국가정보_호주

  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  캐나다
  •  싱가포르
  •  베트남

법률체계

1개인정보보호 법률 체계

가. 개요

호주의 개인정보보호 기본법인 프라이버시법(Privacy Act 1988)은 OECD 프라이버시 가이드라인과 시민적·정치적 권리에 관한 국제 규약의 이행을 위해 제정되어 1999년부터 시행되었다. 프라이버시법은 호주 연방법으로서 연방 정부기관을 비롯하여 대부분의 민간 기관 및 비영리 기관 등을 규율한다. 또한 호주는 6개의 자치주와 2개의 특별구로 구성된 연방 국가로서 각 자치주 또는 특별구는 별도의 개인정보보호 법규를 제정하여 각 자치정부의 공공기관 등을 규율하고 있다. 주요 자치구 별 법률은 호주 수도 특별구(ACT, Australian Capital Territory)의 정보 프라이버시법(Information Privacy Act 2014), 노든 테리터리(Northern Territory)의 정보법(Information Act 2002), 뉴사우스웨일즈(NWS, New South Wales)의 프라이버시와 개인정보보호법(Privacy and Personal Information Protection Act 1998), 퀸즈랜드(Queensland)의 정보 프라이버시법(Information Privacy Act 2009), 테즈매니아(Tasmania)의 개인정보보호법(Personal Information Protection Act 2004), 그리고 빅토리아(Victoria)의 프라이버시와 데이터 보호법(Privacy and Data Protection Act 2014) 등이 있다.

이 외에도 개인정보보호 관련하여 연방 또는 주 법으로서 분야별, 영역별 다양한 규범이 마련되어 있다. 먼저 연방에 적용되는 법으로는 상업적 목적의 전자적 메시지 전송을 관할하는 스팸법(the Spam Act 2003), 텔레마케팅과 팩스 마케팅을 규율하는 수신거부 등록법(DNCR Act, Do Not Call Register Act 2006)을 비롯하여, 통신법(Telecommunications Act 1997) 등이 있다. 특히 건강정보와 관련해서 연방법 차원에서 국가 건강법(National Health Act 1953)과 나의 건강 기록법(My Health Records Act 2012) 및 건강관리 식별자법(Healthcare Identifiers Act 2010) 등 세부 영역별로 필요한 법이 있다. 이외 각 자치주별로도 뉴사우스웨일즈의 건강기록과 정보 프라이버시법(Health Records and Information Privacy Act 2002), 빅토리아의 건강기록법(Health Records Act 2001), 호주 수도 특별구의 건강기록(프라이버시 및 접근)법(Health Records (Privacy and Access) Act 1997) 등이 있다. 한편 직장 내 직원 감시와 관련해서도 연방차원의 감시 기기법(Surveillance Devices Act 2004)을 비롯하여 빅토리아의 감시 기기법(Surveillance Devices Act 1999), 뉴사우스웨일즈의 직장 감시법(Workplace Surveillance Act 2005), 호주 수도 특별구의 직장 프라이버시법(Workplace Privacy Act 2011) 등이 마련되어 있다.

[표 1] 호주의 개인정보보호 관련 주요 법률

호주의 개인정보보호 관련 주요 법률
구분 분야 법률
연방법 기본법(공공/민간) 프라이버시법(Privacy Act 1988)
스팸 스팸법(Spam Act 2003)
텔레마케팅 수신거부 등록법(Do Not Call Register Act 2006)
통신 통신법(Telecommunications Act 1997)
건강 국가 건강법(National Health Act 1953)
나의 건강 기록법(My Health Records Act 2012)
건강관리 식별자법(Healthcare Identifiers Act 2010)
직장 감시 감시 기기법(Surveillance Devices Act 2004)
주(州)법 호주 수도 특별구 공공 정보 프라이버시법(Information Privacy Act 2014)
건강

건강기록(프라이버시와 접근)법

(Health Records (Privacy and Access) Act 1997)

직장 감시 직장 프라이버시법(Workplace Privacy Act 2011)
빅토리아 공공

프라이버시와 데이터 보호법

(Privacy and Data Protection Act 2014)

건강 건강기록법(Health Records Act 2001)
직장 감시 감시 기기법(Surveillance Devices Act 1999)
뉴사우스웨일즈 공공

프라이버시와 개인정보보호법

(Privacy and Personal Information Protection Act 1998)

건강

건강기록과 정보 프라이버시법

(Health Records and Information Privacy Act 2002)

직장 감시 직장 감시법(Workplace Surveillance Act 2005)
노든 테리터리 공공 정보법(Information Act 2002)
퀸즈랜드 공공 정보 프라이버시법(Information Privacy Act 2009)
테즈매니아 공공

개인정보보호법

(Personal Information Protection Act 2004)

나. 주요 분야별 관련 법률

(1) 스팸법(Spam Act 2003)

누구든 상업적 목적으로 이메일, 인스턴트 메시지, 문자를 전송하는 경우 스팸법의 적용을 받는다. 마케팅 목적의 팩스나 인터넷 팝업 광고 또는 음성 텔레마케팅은 적용 대상이 아니다. 상업적 목적의 전자적 메시지를 합법적으로 전송하기 위해서는 수신인의 사전 동의가 필요하며, 수신을 거부할 수 있는 기능을 제공해야 한다. 만약 메시지 발송자가 정부기관, 자선단체, 종교단체, 비정부 기관, 공인된 정당인 경우에는 이러한 의무 조치가 면제된다. 그러나 이러한 면제 대상의 경우에도 이들이 직접 메시지를 전송하지 않고 제3자를 통해 발송하는 경우에는 의무 조치를 이행해야 한다. 또한 면제 대상 여부와 상관없이 상업적 목적의 전자적 메시지를 전송하려는 경우는 반드시 메시지 수신인이 발송자를 식별할 수 있도록 발송자에 대한 정확한 정보를 표시해야 한다. 상업적 목적이 아닌 사실적 메시지를 전송하는 경우에는 스팸법을 적용받지 않으나 일반적으로 뉴스 레터는 단순히 사실적 메시지만을 전송하는 것이 아니라 전송자의 서비스나 상품의 홍보 목적으로 전송되는 경우가 많으므로 이때에도 스팸법에 따른 조치가 필요하다.

(2) 수신거부 등록법(DNCR Act, Do Not Call Register Act 2006)

수신거부등록부(Do Not Call Register)는 요청하지 않는 텔레마케팅 전화나 팩스 수신이 거부된 전화번호, 팩스번호(호주 국내 번호에 한해 가능) 등이 등록된 보안 DB를 말한다. 개인 또는 기관 등이 자신의 번호 등을 등록할 수 있으며 한번 등록한 번호는 등록인이 삭제하기 전까지 계속 유효하다. 일반 대중은 개인이나 가정용 전화, 팩스 번호를 등록할 수 있고, 정부기관이나 긴급서비스 관련 공공기관은 정부 전용 전화번호 또는 긴급 서비스 번호를, 그리고 기업은 팩스 전용 번호를 등록할 수 있다. 텔레마케팅이나 팩스 마케팅을 하는 회사는 수신 거부 전화번호가 등록부에 등록된 지 30일 이내에 처리해야 하며, 수신 거부 등록자의 프라이버시 보호를 위해 그들의 전화번호 정보만 수집할 수 있다. 수신 거부 등록된 번호에 메시지를 전송했거나 전송하려는 경우에는 이 법에 따라 처벌을 받을 수 있다. 수신거부 등록부는 호주 미디어 통신부(ACMA, Australian Communications and Media Authority)에서 규율한다. 이외에도 ACMA는 텔레마케팅 전화가 아닌 유형을 명시한 수신거부 등록 규정(Do Not Call Register Regulations 2017), 팩스 마케팅의 최소 요건을 규정한 팩스 마케팅 산업 규정(Fax Marketing Industry Standard 2011), 그리고 텔레마케팅과 팩스 마케팅 전화의 최소 요건을 명시한 통신 텔레마케팅과 리서치 전화 규정 (Telecommunications (Telemarketing and Research Calls) Industry Standard 2017)을 규율한다.

(3) 통신법(Telecommunications Act 1997)

통신법은 통신과 콘텐츠를 전송하는 회선을 제공하는 통신사업자(carrier), 회선을 이용하여 전화/인터넷 서비스를 제공하는 사업자(carriage service provider)를 비롯한 다양한 통신 서비스 제공자(telecommunications service provider)의 활동을 규율한다. 법 제13장에 따라 통신 서비스 제공자 등이 통신 서비스를 제공하면서 획득한 개인정보 즉 개인의 통신 내용, 통신 서비스 또는 다른 개인적인 사항 등을 이용하거나 제공하는 경우에는 최대 징역 2년의 처벌 대상이다. 합법적으로 이용 중인 개인정보라도 추가적인 근거 없이 2차적으로 이용, 제공하는 경우에도 위법 행위로 규정하였다. 또 통신법과 통신 차단 및 접근법에서 허용하는 범위 내에서 제3자 제공이 이루어진 경우, 통신 서비스 제공자는 정보 제공에 대한 사항(정보를 제공받은 자, 제공일자, 제공근거 등)을 기록해야 하고 그 기록을 3년간 보관해야 한다. 법 제6장은 통신 서비스 행위와 관련한 사안에 대한 산업 규약(industry codes) 개발에 대해 다루고 있는데, 그 중 개인정보보호 관련 내용이 포함된 규약은 프라이버시법에 위배되지 않도록 OAIC의 검토(consult)를 받도록 규정하였다.

(4) 통신 차단 및 접근법(TIA Act, Telecommunications (Interception and Access) Act 1979)

TIA Act는 통신 서비스 제공자를 규율하는 것으로, 법규 내에 2015년 도입한 데이터 보유 제도(Data Retention Scheme)에 따라 통신 서비스 제공자는 통신 서비스 제공 과정에서 생성된 통신 정보를 최소 2년 간 보관해야 한다. 이는 범죄 수사에 필요한 정보를 확보하기 위해 도입된 것으로 정보기관, 연방 경찰 등 형사법 집행 관련 기관은 승인 등의 적법한 절차를 거쳐 이 정보를 제공받을 수 있으며 통신 서비스 제공자는 통신 데이터의 기밀성을 확보하도록 정보의 암호화, 비인가된 접근 방지 등의 보호조치를 취해야 한다. 저장 대상 정보는 일명 속성정보(또는 메타데이터)로 불리는 것으로서 전화번호, 통화 일자․시간, IP주소 등이 포함되며, 통화 내용, 이메일 본문과 같은 통신 콘텐츠, 웹 브라우저 기록, 소셜 미디어 이용 기록 등은 해당되지 않는다.

(5) 건강정보 보호 관련 법률

호주 프라이버시법에서 건강정보는 민감정보 유형 중의 하나로서 민감정보 취급에 필요한 추가적인 보호조치가 요구된다. 이 법은 이에 더해 건강정보의 특수성을 반영하여 건강정보 취급관련 예외 규정 등을 두고 있으며, 건강 서비스를 제공하는 자 또는 건강정보를 보유하는 자는 이들이 취급하는 건강정보가 아닌 다른 개인정보에 대해서도 프라이버시법의 적용을 받도록 규정한다. 여기서 건강 서비스 제공자는 병원, 건강 클리닉, 약국, 민간치료사 등 일반적인 의료, 건강 시설 이외에도 보육시설, 민간 학교, 체육시설, 비만 관리 클리닉 등 넓은 범주의 건강정보 취급자가 포함된다. 이 외 건강관련 정보의 보호에 대한 법률로는 나의 건강 기록법(My Health Records Act 2012), 건강관리 식별자법(Healthcare Identifiers Act 2010)이 있다.

먼저 나의 건강 기록법은 호주가 운영하고 있는 건강기록 시스템, 즉 개인의 질병, 알레르기, 건강 상태, 처방 내역, 의료 서비스 이용 내역 등의 정보를 요약하여 기록한 나의 건강기록(My Health Records)에 대한 접근 및 보호에 대해 규율한다. 건강 서비스 제공자는 이 법의 규정한 절차 및 범주에 한해 개인의 건강정보를 열람 또는 제공할 수 있다. OAIC는 건강정보 유출 또는 침해와 관련하여 신고 접수 및 민원 조사의 권한이 있다. 이 법에 따라 건강관리 식별자를 이용하거나 제공하는 것은 프라이버시법에 따른 프라이버시 침해 행위에 간주되어 OAIC의 조사 대상이 된다. 이 밖에도 국가 건강법(National Health Act 1953)에 따라 운영되고 있는 의료 및 약재 보험 제도(MBS/PBS, Medicare and pharmaceutical benefits schemes) 관련, MBS 또는 PBS 관련한 민원처리를 위해 수집하는 개인정보를 보호하기 위해 발행된 MBS/PBS 프라이버시 가이드라인(MBS/PBS Guidelines, Privacy Guidelines for the Medicare benefits and Pharmaceutical Benefits Programs)이 있다. 이 가이드라인은 국가 건강법에 따라 OAIC가 발행하였다.

2프라이버시법(Privacy Act 1988)

가. 개요 및 구성

프라이버시법은 1988년 제정 당시 두 가지 목적을 가졌다. 첫 번째는 호주 연방정부가 취급하는 개인정보를 보호하는 것이고 두 번째는 납세번호(TFN, Tax File Number)의 수집, 이용과 관련한 안전조치를 이행하는 것이었다. 이때 OECD 가이드라인에 기초한 11가지 프라이버시 원칙과 과도기적 형태의 납세번호 가이드라인이 마련되었다. 이후 프라이버시법은 몇 차례의 개정 과정을 통해 적용 범위, 대상을 확대하고 개인정보보호를 강화하기 위한 새로운 규정 등을 도입하였다. 특히 이전까지 이 법을 규율했던 기관인 인권 및 기회 균등 위원회(HREOC, Human Rights and Equal Opportunity Commission)에서 분리되어, 2000년 프라이버시 위원회 설립에 이어 2010년에 지금의 호주 정보위원회가 설립되었다. 법 적용 범위도 확대되어 2001년에는 법 적용 대상을 민간 분야로 확대하고 민간 분야에 적용되는 10가지 국가 프라이버시 원칙(NPP, National Privacy Principles)을 수립했다. 또한 2014년에는 민간과 공공을 아우르는 호주 프라이버시 원칙(APP, Australia Privacy Principles)을 수립하였으며, 정보위원회의 집행력 강화 그리고 개인정보보호를 위한 강제적 실행규약(code of practice)에 대한 규정 등이 신설되었다. 2018년 2월부터는 오랜 검토 기간을 거쳐 개인정보 유출 통지 제도가 도입되었다.

프라이버시법은 총 9장(part) 100개 조항(section) 및 1개 부칙(schedule)으로 구성되었으며, 호주 연방 정부기관 및 민간 기관이 취급하는 일반 개인정보의 수집, 이용 및 제공에 관한 규율뿐만 아니라 신용정보, 납세정보 등 특정 분야 또는 특정 정보에 대한 특화된 규정도 포함하고 있다. 세부 구성을 살펴보면, [제1장 서문]과 [제2장 해석]에서는 각각 법 제정 목적 및 적용 범위를 기술하고 분야별 주요 용어를 정의하였다. [제3장 정보 프라이버시]에서는 개인정보를 처리하는 주체, 취급 환경에 따라 프라이버시 침해로 간주되는 행위 또는 예외 행위를 정의하고, 일반 개인정보를 처리하는 기본 원칙인 호주 프라이버시 원칙을 부칙으로 규정한다. 또한 제3장은 개인의 납세번호 정보의 규율도 포함한다. 이어 [제3A장 신용평가]는 소비자의 신용 가치를 나타내는 신용평가(crediting reporting)에 대해 규정하는데, 은행 등 신용제공업자(credit providers)들이 신용평가기관(credit reporting bodies)에 제공할 수 있는 개인정보 유형, 그리고 그 정보를 취급하는 주체 및 그 정보가 처리되는 목적 등을 다룬다. [제3B장 프라이버시 규약]에서는 APP 또는 신용 정보 관련 취급 원칙을 효과적으로 적용하고, 그 원칙에 더해 추가적인 사항 또는 다른 특화된 사항들을 규정하는 APP 규약(Australia Privacy Principles code) 또는 CR 규약(Credit Reporting code)의 개발 및 등록 등에 관한 사항을 각각 명시하였다. 그리고 개인정보 유출 통지에 대한 규정은 [제3C장 적정한 개인정보 유출에 대한 통지]에서 다루며, 통지 대상, 통지 절차 등의 원칙을 정한다. [제4장 정보위원회의 기능]에서는 위원회의 권한 및 기능을 명시하며, 더불어 [제5장 조사]는 민원 또는 위원회 주도의 개인정보 침해에 대한 위원회의 조사, 그리고 조사 결과에 대한 조치 또는 결정 등을 규정한다. 한편 개인정보보호 규정 적용이 면제되는 공익 결정에 관한 사항과, 비상 또는 재난 시에 허용되는 개인정보의 처리에 대해서는 [제6장 공익 및 임시적 공익 결정] 및 [제6A장 비상 및 재난 시 개인정보 처리]에서 각각 기술되었다. [제6B장 집행]에서는 민사 처벌(civil penalty), 실행 확약(enforceable undertakings), 명령(injunction) 등 위원장의 법 집행 권한을 명시하였으며, 그밖에 프라이버시 자문위원회의 구성과 운영에 관한 [제7장 프라이버시 자문위원회], 비밀 유지 의무에 관한 [제8장 비밀유지 의무]에서 규정하였으며, 마지막 [제9장 기타]에서는 건강정보 관련한 가이드라인의 발행 등에 대해 명시하였다.

[표 2] 프라이버시법 구성

프라이버시법 구성
구분 주요 내용

제1장

서문

(Preliminary)

 

제정 목적, 적용 범위 등

제2장

해석

(Interpretation)

1절 일반 정의

(General definitions)

일반 용어에 대한 정의

2절 신용평가 관련 주요 정의

(Key definitions relating to credit reporting)

신용평가와 관련된 용어에 대한 정의

3절 다른 사안들

(Other matters)

개인정보 취급 관련 특정 행위 또는 관행 등에 대한 정의

적용 면제 관련 행위 또는 관행

제3장

정보 프라이버시

(Information privacy)

1절 프라이버시 침해

(Interferences with privacy)

프라이버시 침해 행위

관계법인(related body corporate) 간의 개인정보 수집, 제공

해외에서의 프라이버시 침해

심각하거나 반복적인 프라이버시 침해 행위

2절 호주 프라이버시 원칙

(Australian Privacy Principles)

13가지 APP(별도 부칙으로 규정)

APP 적용 예외(허용된 일반 상황, 허용된 건강 관련 상황 등, 연방정부와의 계약 이행 등)

3절 납세번호 정보

(Tax file number information)

납세번호 취급에 대한 규칙 제정

제3A장

신용평가

(Credit reporting)

제1절 소개

(Introduction)

3A장 개요

제2절 신용평가기구

(Credit reporting bodies)

신용평가기구의 개인 신용평가 정보의 수집, 이용, 제공 및 정보의 최신성, 정확성

신용평가 정보에 대한 개인의 열람 및 정정권, 신용평가 정보의 보유기간 등

제3절 신용제공업자

(Credit providers)

신용제공업자의 개인 신용정보의 수집, 이용, 제공 등에 대한 원칙 및 적용 면제

개인의 열람, 정정권 적용 예외 등

제4절 유관정보처리자

(Affected information recipients)

보험업자의 개인정보 이용 또는 제공 원칙

제5절 민원

(Complaints)

개인정보 침해 시 제기할 수 있는 개인의 민원 신청 권리, 절차

제6절 신용평가 정보의 비인가된 획득

(Unauthorised obtaining of credit reporting information etc.)

불법적인 신용평가보고서 정보 획득에 대한 처벌 규정

제7절 법원 명령

(Court orders)

개인정보 처리 주체의 법 위반에 대한 법원의 명령권

제3B장

프라이버시 규약

(Privacy codes)

제1절 소개

(Introduction)

개요

제2절 공인된 APP 규약

(Registered APP codes)

APP 규약 및 공인된 APP 규약 개념

APP 규약 개발, 등록 및 변경, 폐지

제3절 공인된 CR 규약

(Registered CR code)

CR 규약 및 공인된 CR 규약 개념

CR 규약 개발, 등록 및 변경, 폐지

제4절 일반 사항

(General matters)

규약 등록, 규약 등록 관련 가이드라인 등

제3C장

적정한 개인정보 유출에 대한 통지

(Notification of eligible data breaches)

제1절 소개

(Introduction)

개요, 적용 예외

제2절 적정한 개인정보 유출

(Eligible data breach)

적정한 개인정보 유출 개념 및 피해구제 예외 대상

심각한 피해 초래 여부 결정 기준

제3절 적정한 개인정보 유출 통지

(Notification of eligible data breaches)

적정한 개인정보 유출 여부 평가 및 예외

적정한 개인정보 유출에 대한 통지 및 예외

정보위원회의 통지 명령 권한 및 예외

제4장

정보위원회의 기능

(Functions of the Information Commissioner)

제2절 위원회의 기능

(Functions of Commissioner)

프라이버시 가이드 개발

신용평가정보, 납세번호 정보 관련 처리에 대한 모니터링 등

제3절 위원회 보고

(Reports by Commissioner)

위원회 조사 및 모니터링 결과에 대한 관련 부처 보고

프라이버시 관련 법안 검토 등

제3절A 위원회의 평가

(Assessments by, or at the direction of, the Commissioner)

호주 프라이버시 원칙(APP)에 대한 검토

개인정보 영향평가 시행 지시

제4절 기타

(Miscellaneous)

정보자유법에 정보 공개 제한 등

제5장

조사

(Investigations etc.)

제1절A 소개

(Introduction)

개요

제1절 민원 및 위원회 주도의 조사

(Investigation of complaints and investigations on the Commissioner’s initiative)

개인정보 침해에 대한 민원 제기 및 처리

집단 민원의 조건 및 조사

화해 조치, 예비 조사, 자료 요구 등 조사 절차

대체 민원 처리 기관 이전 등

제2절 민원 조사 결과에 대한 결정

(Determinations following investigation of complaints)

민원 또는 위원회 주도의 조사에 대해 기각, 침해 행위 중지, 개선 조치, 피해 보상을 위한 조치 또는 금전적 보상

제3절 집행

(Enforcement)

위원회 결정에 대한 이행 의무

위원회 결정 집행을 위한 연방 법원에 소송제기

위원회 결정에 대한 서면 증서

제4절 연방 정부기관과 관련된 결정의 검토 및 집행

(Review and enforcement of determinations involving Commonwealth agencies)

위원회 결정에 대한 이행 의무

위원회 결정 미이행에 대한 연방 법원에 이행 신청 등

제5절 기타

(Miscellaneous)

법무부에 법률상담 지원 신청

출석 거부, 허위 진술 등에 대한 처벌

현장 조사권, 제출이 제한되는 정보 등

제6장

공익 및 임시적 공익 결정

(Dealing with personal information in emergencies and disasters)

제1절 공익 결정

(Object and interpretation)

위원회의 공익 결정 및 결정의 효력

공익 결정 신청 및 위원회의 조치 등

제2절 임시적 공익 결정

(Temporary public interest determinations)

위원회의 임시적 공익 결정 및 결정의 효력

효력의 정지 등

제3절 결정의 등록

(Register of determinations)

결정의 등록 및 대중에 공개

제6A장

비상 및 재난 시 개인정보 처리

(Dealing with personal information in emergencies and disasters)

제1절 목적과 해석

(Object and interpretation)

주요 용어 및 ‘허용된 목적’에 대한 정의

제2절 비상 선언

(Declaration of emergency)

국내 및 해외에서의 비상 선언 요건

비상 선언문 양식, 효력 및 중지 시점

제3절 개인정보의 이용, 제공

(Provisions dealing with the use and disclosure of personal information)

비상/재난 시 개인정보 수집, 이용 및 제공이 허용되는 요건

제4절 기타

(Other matters)

불법적인 개인정보 제공에 대한 벌칙

비밀유지 등 다른 조항과의 관계

제6B장

집행

(Enforcement)

제1절 민사 처벌

(Civil penalties)

근거 법령에 따른 위원장 권한, 관련 법원 및 규제력 범위

제2절 실행 확약

(Enforceable undertakings)

근거 법령에 따른 위원장 권한, 관련 법원 및 규제력 범위

제3절 명령

(Injunctions)

근거 법령에 따른 위원장 권한, 관련 법원 및 규제력 범위

제7장

프라이버시 자문위원회

(Privacy Advisory Committee)

 

자문위원회의 설립 및 위원회 구성, 기능

구성원의 해고 및 사임, 위원회 회의 개최 등

제8장

비밀유지 의무

(Obligations of confidence)

 

이 장의 적용 및 효력

법원의 관할권 등

제9장

기타

(Miscellaneous)

 

의학 연구 가이드라인, 건강정보에 대한 APP 가이드라인 등 발행

부칙

호주 프라이버시 원칙

(Australian Privacy Principles)

1부 개인정보 프라이버시의 고려

2부 개인정보의 수집

3부 개인정보의 처리

4부 개인정보의 무결성

5부 개인정보에 대한 접근, 수정

나. 주요 내용

(1) 적용 대상 및 범위

(가) 개인정보

호주 프라이버시법은 개인정보(personal information)를 식별된(identified) 또는 합리적으로 식별 가능한 개인(individual)에 관한 정보나 견해(opinion)로 정의하며, 이때 그 정보 또는 견해의 진위 여부, 물리적인 형태의 기록 여부와 무관하다고 규정한다. OAIC는 단일 정보로서 개인 식별이 되지 않더라도 개인정보를 처리하는 주체가 보유한 또는 접근 가능한 다른 정보와 결합하여 식별 가능한 경우에도 개인정보에 해당된다고 설명한다. 또한 개인정보의 개념이 광범위하며, 대개의 경우 그 정보가 개인정보인지 여부가 명확하게 판단되지만 일부는 그렇지 않아서 맥락과 상황에 따라 결정되기도 하므로, APP 주체(APP entity)는 가급적 APP에 따라 규정을 보수적으로 적용할 것을 권고하고 있다. 개인정보 여부가 프라이버시법에서 명확하게 구분되지 못하는 경우에도 다른 법률에서 규정되는 경우도 있는데, 예를 들어 TIA Act는 속성정보(metadata)를 프라이버시법의 취지에 따라 개인정보로 취급한다고 설명한다. 프라이버시법은 개인정보를 민감정보, 신용정보, 직원기록, 납세번호정보 등 다양한 유형으로 구분하여 규율하며 각각에 대한 개념과 특징은 아래 표와 같다.

[표 3] 개인정보의 유형

개인정보의 유형
구분 정의 비고

민감정보(제6조)

(sensitive information)

개인의 인종, 민족 정보 및 정치적 견해, 정당 가입정보, 종교, 철학, 노조가입, 성적 성향, 범죄기록 등에 관한 정보 또는 견해

건강정보, 유전적 정보, 바이오 정보에 관한 정보 또는 견해

개인정보 수집, 이용, 제공 시 개인의 동의 필요

※ 일반 정보의 경우, 정보처리 주체의 행위나 기능에 필요한 경우 동의 없이 처리 가능

건강정보(제6FA조)

(health information)

개인의 질병, 장애, 부상 또는 개인이 향후에 받을 의료 서비스에 대한 의사 표시된 바람(expressed wishes) 또는 개인이 받을(또는 받은) 건강서비스에 대한 정보 또는 견해

개인에게 건강서비스 제공하기 위해 수집된 다른 개인정보

개인의 장기기증(또는 기증 의사)등에 관련하여 수집된 다른 개인정보

개인 또는 친족의 건강을 예측할 수 있는 개인의 유전적 정보

민감정보에 속하여 민감정보와 같이 취급되나, 이와 별도로 건강정보에 특화된 규정이 있음

※ 건강정보 처리가 허용되는 예외 규정(법 제16조), 건강정보의 이용․제공 등에 대한 가이드라인 관련 규정(제95A) 등

신용 정보(제6N조)

(credit information)

개인에 대한 식별정보

개인에 대한 소비자 신용 책임 정보
(consumer credit liability information)

개인의 상환 내역 정보 등

신용 정보는 제3A장을 통해 다른 정보와 별도로 규율됨

납세번호 정보(제6조)

(tax file number information)

합법적 수집 여부 또는 물리적 형태의 기록 여부와 관계없이, 개인의 신원과 연결되는 방식으로 납세번호를 기록하는 정보

납세 정보는 제3장 4절(납세번호 정보) 및 ‘프라이버시 납세번호 규정’을 통해 별도 규율됨

직원 기록(제6조)

(employee record)

직원의 고용과 관련한 직원의 개인정보의 기록을 말하는 것으로, 건강정보를 비롯하여 다음의 정보를 의미 함

  • 직원의 업무, 교육, 징계, 사직
  • 직원의 고용 종료, 고용 기간 및 조건
  • 직원의 개인 비상 연락 정보
  • 직원의 성과, 수행활동
  • 직원의 고용 시간, 급여
  • 직원의 노동조합 등 조합 가입
  • 직원의 병가, 휴직 등
  • 직원의 납세, 금융 및 연금 관련 사항

민간 기관의 직원 기록은 일반적으로 프라이버시법 적용 면제 대상

(나) 적용 대상

프라이버시법은 법 적용 대상을 APP 주체로 규정하였는데, APP 주체는 호주 정부기관(agency)과 민간 기관(organization)으로 구분된다. 그 중 민간 기관은 다음의 대상을 말하는 것으로, 소규모 사업자, 공인된 정당, 주(state or territory) 정부기관 등은 대상이 아니다.

개인(개인 사업자 포함, 개인적, 가족의 일을 처리하는 개인은 제외)

법인, 협력사, 비법인 단체(unincorporated association) 등

소규모 사업자는 연 매출액 3백만 호주 달러 이하의 사업자를 말하는 것으로, 소규모 사업자의 경우라도 다음의 경우에는 법 적용 대상이 된다.

건강 서비스를 제공하는 민간 기관. 건강 서비스를 제공하는 기관은 다음을 포함한다.

  • 민간병원, 개인병원, 약국, 지원보건전문인(allied health professional) 등 전통적인 건강 서비스 제공자
  • 자연 치료사(naturopaths), 척추 지압사 등 보완적 치료사(complementary therapist)
  • 체육관, 비만 관리 클리닉
  • 아동 보호 센터, 민간 학교, 고등 교육기관(tertiary educational institutions)

영리 목적으로 개인정보를 제공받거나 제공하는 경우

신용평가기관

연방정부와 서비스 계약 체결된 자

Fair Work(Registered Organizations) Act 2009에 따라 인가된 노동조합

프라이버시법 적용을 신청한 사업자

프라이버시법에 적용되는 사업과 관련된 사업자

Privacy Regulation 2013에 규정된 사업자

또한 소규모 사업자를 포함하여 다음과 같은 행위나 관행(acts or practices)들을 하는 자, 또는 다음의 정보를 취급하는 자도 이 법의 규율을 받는다.

Anti-Money Laundering and Counter-Terrorism Financing Act 2006와 이 법의 하위 법령과 관련된 보고 기관이나 당국의 행위

주택 임차 DB 운영과 관련된 행위나 관행 등

소비자 신용평가 정보(신용평가기관, 신용제공업자 등 포함)를 취급하는 경우

납세번호 가이드라인에 따른 납세번호를 취급하는 경우

My Health Records Act 2012에 따른 My Health Record와 Healthcare Identifiers Act 2010에 따른 개인 건강관리 식별자(Healthcare Identifiers)를 취급하는 경우

일반적으로 주립 병원, 건강관리 시설을 비롯한 주 정부기관은 각 주 정부에서 제정한 프라이버시법규의 적용 대상이며, 다음의 경우도 프라이버시법의 규제 대상이 아니다.

  • 개인적, 가족의 일을 처리하는 개인
  • 호주 국립 대학교, 공립학교
  • 경우에 따라, 이전/현재 고용 관계 관련하여 회사가 직원 기록 취급 시
  • 소규모 사업자 중 예외 대상(위 적용 대상에 명시)
  • 프라이버시 기준 준수를 표명한 언론사
  • 공인된 정당이나 정치적 대표자

(다) 적용 범위

APP를 비롯한 프라이버시법은 호주와 연결성(Australian link)이 있으면 국외 영토(external territory)에서도 적용되는데 민간 기관이나 소규모 사업자가 다음에 해당하는 경우에 호주와 연결성이 인정된다.

호주 시민 또는 호주에 거주하는 사람이면서 거주 기간이 법적으로 제한되지 않은 경우

호주나 국외 영토에서 형성/설립된 동업자 또는 신탁(trust)인 경우

호주나 국외 영토에 설립된 법인

호주나 국외 영토에 통제/관리 조직이 있는 비법인 조합

(위의 경우에 속하지 않더라도) 호주나 국외 영토에서 사업을 하면서 호주나 국외 영토의 개인정보를 수집하거나 보유하는 경우

(2) 프라이버시 침해

프라이버시법은 프라이버시를 침해하는 행위를 다음과 같이 규정하고 여기에 포함되지 않는 행위는 침해가 아니라고 명시하였다. 침해의 정도가 심각하거나 반복적인 침해 행위는 최대 2,000 페널티 유닛(penalty unit은 호주에서 채택한 벌금 부과 금액 단위로 1 페널티 유닛은 2017년 7월 발표 기준으로 210 AUD)의 민사 처벌 부과 대상이다.

APP 주체 : APP 또는 공인된 APP 규약을 위반하는 행위

신용평가정보 관련 : 이 법의 제3A장 신용평가정보 관련 조항 또는 공인된 CR 규약을 위반하는 행위

정부와 계약된 서비스 제공자 : 정부와의 계약 조항이 APP 또는 공인된 APP 규약과 부합하지 않기 때문에 개인정보와 관련한 행위가 APP와 규약 위반에 해당되지 않은 경우, 그 계약이행에 부합하지 않는 방법으로 개인정보 처리가 이루어질 때

납세번호 관련 : 납세번호 규정을 위반하거나 납세번호를 불법적으로 요구하는 행위

개인정보 유출 통지 : 개인정보 유출 통지 의무를 지난 주체가 이 법의 통지 관련 조항을 위반 할 때

다음의 행위는 프라이버시 침해에 해당하지 않는다.

계열사(related bodies corporate) : 계열사로부터 개인정보를 수집하거나 계열사에게 개인정보를 제공하는 행위는 (이때 수집된 목적과 동일한 경우에 한해 이용 또는 제공 가능하며, 수집된 개인정보와 관련된 행위가 APP 또는 공인된 APP 규약을 위반하는 경우는 프라이버시 침해에 해당한다)

제휴사 변경 관련 : 동일한 업무에 대해 제휴사가 변경되어 제휴사 간 개인정보를 이전하는 행위(제휴 업무의 변경 없이 제휴사만 변경되고, 이전 제휴사의 담당자 중 1명 이상이 새로운 제휴사에서 계속해서 근무를 수행하며, 이전 제휴사의 파산 직후 즉시 이전이 이루어지는 경우)

해외에서의 행위 : 해외에서 수행한 행위고, 그 행위가 해당국의 관련법에 따른 경우

(3) 호주 프라이버시 원칙

프라이버시법의 부칙 제1조에서는 호주 프라이버시 원칙(APPs, Australian Privacy Principles)을 정하고, 호주 연방정부, 민간기업, 건강서비스 제공자 및 비영리 기관 등 개인정보처리 주체(APP Entity)가 개인정보를 취급하고, 이용․관리하는 기준을 규정한다. APPs는 2014년 제정되었으며 그 이전까지 민간과 호주 연방정부기관에 각각 적용되었던 국가 프라이버시 원칙(NPP, National Privacy Principles)과 정보 프라이버시 원칙(IPP, Information Privacy Principles)을 통합, 대체하였다. 부칙은 APPs를 크게 5가지 영역으로 구분하여 총 13가지 원칙으로 설명한다. 첫 번째 영역은 [개인정보 프라이버시 고려]로 개인정보 관리의 투명성, 개방성, 익명성, 가명성을 다루고, 두 번째 영역 [개인정보 수집]은 요청된(solicited) 또는 요청되지 않는 개인정보의 수집․처리 시 원칙과 개인에 대한 통지 기준을 규정하고, 세 번째 영역은 개인정보의 이용, 제공 및 직접 마케팅에서의 원칙 그리고 국외 이전 시 기준 등 [개인정보 취급]에 관한 원칙이다. 다음으로 [개인정보의 무결성]을 통해 개인정보의 최신성 유지, 안전한 관리 등을 규정하고, 마지막 영역은 [개인정보의 접근, 정정]으로 개인정보에 대한 개인의 권리를 설명한다.

[표 4] 호주 프라이버시 원칙(APP)

호주 프라이버시 원칙(APP)
구분 호주 프라이버시 원칙(APP)

(1영역)

개인정보 프라이버시 고려

-Consideration of personal information privacy-

1원칙 : 공개적이고 투명한 개인정보 관리

2원칙 : 익명성 및 가명성

(2영역)

개인정보 수집

-Collection of personal information-

3원칙 : 요청된(solicited) 개인정보의 수집

4원칙 : 요청되지 않은 개인정보의 처리

5원칙 : 개인정보 수집에 대한 통지

(3영역)

개인정보 취급

-Dealing with personal information-

6원칙 : 개인정보 이용 또는 제공

7원칙 : 직접 마케팅

8원칙 : 개인정보의 국외 이전

9원칙 : 정부 관련 식별자의 채택, 이용 또는 제공

(4영역)

개인정보의 무결성

-Integrity of personal information-

10원칙 : 개인정보의 품질

11원칙 : 개인정보의 보안

(5영역)

개인정보의 접근, 정정

-Access to, and correction of, personal information-

12원칙 : 개인정보 열람

13원칙 : 개인정보의 정정

그러나 법은 다음과 같은 허용된 일반 상황(permitted general situation)을 규정하여 APP의 일부 원칙 즉, 민감정보의 수집(APP 제3원칙), 개인정보의 이용 또는 제공(APP 제6원칙 및 제8원칙) 그리고 정부 관련 식별자의 이용 또는 제공(APP 제9원칙)의 일부 항목의 적용 면제를 허용하였다.

개인의 생명, 건강 또는 안전, 혹은 대중의 건강이나 안전에 대한 심각한 위협을 줄이거나 막는 행위

불법적인 활동이나 심각한 위법 행위로 의심되는 것에 대해 취하는 적절한 행위

실종된 것으로 보고된 사람을 찾는 행위

법적 또는 합당한 주장을 하는 행위

대안적 분쟁 해결(ADR) 과정을 수행하는 행위

외교적 또는 영사적 기능을 수행하는 행위(연방정부기관에만 적용)

규정된 국방 활동을 수행하는 행위(군사 조직에만 적용)

(4) 신용평가

호주 프라이버시 원칙(APP)이 일반 개인정보 처리 주체의 보호 원칙을 다룬다면, 제3A장은 신용정보 관련 처리 기관의 신용정보에 대한 보호 기준을 다룬다. 따라서 APP는 이 장에서 다루는 정보 처리에 적용되지 않거나 일부분에 한해 적용된다. 신용정보 관련 처리 기관은 은행 등과 같은 신용제공업자, 신용평가기관, 보험업자 등이 포함되며 각 주체에서 다루는 정보의 유형이나 범위가 다르므로, 각 처리 주체의 유형별로 각각의 절에서 구분하여 규율한다. 이러한 신용정보 관련 처리 기관이 다루는 정보는 비교적 민감한 정보이므로 엄격한 규율이 적용되는데, 기본적으로 사업 수행 과정에서 필요하거나 법령에서 특별히 허용하는 경우 등을 제외하고는 정보의 수집, 이용 또는 제공이 금지된다. 특히 직접 마케팅이나 사전 선별(pre-screening) 평가 등 특별한 목적을 위해 처리되는 경우에는 더욱 제한적으로 허용된다. 또한 정보의 보안, 최신성 유지 및 개인의 열람, 정정 권리를 위한 기준을 명시하였으며, 이 장의 내용을 위반한 경우 개인은 해당 신용제공업자 또는 신용평가기관 등에 민원을 제기할 수 있으며, 해당 피민원 업체는 신속히 응대하고 민원을 조사해야 한다.

(5) 납세번호 정보

개인의 납세번호(TFN, Tax File Number)는 세금을 납부하는 호주 국민에게 부여되는 고유 번호이며, TFN 정보는 TFN을 개인의 신원과 연관하여 기록한 정보를 말한다. TFN 정보는 이를 취급할 수 있도록 인가받은 자에 의해서만 처리가 가능하며, 정보위원장이 TFN 정보의 수집, 이용, 저장 및 보안 조치에 관한 사항을 별도의 규정으로 마련하도록 명시하였다. 이에 따라 2015년 2월 Privacy (Tax File Number) Rule 2015이 발행되었으며, 이 규정은 구속력 있는 규범으로 이전에 마련된 TFN 가이드라인(Tax File Number Guidelines 2011)을 대체한다. TFN 규정에 따라 TFN 정보는 주민 식별 번호(National Identification Number)로 사용될 수 없으며, 승인된 TFN 수신자는 조세법(Taxation Act) 등에 승인된 목적으로만 TFN을 수집, 이용, 제공할 수 있다. 또한 TFN 정보에 대한 비인가된 접속, 분실 등으로부터 보호하고 이용 목적이 달성된 경우에는 안전한 파기 또는 비식별화 등 적절한 조치를 취해야 한다. 이 밖에도 TFN을 취급하는 직원의 교육에 대한 사항을 비롯하여 OAIC와 다른 TFN 규율 기관 등의 책임 사항, TFN 정보와 인권과의 관계 등을 명시하였다.

(6) 개인정보 유출 통지

프라이버시법의 개인정보 유출 통지 규정은 2017년에 신설되어 2018년 2월부터 시행되었다. ∆개인정보에 비인가된 접근, 제공이 이루어지거나 개인정보가 분실되었고, ∆이 결과 개인에게 심각한 피해가 예상되나, ∆개인정보 처리 주체가 이를 구제할 수 없을 때, 이를 ‘적정한 개인정보 유출(eligible data breach)’로 규정하였다. 개인정보 처리 주체는 적정한 개인정보 유출 시 개인 및 OAIC에 이 사실을 통지해야 할 의무가 있으며, 해당 유출이 적정한 개인정보 유출인지 여부를 판단하기 위해 고려되어야 할 기준으로 개인정보의 종류․민감성, 개인정보보호조치 방법, 개인정보가 유출된 환경, 개인정보를 습득한 자의 유형 등을 명시하였다. 적정한 개인정보 유출로 확신되지 않고 단지 의심이 되는 경우에는 합리적인 기간 내에 이를 평가하여 결정해야 한다. 또한 개인정보 유출 인지 후 가능한 신속히 유출에 대한 진술서를 작성하여 OAIC에 제출하고 개인에게 통지해야 하는데, 진술서에 포함되어야 하는 내용으로 개인정보 처리 주체의 신원/연락처, 유출과 관련된 개인정보 항목, 개인이 유출에 대응하기 위해 취할 수 있는 조치 등이 나열되었다. 유출 통지 시에는 이메일 등 평소 개인과의 소통 수단을 이용하여 개별 통지를 할 수 있으며, 어려운 경우는 개인정보 처리 주체의 홈페이지에 게재 및 언론 공개도 가능하다. 다만, 법 집행 기관의 법 집행 행위, 타 법률의 기밀조항과의 충돌 등의 경우는 통지 대상에서 면제된다. 개인정보 유출 통지에 대한 상세 규정은 제4장 개인정보보호 사고 시 대응절차의 제1절 개인정보 유출 통지를 참고한다.

(7) 프라이버시 규약

프라이버시 규약(privacy codes)은 개인정보 처리에 관한 문서화된 실행 규약(code of practice)으로, 일반 개인정보 처리를 위한 APP 규약과 신용평가 정보 처리를 위한 CR 규약으로 각각 구분하여 규정하였다. 먼저 APP 규약에는 APP의 적용 방법, 규정에 구속되는 주체, 규정의 발효 기간 등이 명시되어야 하며, 이 외에도 APP에 추가하여 부과된 요구 사항, 이 법에 규정된 면제 행위에 대한 적용, 내부 민원 처리 절차 등을 포함할 수 있다. 또한 APP 규약은 처리하는 모든 개인정보 혹은 특정 유형의 개인정보에 적용하거나, 특정 개인정보 처리 행위 또는 특정 산업 분야 또는 특정 유형의 기술을 사용하는 주체에 적용되도록 규정할 수도 있다. APP 규약은 APP 주체(또는 그 집단을 대표하는 단체) 혹은 OAIC가 개발할 수 있으며, OAIC의 심사를 통해 ‘공인된 APP 규약(registered APP codes)’로 승인 받을 수 있다. 강제력이 없는 APP 규약과는 달리 공인된 APP 규약은 하나의 법규(legislative instrument)로써 이를 위반하는 것은 프라이버시 침해 행위로 간주된다. OAIC는 공인된 APP 규약에 대한 변경 또는 폐기 요청을 승인하거나 OAIC 재량으로 변경, 폐기 할 수 있다. CR 규약 또는 공인된 CR 규약은 신용평가 정보에 대해 APP 규약 또는 등록된 APP 규약의 사항과 동일하게 적용한다.

(8) 위원회의 기능

OAIC는 프라이버시법 및 다른 법률에 근거한 프라이버시 보호 업무, FOI Act(Freedom of Information Act 1982)에 근거한 정보자유(정보 공개) 관련 업무 및 Australian Information Commissioner Act 2010에 근거한 정부 정보 정책 관련 업무 등 크게 3가지 기능을 수행한다. 그 중 프라이버시 보호와 관련하여, 법규 준수 지원, 조사 및 법 집행 기능 그리고 이와 관련된 가이드, 모니터링 또는 자문 등의 활동을 수행한다. OAIC의 조사 및 법 집행에 대한 자세한 내용은 다음의 해당 항목을 각각 참조한다.

(9) 조사

이 법의 규정을 위반하거나, 또는 프라이버시 침해 관련하여 OAIC에 조사 권한이 주어진 다른 법률 등을 위반하여 개인의 프라이버시가 침해된 경우, 개인은 OAIC에 민원을 제기할 수 있다. OAIC는 이에 따라 민원이 제기된 행위에 대해서 조사하며, 이외 OAIC 재량에 따라, 즉 APP 제1원칙(공개적이고 투명한 개인정보 관리)을 위반하여 조사하는 것이 바람직하다고 판단되는 행위에 대해서도 조사를 진행할 수 있다. 민원에 대한 조사는 민원인이 피민원 기관에 직접 1차적 민원을 제기하여 해결을 시도한 건에 대해서만 진행하며, OAIC는 프라이버시 침해 행위가 없거나, 침해 행위 인지 후 12개월 이상이 경과하여 민원이 제기된 경우, OAIC의 정보 요청에 대해 민원인의 응답이 없는 경우, 선의에 의한 민원이 아닌 경우 등에 대해서는 조사하지 않을 수 있다. 또한 대체 민원 기관에서 처리하는 것이 효과적이라고 판단되는 경우에는 해당 기관에 이관할 수 있다. 민원인 또는 피민원인 등은 위원회의 조사에 필요한 정보를 제공하거나 회의에 참석해야 하며, 이를 위반 시에는 민사 처벌이 부과될 수 있다. OAIC는 민원 조사 과정 또는 이전에 당사자 간 합리적인 해결을 위해 조정의 노력을 해야 하며, 조정이 이루어지지 않은 경우 OAIC의 결정에 따라야 한다. OAIC 결정에는 조사 결과에 따라 민원의 기각 또는 프라이버시를 침해한 위반 행위의 중단, 민원인의 손해나 피해를 보상하기 위한 조치 이행 또는 금전적 보상 등이 포함된다. 피민원 기관은 이와 같은 OAIC의 결정을 준수해야 하며, 민원인 또는 OAIC는 연방 법원 등에 이러한 결정에 대한 집행 명령을 내리도록 기소할 수 있다. 프라이버시 침해 민원 조사에 대한 상세 규정은 제4장 개인정보보호 사고 시 대응절차의 제2절 개인정보 피해 구제 체계를 참고한다.

(10) 법 집행

프라이버시법은 이 법을 위반한 자에게 부과하는 법 집행의 유형을 민사 처벌(civil penalty), 실행 확약(enforceable undertaking) 및 명령(injunction) 등으로 명시하였고, Regulatory Powers Act에 따라 OAIC는 연방 법원 또는 연방 순회 법원(federal circuit court)에 각 법 집행을 신청할 수 있는 권한을 부여받았다. 그 중 민사 처벌은, 개인의 프라이버시에 ‘심각한’ 침해를 주거나 프라이버시 침해 행위를 ‘반복적’으로 하는 개인정보 처리 주체 대상 2,000 페널티 유닛을 부과하는 규정 이외에 제3A장 신용평가 관련 규정에 다양한 민사 처벌 규정 등이 포함되어 있다. 실행 확약은 OAIC와 개인 또는 OAIC와 개인정보 처리 주체 간에 약속된 문서화된 합의를 말하며, 명령은 이 법을 위반한 자 등에게 특정 행위를 하도록 또는 하지 않도록 하는 법원의 명령을 말하는 것으로 이 법을 위반하였거나 위반할 수 있는 행위를 하였거나 하려고 하는 경우에 적용될 수 있다.

3한국 법률과 비교 분석

프라이버시법은 이 법의 제정 목적에 명시한 바와 같이 개인의 프라이버시 보호 강화뿐만 아니라 이러한 프라이버시 보호가 기업 등 개인정보 취급자의 활동과 기능과 균형을 이루어야 함을 강조한다. 이에 프라이버시법은 개인의 합리적인 예측이 가능한 개인정보 처리에 대해서는 옵트 아웃(opt out) 원칙을 적용하고, 개인정보가 수집된 목적뿐만 아니라 이와 ‘관련된 목적(related purpose)’까지 확장하여 처리되는 것을 허용한다. 대신 개인이 이를 적시에 인지, 통제하고 권리를 행사할 수 있는 메커니즘을 제공하여 개인정보보호의 투명성과 통제성을 담보로 한 개인정보 활용 방식을 채택하였다. 이에 반해 개인정보 보호법은 개인의 명시적 동의를 전제로 구체적으로 명시된 처리 목적에 한해서 처리되도록 엄격히 규율하고 있다. 상세 내용은 다음 표와 같다.

[표 5] 개인정보 보호법(한국) vs 프라이버시법(호주)

개인정보 보호법(한국) vs 프라이버시법(호주)
구분 개인정보 보호법 프라이버시법
개인정보 정의

살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다).

식별된(identified) 또는 합리적으로 식별 가능한 개인에 관한 정보나 견해(opinion)로서, 그 정보 또는 견해의 진위여부, 물리적인 형태의 기록 여부와는 무관

신용 정보(credit information)

  • 개인에 대한 식별정보
  • 개인에 대한 소비자 신용 책임 정보
  • 개인의 상환 내역 정보 등

건강정보(health information)

  • 개인의 질병, 장애, 부상 또는 개인이 받을(또는 받은) 건강서비스에 대한 정보
  • 건강서비스를 제공하기 위해 수집된 다른 개인정보
  • 유전 정보 등

납세번호 정보(tax file number information): 개인의 신원과 연결되는 방식으로 납세번호를 기록하는 정보

직원 기록(employee record) : 직원의 고용과 관련한 직원의 개인정보 기록으로, 건강정보, 업무, 성과, 연락처 등

보호대상

정보주체

개인(individual)

규제 대상

공공기관, 법인, 단체, 개인 등 전체 개인정보처리자

APP 주체(Australia Privacy Principle Entity)

  • 연방 정부기관(agency)
  • 민간 기관(organization) : 개인(개인 사업자 등), 법인, 협력사, 비영리 단체 등

※ organization에 소규모 사업자는 제외되나, 특정 행위를 수행하는 경우 등 organization으로 취급되는 소규모 사업자들을 별도 규정

개인정보처리자가 업무 목적으로 처리하는 개인정보

개인정보 취급과 관련된 APP 주체의 행위나 관행(acts or practices)을 규제

적용 예외

없음

주 정부기관

연 매출액 3백만 호주 달러 이하의 소규모 사업자

정당의 선거 등 정치적 행위

개인이 사업 이외의 개인적 목적으로 하는 행위

민간기관이 연방정부와의 계약 이행을 위해 하는 행위

민간기관이 직원 기록과 관련하여 하는 행위

민간기관이 저널리즘 목적으로 하는 행위

수집 시 동의 의무

기업은 통상적으로 개인정보 수집 시 아래 사항을 고지하고 정보주체의 동의를 받아야 함

  • 개인정보의 수집ㆍ이용 목적
  • 수집하려는 개인정보의 항목
  • 개인정보의 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

[APP 3]

(정부 기관) 기관의 기능과 활동에 합리적으로 필요하거나 직접 관련된 개인정보 수집 가능

(민간 기관) 기관의 기능과 활동에 합리적으로 필요한 개인정보 수집 가능

※ 단 민감정보는 위 조건에 더해 개인의 동의 필요

[APP 5]

개인정보 수집 시점 또는 이전(혹은 불가피한 경우에는 수집 후 가능한 빨리) 개인정보처리방침을 포함하여 수집에 관한 사항을 개인이 인지하도록 조치

수집 시 동의 예외 사항

정보주체 동의 외에도 개인정보 처리가 가능한 경우

  • 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
  • 보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함

관련 규정 없음

수집 제한

최소 개인정보 수집 필요

 

필수 정보 및 선택 정보 구분 필요

 

선택 정보 수집에 미동의하는 사유로 재화 및 서비스 제공을 거부해서는 안 됨

 

민감정보 처리 시 별도 동의 필요

[APP 3]

민감정보 처리 시 동의 필요

고유식별정보 처리 시 별도 동의 필요

 

법령 근거 외 주민등록번호 수집 제한

법률로 정해진 또는 승인된 자에 한해 납세번호 처리

아동 보호

14세미만 아동 개인정보 수집 시 법정대리인 동의 필요

관련 규정 없음

이용

기업은 개인정보 수집 목적 외 이용 시 정보주체의 동의를 받아야 함

다만, 아래의 경우 정보주체 동의 없이 목적 외 이용 가능

  • 다른 법률에 특별한 규정이 있는 경우
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

[APP 6]

특정 목적(주된 목적)으로 수집한 개인정보를 다른 목적(2차 목적)으로 이용 또는 제공할 수 없음

단 다음의 경우 예외

  • 이용 또는 제공에 대한 개인의 동의
  • 개인이 다음과 같이 정보가 2차적 목적으로 이용/제공될 것이라고 합리적으로 예상할 수 있을 때
    · (민감정보) 주된 목적과 직접적으로 관련된 2차 목적일 때
    · (일반 정보) 주된 목적과 관련된 2차 목적일 때
  • 법령 등에 따라 정보를 이용 또는 제공할 의무나 권한이 있는 경우
  • 정보의 이용 또는 제공에 대해 허용된 일반적 상황이 존재하는 경우
  • APP 주체가 민간 기관이고 정보 이용 또는 제공에 대해 허용된 건강 관련 상황이 존재하는 경우
  • APP 주체가 정보의 이용이나 제공이 법 집행기관 등의 집행활동에 합당하게 필요하다고 판단하는 경우

제공

개인정보 제3자 제공시 아래 사항을 알리고 동의를 받아야 함

  • 개인정보를 제공받는 자
  • 개인정보의 이용 목적
  • 이용 또는 제공하는 개인정보의 항목
  • 개인정보의 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

다만, 아래의 경우 정보주체 동의 없이 제3자 제공 가능

  • 다른 법률에 특별한 규정이 있는 경우
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

국외 이전

정보주체에 이전에 관한 사항 고지 및 동의(제3자 제공과 동일하게 처리)

이 법을 위반하는 내용으로 계약 체결 금지

[APP 8]

다음의 경우 이전 가능

  • 정보를 이전하기 전에, 정보를 이전받는 자가 APP를 위반하지 않도록 합리적인 조치를 취하는 경우
  • 이전 받는 자에게 적용되는 APP와 비슷한 수준의 법규가 있고 개인이 이를 행사할 수 있는 제도가 있다고 APP 주체가 합당하게 판단하는 경우
  • 이전받는 자에게 ①과 같은 조치가 없음을 개인에게 명확하게 알리고 동의 받은 경우
  • 법령 등에 따라 이전이 허용되는 경우
  • 정보 제공에 대해 허용된 일반 상황이 존재하는 경우
  • 국제협정에 따라 정보를 제공할 의무나 권한이 있거나 법 집행기관의 법 집행에 필요한 경우 등

정보주체이외로부터 수집한 개인정보의 수집 출처 등 고지

정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 함

  • 개인정보의 수집 출처
  • 개인정보의 처리 목적
  • 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

[APP 3]

APP 주체가 정부기관일 때 다음의 경우에는 타인을 통한 정보 수집 가능

  • 타인으로부터 개인정보가 수집되는데 대해 개인이 동의한 경우
  • 법령이나 법원의 명령 등에 따라 타인으로부터 개인정보 수집이 허용될 때

[APP 5]

개인정보를 타인으로부터 개인정보를 수집하는 시점 또는 이전(혹은 불가피한 경우 수집 후 가능한 빨리)에 개인정보처리방침의 내용과 정보 수집과 관련된 상황 등을 인지하도록 조치

파기

이용 및 보유기간의 경과, 개인정보의 처리 목적 달성 등 지체 없이 개인정보 파기

정보 주체 동의 혹은 법령 규정에 의한 경우 보유 가능하며 다른 개인정보와 분리하여서 저장ㆍ관리

[APP 11]

이용 및 제공 목적을 달성하였고, 연방 기록(Commonwealth record)에도 포함되지 않았으며, 법령이나 법원 명령 등에 따라 보유할 의무가 없는 정보는 파기 또는 비식별화 조치

업무 위탁 처리 제한

제3자에게 개인정보의 처리 업무를 위탁 시 문서를 통하고 위탁 사실을 공개하며 수탁자를 관리·감독하여야 함

별도 규정 없음

※ 단, 수탁자의 행위는 위탁자인 민간기관의 행위로 간주한다고 명시한 규정은 있음(법 제8조 제5항)

영업 양도양수

영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 아래 사항을 정보주체에게 알려야 함

  • 개인정보를 이전하려는 사실
  • 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
  • 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차

별도 규정 없음

개인정보 취급자 감독

개인정보취급자에 대하여 적절한 관리ㆍ감독 및 정기 교육 실시

별도 규정 없음

안전조치 의무

개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치 필요

[APP 11]

개인정보의 오용이나 방해, 분실, 또는 비인가된 정보 접근이나 수정 또는 제공으로부터 보호되도록 제반 정황에 따라 합당한 조치 필요

개인정보 처리 방침 수립 및 공개

개인정보처리방침 수립 및 공개 필요

  • 개인정보의 처리 목적
  • 개인정보의 처리 및 보유 기간
  • 개인정보의 제3자 제공에 관한 사항
  • 개인정보처리의 위탁에 관한 사항
  • 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
  • 개인정보보호책임자의 성명 또는 개인정보보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
  • 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항
  • 처리하는 개인정보의 항목
  • 개인정보의 파기에 관한 사항
  • 개인정보의 안전성 확보 조치 사항

[APP 1]

개인정보처리방침 수립 및 공개 필요

  • 수집 및 보유하는 개인정보 유형
  • 개인정보를 수집 및 보유하는 방법
  • 개인정보 수집, 보유, 이용 및 제공 목적
  • 개인의 개인정보에 대한 접근 및 정정 요구 방법
  • APP나 공인 APP 규약(해당 시) 위반에 대한 민원 제기 및 민원 처리 방법
  • 개인정보의 국외 이전 가능성
  • 국외 이전가능성이 높은 경우, 해당 국가를 명시할 수 있을 경우 해당 국가명 등

개인정보보호 책임자

개인정보보호 책임자를 지정하고 개인정보처리방침을 통해 이를 공개해야 함

책임자 업무

  • 개인정보보호 계획의 수립 및 시행
  • 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
  • 개인정보보호 교육 계획의 수립 및 시행
  • 개인정보파일의 보호 및 관리ㆍ감독
  • 개인정보 처리방침의 수립ㆍ변경 및 시행
  • 개인정보보호 관련 자료의 관리
  • 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

별도 규정 없음

개인정보 영향평가

기업은 정보주체의 개인정보 침해가 우려되는 경우 영향평가 수행을 위해 적극 노력해야 함

OAIC는 개인정보를 취급하는 정부기관의 수행 활동 등이 개인의 프라이버시에 중대한 영향을 끼칠 수 있다고 판단하는 경우 해당 기관에 개인정보 영향평가 수행을 지시할 수 있음

개인정보 유출 통지

개인정보 유출시 정보주체에게 아래 사실을 통지해야 함

  • 유출된 개인정보의 항목
  • 유출된 시점과 그 경위
  • 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
  • 개인정보처리자의 대응조치 및 피해 구제절차
  • 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 정부 기관에 신고해야 함

데이터가 유출되고, 이로 인해 개인에게 심각한 피해가 발생할 수 있으며, APP 주체가 이를 구제하지 못하는 경우를 적정한 개인정보 유출로 규정

적정한 개인정보 유출에 한하여 아래 사실을 개인 및 OAIC에 통지해야 함

  • 개인정보 처리 주체의 신원/연락처
  • 유출과 관련된 개인정보 항목
  • 개인이 유출에 대응하기 위해 취할 수 있는 조치 등

1천명 이상 개인정보 유출 사고 발생 시 행안부 및 또는 전문기관에 신고해야 함
· 신고 항목 : 이용자 통지 사항 + 유출 피해 최소화 대책 및 필요 조치 결과

정보주체 권리

정보주체는 개인정보에 대한 열람·정정·삭제·처리 정지 권리를 가지며 처리자는 그 결과를 지체 없이 정보주체에게 알려야 함

개인은 개인의 정보에 대해 열람 및 정정할 권리가 있으며, APP 주체가 이를 거절하는 경우 그 사유와 개인이 관련된 민원을 제기할 수 있는 방법을 알려야 함

제3자에게 제공된 정보에 대한 정정을 원하는 경우, APP 주체는 불가피한 경우를 제외하고 해당 제3자에게 연락하여 필요한 조치를 해야 함

top