량으로 변경·폐기할 수도 있다. 신용평가에 관한 규약 또는 ‘공인된 신용평가에 관한 규약’은 신용평가 정보에 대하여 호주 프라이버시 원칙 규약 또는 공인된 호주 프라이버시 원칙 규약과 동일하게 적용한다.
12) 조사
동법의 규정을 위반하거나 또는 개인정보 침해와 관련하여 개인정보 감독기구에 조사 권한이 주어진 다른 법률 등을 위반하여 개인정보보호가 침해된 경우, 정보주체는 개인정보 감독기구에 민원을 제기할 수 있다. 개인정보 감독기구는 제기된 민원에 따라 혹은 직권으로 결정하여 조사를 수행할 수 있다. 민원에 대한 조사는 민원인이 상대방 기관에 직접 일차적 민원을 제기하여 해결을 시도한 건에 대해서만 진행하며, 개인정보 감독기구는 ① 개인정보 침해 행위가 없거나, ② 침해를 안 날로부터 12개월 이상이 경과한 후 민원이 제기된 경우, ③ 개인정보 감독기구의 정보 요청에 대해 민원인의 응답이 없는 경우, ④선의에 의한 민원이 아닌 경우 등에 대해서는 조사를 수행하지 않을 수 있다. 또한, 타 민원 기관에서 처리하는 것이 효과적이라고 판단되는 경우에는 민원을 해당 기관에 이첩할 수 있다. 민원 청구인과 피청구인은 등은 감독기구의 조사에 필요한 정보를 제공하거나 회의에 참석해야 하며, 이를 위반할 시에는 민사 처벌이 부과될 수 있다. 개인정보 감독기구는 민원 조사 과정 또는 이전에 당사자 간 합리적인 해결을 위해 화해를 시도해야 하며, 화해가 성립되지 않으면 양 당사자는 개인정보 감독기구가 내리는 결정에 따라야 한다. 개인정보 감독기구 결정에는 조사결과에 따라 ① 민원의 기각 또는 개인정보를 침해한 위반행위의 중단, ② 민원인의 손해나 피해를 보상하는 조치 이행 또는 금전적 보상 이행 등이 포함된다. 피청구인은 이와 같은 개인정보 감독기구의 결정을 준수해야 하며, 민원인 또는 개인정보 감독기구는 연방법원 등에 이러한 결정에 대한 집행을 구하기 위해 소송을 제기할 수 있다.
13) 집행
프라이버시법은 동법을 위반한 자에게 부과하는 법 집행 유형을 민사 처벌(civil penalty), 위반 통지(infringement notices), 시행 확약(enforceable undertaking) 및 명령(injunction) 등으로 구분하고 있다. 다만 구체적인 절차 및 세부사항은 모두 규제권한법(Regulatory Powers Act)이라는 별도의 법률에서 다루고 있는 특징이 있다.
커미셔너는 프라이버시법 제80U조 및 규제권한법(Regulatory Powers Act) 제4장에 따라 프라이버시법 각 조항의 민사 처벌(civil penalty) 대상으로 규정한 조항을 위반한 자에 대해 호주 연방에 벌금을 납부하도록 명령을 내려줄 것을 연방법원 또는 연방 순회 법원(federal circuit court) 등에 청구할 수 있다. 프라이버시법에서는 대표적으로 제13G조에서 개인의 프라이버시에 심각한 침해를 초래하거나 프라이버시 침해 행위를 반복하는 자를 민사 처벌 대상으로 규정하고 있다. 이 경우 위반행위자가 개인인 경우 최대 250만 호주 달러 이하, 법인의 경우 다음 중 가장 높은 금액을 상한으로 하는 민사 벌금을 부과 받을 수 있다.
① 5,000만 호주 달러
② 법인이 위반행위를 통해 직접 또는 간접적으로 취득하였거나 취득하였을 것이라 예상되는 이득의 3배 상당액
③ 위반행위를 통한 법인의 이득을 산정하는 것이 불분명한 경우 조정 매출액의 30%
위반 통지는 프라이버시법 제80BU조 및 규제권한법(Regulatory Powers Act) 제5장에서 규정하고 있다. 동법에서 위반 통지의 대상이 되는 행위는 제66조제1항에 규정된 ‘정보 제공, 질문에 대한 답변, 문서 혹은 기록 작성의무 등의 거부 또는 미준수‘로서, 커미셔너는 동 조항을 위반했다고 믿을 만한 합리적인 근거가 있는 경우 당사자에게 위반 통지를 전달할 수 있다. 위반 통지의 경우 통지를 받은 당사자는 동 조항에 규정된 제재 금액을 납부하여 사안을 종결짓거나 혹은 법원에서 해당 사안을 다투기로 결정할 수 있다. 한편, 제66조제1항은 60 처벌 단위(penalty unit)3)(1만 6,500 호주 달러 상당액)의 민사 제재금을 명시하고 있다.
시행 확약은 법률 준수에 대한 약속과 해당 약속을 시행하겠다는 개인정보처리자의 의사표시로서, 커미셔너는 시행 확약을 수락할 권한을 가진다. 커미셔너의 해당 권한은 프라이버시법 제80V조 및 규제권한법(Regulatory Powers Act) 제6장에 근거한다. 개인정보처리자는 서면을 통해 특정 조치를 취하거나 또는 취하지 않겠다는 의사표시를 해야 하며, 커미셔너는 개인정보처리자의 시행 확약을 수락한 후 해당 개인정보처리자가 해당 시행 확약을 준수하지 않을 경우 법원에 약속 준수 명령 또는 금전적 제재 명령 등을 내려줄 것을 청구할 수 있다.
명령은 프라이버시법 제80W조 및 규제권한법(Regulatory Powers Act) 제7장에 따라 특정인이 일련의 행위를 수행하거나 수행하지 않도록 강제해 줄 것을 커미셔너가 법원에 청구함으로써 최종적으로 법원이 부과하는 형태의 제재이다. 커미셔너는 특정인이 개인정보보호 위반행위에 관여했거나, 관여 중이거나, 관여할 것으로 예상되는 경우 법원에 해당 행위에 대한 금지명령을 내려 줄 것을 청구할 수 있다. 또한, 커미셔너는 특정인이 개인정보보호를 준수하기 위해 해야 할 행위를 하지 않았거나(혹은 거부했거나), 하지 않고 있거나(혹은 거부하고 있거나), 하지 않을 것이라 예상(혹은 거부할 것이라 예상)되는 경우, 그러한 행위를 하도록 하는 이행명령을 내려줄 것을 법원에 청구할 수 있다.
3) 처벌 단위 1 당 275 호주 달러 (2023년 1월 기준)
2 기타 개인정보보호 법령
가. 각 주의 개인정보보호 법령
호주는 6개의 자치주와 2개의 준주로 구성된 연방국가로서 각 자치주 또는 준주는 별도의 개인정보보호 법규를 제정하여 각 자치정부의 공공기관 등에 적용하고 있다.
주요 자치구별 법률은 수도 준주(Australian Capital Territory)의 정보프라이버시법(Information Privacy Act 2014), 빅토리아주(Victoria)의 프라이버시·개인정보보호법(Privacy and Data Protection Act 2014), 뉴사우스웨일스주(New South Wales)의 프라이버시·개인정보보호법(Privacy and Personal Information Protection Act 1998), 노던준주(Northern Territory)의 정보법(Information Act 2002), 퀸즐랜드주(Queensland)의 정보프라이버시법(Information Privacy Act 2009), 태즈메이니아주(Tasmania)의 개인정보보호법(Personal Information Protection Act 2004), 웨스턴오스트레일리아주의 정보의자유법(Freedom of Information Act 1992), 그리고 사우스오스트레일리아주의 정보프라이버시원칙지침 (Information Privacy Principles Instruction No.1 of 1989) 등이 있다.
나. 분야별·영역별 개인정보보호 법률
호주 내 자치정부별로 시행하는 개인정보보호 법률 외에도 분야별, 영역별로 적용하는 다양한 개인정보보호 법령이 마련되어 있다.
먼저 연방법으로는 상업적 목적의 전자적 메시지 전송을 담당하는 스팸법(the Spam Act 2003), 텔레마케팅과 팩스 마케팅을 규율하는 수신거부등록법(Do Not Call Register Act 2006), 통신법(Telecommunications Act 1997) 등이 있다.
개인의 의료 및 건강정보와 관련해서는 국민건강법(National Health Act 1953), 내건강기록법(My Health Records Act 2012), 보건식별번호법(Healthcare Identifiers Act 2010) 등의 연방법이 있고, 각 자치주 단위별로도 뉴사우스웨일스주의 건강기록·정보프라이버시법(Health Records and Information Privacy Act 2002), 빅토리아주의 건강기록법(Health Records Act 2001), 수도 준주의 건강기록법(Health Records Act 1997) 등이 있다.
직장 내 직원 모니터링 관련 법률로는 감시기기법(Surveillance Devices Act 2004) 등의 연방법과, 빅토리아주의 감시기기법(Surveillance Devices Act 1999), 뉴사우스웨일스주의 직장감시법(Workplace Surveillance Act 2005), 수도 준주의 직장프라이버시법(Workplace Privacy Act 2011) 등 자치법률이 시행 중이다.
[표 6] 지역 및 분야별 개인정보보호 법률
지역 및 분야별 개인정보보호 법률
구분
분야
법령
연방
기본법(공공/민간)
프라이버시법(Privacy Act 1988)
스팸방지
스팸법(Spam Act 2003)
텔레마케팅
수신거 등록법(Do Not Call Register Act 2006)
통신
통신법(Telecommunications Act 1997)
건강
국민건강법(National Health Act 1953)
내건강 기록법(My Health Records Act 2012)
보건식별번호법(Healthcare Identifiers Act 2010)
직장 모니터링
감시기기법(Surveillance Devices Act 2004)
지방
수도 준주
공공
정보프라이버시법(Information Privacy Act 2014)
건강
건강기록법 (Health Records Act 1997)
직장 모니터링
직장프라이버시법 (Workplace Privacy Act 2011)
빅토리아주
공공
프라이버시·개인정보보호법 /p>
(Privacy and Data Protection Act 2014)
건강
건강기록법(Health Records Act 2001)
직장 모니터링
감시기기법(Surveillance Devices Act 1999)
뉴사우스웨일즈
공공
프라이버시·개인정보보호법
(Privacy and Personal Information Protection Act 1998)
건강
건강기록·정보프라이버시법
(Health Records and Information Privacy Act 2002)
직장 모니터링
직장감시법(Workplace Surveillance Act 2005)
노던준주
공공
정보법(Information Act 2002)
퀸즐랜드주
공공
정보 프라이버시법(Information Privacy Act 2009)
태즈메이니아주
공공
개인정보보호법
(Personal Information Protection Act 2004)
웨스턴오스트레일리아주
공공
정보의자유법
((Freedom of Information Act 1992)
사우스오스트레일리아주
공공
정보프라이버시원칙지침
(Information Privacy Principles Instruction No.1 of 1989)
(1) 스팸법(Spam Act 2003)
누구든 상업적 목적으로 이메일, 인스턴트 메시지, 문자를 전송하는 경우 스팸법의 적용을 받는다. 마케팅 목적의 팩스나 인터넷 팝업 광고 또는 음성 텔레마케팅은 적용 대상이 아니다.
상업적 목적의 전자적 메시지를 합법적으로 전송하기 위해서는 수신인의 사전 동의가 필요하며, 수신을 거부할 수 있는 기능을 제공해야 한다. 만약 메시지 발송자가 정부기관, 자선단체, 종교단체, 등록 정당이면 이러한 의무 조치가 면제된다. 그러나 이러한 면제 대상도 이들이 직접 메시지를 전송하지 않고 제삼자를 통해 발송하는 경우에는 의무 조치를 이행해야 한다. 또한, 면제 대상 여부와 상관없이 상업적 목적의 전자적 메시지를 전송하려는 경우는 반드시 메시지 수신인이 발송자를 식별할 수 있도록 발송자에 대한 정확한 정보를 표시해야 한다. 상업적 목적이 아닌 사실적 메시지를 전송하는 경우에는 스팸법을 적용받지 않으나 일반적으로 뉴스레터와 같은 소식지는 단순히 사실적 메시지만을 전송하는 것이 아니라 전송자의 서비스나 상품의 홍보 목적으로 전송되는 경우가 많으므로 이때에는 스팸법에 따른 조치가 필요하다.
(2) 수신거부등록법(Do Not Call Register Act 2006)
수신거부등록부는 요청하지 않는 텔레마케팅 전화나 팩스, 수신거부를 요청한 전화번호나 팩스번호(호주 국내 번호만 가능) 등이 등록된 보안 데이터베이스를 말한다. 개인 또는 기관 등은 자신의 번호를 등록할 수 있으며 한번 등록한 번호는 등록인이 삭제하기 전까지 계속 유효하다. 일반 대중은 개인이나 가정용 전화, 팩스번호를 등록할 수 있고, 정부기관이나 긴급서비스 관련 공공기관은 정부 전용 전화번호 또는 긴급서비스 번호를, 그리고 기업은 팩스전용 번호를 등록할 수 있다.
텔레마케팅이나 팩스 마케팅을 하는 회사는 수신거부 전화번호가 등록부에 등록된 지 30일 이내에 처리해야 하며, 수신거부 등록자의 개인정보보호를 위해 그들의 전화번호 정보만 수집할 수 있다. 수신거부 등록된 번호에 메시지를 전송했거나 전송하려는 경우에는 동법에 따라 처벌을 받을 수 있다. 수신거부등록부는 통신미디어청(Australian Communications and Media Authority)의 규율 대상으로서, 통신미디어청은 이외에도 텔레마케팅 전화 이외의 유형을 명시한 수신거부 등록 규정(Do Not Call Register Regulations 2017), 팩스 마케팅의 최소 요건을 규정한 팩스 마케팅 산업 표준(Fax Marketing Industry Standard 2011), 그리고 텔레마케팅과 팩스 마케팅 전화의 최소 요건을 명시한 통신(텔레마케팅 및 설문전화) 산업 표준 2017(Telecommunications (Telemarketing and Research Calls) Industry Standard 2017)의 시행을 담당한다.
(3) 통신법(Telecommunications Act 1997)
통신법은 통신과 콘텐츠를 전송하는 회선을 제공하는 통신사업자(carrier), 회선을 이용하여 전화/인터넷 서비스를 제공하는 사업자(carriage service provider)를 비롯한 다양한 통신서비스 제공자(telecommunications service provider)의 활동을 규율한다. 전기통신법 제56조는 '통신사업자'를 동법의 따라 부여된 통신사 면허의 보유자4)로 정의한다. 면허를 소지한 통신사는 서비스 제공자와 콘텐츠 서비스가 대중에게 제공되는 기반시설을 제공하는 조직을 의미한다.
동법 제13장에 따라 통신서비스 제공자 등이 통신서비스를 제공하면서 획득한 개인정보, 즉 개인의 통신 내용, 통신서비스 또는 다른 개인적인 사항 등을 이용하거나 제공하는 경우에는 최대 2년의 징역에 처할 수 있다. 합법적으로 이용 중인 개인정보라도 추가적인 근거 없이 2차적으로 이용, 제공해도 위법행위로 간주한다. 또 동법 제5장에 따라 통신법과 통신 차단 및 접근법에서 허용하는 범위 내에서 제3자 제공이 이루어진 경우, 통신서비스 제공자는 정보 제공에 대한 사항(정보를 제공받은 자, 제공일자, 제공 근거 등)을 기록해야 하고 그 기록을 최대 3년간 보관해야 한다.
동법 제6장은 통신서비스 행위와 관련한 사안에 대한 산업 규약(industry codes) 개발에 대해 다루고 있는데, 그중 개인정보보호 관련 내용이 포함된 규약은 프라이버시법에 어긋나지 않도록 개인정보 감독기구의 검토(consult)를 받도록 규정하였다.
4) 호주 통신미디어청은 면허를 받은 통신사 및 지명된 통신사 목록을 발행한다.
(4) 통신감청접근법(Telecommunications Interception and Access Act 1979)
통신감청접근법은 개인정보보호를 위한 조치로써 감청과 저장된 통신내용에 대한 접근을 금지하고 있다. 통신서비스 제공사업자는 고객의 통신서비스 사용에 대한 정보 공개를 금지하는 통신법에 의해 보호된다. 단, 동법은 사법기관 및 수사기관이 업무를 수행할 수 있도록 이러한 금지에 대한 예외적인 상황을 아래와 같이 명시하고 있다.
① 감청을 위한 영장을 확보한 경우,
② 보관된 통신내용에 접근하기 위한 영장을 확보한 경우,
③ 개인정보 공개에 관한 승인을 확보한 경우,
정보기관, 연방경찰 등의 수사기관은 동법에 명시된 국가안보 또는 사법 집행의 목적을 달성하기 위한 경우에만 영장을 받거나 권한을 부여받을 수 있다.
(5) 건강정보 보호 관련 법률
건강정보 보호와 관련한 법률로는 내건강기록법(My Health Records Act 2012)이 대표적이다. 내건강기록법은 호주 정부가 운영하는 건강 기록 시스템, 즉 개인의 질병, 알레르기, 건강 상태, 처방 명세, 의료 서비스 이용 명세 등의 정보를 요약하여 기록한 내건강기록(My Health Records)에 대한 접근 및 보호에 대해 규율한다. 의료·보건서비스 제공자는 동법을 통해 규정된 절차 및 범주에 대해서만 개인의 건강정보를 열람 또는 제공할 수 있다. 개인정보 감독기구는 건강정보 유출 또는 침해와 관련하여 신고 접수 및 민원 조사의 권한이 있다. 동법에 따라 개인보건식별변호5)를 이용하거나 제공하는 것은 프라이버시법에 따른 개인정보 침해 행위로 간주하여 개인정보 감독기구의 조사 대상이 된다.
이밖에 법률은 아니지만 국민건강법(National Health Act 1953)에 따라 운영되고 있는 의료·약재보험제도( Medicare and pharmaceutical benefits schemes)와 관련한 민원 처리를 위해, 수집 개인정보를 보호하기 위한 목적으로 개인정보 감독기구가 제정한 의료·약재보험 프로그램 프라이버시지침(Privacy Guidelines for the Medicare Benefits and Pharmaceutical Benefits Programs)도 시행 중이다.
5) IHI(individual healthcare identifier): 내건강기록 시스템이 개인을 식별하는 데 사용하는 16자리 고유번호로, 의료서비스 제공자가 내건강기록 시스템을 통해 환자 기록을 열람하고 정확한 진단을 내리도록 지원한다.
가. 프라이버시법
(1) 개요
호주 프라이버시법(Privacy Act)은 연방정부가 취급하는 개인정보보호와 경제협력개발기구(OECD) 지침에 부합하는 개인정보의 처리에 관한 안전조치 이행을 위하여 1988년 말에 제정되었다. 동법의 제정을 통하여 호주 정부는 개인정보보호에 관한 국제기준 달성을 위한 프라이버시 원칙과 지침을 마련하였다. 프라이버시법은 이후 여러 차례의 개정을 거치면서 개인정보보호에 관한 추가적인 규정들을 도입하였다. 2000년 개정에서는 증대되는 개인정보보호 요구에 대응하여 ‘인권 및 기회균등 감독기구(Human Rights and Equal Opportunity Commission)’에서 분리된 개인정보 감독기구(Office of the Privacy Commissioner)의 설립 근거 조항을 하였다. 2001년 개정을 통해서는 프라이버시법의 적용 대상을 확대하여 일반 민간조직에도 적용하기 시작했으며 이와 관련하여 국가 프라이버시 원칙(National Privacy Principles, NPP) 10개 항목도 확립하였다. 2010년에 이르러서는 개인정보 감독기구를 개편하여 개인정보보호에 관한 사안을 포괄적으로 규율하는 새로운 개인정보 감독기구(Office of the Australian Information Commissioner, OAIC)를 설립하였고, 2014년에는 민간과 공공 부문을 아우르는 호주 프라이버시 원칙(Australia Privacy Principles, APP) 13개 항목과 행동규약(code of practice)도 확립하기에 이르렀다. 2018년 2월부터는 오랜 검토 끝에 개인정보 침해 통지 제도를 확대하여 운영하고 있다. 2022년에는 호주 의회가 프라이버시법 개정안(Privacy Legislation Amendment Bill)을 승인함에 따라 개인정보 침해에 대한 처벌을 강화하고 프라이버시법 위반 기업에 대한 과징금을 확대하는 근거를 마련하였다.
[표 1] 호주 프라이버시법 변천 내용1)
| 년도 | 변경내용 |
|---|---|
| 1988년 | 프라이버시법 제정 |
| 1991년 |
● 제3A장 신용평가 (Credit reporting) 규정 추가
신용평가기관과 소비자 신용평가보고서에 관한 사항이 추가 |
| 1994년 |
● 수도 준주2) 공공기관으로 적용범위 확대
수도 준주 정부서비스법(Australian Capital Territory Government Service (Consequential Provisions) Act 1994)을 통해 프라이버시법 일부 조항을 개정함으로써, 수도 준주 소재 공공기관도 프라이버시법의 적용범위에 포함 |
| 2000년 |
● 개인정보 감독기구 최초 설립
인권 및 기회균등 감독기구에서 독립한 별도의 개인정보 감독기구 신설 |
| 2001년 |
● 일부 민간조직에 대해서도 프라이버시법 적용
프라이버시법을 일부 민간조직에까지 확대 적용하고 개인정보 처리에 관한 민간조직에 적용되는 국가 프라이버시 원칙 10개 항목 확립 |
| 2010년 |
● 개인정보 감독기구 개편
신설 개인정보 감독기구의 출범에 따라 기존 감독기구 조직은 신설 조직에 통합하도록 개편 |
| 2011년 |
● 노퍽섬(Norfolk Island) 공공기관으로 적용 범위 확대
영토법 개혁법(Territories Law Reform Act 2010)을 통해 프라이버시법 일부 조항을 개정함으로써 호주 외부영토인 노퍽섬에 소재한 공공기관도 프라이버시법의 적용을 받게 됨 |
| 2014년 |
● 중대한 법률규정
기존 정보 프라이버시 원칙과 국가 프라이버시 원칙을 호주 프라이버시 원칙으로 대체하여 수도 준주, 노퍽섬 소재 공공기관과 일부 민간조직의 개인정보 처리에 관한 사항을 규제하도록 개정 ● 호주 프라이버시 원칙에 관한 규약과 신용평가에 관한 규약과 관련한 새로운 규정 추가개인정보 감독기구가 공익목적의 구속력 있는 규약을 개발하고 등록할 수 있도록 허용 개인정보 감독기구의 집행권 확대 ● 수도 준주를 위한 개인정보보호법 별도 제정수도 준주 공공기관에 적용되는 별도의 개인정보보호법인 정보 프라이버시법(Information Privacy Act 2014) 제정 |
| 2018년 | ● 개인정보 침해사고 통지 의무 확대 |
| 2022년 |
● 개인정보 침해에 대한 처벌 강화
최대 5,000만 호주 달러 또는 이익 가치의 3배 부과 위반으로 인한 이익 가치 도출이 불가능할 경우 조정 매출액의 30% 부과 |
1) https://www.oaic.gov.au/privacy/the-privacy-act/history-of-the-privacy-act
2) Australian Capital Territory. 호주 수도 캔버라 주변의 특별행정자치구역을 의미하는 것으로, 당초 뉴사우스웨일스 주에 속했다가 캔버라가 수도로 발전하면서 그 주변 지역과 함께 준주를 구성하여 연방 직속 관할의 자치구역으로 새로이 편성된 지역
(2) 구성
프라이버시법은 총 9장, 100개 조항과 부칙(Schedule)으로 구성되었으며, 공공기관과 민간조직이 취급하는 개인정보의 수집, 이용 및 제공에 관한 규율뿐만 아니라 신용정보, 납세정보 등 특정 분야 또는 특정 정보에 대한 특화된 규정도 포함하고 있다. 세부적인 구성을 살펴보면, [제1장 서문]과 [제2장 해석]에서는 각각 법 제정 목적 및 적용 범위에 관해 기술하고 분야별 주요 용어의 사용을 정의하였다. [제3장 정보 프라이버시]는 개인정보를 처리하는 주체, 취급 환경에 따라 개인정보 침해로 간주하는 행위와 예외로 인정하는 행위에 대하여 정의하고 개인정보를 처리하는 기본 원칙인 호주 프라이버시 원칙을 규정하고 있으며, 그밖에 개인 납세자번호정보에 관한 규정도 포함하고 있다. 1991년 개정을 통해 추가된 [제3A장 신용평가]에서는 소비자 신용평가(Crediting reporting)에 관한 규정을 제시하고 있는데, 금융기관(신용제공사, Credit providers)과 신용평가기관(Credit reporting bodies)에 제공할 개인정보의 범주와 유형, 그리고 해당 정보를 취급하는 주체와 그 정보가 처리되는 목적 등을 다루고 있다. [제3B장 프라이버시 규약]에서는 호주 프라이버시 원칙(Australia Privacy Principles)에 기반한 호주 프라이버시 원칙에 관한 규약(APP codes), 신용평가 규정에 기반한 신용평가에 관한 규약(CR codes)의 개발 및 등록 등에 관한 사항을 각각 명시하였다. 개인정보 침해 통지에 관한 규정은 [제3C장 적절한 개인정보 침해에 대한 통지]에서 다루며, 이 장에서는 통지 대상, 통지 절차, 정보 획득에 대한 개인정보 감독기구의 권한 등의 원칙을 정한다. [제4장 개인정보 감독기구의 기능]에서는 감독기구의 권한 및 기능을 명시하고 있고, [제5장 조사]에서는 민원 또는 직권에 의한 개인정보 침해에 대한 조사, 그리고 조사결과에 대한 조치 또는 결정에 관한 내용을 규정하고 있다. [제6장 공익 및 임시적 공익 결정] 및 [제6A장 비상 및 재난 시 개인정보 처리]는 개인정보보호 규정 적용이 면제되는 공익 결정에 관한 사항과 비상 또는 재난 시에 허용되는 개인정보의 처리에 관해 규정하고 있다. [제6B장 집행]에서는 개인정보 감독기구의 법 집행에 관해 명시하고 있다. [제7장 프라이버시 자문위원회]는 그밖에 프라이버시 자문위원회의 구성과 운영에 관한 사항을 규정한다. 기타 [제8장 비밀유지 의무]는 조직의 비밀유지 의무에 관한 내용을 규정하고 있으며, [제9장 기타]에서는 건강정보 관련한 지침의 발행 등에 대해 명시하고 있다.
[표 2] 프라이버시법 구성
| 구분 | 주요 내용 | |
|---|---|---|
|
제1장 서문 |
제정 목적, 적용 범위 등 |
|
|
제2장 정의 |
제1절 일반 정의 |
일반 용어에 대한 정의 |
|
2절 신용평가 관련 주요 정의 |
신용평가와 관련된 용어에 대한 정의 |
|
|
3절 기타 |
개인정보 취급 관련 특정 행위 또는 관행 등에 대한 정의 적용 면제 관련 행위 또는 관행 |
|
|
제3장 정보 프라이버시 |
1절 개인정보 침해 |
개인정보 침해 행위 관계법인(related body corporate) 간의 개인정보 수집, 제공 해외에서의 개인정보 침해 심각하거나 반복적인 개인정보 침해 행위 |
|
2절 호주 프라이버시 원칙 |
13가지 호주 프라이버시 원칙(별도 부칙으로 규정) 프라이버시 원칙 적용 예외(일반 상황, 보건 관련 상황, 연방정부와의 계약 이행 등) |
|
|
3절 납세자번호정보 |
납세자번호 취급에 대한 규칙 제정 |
|
|
제3A장 신용평가 |
제1절 소개 |
개요 |
|
제2절 신용평가기관 |
신용평가기관의 개인 신용평가 정보의 수집, 이용, 제공 및 정보의 최신성, 정확성 신용평가 정보에 대한 개인의 열람 및 정정, 신용평가정보의 보유 기간 등 |
|
|
제3절 신용제공사 |
신용제공사의 개인신용정보 수집, 이용, 제공 등에 대한 원칙 및 적용 면제 개인 열람, 정정 적용 예외 등 |
|
|
제4절 유관 정보처리자 |
보험사의 개인정보 이용 또는 제공 원칙 |
|
|
제5절 민원 |
개인정보 침해 시 제기할 수 있는 개인의 민원 신청 권리, 절차 |
|
|
제6절 신용평가정보의 인가 없는 취득 |
불법적인 신용평가보고서 정보 획득에 대한 처벌 규정 |
|
|
제7절 법원 명령 (Court orders) |
개인정보처리자의 법 위반에 대한 법원의 명령권 |
|
|
제3B장 프라이버시 규약 |
제1절 소개 |
개요 |
|
제2절 공인된 프라이버시 원칙에 관한 규약 |
프라이버시 원칙에 관한 규약 및 공인된 신용평가에 관한 규약 개념 프라이버시 원칙에 관한 규약 개발, 등록 및 변경, 폐지 |
|
|
제3절 공인된 신용평가에 관한 규약 |
신용평가에 관한 규약 및 공인된 신용평가에 관한 규약 개념 신용평가에 관한 규약 개발, 등록 및 변경, 폐지 |
|
|
제4절 일반 사항 |
규약 등록, 규약 등록 관련 지침 등 |
|
|
제3C장 적절한 개인정보 침해 통지 |
제1절 소개 |
개요, 적용 예외 |
|
제2절 개인정보 침해 |
개인정보 침해 개념 및 피해구제 예외 대상 심각한 피해 초래 여부 결정 기준 |
|
|
제3절 개인정보 침해 통지 |
개인정보 침해 여부 평가 및 예외 개인정보 침해에 대한 통지 및 예외 개인정보 감독기구의 통지 명령 권한 및 예외 |
|
|
제4장 개인정보 침해 관련 정보 및 문서 획득에 관한 개인정보 감독기구의 권한 |
제2절 감독기구의 기능 |
개인정보 가이드 개발 신용평가정보, 납세자번호정보 관련 처리에 대한 모니터링 등 |
|
제3절 감독기구 공유 정보 및 보고 |
감독기구 조사 및 모니터링 결과에 대한 관련 부처 보고 개인정보보호 관련 법안 검토 등 |
|
|
제3절A 감독기구의 평가 |
호주 프라이버시 원칙에 대한 검토 개인정보 영향평가 수행 지시 |
|
|
제4절 기타 |
정보자유법에 정보 공개 제한 등 |
|
|
제5장 조사 |
제1절A 소개 |
개요 |
|
제1절 민원 및 감독기구 직권에 따른 조사 |
개인정보 침해에 대한 민원 제기 및 처리 집단 민원 요건 및 조사 화해, 예비 조사, 자료 요구 등 조사 절차 대체 민원 처리 기관 이전 등 |
|
|
제2절 민원 조사결과에 관한 결정 |
민원 또는 감독기구 직권에 근거한 조사에 대해 기각, 침해행위 중지, 개선 조치, 피해 보상을 위한 조치 또는 금전적 제재 결정 |
|
|
제3절 결정 집행 |
감독기구 결정에 대한 이행 의무 감독기구 결정 집행을 위한 연방법원 소송제기 감독기구 결정에 대한 서면 증서 |
|
|
제4절 연방 정부 기관과 관련된 결정의 검토 및 집행 |
감독기구 결정에 대한 이행 의무 감독기구 결정 미이행에 대한 연방 법원에 이행 신청 등 |
|
|
제5절 기타 |
법무부에 법률상담 지원 신청 출석 거부, 허위 진술 등에 대한 처벌 현장 조사권, 제출이 제한되는 정보 등 |
|
|
제6장 공익 및 임시적 공익 결정 |
제1절 공익 결정 |
감독기구의 공익 결정 및 결정의 효력 공익 결정 신청 및 감독기구의 조치 등 |
|
제2절 임시적 공익 결정 |
감독기구의 임시적 공익 결정 및 결정의 효력 효력의 정지 등 |
|
|
제3절 결정의 등록 |
결정의 등록 및 대중에 공개 |
|
|
제6A장 비상 및 재난 시 개인정보 처리 |
제1절 목적과 해석 |
주요 용어 및 ‘허용된 목적’에 대한 정의 |
|
제2절 비상 선언 |
국내 및 해외에서의 비상 선언 요건 비상 선언문 양식, 효력 및 중지 시점 |
|
|
제3절 개인정보의 이용 |
비상/재난 시 개인정보 수집, 이용 및 제공 |
|
|
제4절 기타 |
불법적인 개인정보 제공 행위 비밀유지 등 다른 조항과의 관계 |
|
|
제6B장 집행 |
제1절 민사 처벌 |
규제권한법(Regulatory Powers Act)에 따른 민사 처벌 관련 커미셔너 권한, 관련 기관 및 규제 범위 |
|
제1A절 위반 통지 |
규제권한법에 따른 위반 통지 관련 커미셔너 권한, 관련 기관 및 규제 범위 |
|
|
제2절 시행 확약 |
규제권한법에 따른 시행 확약 관련 커미셔너 권한, 관련 법원 및 규제 범위 |
|
|
제3절 명령 |
규제권한법에 따른 법원에 대한 금지/이행명령 청구 관련 커미셔너 권한, 관련 법원 및 규제 범위 |
|
|
제7장 프라이버시 자문위원회 |
자문위원회의 설립 및 위원회 구성, 기능 구성원의 해촉 및 사임, 회의 개최 등 |
|
|
제8장 비밀유지 의무 |
적용 및 효력 법원의 관할권 등 |
|
|
제9장 기타 |
의학 연구 지침, 건강정보에 대한 호주 프라이버시 원칙 지침 등 발행 |
|
| 부칙 |
호주 프라이버시 원칙 |
1영역 개인정보 개인정보보호의 고려 2영역 개인정보의 수집 3영역 개인정보의 처리 4영역 개인정보의 무결성 5영역 개인정보에 대한 접근, 수정 |
(3) 주요내용
1) ‘개인정보’와 ‘민감한 개인정보’ 정의
프라이버시법은 개인정보(personal information)를 ‘식별된(identified)’ 또는 ‘합리적으로 식별 가능한(reasonably identifiable)’ 개인(individual)에 관한 정보나 견해(opinion)로서 정보나 견해의 사실 여부와 물리적 형태의 기록 여부와는 무관하다고 정하고 있다. 이러한 정의에 따라, 호주 개인정보 감독기구는 단편적으로 개인을 식별할 수 없다 하더라도 개인정보처리자가 이미 보유하였거나 접근 가능한 다른 정보와 결합하여 합리적으로 특정한 개인을 식별할 수 있게 할 때도 이를 개인정보로 본다. 또한, 프라이버시법은 일반적으로 민감한 정보를 잘못 취급하면 해당 개인에게 더 해로운 영향을 미칠 수 있다는 점을 고려하여 민감한 정보에 대해 더 높은 수준의 보호조치를 요구하고 있다. 민감한 정보는 개인의 인종 또는 민족, 정치적 견해, 직업적·정치적·종교적 소속 또는 회원 자격, 성적 지향 또는 활동, 범죄기록, 건강, 유전학 및/또는 생체 인식에 대한 정보를 포함하고 있다. 예를 들어, 요청된 개인정보의 수집을 다루는 호주 프라이버시 원칙 제3원칙은 관련된 개인이 수집에 동의하고 수집된 정보가 사업자의 기능 혹은 활동에 합리적으로 필요한 경우를 제외하고 민감한 정보의 수집을 금지하고 있다. 이는 민감하지 않은 일반 개인정보의 수집이 수집 주체의 합법적인 기능이나 활동에 합리적으로 필요한 경우에는 가벼운 수준에서 허용하고 있는 것과 대비되는 부분이다. 프라이버시법은 개인정보 및 민감한 개인정보 이외에도 신용정보, 직원기록, 납세자번호정보 등 다양한 유형의 개인정보를 구분하여 정의하고 있으며 각각에 대한 개념과 특징은 아래 표와 같다.
[표 3] 개인정보의 유형
| 구분 | 정의 | 내용 |
|---|---|---|
|
민감한 개인정보(제6조) |
● 개인의 인종, 민족 정보 및 정치적 견해, 정당 가입정보, 종교, 철학, 노조 가입현황, 성적 성향, 범죄기록 등에 관한 정보 또는 견해 ● 건강정보, 유전적 정보, 생체 식별을 위해 사용되는 생체(바이오) 정보에 관한 정보 또는 견해 | ● 개인정보 수집, 이용, 제공 시 개인의 동의 필요 ※ 일반 정보의 경우, 정보처리 주체의 행위나 기능에 필요한 경우 동의 없이 처리 가능 |
|
건강정보(제6FA조) |
● 개인의 질병, 장애, 부상 또는 개인이 향후에 받을 의료 서비스에 대한 표현된 희망(expressed wishes) 또는 개인이 제공받았거나 향후 제공받을 건강서비스에 대한 정보 또는 견해 ● 개인에게 건강서비스 제공하기 위해 수집된 다른 개인정보 ● 개인의 장기기증(또는 기증 의사)에 관련하여 수집된 다른 개인정보 ● 개인 또는 친족의 건강을 예측할 수 있는 개인의 유전적 정보 | ● 민감한 개인정보에 속하여 민감한 개인정보와 같이 취급되나, 이와 별도로 건강정보에 특화된 규정이 있음 ※ 건강정보 처리가 허용되는 예외 규정(제16조), 건강정보의 이용․제공 등에 대한 지침 관련 규정(제95A) 등 |
|
신용 정보(제6N조) |
● 개인에 대한 식별정보 ● 개인에 대한 소비자의 부채 정보 (consumer credit liability information) ● 개인의 상환 명세 정보 등 | ● 신용정보는 제3A장을 통해 다른 정보와 별도로 규율 |
|
납세자번호정보(제6조) |
● 합법적 수집 여부 또는 물리적 형태의 기록 여부와 관계없이, 개인의 신원과 연결되는 방식으로 납세자번호를 기록하는 정보 | ● 납세자번호정보는 제3장 제4절(납세자번호정보) 및 제17조에 근거한 ‘납세자번호정보 규정’을 통해 별도 규율됨 |
|
직원 기록(제6조) (employee record) |
● 직원의 고용과 관련한 직원의 개인정보 기록을 말하는 것으로, 건강정보를 비롯하여 다음의 정보를 의미함 ● ▲직원의 업무, 교육, 징계, 사직 ▲직원의 고용 종료, 고용 기간 및 조건▲직원의 개인 비상연락 정보▲직원의 성과, 수행활동 ▲직원의 고용 시간, 급여 ▲직원의 노동조합 등 조합 가입 ▲직원의 병가, 휴직 등 ▲직원의 납세, 금융 및 연금 관련 사항 | ● 민간기관의 직원 기록은 일반적으로 프라이버시법 적용 면제 대상 |
2) 적용 대상
프라이버시법은 ▲호주 프라이버시 원칙(Australian Privacy Principle)에 따른 개인정보처리자 (APP entity) 및 ▲소규모 사업자(small business operator)에 적용된다. (제5B조) 여기서 개인정보처리자는 ① 호주 연방에 소속한 정부부처 및 공공부문, 소속 공직자(agency로 통칭) ② 민간 조직(organisation)으로 구분되고, (제6조) 민간 조직은 개인(individual), 법인, 합자회사, 기타 비법인단체, 신탁(trust) 중 ① 연간 매출액이 300만 호주 달러에 미치지 않는 소규모 사업자, ② 등록된 정당, ③ 각 주(state) 및 준주(territory)의 공공부문 등이 아닌 개인, 법인, 합자회사, 기타 비법인단체, 신탁을 의미한다. (제6C조) 한편, 소규모 사업자는 연간 매출액이 300만 호주 달러에 미치지 않는 소규모 사업만을 영위하는 개인, 법인, 합자회사, 비법인단체, 신탁을 뜻한다. (제6D조제3항) 다만, 상기 개인, 법인, 합자회사, 비법인단체, 신탁회사 등이 아래의 요건 중 하나를 갖추면 소규모 사업자가 아닌 위에서 언급한 호주 프라이버시 원칙에 따른 개인정보처리자로서 프라이버시법의 적용 대상이 됨을 유의해야 한다. (제6D조제4호) ① 연간 매출액 300만 호주 달러 초과 ② 건강서비스를 제공함과 동시에 건강정보 보유 ③ 영리 목적으로 개인정보를 타인으로부터 제공받거나 타인에게 제공 ④ 연방정부와 서비스 계약을 체결한 자 ⑤ 신용평가기관
3) 적용 범위
호주 프라이버시 원칙을 비롯한 프라이버시법은 호주와 연결성(Australian link)이 있으면 국외 영토(external territory)에서도 적용되는데, (제5B조) 민간 조직이나 소규모 사업자가 다음에 해당하면 호주와 연결성이 인정된다. ① 호주 시민권자 또는 영주권자 ① 호주나 국외 영토에서 형성/설립된 합자회사 또는 신탁인 경우 ③ 호주나 국외 영토에 설립된 법인 ④ 호주나 국외 영토에 통제/관리 조직이 있는 비법인단체 ⑤ (위의 경우에 속하지 않더라도) 호주나 국외 영토에서 사업을 하면서 호주나 국외 영토의 개인정보를 수집하거나 보유하는 경우
4) 개인정보 처리 동의
프라이버시법은 정보주체의 ‘동의’에 관해 별도의 장으로 할애하고 있지는 않으나, ‘동의’를 개인정보처리에 관한 원칙에 있어 중요한 요건으로 보고 있다. 정보주체는 개인정보처리자에 동의를 제공함으로써 해당 조직이 본인의 개인정보를 적법성에 근거하여 처리할 수 있도록 허용할 수 있으며, 예외로 규정된 상황을 제외하고 개인정보 처리를 수행하고자 하는 개인정보처리자는 반드시 정보주체 본인의 동의를 획득해야 한다. 호주 프라이버시 원칙으로 일원화되기 이전 형태인 국가 프라이버시 원칙(National Privacy Principles)과 정보 프라이버시 원칙(Information Privacy Principles)에서는 개인정보처리자에 정보주체의 동의를 필수사항으로 요구하지 않았다. 그러나 법률 개정에 따라 호주 프라이버시 원칙이 확립된 이후에는 기본적으로 정보주체의 동의를 필수적으로 요구하고 있다. (부칙 제6.1조 외)
5) 침해
호주 프라이버시법에서는 개인정보 처리 기록 보유 의무나 개인정보 영향평가 수행 의무, DPO 지정 의무 등을 법률에서 규정하고 있지는 않다. 그러나 프라이버시법 제14조 및 부칙에서는 호주 프라이버시 원칙을 규정하고, 호주 연방정부, 민간조직, 건강서비스 제공자 및 비영리단체 등 호주 프라이버시 원칙에 따른 개인정보처리자의 개인정보 처리에 관한 의무와 기준을 제시하고 있다. 호주 프라이버시 원칙은 그 이전까지 민간과 호주 연방정부 기관에 각각 적용되었던 국가 프라이버시 원칙과 정보 프라이버시 원칙을 통합·대체하기 위하여 2014년 법률개정 시 본격 도입된 것으로, 크게 5가지 영역에서 총 13개의 원칙을 제시하고 있다. 첫 번째 영역은 [개인정보보호 고려]로 개인정보 관리의 투명성, 개방성, 익명성, 가명성을 다루고 있다. 두 번째 영역인 [개인정보 수집]은 요청된(solicited) 또는 요청되지 않는 개인정보의 수집·처리 시 원칙과 개인에 대한 통지 기준을 규정하고 있으며, 세 번째 영역은 [개인정보 처리]로서, 개인정보의 이용, 제공 및 직접 마케팅, 국외이전 시 기준 등을 제시한다. [개인정보의 무결성]을 통해서는 개인정보의 품질 관리, 보안 등을 규정하고, 마지막으로 [개인정보의 열람 및 정정] 영역에서는 개인정보에 대한 정보주체의 권리를 설명하고 있다.
[표 4] 호주 프라이버시 원칙
| 구분 | 영역 | 호주 프라이버시 원칙 |
|---|---|---|
|
I |
개인정보보호 고려 | ● 제1원칙 : 공개적이고 투명한 개인정보 관리 ● 제2원칙 : 익명성 및 가명성 |
|
II |
개인정보 수집 | ● 제3원칙 : 요청된(solicited) 개인정보의 수집 ● 제4원칙 : 요청되지 않은(unsolicited) 개인정보 처리 ● 제5원칙 : 개인정보 수집에 대한 통지 |
|
III |
개인정보 처리 | ● 제6원칙 : 개인정보 이용 또는 제공 ● 제7원칙 : 직접 마케팅 ● 제8원칙 : 개인정보 국외이전 ● 제9원칙 : 정부 관련 식별자의 채택, 이용 또는 제공 |
|
IV |
개인정보의 무결성 | ● 제10원칙 : 개인정보의 품질 ● 제11원칙 : 개인정보의 보안 |
|
V |
개인정보 열람 및 정정 | ● 제12원칙 : 개인정보 열람 ● 제13원칙 : 개인정보 정정 |
프라이버시법이 규정하는 호주 프라이버시 원칙의 세부내용은 아래와 같다. ① 제1원칙: 공개적이고 투명한 개인정보 관리 제1원칙은 호주 프라이버시 원칙에 따른 개인정보처리자가 개인정보보호에 필요한 체계와 절차, 그리고 그러한 절차를 구현하는 시스템을 갖출 것을 요구하고 있으며 개인정보 처리에 관한 정책을 개발하고 개인정보를 쉽게 활용할 수 있는 체계에 관한 요건을 규정하고 있다. ② 제2원칙: 익명성 및 가명성 제2원칙은 개인정보처리자가 정보주체의 개인정보를 다루는 상황에서 정보주체의 익명화 또는 가명화에 관한 권리를 규정하고 있다. 구체적으로, 개인은 특정 사안과 관련하여 개인정보처리자와 거래할 때 자신의 신분을 밝히지 않거나 가명을 사용할 수 있는 선택권을 가져야 한다. ③ 제3원칙: 요청된 개인정보의 수집 제3원칙은 개인정보 수집의 최소성 등에 관해 규정하고 있다. 개인정보처리자는 하나 이상의 기능이나 활동을 수행하기 위하여 합리적으로 필요한 경우에만 개인정보를 수집하도록 해야 하며, 개인의 민감한 정보를 수집하기 위해서는 반드시 본인의 동의를 획득하거나 다른 법률에서 규정한 예외가 있는 경우에만 허용된다. ④ 제4원칙: 요청되지 않은 개인정보 처리 제4원칙은 개인정보처리자가 정보주체가 요청하지 않은 개인정보를 수신한 경우, 만약 기업이 합리적인 기간 내에 정보를 요청했다면 제3원칙에 따라 해당 정보를 수집할 수 있었는지에 대해 고려하도록 요구하고 있다. 그러한 고려를 통해, 제3원칙에 따라 개인정보를 수집할 수 없었거나 개인정보가 연방정부 기록(Commonwealth record)에 포함되어 있지 않은 경우, 기업은 해당 개인정보를 신속히 파기하거나 익명처리 해야 한다. ⑤ 제5원칙: 개인정보 수집에 대한 통지 제5원칙에서는 개인정보처리자가 개인정보를 수집하는 경우, 관련 사항을 정보주체에게 지체없이 통지하도록 요구하고 있다. 제5원칙은 정보주체의 개인정보 수집과 관련된 다양한 세부정보를 본인에게 알리는 것을 목표로 한다. 여기에는 ▲법인의 신원 및 연락처 정보 ▲타인으로부터 개인정보를 취득한 경우 및 취득 경위 ▲정보 수집이 호주 법률 또는 법원 명령에 따라 요구되었거나 승인되었는지 여부 ▲법인이 정보를 수집한 이유 ▲개인정보처리자가 해당 개인정보 전부 또는 일부를 수집하지 않는 경우 개인에게 미치는 주요 결과 등에 관한 다양한 정보를 포함한다. ⑥ 제6원칙: 개인정보의 이용 또는 제공 제6원칙은 개인정보 처리의 목적 제한을 규정하고 있다. 개인정보처리자는 정보주체가 동의하지 않는 한, 수집된 목적 이외의 목적으로 개인정보를 사용하거나 공개하는 행위를 할 수 없다. 단, 정보주체의 건강이나 안전을 도모하는 데 필요하거나 공익을 위한 예외적인 상황에서는 정보주체의 동의 없이도 개인정보 이용 또는 제공이 가능하다. ⑦ 제7원칙: 직접 마케팅 제7원칙은 일반적으로 정보주체가 합리적으로 기대하거나 동의하지 않는 한 직접 마케팅 목적으로 개인정보를 사용하는 것을 금지하고 있다. ⑧ 제8원칙: 개인정보 국외이전 제8원칙은 개인정보처리자가 국외의 수신자에게 개인정보를 이전하는 경우 수신자가 호주 프라이버시 원칙을 위반하지 않도록 합당한 조치를 하도록 요구하고 있다. 개인정보 국외이전 시 개인정보처리자는 일반적으로 국외의 수신자에게 계약상의 의무를 부과하도록 요구해야 하며, 이러한 의무에는 아래의 사항을 포함한다. ① 개인정보처리자는 국외의 수신자가 호주 프라이버시 원칙과 유사한 수준의 보호를 제공하는 개인정보보호 법령 등에 의해 규율되고 있는지를 반드시 확인할 것 ② 개인정보의 국외이전에 관한 동의 획득과 관련하여 정보주체의 동의를 획득하기 위한 절차로서, 개인정보처리자는 정보주체에게 동의를 제공받으면서 해당 개인정보가 호주 프라이버시 원칙에 의한 보호조치와 개인정보처리자의 보호 의무로부터 더 이상 보호받지 못하게 됨을 정보주체가 충분히 이해한 상태에서 국외이전에 관한 동의를 획득할 것 이와 관련하여, 프라이버시법은 국외 수신자가 호주 프라이버시 원칙을 위반하는 경우, 해당 개인정보를 이전한 개인정보처리자에도 책임을 부과한다고 규정하고 있다. ⑨ 제9원칙: 정부 관련 식별자의 채택, 이용 또는 제공 제9원칙에서 언급하는 정부 관련 식별자는 개인의 면허번호, 의료보험(Medicare) 번호, 여권번호 및 납세자번호를 포함한 정부 기관이 발행한 식별정보를 의미한다. 개인정보처리자는 아래의 경우를 제외하면 정부 관련 식별자를 채택, 이용 또는 제공하는 행위를 할 수 없다. ① 법률에 따라 요구되거나 승인된 경우, ② 개인의 신원을 확인하기 위해 필수적으로 요구되는 경우, ③ 사전에 규정된 다른 예외가 적용되는 경우 ⑩ 제10원칙: 개인정보의 품질 제10원칙은 개인정보처리자가 수집, 사용, 공개 및 보유하는 개인정보가 정확하고 최신의 상태로 유지되고 완전함을 보장하기 위해 개인정보처리자로 하여금 합당한 조치를 하도록 요구하고 있다. 또한, 개인정보처리자는 자신이 사용 및 공개하는 정보가 정확하고 최신의 상태이며 완전하고 목적에 적합하다는 것을 보장하기 위해 합리적인 절차를 수행해야 한다고 규정하고 있다. ⑪ 제11원칙: 개인정보의 보안 제11원칙은 개인정보처리자로 하여금 개인정보를 오용, 간섭 및 손실, 무단 열람, 정정 또는 침해로부터 보호하기에 합당한 조치를 취하도록 요구하고 있다. 동 원칙에 따라, 개인정보처리자가 법률이나 법원 명령에 따라 별도로 개인정보를 보유해야 하는 경우를 제외하면 개인정보처리자는 필요하지 않은 개인정보를 파기하거나 익명화해야 한다. ⑫ 제12원칙: 개인정보 열람 제12원칙은 정보주체의 열람권을 규정하고 있다. 개인정보처리자는 개인정보보호법에 규정된 예외가 적용되지 않는 한, 정보주체가 요청하는 개인정보에 대해 열람 권한을 제공해야 한다. ⑬ 제13원칙: 개인정보 정정 제13원칙은 정보주체의 정정권에 대해 규정하고 있다. 개인정보를 보유하는 목적과 관련하여 개인정보가 부정확하거나, 최신이 아니거나, 불완전하거나, 관련성이 없거나, 오해의 소지가 있다고 판단한 정보주체가 개인정보의 정정을 요청하는 경우, 개인정보처리자는 자신이 보유한 개인정보를 정정하기 위해 필요한 합리적인 절차를 밟아야 한다. 만약, 그러나, 개인정보처리자가 정보주체의 정정 요청을 거부하는 경우에는 거부 사유 및 거부에 불만을 제기할 수 있는 메커니즘에 관해 서면 통지를 본인에게 제공해야 한다. 프라이버시법은 개인정보보호법 제15조에서 개인정보처리자로 하여금 호주 프라이버시 원칙을 준수하도록 요구하고 있으나, ‘예외가 허용되는 일반적인 상황(permitted general situation for exertion)’을 제16조에 별도로 규정함으로써 프라이버시 원칙의 일반적인 적용 면제 상황을 나열하고 있다. ‘예외가 허용된 일반적인 상황’은 아래를 포함한다. ① 개인정보 수집, 사용 또는 공개에 대한 개인의 동의를 얻는 것이 불합리하거나 실행 불가능한 경우 ② 개인정보 수집, 사용 또는 공개가 개인의 생명, 건강 또는 안전, 혹은 대중의 건강이나 안전에 대한 심각한 위협을 줄이거나 방지하기 위해 합리적인 경우 ⑤ 개인정보처리자의 기능이나 활동에 관한 불법적인 활동이나 심각한 위법행위가 행해지고 있거나 행해지고 있다고 의심할 이유가 있는 경우 ④ 실종된 것으로 보고된 사람을 찾기 위해 개인정보의 수집, 사용 또는 공개가 합리적으로 필요하다고 여겨지는 경우 ⑤ 개인정보 수집, 사용 또는 공개가 법적 권리의 입증, 행사 또는 방어를 위해 합리적으로 필요한 경우 ⑥ 개인정보 수집, 사용 또는 공개가 비공개 원칙의 대안적 분쟁해결 절차의 목적을 위해 합리적으로 필요한 경우 ⑦ 개인정보 수집, 사용 또는 공개가 개인정보처리자의 외교 또는 영사 기능이나 활동에 필요하다고 합리적으로 여겨지는 경우 (연방 기관에만 적용) ⑧ 개인정보 수집, 사용 또는 공개가 전쟁, 평화 유지 활동, 민간 지원, 인도적 지원, 의료적 구호 등을 위해 필요한 경우 (군사 조직에만 적용)
6) 정보주체의 권리
프라이버시법 부칙에 규정된 호주 프라이버시 원칙에서는 개인정보처리자의 의무와 더불어 정보주체의 권리가 함께 규정되어 있다. 정보주체의 권리별 호주 프라이버시 원칙과 주요 내용은 다음과 같다.
[표 5] 호주 프라이버시 원칙에 규정된 정보주체의 권리
| 구분 | 원칙 | 주요 내용 |
|---|---|---|
| 정보를 제공받을 권리 | 제5원칙 (제5.2조) | ● 개인정보처리자는 개인정보 수집 시 관련 사항을 정보주체에게 지체없이 통지 ● 통지에는 ▲법인의 신원 및 연락처 정보 ▲타인으로부터 개인정보를 취득한 경우 및 취득 경위 ▲정보 수집이 호주 법률 또는 법원 명령에 따라 요구되었거나 승인되었는지 여부 등의 내용을 포함 |
| 열람권 | 제12원칙 (제12.1조) | ● 개인정보처리자는 정보주체의 개인정보를 보유하는 경우, 본인의 요청에 따라 해당 정보에 접근할 수 있도록 해야 함 |
| 정정권 | 제13원칙 (제13.1조) | ● 개인정보처리자가 보유하는 정보주체의 개인정보가 부정확하거나, 최신이 아니거나, 불완전하거나, 관련성이 없거나, 오해의 소지가 있는 경우 정보주체의 요청에 따라 정보를 정정해야 함 |
| 삭제권 | 규정 없음 | |
| 처리제한권 | 규정 없음 | |
| 반대권 | 제7원칙 (제7.6조) | ● 일반적인 반대권은 아니고 직접마케팅 거부 권한에 국한 ● 특정 조직이 자사의 직접 마케팅 촉진을 위해 개인정보를 사용 또는 공개하는 경우, 정보주체는 직접 마케팅 연락을 받지 않도록 요청할 수 있음 ● 특정 조직이 타 조직의 직접 마케팅 촉진을 위해 개인정보를 사용 또는 공개하는 경우, 정보주체는 해당 특정 조직에 대해 직접 마케팅 연락을 목적으로 개인정보 사용 또는 공개를 하지 않도록 요청할 수 있음 |
| 이동권 | 규정 없음 |
7) 개인정보 침해
프라이버시법은 개인정보를 침해하는 행위를 다음과 같이 규정하고 여기에 포함되지 않는 행위는 침해가 아니라고 명시하였다. (제13조 및 제13B조) 침해의 정도가 심각하거나 반복적인 침해 행위는 민사 처벌 부과 대상에 해당한다. ① 개인정보처리자 : 호주 프라이버시 원칙 또는 공인된 호주 프라이버시 원칙 규약 위반 ② 신용평가정보 관련 : 동법 제3A장 신용평가정보 관련 조항 또는 공인된 신용평가에 관한 규약(CR codes) 위반 ③ 정부와 계약된 서비스 제공자 : 정부와의 계약 조항이 호주 프라이버시 원칙 또는 공인된 프라이버시 원칙 규약에 어긋나는 이유로, 해당 계약 조항에 반하거나 일관성이 없는 방식으로 개인정보와 관련한 행위를 수행 ④ 납세자번호 관련 : 납세자번호 규정을 위반하거나 납세자번호를 불법적으로 요구 ⑤ 개인정보 침해 통지 : 개인정보 침해 통지 의무를 부담하는 개인정보처리자가 동법의 통지 관련 조항을 위반 다음의 행위는 프라이버시 침해에 해당하지 않는다. ① 계열사(related bodies corporate) : 계열사로부터 개인정보를 수집하거나 계열사에 개인정보를 제공하는 행위 (다만, 이때 수집된 목적과 같은 때에만 이용 또는 제공 가능하며, 수집된 개인정보와 관련된 행위가 호주 프라이버시 원칙 또는 공인된 호주 프라이버시 원칙 규약을 위반하는 경우는 프라이버시 침해에 해당) ② 제휴사 변경 관련 : 같은 업무에 대해 제휴사가 변경되어 제휴사 간 개인정보를 이전하는 행위 (제휴 업무의 변경 없이 제휴사만 변경되고, 이전 제휴사의 담당자 중 1명 이상이 새로운 제휴사에서 계속해서 근무를 수행하며, 이전 제휴사의 파산 직후 즉시 이전이 이루어지는 경우) ③ 해외에서의 행위 : 해외에서 수행한 행위이며 그 행위가 해당 국가의 관련 법률을 준수한 경우
8) 신용평가
호주 프라이버시 원칙이 일반 개인정보처리자의 보호 원칙을 다룬다면, 프라이버시법 제3A장은 신용정보 관련 처리 기관의 의무와 신용정보에 대한 보호 기준을 다룬다. 따라서 호주 프라이버시 원칙은 이 장에서 다루는 정보처리에 적용되지 않거나 일부분만 적용된다. 신용정보 관련 처리기관은 은행 등과 같은 신용제공사, 신용평가기관, 보험사 등이 포함되며 각 조직에서 다루는 정보의 유형이나 범위가 다르므로, 각 처리사업자의 유형별로 법률 내 각각의 절에서 구분하여 규율한다. 신용정보 관련 처리기관이 다루는 정보는 비교적 민감한 정보이므로 엄격한 요건이 적용되는데, 기본적으로 사업 수행 과정에서 필요하거나 법령에서 특별히 허용하는 경우 등을 제외하고는 정보의 수집, 이용 또는 제공이 금지된다. 특히 직접 마케팅이나 사전 선별(Pre-screening) 평가 등 특별한 목적을 위해 처리되는 경우에는 더욱 제한적으로 허용된다. 또한, 정보의 보안, 최신성 유지와 개인의 열람권, 정정권을 위한 기준을 명시하였으며, 이 장의 내용을 위반한 경우 개인은 해당 신용제공사 또는 신용평가기관 등에 민원을 제기할 수 있고 해당 개인정보처리자는 신속히 응대하고 민원을 조사해야 한다.
9) 납세자번호정보
개인의 납세자번호(Tax File Number)는 세금을 내는 호주 국민과 거주자에게 부여되는 고유번호로서, 납세자번호정보는 개인의 신원과 연관하여 기록한 정보를 말한다. 납세자번호정보는 이를 취급할 수 있도록 인가받은 자만 처리할 수 있으며, 개인정보 감독기구의 커미셔너가 납세자번호정보의 수집, 이용, 저장 및 보안 조치에 관한 사항을 별도의 규정으로 마련하도록 법률에서 명시하였다. 이에 따라 2015년 2월 Privacy (Tax File Number) Rule 2015가 제정되었으며, 이 규칙은 구속력 있는 규범으로 이전에 마련된 2011년 납세자번호지침(Tax File Number Guidelines 2011)을 대체한다. 납세자번호 규칙에 따라 납세자번호정보는 주민식별번호(National Identification Number)로 사용될 수 없으며, 승인된 납세자번호 수신자는 조세법(Taxation Act) 등에 승인된 목적으로만 납세자번호를 수집, 이용, 제공할 수 있다. 또한, 납세자번호정보를 인가되지 않은 접속, 분실 등으로부터 보호하고 만약 이용 목적이 달성된 경우에는 안전한 파기 또는 비식별화 등과 같은 적절한 조치를 취해야 한다. 이 밖에도 납세자번호를 취급하는 직원의 교육에 대한 사항을 비롯하여 개인정보 감독기구와 기타 납세자번호 담당 기관 등의 책임 사항, 납세자번호정보와 인권과의 관계 등을 명시하였다.
10) 개인정보 침해 통지
프라이버시법의 개인정보 침해 통지 규정은 2017년에 신설되어 2018년 2월부터 시행되었다. ① 개인정보에 인가되지 않은 접근, 제공이 이루어지거나 개인정보가 분실되었고, ② 이 결과 개인에게 심각한 피해가 예상되나, ③ 개인정보처리자가 이를 구제할 수 없을 때, 이를 통지 의무가 발생하는 ‘적격 개인정보 침해(eligible data breach)’로 규정하였다. (제26WE조) 개인정보처리자는 적격 개인정보 침해 시 개인 및 개인정보 감독기구에 이 사실을 통지해야 할 의무가 있다. 해당 침해의 적격성 여부를 판단하기 위해 고려되어야 할 기준으로 동법 제26WG조에서는 개인정보의 종류, 민감성, 개인정보보호 조치 방법, 개인정보가 침해된 환경, 개인정보를 습득한 자의 유형 등을 나열하고 있다. 적격 개인정보 침해에 대한 확신이 없이 단지 의심만 드는 경우에는 합리적인 기간 내에 이를 평가하여 결정해야 한다. 개인정보 침해 인지 후에는 가능한 한 신속히 침해에 대한 진술서를 작성하여 개인정보 감독기구에 제출하고 정보주체에게 통지해야 한다. 진술서에 포함되어야 하는 내용으로 개인정보처리자의 신원/연락처, 침해와 관련된 개인정보 항목, 정보주체가 침해에 대응하기 위해 취할 수 있는 조치 등이 있다. 침해 통지 시에는 이메일 등 평소 각 정보주체와의 소통 수단을 이용하여 개별 통지를 할 수 있으며, 어려운 경우는 개인정보처리자의 홈페이지에 게재하거나 언론 공개도 가능하다. 다만, 법 집행기관의 법 집행 행위, 타 법률의 기밀조항과의 충돌 등이 발생하는 경우는 통지 대상에서 면제된다.
11) 프라이버시 원칙 규약
프라이버시 규약(privacy codes)은 개인정보처리에 관한 문서로 만들어진 행동규약(code of practice)으로, ① 호주 프라이버시 원칙 규약과 ② 신용평가에 관한 규약 등으로 각각 구분하여 규정하고 있다. 먼저 호주 프라이버시 원칙 규약에는 적용 방법, 규정에 구속되는 주체, 규정의 발효 기간 등이 명시되어야 하며, 이외에도 추가로 부과된 요건, 동법에 규정된 면제 행위에 대한 적용, 내부 민원 처리 절차 등을 포함할 수 있다 또한, 호주 프라이버시 원칙 규약은 처리하는 모든 개인정보 혹은 특정 유형의 개인정보에 적용하거나, 특정 개인정보처리 행위, 특정 산업 분야, 특정 유형의 기술을 사용하는 주체에 적용되도록 규정할 수도 있으며, 개인정보처리자, 해당 분야를 대표하는 협의체 등이 개발하고 개인정보 감독기구로부터 ‘공인된 호주 프라이버시 원칙 규약(registered APP codes)’으로서 승인받을 수 있다. 강제력이 없는 호주 프라이버시 원칙 규약과는 달리 ‘공인된 호주 프라이버시 원칙 규약’은 하나의 법규범으로서 이를 위반하는 경우 개인정보 침해 행위로 간주하여 처벌의 대상이 될 수 있다. 한편, 개인정보 감독기구는 ‘공인된 호주 프라이버시 원칙 규약’에 관한 변경·폐기 요청을 승인하거나 재량으로 변경·폐기할 수도 있다. 신용평가에 관한 규약 또는 ‘공인된 신용평가에 관한 규약’은 신용평가 정보에 대하여 호주 프라이버시 원칙 규약 또는 공인된 호주 프라이버시 원칙 규약과 동일하게 적용한다.
12) 조사
동법의 규정을 위반하거나 또는 개인정보 침해와 관련하여 개인정보 감독기구에 조사 권한이 주어진 다른 법률 등을 위반하여 개인정보보호가 침해된 경우, 정보주체는 개인정보 감독기구에 민원을 제기할 수 있다. 개인정보 감독기구는 제기된 민원에 따라 혹은 직권으로 결정하여 조사를 수행할 수 있다. 민원에 대한 조사는 민원인이 상대방 기관에 직접 일차적 민원을 제기하여 해결을 시도한 건에 대해서만 진행하며, 개인정보 감독기구는 ① 개인정보 침해 행위가 없거나, ② 침해를 안 날로부터 12개월 이상이 경과한 후 민원이 제기된 경우, ③ 개인정보 감독기구의 정보 요청에 대해 민원인의 응답이 없는 경우, ④선의에 의한 민원이 아닌 경우 등에 대해서는 조사를 수행하지 않을 수 있다. 또한, 타 민원 기관에서 처리하는 것이 효과적이라고 판단되는 경우에는 민원을 해당 기관에 이첩할 수 있다. 민원 청구인과 피청구인은 등은 감독기구의 조사에 필요한 정보를 제공하거나 회의에 참석해야 하며, 이를 위반할 시에는 민사 처벌이 부과될 수 있다. 개인정보 감독기구는 민원 조사 과정 또는 이전에 당사자 간 합리적인 해결을 위해 화해를 시도해야 하며, 화해가 성립되지 않으면 양 당사자는 개인정보 감독기구가 내리는 결정에 따라야 한다. 개인정보 감독기구 결정에는 조사결과에 따라 ① 민원의 기각 또는 개인정보를 침해한 위반행위의 중단, ② 민원인의 손해나 피해를 보상하는 조치 이행 또는 금전적 보상 이행 등이 포함된다. 피청구인은 이와 같은 개인정보 감독기구의 결정을 준수해야 하며, 민원인 또는 개인정보 감독기구는 연방법원 등에 이러한 결정에 대한 집행을 구하기 위해 소송을 제기할 수 있다.
13) 집행
프라이버시법은 동법을 위반한 자에게 부과하는 법 집행 유형을 민사 처벌(civil penalty), 위반 통지(infringement notices), 시행 확약(enforceable undertaking) 및 명령(injunction) 등으로 구분하고 있다. 다만 구체적인 절차 및 세부사항은 모두 규제권한법(Regulatory Powers Act)이라는 별도의 법률에서 다루고 있는 특징이 있다. 커미셔너는 프라이버시법 제80U조 및 규제권한법(Regulatory Powers Act) 제4장에 따라 프라이버시법 각 조항의 민사 처벌(civil penalty) 대상으로 규정한 조항을 위반한 자에 대해 호주 연방에 벌금을 납부하도록 명령을 내려줄 것을 연방법원 또는 연방 순회 법원(federal circuit court) 등에 청구할 수 있다. 프라이버시법에서는 대표적으로 제13G조에서 개인의 프라이버시에 심각한 침해를 초래하거나 프라이버시 침해 행위를 반복하는 자를 민사 처벌 대상으로 규정하고 있다. 이 경우 위반행위자가 개인인 경우 최대 250만 호주 달러 이하, 법인의 경우 다음 중 가장 높은 금액을 상한으로 하는 민사 벌금을 부과 받을 수 있다. ① 5,000만 호주 달러 ② 법인이 위반행위를 통해 직접 또는 간접적으로 취득하였거나 취득하였을 것이라 예상되는 이득의 3배 상당액 ③ 위반행위를 통한 법인의 이득을 산정하는 것이 불분명한 경우 조정 매출액의 30% 위반 통지는 프라이버시법 제80BU조 및 규제권한법(Regulatory Powers Act) 제5장에서 규정하고 있다. 동법에서 위반 통지의 대상이 되는 행위는 제66조제1항에 규정된 ‘정보 제공, 질문에 대한 답변, 문서 혹은 기록 작성의무 등의 거부 또는 미준수‘로서, 커미셔너는 동 조항을 위반했다고 믿을 만한 합리적인 근거가 있는 경우 당사자에게 위반 통지를 전달할 수 있다. 위반 통지의 경우 통지를 받은 당사자는 동 조항에 규정된 제재 금액을 납부하여 사안을 종결짓거나 혹은 법원에서 해당 사안을 다투기로 결정할 수 있다. 한편, 제66조제1항은 60 처벌 단위(penalty unit)3)(1만 6,500 호주 달러 상당액)의 민사 제재금을 명시하고 있다. 시행 확약은 법률 준수에 대한 약속과 해당 약속을 시행하겠다는 개인정보처리자의 의사표시로서, 커미셔너는 시행 확약을 수락할 권한을 가진다. 커미셔너의 해당 권한은 프라이버시법 제80V조 및 규제권한법(Regulatory Powers Act) 제6장에 근거한다. 개인정보처리자는 서면을 통해 특정 조치를 취하거나 또는 취하지 않겠다는 의사표시를 해야 하며, 커미셔너는 개인정보처리자의 시행 확약을 수락한 후 해당 개인정보처리자가 해당 시행 확약을 준수하지 않을 경우 법원에 약속 준수 명령 또는 금전적 제재 명령 등을 내려줄 것을 청구할 수 있다. 명령은 프라이버시법 제80W조 및 규제권한법(Regulatory Powers Act) 제7장에 따라 특정인이 일련의 행위를 수행하거나 수행하지 않도록 강제해 줄 것을 커미셔너가 법원에 청구함으로써 최종적으로 법원이 부과하는 형태의 제재이다. 커미셔너는 특정인이 개인정보보호 위반행위에 관여했거나, 관여 중이거나, 관여할 것으로 예상되는 경우 법원에 해당 행위에 대한 금지명령을 내려 줄 것을 청구할 수 있다. 또한, 커미셔너는 특정인이 개인정보보호를 준수하기 위해 해야 할 행위를 하지 않았거나(혹은 거부했거나), 하지 않고 있거나(혹은 거부하고 있거나), 하지 않을 것이라 예상(혹은 거부할 것이라 예상)되는 경우, 그러한 행위를 하도록 하는 이행명령을 내려줄 것을 법원에 청구할 수 있다.
3) 처벌 단위 1 당 275 호주 달러 (2023년 1월 기준)가. 각 주의 개인정보보호 법령
호주는 6개의 자치주와 2개의 준주로 구성된 연방국가로서 각 자치주 또는 준주는 별도의 개인정보보호 법규를 제정하여 각 자치정부의 공공기관 등에 적용하고 있다. 주요 자치구별 법률은 수도 준주(Australian Capital Territory)의 정보프라이버시법(Information Privacy Act 2014), 빅토리아주(Victoria)의 프라이버시·개인정보보호법(Privacy and Data Protection Act 2014), 뉴사우스웨일스주(New South Wales)의 프라이버시·개인정보보호법(Privacy and Personal Information Protection Act 1998), 노던준주(Northern Territory)의 정보법(Information Act 2002), 퀸즐랜드주(Queensland)의 정보프라이버시법(Information Privacy Act 2009), 태즈메이니아주(Tasmania)의 개인정보보호법(Personal Information Protection Act 2004), 웨스턴오스트레일리아주의 정보의자유법(Freedom of Information Act 1992), 그리고 사우스오스트레일리아주의 정보프라이버시원칙지침 (Information Privacy Principles Instruction No.1 of 1989) 등이 있다.
나. 분야별·영역별 개인정보보호 법률
호주 내 자치정부별로 시행하는 개인정보보호 법률 외에도 분야별, 영역별로 적용하는 다양한 개인정보보호 법령이 마련되어 있다. 먼저 연방법으로는 상업적 목적의 전자적 메시지 전송을 담당하는 스팸법(the Spam Act 2003), 텔레마케팅과 팩스 마케팅을 규율하는 수신거부등록법(Do Not Call Register Act 2006), 통신법(Telecommunications Act 1997) 등이 있다. 개인의 의료 및 건강정보와 관련해서는 국민건강법(National Health Act 1953), 내건강기록법(My Health Records Act 2012), 보건식별번호법(Healthcare Identifiers Act 2010) 등의 연방법이 있고, 각 자치주 단위별로도 뉴사우스웨일스주의 건강기록·정보프라이버시법(Health Records and Information Privacy Act 2002), 빅토리아주의 건강기록법(Health Records Act 2001), 수도 준주의 건강기록법(Health Records Act 1997) 등이 있다. 직장 내 직원 모니터링 관련 법률로는 감시기기법(Surveillance Devices Act 2004) 등의 연방법과, 빅토리아주의 감시기기법(Surveillance Devices Act 1999), 뉴사우스웨일스주의 직장감시법(Workplace Surveillance Act 2005), 수도 준주의 직장프라이버시법(Workplace Privacy Act 2011) 등 자치법률이 시행 중이다.
[표 6] 지역 및 분야별 개인정보보호 법률
| 구분 | 분야 | 법령 | |
|---|---|---|---|
| 연방 | 기본법(공공/민간) | 프라이버시법(Privacy Act 1988) | |
| 스팸방지 | 스팸법(Spam Act 2003) | ||
| 텔레마케팅 | 수신거 등록법(Do Not Call Register Act 2006) | ||
| 통신 | 통신법(Telecommunications Act 1997) | ||
| 건강 | 국민건강법(National Health Act 1953) | ||
| 내건강 기록법(My Health Records Act 2012) | |||
| 보건식별번호법(Healthcare Identifiers Act 2010) | |||
| 직장 모니터링 | 감시기기법(Surveillance Devices Act 2004) | ||
| 지방 | 수도 준주 | 공공 | 정보프라이버시법(Information Privacy Act 2014) |
| 건강 |
건강기록법 (Health Records Act 1997) |
||
| 직장 모니터링 | 직장프라이버시법 (Workplace Privacy Act 2011) | ||
| 빅토리아주 | 공공 |
프라이버시·개인정보보호법 /p> (Privacy and Data Protection Act 2014) |
|
| 건강 | 건강기록법(Health Records Act 2001) | ||
| 직장 모니터링 | 감시기기법(Surveillance Devices Act 1999) | ||
| 뉴사우스웨일즈 | 공공 |
프라이버시·개인정보보호법 (Privacy and Personal Information Protection Act 1998) |
|
| 건강 |
건강기록·정보프라이버시법 (Health Records and Information Privacy Act 2002) |
||
| 직장 모니터링 | 직장감시법(Workplace Surveillance Act 2005) | ||
| 노던준주 | 공공 | 정보법(Information Act 2002) | |
| 퀸즐랜드주 | 공공 | 정보 프라이버시법(Information Privacy Act 2009) | |
| 태즈메이니아주 | 공공 |
개인정보보호법 (Personal Information Protection Act 2004) |
|
| 웨스턴오스트레일리아주 | 공공 |
정보의자유법 ((Freedom of Information Act 1992) |
|
| 사우스오스트레일리아주 | 공공 |
정보프라이버시원칙지침 (Information Privacy Principles Instruction No.1 of 1989) |
|
(1) 스팸법(Spam Act 2003)
누구든 상업적 목적으로 이메일, 인스턴트 메시지, 문자를 전송하는 경우 스팸법의 적용을 받는다. 마케팅 목적의 팩스나 인터넷 팝업 광고 또는 음성 텔레마케팅은 적용 대상이 아니다. 상업적 목적의 전자적 메시지를 합법적으로 전송하기 위해서는 수신인의 사전 동의가 필요하며, 수신을 거부할 수 있는 기능을 제공해야 한다. 만약 메시지 발송자가 정부기관, 자선단체, 종교단체, 등록 정당이면 이러한 의무 조치가 면제된다. 그러나 이러한 면제 대상도 이들이 직접 메시지를 전송하지 않고 제삼자를 통해 발송하는 경우에는 의무 조치를 이행해야 한다. 또한, 면제 대상 여부와 상관없이 상업적 목적의 전자적 메시지를 전송하려는 경우는 반드시 메시지 수신인이 발송자를 식별할 수 있도록 발송자에 대한 정확한 정보를 표시해야 한다. 상업적 목적이 아닌 사실적 메시지를 전송하는 경우에는 스팸법을 적용받지 않으나 일반적으로 뉴스레터와 같은 소식지는 단순히 사실적 메시지만을 전송하는 것이 아니라 전송자의 서비스나 상품의 홍보 목적으로 전송되는 경우가 많으므로 이때에는 스팸법에 따른 조치가 필요하다.
(2) 수신거부등록법(Do Not Call Register Act 2006)
수신거부등록부는 요청하지 않는 텔레마케팅 전화나 팩스, 수신거부를 요청한 전화번호나 팩스번호(호주 국내 번호만 가능) 등이 등록된 보안 데이터베이스를 말한다. 개인 또는 기관 등은 자신의 번호를 등록할 수 있으며 한번 등록한 번호는 등록인이 삭제하기 전까지 계속 유효하다. 일반 대중은 개인이나 가정용 전화, 팩스번호를 등록할 수 있고, 정부기관이나 긴급서비스 관련 공공기관은 정부 전용 전화번호 또는 긴급서비스 번호를, 그리고 기업은 팩스전용 번호를 등록할 수 있다. 텔레마케팅이나 팩스 마케팅을 하는 회사는 수신거부 전화번호가 등록부에 등록된 지 30일 이내에 처리해야 하며, 수신거부 등록자의 개인정보보호를 위해 그들의 전화번호 정보만 수집할 수 있다. 수신거부 등록된 번호에 메시지를 전송했거나 전송하려는 경우에는 동법에 따라 처벌을 받을 수 있다. 수신거부등록부는 통신미디어청(Australian Communications and Media Authority)의 규율 대상으로서, 통신미디어청은 이외에도 텔레마케팅 전화 이외의 유형을 명시한 수신거부 등록 규정(Do Not Call Register Regulations 2017), 팩스 마케팅의 최소 요건을 규정한 팩스 마케팅 산업 표준(Fax Marketing Industry Standard 2011), 그리고 텔레마케팅과 팩스 마케팅 전화의 최소 요건을 명시한 통신(텔레마케팅 및 설문전화) 산업 표준 2017(Telecommunications (Telemarketing and Research Calls) Industry Standard 2017)의 시행을 담당한다.
(3) 통신법(Telecommunications Act 1997)
통신법은 통신과 콘텐츠를 전송하는 회선을 제공하는 통신사업자(carrier), 회선을 이용하여 전화/인터넷 서비스를 제공하는 사업자(carriage service provider)를 비롯한 다양한 통신서비스 제공자(telecommunications service provider)의 활동을 규율한다. 전기통신법 제56조는 '통신사업자'를 동법의 따라 부여된 통신사 면허의 보유자4)로 정의한다. 면허를 소지한 통신사는 서비스 제공자와 콘텐츠 서비스가 대중에게 제공되는 기반시설을 제공하는 조직을 의미한다. 동법 제13장에 따라 통신서비스 제공자 등이 통신서비스를 제공하면서 획득한 개인정보, 즉 개인의 통신 내용, 통신서비스 또는 다른 개인적인 사항 등을 이용하거나 제공하는 경우에는 최대 2년의 징역에 처할 수 있다. 합법적으로 이용 중인 개인정보라도 추가적인 근거 없이 2차적으로 이용, 제공해도 위법행위로 간주한다. 또 동법 제5장에 따라 통신법과 통신 차단 및 접근법에서 허용하는 범위 내에서 제3자 제공이 이루어진 경우, 통신서비스 제공자는 정보 제공에 대한 사항(정보를 제공받은 자, 제공일자, 제공 근거 등)을 기록해야 하고 그 기록을 최대 3년간 보관해야 한다. 동법 제6장은 통신서비스 행위와 관련한 사안에 대한 산업 규약(industry codes) 개발에 대해 다루고 있는데, 그중 개인정보보호 관련 내용이 포함된 규약은 프라이버시법에 어긋나지 않도록 개인정보 감독기구의 검토(consult)를 받도록 규정하였다.
4) 호주 통신미디어청은 면허를 받은 통신사 및 지명된 통신사 목록을 발행한다.(4) 통신감청접근법(Telecommunications Interception and Access Act 1979)
통신감청접근법은 개인정보보호를 위한 조치로써 감청과 저장된 통신내용에 대한 접근을 금지하고 있다. 통신서비스 제공사업자는 고객의 통신서비스 사용에 대한 정보 공개를 금지하는 통신법에 의해 보호된다. 단, 동법은 사법기관 및 수사기관이 업무를 수행할 수 있도록 이러한 금지에 대한 예외적인 상황을 아래와 같이 명시하고 있다. ① 감청을 위한 영장을 확보한 경우, ② 보관된 통신내용에 접근하기 위한 영장을 확보한 경우, ③ 개인정보 공개에 관한 승인을 확보한 경우, 정보기관, 연방경찰 등의 수사기관은 동법에 명시된 국가안보 또는 사법 집행의 목적을 달성하기 위한 경우에만 영장을 받거나 권한을 부여받을 수 있다.
(5) 건강정보 보호 관련 법률
건강정보 보호와 관련한 법률로는 내건강기록법(My Health Records Act 2012)이 대표적이다. 내건강기록법은 호주 정부가 운영하는 건강 기록 시스템, 즉 개인의 질병, 알레르기, 건강 상태, 처방 명세, 의료 서비스 이용 명세 등의 정보를 요약하여 기록한 내건강기록(My Health Records)에 대한 접근 및 보호에 대해 규율한다. 의료·보건서비스 제공자는 동법을 통해 규정된 절차 및 범주에 대해서만 개인의 건강정보를 열람 또는 제공할 수 있다. 개인정보 감독기구는 건강정보 유출 또는 침해와 관련하여 신고 접수 및 민원 조사의 권한이 있다. 동법에 따라 개인보건식별변호5)를 이용하거나 제공하는 것은 프라이버시법에 따른 개인정보 침해 행위로 간주하여 개인정보 감독기구의 조사 대상이 된다. 이밖에 법률은 아니지만 국민건강법(National Health Act 1953)에 따라 운영되고 있는 의료·약재보험제도( Medicare and pharmaceutical benefits schemes)와 관련한 민원 처리를 위해, 수집 개인정보를 보호하기 위한 목적으로 개인정보 감독기구가 제정한 의료·약재보험 프로그램 프라이버시지침(Privacy Guidelines for the Medicare Benefits and Pharmaceutical Benefits Programs)도 시행 중이다.
5) IHI(individual healthcare identifier): 내건강기록 시스템이 개인을 식별하는 데 사용하는 16자리 고유번호로, 의료서비스 제공자가 내건강기록 시스템을 통해 환자 기록을 열람하고 정확한 진단을 내리도록 지원한다.
