캐나다 개인정보보호 관련 법제는 연방과 주 차원의 여러 법률에 의한 복잡한 체계를 가지고 있다. 그러나 캐나다 개인정보 보호와 관련한 입법요구는 1982년 연방통신부와 법무부가 공동으로 발행한 프라이버시와 컴퓨터(Privacy and Computer)보고서를 시작으로 보는 것이 통념이다. 동 보고서는 인권의 중요한 요소로서 개인정보보호의 중요성을 언급하고 있으며. 그에 따라 개인정보 보호체계의 총체적 기준을 설정하고 이를 집행하기 위해 성문화된 법률이 본격적으로 요구되었다. 이러한 움직임은 서구사회 전반에 나타난 움직임으로, 이후 미국의 프라이버시법 제정에 영향을 받은 개인정보보호에 관한 여러 법률이 캐나다 연방과 여러 주 정부에서 본격적으로 제정되었다.

캐나다의 성문화된 개인정보보호법은 1982년 제정된 공공부문 개인정보를 규율하는 프라이버시법(Privacy Act)이 최초이며, 이후 IT부문의 기술발달과 전자상거래부문의 급격한 성장으로 민간부문 개인정보보호에 관한 문제가 부상함에 따라서 2001년 개인정보보호 및 전자문서법(PIPEDA)이 2004년 1월에 발효되어 캐나다 개인정보보호에 관한 큰 틀이 마련되었다. 이후 일부 주에서 독자적인 개인정보 보호법을 추가로 제정하여 현재에까지 이르고 있다.

정리하면, 현재 캐나다의 개인정보 보호체계는 ① 공공부문을 규율하는 프라이버시법(Privacy Act)과 ② 민간부문 상업 활동과 관련된 개인정보 활용과 관리(수집·이용·보관·공개·이전·폐기) 전반을 포괄적으로 규율하는 연방 개인정보보호 및 전자문서법 (PIPEDA ; Federal Personal Information Protection and Electronic Documents Act)으로 크게 양분할 수 있다. 이와 같이 캐나다 개인정보보호법 체계가 공공부문과 민간부문으로 이원화된 체계로 구성된 이유는 각각의 부문에서 주로 다루는 개인정보의 차이와 특성을 고려한 것으로 볼 수 있다.

이에 추가로 주 정부가 PIPEDA를 대체하여 독자적으로 운용하는 ③ 앨버타 주 개인정보보호법 (PIPA Alberta; Alberta’s Personal Information Protection Act), ④ 브리티시 컬럼비아 주 개인정보보호법(PIPA BC; British Columbia’s Personal Information Protection Act), ⑤ 퀘벡 주 민간부문 개인정보보호법(Quebec’s An act respecting the protection of personal information in the private sector)을 총칭하여 캐나다 프라이버시법(Canadian Privacy Statutes)이라 한다.

(그림 1) 캐나다 개인정보보호 관련 법률 체계

한편, 연방 개인정보보호 및 전자문서법 (PIPEDA)은 2021년 또는 2022년 중에 새로운 연방법률 소비자 개인정보 보호법(CPPA; Consumer Privacy Protection Act)으로 대체될 전망이다. 동 법률(안)은 현재 연방 의회에서 검토 중에 있으며 정보제공자의 권리를 강화하고 컨트롤러의 책임을 확장하고 컨트롤러(프로세서)의 실패에 따른 처벌을 강화하는 방향으로 논의되는 중으로 알려지고 있다.

가. 프라이버시법(Privacy Act)

(1) 개요

프라이버시법(Privacy Act)은 정보접근법(Access to Information Act)과 더불어 1983년 7월에 발효되었으며, 연방 및 각 주 정부의 기관이 공공서비스 제공을 위해 수집하고 관리하는 개인정보 처리에 관한 사항을 규율하는 목적으로 시행되고 있다.

(2) 개인정보의 정의

프라이버시법(Privacy Act)은 개인정보에 대해 어떠한 형태를 포함하는지를 불문하고 “개인을 식별할 수 있도록 하는 정보(information about an identifiable individual)”로 정의하고 있다. 다음은 동 법에서 언급하는 정의에 따른 예시이다.

• ①인종, 국가, 민족적 배경, 피부색, 종교, 연령, 결혼 유무 등
• ②교육・건강・범죄・고용 기록, 금융거래기록 등
• ③개인에게 부여된 식별번호 또는 유사한 기능을 통해 개인을 특정할 수 있는 정보
• ④개인의 이름, 나이, 주소, 지문, 혈액형, 연락처 등
• ⑤개인의 의견 및 견해
• ⑥개인이 묵시적이거나 명시적으로 정부기관에 전달한 통신문과 그에 대한 기관의 응답
• ⑦특정인에 대한 개인의 견해 또는 의견
• ⑧상기 ⑥호에서 언급된 기관 혹은 그 부서가 그 개인에게 응답한 내용에 관한 타인의 견해 및 의견(단, 그 개인의 이름은 포함되지 아니한다)
• ⑨다른 정보와 함께 연계되어 개인을 특정할 수 있도록 하는 기타의 정보

그러나 프라이버시법의 제7조, 제8조 및 제6조와 정보접근법의 제19조는 아래의 개인정보에는 적용되지 않는다.¹⁾

1) https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-privacy-act/pa_brief/

• ①연방정부의 공무원 또는 임직원이었던 개인의 직무에 관한 정보
• ②정부 및 공공기관과 공급계약을 수행한 개인의 업무에 관한 정보
• ③면허 및 인허가 정보를 포함한 특정 정보
• ④사망한지 20년 이상 경과한 개인에 대한 정보

(3) 적용범위

프라이버시법(Privacy Act)은 정부와 공공기관이 공공서비스 제공과 관련하여 수집·이용· 공개·보유하는 개인의 식별정보를 주목하고 있으며, 통상 노령보장연금, 고용보험, 출입국기록, 범죄기록, 납세정보 등으로 예시될 수 있다. 그러나 정당, 상하원 정치인, 법원, 민간조직은 동 법에 따른 규제대상에 포함되지 않는다.

(4) 정보주체의 권리

프라이버시법(Privacy Act)은 캐나다 국민이나 이민 및 난민보호법(Immigration and Refugee Protection Act) 제2조 1항의 규정에 따라, 자격이 있는 모든 시민과 영주권자는 동법에 따라 자신의 개인정보파일에 관한 열람권을 인정하고 있다. 정보 주체는 자신의 정보파일을 열람하기 위해서는 자신의 개인정보 파일을 관리하는 공공기관에 해당 파일을 합리적으로 특정할 수 있는 요건을 충족하여 서면으로 요청해야 한다. 열람요청을 받은 공공기관은 원칙적으로 30일 이내에 신청인에게 서면으로 회신해야 한다. 그러나 동 법은 아래의 경우 30일 응답기한을 연장할 수 있다.

• ①30일 이내 회신하는 것이 정상적인 기관운영에 차질을 초래하는 경우
• ②30일 이내 회신하기 위해 추가적인 협의가 필요한 경우
• ③번역 또는 정보를 대체형식으로 변환하는 데 추가적인 시간이 필요한 경우

또한 동 법은 아래의 경우에는 정보 주체의 개인정보파일 열람요청에 대한 거부권도 인정하고 있다.

• ①정보공개가 정부 또는 국제문제를 초래할 가능성이 크거나 국가 방위에 해를 끼칠 수 우려가 있는 경우
• ②규정에서 명시한 수사기관에 의해 개인정보가 수집되거나 작성된 경우
• ③정보공개가 개인의 안전을 위협할 것으로 합리적인 예상이 가능한 경우
• ④변호사-클라이언트 권한의 적용을 받는 경우
• ⑤정보열람에 따른 신체적 또는 정신적 위해가 우려되는 경우

한편 정보 주체는 정부 기관의 개인정보 처리과정에서 ① 자신의 정보가 정부 기관에 의해 부적절하게 수집·이용·보관·공개·이전·폐기되었다고 판단되는 경우, ② 본인의 정당한 열람요청이 거부된 경우, ③ 정당한 열람요청이 부당하게 지연되었다고 판단하는 경우에는 해당 기관에 즉각적인 해결을 요구하거나 해당 기관의 개인정보보호조정관(AITP)에게 문제를 제기할 수 있는 권리 또한 보장하고 있다.

(5) 컨트롤러 및 프로세서의 의무

1) 수집 관련

프라이버시법(Privacy Act)은 정부 기관에 의한 개인정보 수집이 해당 기관의 활동에 직접적으로 요구되는 경우에만 허용되어야 한다고 제한하고 있으며, ① 정보 주체가 별도로 승인하거나, ② 동법 제8조 2항에 기술된 정부기관간 정보를 전송²⁾하는 경우를 제외하면 원칙적으로 정부기관이 직접 정보 주체로부터 정보를 수집해야 한다고 언급하고 있다.
또한, 동 법은 정부기관이 수집과정에서 반드시 정보 주체에게 정보수집의 목적을 고지해야 한다고도 명시하고 있는데, 다만 수집목적 고지가 해당 정보의 정확성을 훼손할 가능성이 있거나 고지로 인해 수집된 정보이용에 심각하게 부정적인 영향이 예상되는 경우에는 예외적인 상황으로 인정하고 있다.

2) https://laws-lois.justice.gc.ca/eng/acts/P-21/FullText.html#h-397260

2) 이용 관련

프라이버시법(Privacy Act)은 개인정보 이용에 있어서도 마찬가지로 정보제공자의 동의를 요구하고 있다. 다만 공공기관이 수집목적에 부합하게 정보를 이용하는 경우와 동 법 제8조 2항에 따라 관련 기관에 정보를 제공하는 경우는 예외로 인정하고 있다. 또한 동 법은 공공기관이 보관중인 정보를 제3자에 공개하는 경우에도 제공자의 동의를 얻도록 규정하고 있다. 동 법이 규정하는 개인정보 이용에 관한 항목은 동법 제7조와 제8조 2항에 기술되어 있다.³⁾ 그러나 아래와 같은 경우에는 정보 주체의 동의가 없어도 정보를 제공할 수 있는 예외적인 상황으로 규정한다.

3) https://laws-lois.justice.gc.ca/eng/acts/P-21/FullText.html#h-397260

• ①공공기관이 정보수집 목적에 부합한 목적으로 제공하는 경우
• ②의회가 제정하는 법률 또는 정보제공을 승인하는 규정에 따라 제공하는 경우
• ③법원 또는 정보생성을 강제할 수 있는 기관의 소환장, 영장, 명령이나 기록생성에 관한 법원의 규칙을 준수하기 위해 필요한 경우
• ④연방정부나 유관기관에서 관련된 법적 절차를 위하여 법무부장관에게 제공하는 경우
• ⑤연방이나 주 법률을 시행하기 위하거나 법적 조사를 수행하기 위하여 관련 규정에서 정한 조사기구가 정보 제공의 목적과 제공 대상 정보를 밝히고 서면으로 요청한 경우
• ⑥연방정부나 그 기관, 주정부, 외국정부, 국제기구, 각국 정부가 설립한 국제기구 혹은 그러한 정부나 기구 간의 협정, 협약에 따라 법률을 시행하거나 법적 조사를 수행하기 위하여 필요한 경우
• ⑦정보에 관련된 정보제공자의 문제 해결을 지원하기 위하여 의회 의원에게 제공하는 경우
• ⑧내부감사 목적으로 정부와 공공기관의 공무원 또는 감사의 목적으로 감사원(Comptroller General) 및 규정에서 정한 기관에게 제공하는 경우
• ⑨기록을 목적으로 연방기록원(National Archives of Canada)에게 제공하는 경우
• ⑩연구 및 통계의 목적으로 관련기구에 제공하는 경우
• ⑪정보제공으로 인한 공익이 침해로 인한 피해보다 명백하게 더 큰 경우
• ⑫정보제공이 정보제공자에게 명확히 이로운 경우

3) 개인정보 은행 및 색인

프라이버시법(Privacy Act)은 행정목적으로 이용하는 모든 정보와 관련정보를 취합하여 개인정보 은행(Personal Information Bank)에 등록하도록 요구하고 있다. 또 나아가 동 법은 해당 기관의 장에게 해당 기관이 관리하는 모든 개인정보의 색인(index)을 매년 1회 이상 정기적으로 공시(publish)하도록 하고 있다. 이 개인정보 색인에는 다음과 같은 정보가 포함된다.

• ①은행의 명칭과 개요, 제71조 1항 제(b)목에 따라 지정된 기관장에 의해 해당기관에 할당된 등록번호, 은행내 수록된 개인정보와 관련된 개인의 등급 표시,
• ②은행을 관리하고 있는 공공기관의 명칭,
• ③은행에 수록된 개인정보에 관한 청구를 담당할 담당자의 직책과 주소
• ④은행내 개인정보를 수집하거나 수집한 목적에 대한 설명
• ⑤은행내 개인정보에 적용되는 보유 및 폐기 기준에 대한 설명
• ⑥해당 기관의 관리하고 있는 개인정보 중 개인정보 은행에 등록되지 않은 모든 종류의 개인정보 색인 등

4) 정확성 유지

프라이버시법(Privacy Act)은 수집된 모든 개인정보는 가능한 최신의 상태와 정확하고 완전한 상태를 유지할 수 있도록 모든 합당한 조치가 취해져야 한다고 규정하고 있다. 또한 동 법은 공공기관이 관리하는 개인정보 상에서 오류나 누락이 의심되는 경우에 정보제공자에 정정을 요청할 수도 있다. 그러나 정정요청에도 불구하고 정보가 정정되지 않은 경우, 정부기관은 정정요청이 있었다는 사실을 해당정보 파일에 부기하도록 요구하고 있다.

5) 보관 관련

프라이버시법(Privacy Act)은 정부기관이 이용한 개인정보는 정보 주체가 요청하지 않는 한 최소 2년 동안 보관할 것을 요구하고 있으며, 정보 주체의 접근요청이 있을 경우에는 해당 요청이 완수되는 시점까지 보유기간을 연장해야 한다고도 규정하고 있다. 동 법이 규정하는 정보보관에 관한 조항은 동법 제4조와 제5조에 기술되어 있다.⁴⁾

6) 공개 제한

프라이버시법(Privacy Act)은 아래와 같은 특수한 상황을 제외하고는 수집·보관중인 정보를 정보 주체의 동의가 없으면 공개할 수 없다고 명시하고 있다.

• ①개인정보 수집의 원래 목적 또는 그에 준하는 목적으로 이용되는 경우
• ②연방법에서 공개가 승인된 경우
• ③법원이나 정보감독기관의 소환장, 영장 또는 명령을 준수하기 위해
• ④공개에 따른 이익이 손실을 명백히 능가하는 경우
• ⑤공개에 따른 공공이익이 사생활 침해에 따른 손실을 능가하는 경우

동 법의 개인정보 공개의 핵심사항은 ‘동의’로 규정하고 있으며, 또한 동의를 개인정보에 관한 권리보호의 주요한 수단으로 인식하고 있다.

나. 개인정보보호 및 전자문서법(PIPEDA, Personal Information Protection and Electronic Documents Act)

(1) 개요

개인정보보호 및 전자문서법(PIPEDA)은 2004년 1월에 발효되었으며, 자체 개인정보보호 법을 독자운용하고 있는 앨버타 주, 퀘벡 주, 브리티시 컬럼비아 주를 제외한 모든 주에서 민간 부문 개인정보보호의 기본 축을 담당하고 있다. 특히, 동 법은 상업 활동에서 개인정보를 수집·이용·보관·공개·이전·폐기하는 정보와 관련한 모든 행위를 규율하고 있다.

[표 1] 개인정보보호 및 전자문서법(PIPEDA) 구성

개인정보보호 및 전자문서법(PIPEDA) 구성

구분		주요 내용
제1장 (Part 1)	민간 부문의 개인정보보호 (Protection of Personal Information in the Private Sector)	정의, 목적, 적용 범위 등
	제1절 개인정보보호 (Division 1. Protection of Personal Information)	개인정보 수집 시 동의 획득 의무, 고용 관계, 동의 없는 사용, 개인정보 접근 요청, 민감 정보 처리 제한 등
	제2절 권리 구제 (Division 2. Remedies)	법률 위반 사항에 대한 민원 제기 절차, 감독 기구 조사 절차 및 권한, 법원 심리 절차, 준법 협약 조건 등
	제3절 감사 (Division 3. Audits)	법률 위반 사항에 대한 감독기구 감사 권한 및 결과 보고 절차
	제4절 일반 조항 (Division 4. General)	감독 기구 기밀 유지 의무, 정보 공개 요건, 주 정부와의 협력 체계, 연례 보고서 발간 등
	제5절 경과 규정 (Division 5. Transitional Provisions)	예외 적용 사항 및 효력 상실 시점
제2장 (Part 2)	전자 문서 (Electronic Documents)	전자 문서의 목적 및 정의, 종이 문서의 대안으로써 전자 문서 사용이 가능한 경우 등
제3장 (Part 3)	캐나다 증거법의 개정 (Amendments to the Canada Evidence Act)	-
제4장 (Part 4)	행정위임입법 개정 (Statutory Instruments Act)	-
제5장 (Part 5)	법률 개정에 관한 법률의 개정 (Statue Revision Act)	-
제6장 (Part 6)	시행 (Coming into Force)	주무 부처 지정
부칙 1 (Schedule 1)	개인정보보호 모델 규약으로 명명된 캐나다의 국가 표준 원칙 (Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information)	1부 : 개인정보 프라이버시의 고려 2부 : 개인정보의 수집 3부 : 개인정보의 처리 4부 : 개인정보의 무결성 5부 : 개인정보에 대한 접근, 수정
부칙 2 (Schedule 2)	의회법 (Acts of Parliament)	의회법내 관련 조항 명시
부칙 3 (Schedule 3)	규칙 및 기타 문서 (Regulation and Other Instruments)	연방 부동산 규칙(Federal Real Property Regulations) 관련 조항 명시
부칙 4 (Schedule 4)	조직 (Organization)	세계 반도핑 기구(World Anti-Doping Agency) 및 관련 개인정보 명시

(2) 개인정보의 정의

개인정보보호 및 전자문서법(PIPEDA)에서도 개인정보는 ‘개인을 식별할 수 있도록 하는 정보(information about an identifiable individual)’로 정의되고 있으며, 이는 특정한 개인에 관한 객관적인 사실과 함께 주관적인 정보를 포함하는 개념이라고 언급하고 있다.
또한 단편적으로 개인을 특정할 수 있는 정보뿐만 아니라 다른 정보와의 결합을 통해 개인을 식별할 수 정보도 모두 개인정보의 범주로 확장하여 접근하고 있다. 이러한 기준에 따르면, 나이, 이름, 인종, 국가, 민족, 종교, 연령, 결혼여부, 교육 및 고용이력, 금융정보, DNA정보, 사회보험번호 및 운전면허번호 등의 정보뿐만 아니라 상업 활동의 대상이 되는 상품이나 서비스에 관한 개인의 의견이나 태도, 특정 개인의 클레임 여부도 PIPEDA가 인식하는 개인정보의 한 종류로 예시될 수 있다. 그러나 특정 기업에서 근무하는 종업원의 이름, 직위, 회사주소, 전화번호 등은 PIPEDA가 인식하는 개인정보의 범주에 포함되지 않는다.
또한, PIPEDA는 개인건강정보(Personal Health Information)의 개념도 별도로 규정하고 있으며, 개인건강정보를 생존여부를 불문하고 개인건강에 관한 정보로서, ① 개인의 신체적 또는 정신적 건강에 관한 정보, ② 개인에게 제공된 의료서비스에 관한 정보, ③ 특정 개인의 신체조직기증에 관한 정보 및 검사에 관한 정보, ④ 개인에게 제공될 의료서비스 정보, ⑤ 개인에게 의료서비스 제공과정에서 우연히 수집된 정보 등을 말한다.

(3) 적용범위

개인정보보호 및 전자문서법(PIPEDA)은 민간부문의 상업 활동 중의 개인정보 활용과 관리(수집·이용·보관·공개·이전·폐기) 전반에 적용된다. 즉, 상업 활동(commercial activities)에 수반되는 개인정보활동을 규율하고 그에 따라 발생할 수 있는 개인정보 침해를 방지하기 위하여 기업, 사단, 조합, 노동조합 등 민간 조직(organizations)의 정보활동규제에 중점을 두고 있다고 할 수 있다. PIPEDA가 적용대상으로 언급하는 개인정보는 ① 기업이 상업 활동의 과정에서 수집·이용·보관·공개하는 정보, ② 기업의 직원 또는 구직신청자에 관한 정보를 포함하여 상업 활동과 관련하여 개인정보를 수집·이용·보관·공개·이전·폐기하는 모든 활동에 적용된다.
반면, PIPEDA는 ① 프라이버시법에 의해 규율되는 공공부문 조직, ② 독자적으로 개인정보보호법을 운용하고 있는 주의 민간조직, ③ 비영리의 사유로 개인정보를 수집하는 민간 조직, ④ 보도·예술·문학 목적으로 개인정보를 수집하는 조직, ⑤ 민간 조직에 소속된 피고용인의 성명·직위· 회사주소·전화번호는 적용되지 않는다고 규정하고 있다.
다만, 언급된 ②항에도 불구하고, 캐나다 내 주 경계 또는 국경을 넘어 개인정보를 처리하는 조직과 캐나다 연방규제의 적용을 받는 아래의 조직들은 PIPEDA의 적용을 받는다고 명시하고 있다.

• ①캐나다 전역에서의 선박을 운용하거나 해상운송을 수행하는 운수사업자
• ②캐나다 각 주 경계를 통행하는 철도, 운하, 전신 사업자
• ③캐나다와 국외를 운항하는 정기선 사업자
• ④공항, 항공기 및 항공항로 관련 사업자
• ⑤라디오 및 TV 방송사업자
• ⑥캐나다 내에서 영업하는 외국은행의 지점을 포함한 은행업
• ⑦특정 주에 관련한 업무를 수행하지만
• ⑧주 의회가 사업의 결과가 캐나다 전역 또는 다른 주에도 영향을 끼친다고 선언한 사업을 영위하는 사업자
• ⑨주 의회의 배타적 입법권한 밖에 있는 사업을 영위하는 사업자

한편, 캐나다 개인정보 감독기구 OPC는 특정 기업이 PIPEDA 적용여부를 확인할 수 있는 사이트를 제공하고 있다.⁵⁾

5) https://www.priv.gc.ca/en/report-a-concern/leg_info_201405/

(4) 정보주체의 권리

캐나다 법률이 규정하는 제한적인 예외상황 이외의 경우에 개인정보의 수집·이용·보관·공개·이전·폐기에 관한 정보제공자의 권리에서 핵심이 되는 요소는 ‘동의’이며, 이를 통해 정보제공자인 개인은 자신의 정보를 조직에 제공할지 여부와 이미 제공된 정보에 관한 접근과 폐기를 요청할 수 있다. 또한 개인정보보호 및 전자문서법(PIPEDA)은 정보제공자의 개인정보와 권리를 보호하기 위한 조직의 책무를 명시하고 있는데, PIPEDA는 조직(정보컨트롤러)의 책임을 정보제공자의 능동적 요청에 따른 활동에만 국한되지 않고 정보활동 프로세스 전반에 걸쳐 포괄적으로 적용하는 것으로 인식하고 있다.
캐나다 프라이버시법(Canadian Privacy Statutes)을 구성하는 다른 법률과 마찬가지로 PIPEDA는 조직이 정보 주체에게서 정보를 수집하는 시점 또는 그 이전에 정보수집의 목적을 고지하고, 또한 정보가 제공된 이후에라도 정보 주체는 ① 컨트롤러가 보관하고 있는 자신의 정보에 액세스를 요청할 수 있는 권리와 ② 정보 레코드의 오류내용을 수정할 수 있는 권리를 보장하고, ③ 정보 주체의 권리를 보장하기 위한 임직원에 대한 교육을 실시하고 ④ 그에 따른 개인정보 보호정책 및 관행을 마련할 것을 요구하고 있다.

(5) 컨트롤러 및 프로세서의 의무⁶⁾

1) 개인정보보호 및 전자문서법(PIPEDA)의 10대 원칙⁷⁾

PIPEDA 부칙1호(Schedule 1.)는 국가표준 개인정보 보호원칙에서는 PIPEDA의 핵심을 이루는 10가지 원칙을 아래와 같이 명시하고 있다.

[표 ] 개인정보보호 및 전자문서법(PIPEDA) 10대 원칙

개인정보보호 및 전자문서법(PIPEDA) 10대 원칙

순번	내용	설명
제1원칙	책임성 (Accountability)	조직은 관리하는 개인정보에 책임을 지며, 이를 전담하는 책임자 1인 이상을 지정해야 함
제2원칙	목적 명시 (Identifying Purpose)	조직은 개인정보 수집 목적을 정보 수집 시점 또는 그 이전에 명시해야 함
제3원칙	동의 (Consent)	부적절한 경우를 제외하고, 개인정보를 수집·이용·제공을 위해서는 개인의 인지(knowledge) 및 동의(consent) 필요
제4원칙	수집 제한 (Limiting Collection)	개인정보 수집은 조직이 명시한 목적을 위해 필요한 범위에 한정되어야 하며 공정하고 합법적인 방법으로 수집해야 함
제5원칙	이용·제공·보유 제한 (Limiting Use, Disclosure and Retention)	목적 명시의 원칙(제2원칙) 및 동의에 관한 원칙(제3원칙)과 긴밀하게 연결됨
제6원칙	정확성 (Accuracy)	개인정보는 이용되는 목적을 위해 필요한 정도로 정확하고 완전하며 최신의 것이어야 함
제7원칙	안전성 확보 조치 (Safeguards)	개인정보는 해당 정보의 민감성에 적합한 안전성 확보조치에 의해 보호되어야 함
제8원칙	개방성 (Openess)	조직은 개인정보 관리와 관련된 정책 및 관행에 관한 구체적인 정보를 개인에게 즉시 제공해야 함
제9원칙	개인의 접근 권한 (Individual Access)	개인의 요청이 있는 경우 개인정보의 보유·이용·제공 사실을 해당 개인에게 통지하고, 해당 정보에 대한 접근을 허용해야 함
제10원칙	준법성에 대한 이의 제기 (Challenging Compliance)	개인은 조직의 규정 준수를 책임지도록 지정된 사람에게 상기 원칙의 준수에 관한 이의를 제기할 수 있어야 함

6) https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/principles/p_consent/
7) https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/

2) 동의

개인정보보호 및 전자문서법(PIPEDA)은 민간 부문에서 상업 활동에 종사하는 조직의 모든 정보활동(정보의 수집·이용·보관·공개·이전·폐기)에 있어 원칙적으로 정보 주체의 동의를 필수요소로 보고 있으며, 정보 주체는 동의 절차를 통해 조직(컨트롤러 및 프로세서)에게 자신의 개인정보에 대한 권한을 행사할 수 있다.
정보 수집과정에서 정보 주체가 제공한 ‘동의’의 유효성은 정보 주체가 자신이 제공하는 동의 의미에 대해 충분히 이해하는지의 여부도 매우 중요한 요소로 작용한다고 보는 것이 기본적인 입장이다. 따라서 동의는 제시된 목적달성을 위해 합리적인 수준에서 이해되어야 하고, 부분적인 활용에 대해서도 정보제공자의 선택권을 보장해야 한다.
또한 제공자의 동의의 표현방식은 대상 정보의 민감성을 고려하여 결정되어야 하며, 동의의 절차는 정보를 수집하는 상황과 유형에 따라서 결정되어야 한다. 정보 주체는 법률이나 계약에 따른 경우를 제외하면, 합리적으로 유효한 통지의 방법으로 언제든지 동의를 철회할 수 있다. 이를 달리 요약하면, PIPEDA가 유효한 것으로 인정할 수 있는 동의는 다음 4가지 사항을 필수요건으로 하고 있다.

• ①정보 주체는 어떤 정보의 제공에 동의하는 것인지를 정확하게 이해하고 있는가?
• ②제공된 개인정보가 누구와 공유될 것인지를 이해하고 있는가?
• ③제시된 목적을 달성하기 위하여 제공된 개인정보의 수집·이용·공개에 동의하는 것에 관한 의미를 명확하게 이해하고 있는가?
• ④정보제공에 따른 결과와 위험요소를 이해하고 있는가?

이러한 필수요건을 충족하기 위하여, 캐나다 개인정보 감독기구 OPC는 ① 관리가능하고 쉽게 액세스할 수 있는 방법으로 정보를 제공하고, ② 개인정보 수집·이용·공개에 관한 내용을 정보 주체가 명확하게 선택할 수 있도록 제공하고, ③ ‘동의’의 전반적인 프로세스가 일반인들에게도 어렵지 않게 이해될 수 있는 수준에서 검토할 것을 권고하고 있다.

한편, 캐나다 개인정보 감독기구 OPC는 13세 미만 아동이나 직접 동의를 제공할 수 없는 특수한 상황에서는 부모 또는 보호자의 동의를 인정하고 있으며, 해당 아동이나 청소년이 직접 동의를 제공할 수 있을지에 대한 판단은 청소년의 성숙도를 합리적으로 감안하여 판단하도록 요구하고 있다. 그러나 동의의 절차가 명시적이든 묵시적이든 여부에 상관없이, 컨트롤러와 프로세서는 PIPEDA에 따른 책임과 의무, 개인정보 보호조치 구현, 개인정보 처리에 관한 합리적인 목적의 수립과 다른 책임에 구속된다고 규정하고 있다.

또한, 연방 개인정보 감독기구 OPC는 개인정보 수집·이용·보관·공개·폐기 등의 프로세스에 관한 동의는 명시적으로든 묵시적으로든 모두 가능하지만 반드시 대상 정보의 민감성과 제공자의 합리적인 기대치를 고려하여 결정되어야 한다고 권고한다. OPC 규정에 따르면, 동의는 원칙적으로 ‘명시적’이어야 하지만 엄격하게 제한된 상황에서 이루어지는 ‘묵시적’ 동의의 효력도 인정한다는 입장이다. 그럼에도 조직은 ① 특별히 민감한 정보의 수집·이용·보관·공개·이전·폐기의 경우, ② 해당정보의 수집·이용·보관·공개가 개인의 합리적인 기대를 벗어나는 경우, ③ 해당정보의 수집·이용·보관·공개가 상당한 위험의 가능성을 야기하는 경우에는 반드시 명시적인 동의를 확보해야 한다고 규정하고 있다.

3) 동의 없는 정보 수집

개인정보보호 및 전자문서법(PIPEDA)은 원칙적으로 정보수집 과정에서의 동의를 요구하고 있으나, 다음의 경우 정보 주체의 인지 또는 동의가 없다하더라도 개인정보를 수집할 수 있는 예외상황을 규정하고 있다.

• ①개인정보의 수집이 분명히 정보제공자에게 이익이 되며 적절한 시점에 동의를 얻을 수 없는 경우
• ②정보 주체의 인지나 동의하의 수집이 정보의 가용성ㆍ정확성을 훼손할 것으로 예상되거나, 협정ㆍ법률 위반의 조사와 관련된 정보를 수집하는 경우
• ③언론ㆍ예술ㆍ문학적 목적으로 정보를 수집하는 경우
• ④공적 이용이 가능한 정보를 수집하는 경우나 법령의 규정에 의해 수집하는 경우

4) 정보 이용·보관·공개 제한⁸⁾

개인정보보호 및 전자문서법(PIPEDA)은 예외적인 상황을 제외하면 반드시 개인정보 수집과정에서 동의된 목적에만 개인정보를 이용할 수 있으며, 목적 달성에 필요한 기간에 한하여 획득한 개인정보를 보유할 수 있다고 규정하고 있다. PIPEDA는 아래와 같이 개인정보의 이용에 관한 고지와 동의획득 의무가 면제되는 상황을 예시하고 있다.

8) https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/principles/p_use/

• ①조직이 활동 중에 캐나다 연방이나 주 또는 외국 재판관할권의 법률에 대해 행해졌거나, 현재 진행하고 있거나, 곧 진행될 위반 행위의 조사에 유용하다고 믿을만한 합리적인 근거가 있는 정보를 알게 되는 경우로 해당 정보가 그 위반 행위의 조사 목적에 사용되는 경우
• ②개인의 생명, 건강, 안전을 위협하는 비상사태와 관련하여 행동할 목적으로 사용되는 경우
• ③해당 정보를 사용하지 않으면 달성할 수 없는 통계, 학술 연구, 조사 목적으로 사용되며, 정보가 기밀성을 보장하는 방식으로 사용되고, 동의를 얻는 것이 비현실적이며, 조직이 해당 정보의 사용에 앞서 감독기관에 통지한 경우

한편 PIPEDA는 이미 정보 주체의 동의를 획득한 정보라 하더라도 수집과정에서 정보 주체에게 제시된 목적 이외의 다른 용도로 이용하거나 공개하는 것처럼 일반적인 정보보호 관행을 벗어나는 행위는 반드시 추가적인 동의를 받아야 한다고 규정하고 있다. 또한 조직(컨트롤러)은 제공된 정보의 종류와 보관위치, 이용내역에 관한 데이터를 축적하고 상시적으로 추적할 수 있도록 유지할 것과 합리적으로 적절하다고 판단되는 상황에서만 정보를 이용할 수 있으며, 이를 위한 지침과 절차를 확립할 것을 요구하고 있다. 이러한 맥락에서 캐나다 개인정보 감독기구 OPC는 개인정보의 이용·보관·파기와 관련하여 아래사항을 권고하고 있다.

• ①개인정보의 새로운 이용목적이 추가되는 경우 문서화할 것
• ②보관된 개인정보에 대한 직원의 접근을 제한 및 모니터링하고 승인 없이 정보에 접근하는 경우 적절한 조치를 취할 것
• ③법적 요구사항, 제약, 이의제기를 고려하여 정보의 최대보관기간과 최소보관기관을 설정할 것
• ④특별한 목적이 없거나 더 이상 목적을 달성하지 못하는 개인정보는 파기할 것
• ⑤정보매체의 형태에 따른 최선의 폐기방안을 마련할 것, 예를 들어, 서류는 안전하게 파쇄하고 디지털 미디어는 효과적으로 삭제함으로써 개인정보 유출을 사전에 방지할 수 있는 최선의 방법을 고려하고, 향후 통계 등의 목적으로 정보를 남겨야 하는 경우에는 익명화를 위한 효과적인 기술을 이용할 것
• ⑥컴퓨터, 복사기 및 휴대폰과 같은 전자장비 폐기 전에 모든 개인정보가 완전히 삭제되었는지를 확인할 것
• ⑦개인정보 이용·보관·제한·폐기에 관한 책임과 역할에 대해 임직원의 교육을 실시할 것

5) 동의 없는 개인정보 활용

개인정보보호 및 전자문서법(PIPEDA)은 개인정보 수집·이용·제공시에는 정보제공자의 동의를 원칙적으로 요구하고 부칙 1에서는 개인정보 수집·이용·제공에 관한 제한사항을 명시적으로 규정하고 있으나, 한편 PIPEDA는 정보제공자의 동의가 없어도 수집·이용·제공을 허용하는 예외적인 상황도 아래와 같이 규정하고 있다.

• ①조직이 활동 과정에서 이미 발생했거나 진행 중인 또는 향후 발생할 수 있는 법령 위반에 대한 조사에 유용하다고 믿어지는 합리적인 근거가 있는 정보를 인지하고, 그러한 조사의 목적으로 정보를 이용하는 경우
• ②정보제공자의 생명ㆍ건강ㆍ안전에 위협이 되는 위급한 상황에 대처하기 위하여 정보를 이용하는 경우
• ③통계 및 학술상의 연구나 조사 또는 그 정보를 이용하지 아니하고는 목적을 달성할 수 없는 경우의 정보로서, 비밀을 보장할 수 있는 방법으로 이용하고, 동의를 얻기가 불가능하며, 조직이 이용 전에 정보의 이용을 위원장(Commissioner)에게 알리는 경우
• ④공적으로 이용하는 경우나 법령의 규정에 의해 정보를 이용하는 경우 등으로 명시하고 있다.

6) 동의 없는 정보 제공

개인정보보호 및 전자문서법(PIPEDA)은 제3자에 대한 정보제공을 합리적인 사람이 그 상황에서 적절하다고 판단하는 목적에 대해서 보유한 정보를 제공할 수 있다고 명시하고 있으며, 이 경우에도 정보 제공에 관한 개인의 인지와 동의절차를 요구하고 있다. 그러나 개인의 인지 혹은 동의가 없이도 개인정보를 제공할 수 있는 경우로 아래와 같이 규정하고 있다.

• ①조직을 대리하는 변호사(advocate)나 공증인(notary), 또는 법정변호사(barrister)나 사무변호사(solicitor)에게 정보를 제공하는 경우
• ②정보제공자가 조직에게 지고 있는 부채를 회수하려는 목적으로 조직에 정보를 제공하는 경우
• ③법원 또는 정보 생성을 강제할 수 있는 기구의 소환장ㆍ영장ㆍ명령 혹은, 기록의 생성에 관한 법원의 규칙을 준수하기 위하여 필요한 경우
• ④조직의 주도로 조사기구, 정부 및 공공기관 혹은 공공기관의 부서에 정보를 제공하는 경우
• ⑤정보제공자의 생명ㆍ건강ㆍ안전상의 위급한 상황으로 인해 정보가 필요한 사람에게 제공하는 경우
• ⑥통계 및 학술상의 연구나 조사 또는 그 정보를 제공하지 아니하고는 목적을 달성할 수 없는 경우의 정보로서, 동의를 얻기가 불가능하며, 조직이 정보 제공 전에 이를 감독기구 OPC에 알리는 경우
• ⑦역사적 기록 또는 기록상의 중요성을 가지는 기록의 보존을 담당하는 기관에 제공하는 정보로서, 그러한 보존의 목적으로 정보를 제공하는 경우
• ⑧정보가 기록된 지 100년이 지난 경우
• ⑨특정인에 관한 정보로 해당자가 사망하고 20년 이상이 경과한 경우
• ⑩공적 이용이 가능하거나 법령의 규정에 따라 정보를 제공하는 경우
• ⑪조사기관이 제공하는 정보로서, 협정ㆍ법령 위반의 조사와 관련하여 합당한 목적을 갖는 경우
• ⑫법률에 의하여 정보 제공이 요구되는 경우 등으로 규정하고 있다.

7) 개인정보 제3자 이전

개인정보보호 및 전자문서법(PIPEDA)은 기업이 보관중인 개인정보를 제3자에게 이전하려는 정보공유기관(기존에 정보를 보관하던 조직)은 피공유기관(정보를 공유 받는 제3자)이 해당 개인정보를 적절하게 보호하고 관련 법률을 준수하도록 할 책임을 이전 이후에도 계속 부과하고 있으며, 개인정보 보호정책을 따라 제3자에 대한 정보 이전을 정보제공자에게 통지하도록 의무화하고 있다.
한편, PIPEDA에 대응하는 앨버타 개인정보보호법 (PIPA Alberta)에서는 해외기업에 대한 정보공유와 관련하여, 정보공유조직은 반드시 ① 공유되는 정보가 이용·보관·공개·폐기될 국가와 피공유조직의 명칭, ② 정보공유가 승인된 이유와 목적, ③ 캐나다 외부 피공유조직 개인정보보호 정책과 관행에 관한 서면정보에 접근방법, ④ 피공유조직의 개인정보 수집·이용·보관·공개·폐기에 관한 정보 주체의 질문에 피공유조직을 대리하여 답변할 수 있는 담당자 정보를 포함하도록 요구하고 있다.
마찬가지로, 퀘벡 민간부문 개인정보보호에 관한 법률(Quebec Privacy Act)에서도 Quebec주 외부의 피공유기관에 전송된 개인정보가 동의 없이 잘못 이용되거나 제3자에게 전달되지 않도록 합당한 조치를 취해야 한다고 규정하고 있으며, 공유된 개인정보가 적절하게 보호를 받을 것이라고 판단되지 않는 경우에는 퀘벡 주 외부로의 개인정보 전송을 거부해야 한다고 구체적으로 규정하고 있다.

8) 집행

개인정보보호 및 전자문서법(PIPEDA)은 개인정보 감독기구 OPC는 정보 주체가 제기한 문제에 대한 조사의무와 조사·처분권을 부여하고 있다.
정보 주체가 제기한 불만사항을 OPC는 조사해야 하고, OPC의 조사결과 및 처분내용이 포함된 보고서가 준비된다. 이를 토대로 정보 주체는 고소인의 자격으로 연방법원에 소송을 제기할 수 있으며, 법원은 피고소조직에 대하여 개인정보관행을 개선하고 고소인의 피해에 대한 배상지급을 명령하는 절차를 진행할 수 있다.

가. 개요

캐나다에서 발생하는 개인정보보호에 관한 사항은 개인정보보호 및 전자문서법(PIPEDA)과 프라이버시법(Privacy Act)이 큰 체계를 형성하고 연방 감독기구 OPC에 의해 많은 케이스가 규율되고 있는 것은 사실이나, 지역적 기준과 규율되는 정보의 성격에 따라 기타의 법령으로 규율하기도 한다.

(1) PIPEDA를 대체하는 주별 개인정보보호법

앨버타 주 , 브리티시 컬럼비아(BC) 주, 퀘벡 주에는 연방의 개인정보보호 및 전자문서법(PIPEDA)과 실질적으로 유사한 것으로 간주되는 자체적인 개인정보보호법을 운용함으로써 민간부문에서 발생할 수 있는 개인정보보호 이슈를 규율하고 있다. PIPEDA가 규정한 경우를 제외하면, 해당 주에서 발생한 개인정보사고는 PIPEDA를 적용하지 않고 아래의 자체 개인정보보호법을 적용하고 있다.

• - 앨버타 주 개인정보보호법(PIPA Alberta, Personal Information Protection Act Alberta)
• - 브리티시 컬럼비아 주 개인정보보호법(PIPA BC, Personal Information Protection Act British Columbia)
• - 퀘벡 주 민간부문 개인정보보호법(Act Respecting the Protection of Personal Information in the Private Sector)

상기의 법률은 앨버타 주, BC주와 퀘벡 주에서 운영되는 대부분의 민간조직에 적용된다.
그러나 ① 주 경계 또는 캐나도 국외로 개인정보가 전송되는 거래, ② 연방 당국의 규율을 받고 있는 은행· 통신·운송에 종사하는 사업에 대해서는 예외적으로 연방의 PIPEDA를 적용하도록 규정하고 있다.

1) 동의

각 주가 운영하고 있는 개인정보보호 법률체계의 핵심은 개인정보와 관련한 조직이 제공자의 동의를 확보하였는가 여부이다. PIPA Alberta를 비롯한 주 정부의 개인정보보호법 체계도 원칙적으로 정보제공자에게 동의와 철회(변경)절차를 통한 정보권리행사를 보장하고 있으며. 동의 획득과정에서 제공자가 정보수집의 목적, 제공하는 종류와 내용에 대한 정보주체의 충분한 인지여부는 동의획득의 정당성을 판단하는데 매우 중요한 요소로 받아들여진다. 따라서 조직은 정보제공자에 충분한 정보제공 후 동의를 획득함으로써 정보수집에 필요한 1차적인 의무를 이행했다고 추정할 수 있다. 한편 주 정부 개인정보보호법은 전자통신, 구두, 서면 등의 여러 가지 형태로 표시될 수 있으며, ‘명시적’ 동의 외에도 ‘암묵적’ 동의의 효력도 합리적인 수준에서 인정하고 있으며. 더 나아가 능동적인 동의의사 표시뿐만 아니라 컨트롤러(프로세서)에 의한 동의요청을 정보제공자가 거부할 수 있는 기회가 주어졌음에도 명시적인 거부의사를 표하지 않는다면 합리적인 상황에 기초하여 이를 묵시적 동의로 해석하고 있다. 또한, 정보 주체의 동의의사에 관한 철회(변경)요청이 접수되면, 조직은 즉시 요청사항이 즉시 반영되도록 조치할 것을 요구하고, 동의과정에서 제시된 이외의 목적으로는 해당 개인정보를 이용할 수 없다고 명시하고 있다.

2) 공개

앨버타 개인정보보호법(PIPA Alberta)과 브리티시 컬럼비아 개인정보보호법(PIPA BC)의 경우, 수집된 정보의 공개와 관련하여 조직은 반드시 ① 제공자에게 목적을 제시하고 공개에 관한 내용에 대해서도 동의를 획득해야 하며, ② 정보공개와 관련한 질의에 대응할 수 있는 담당자의 연락처 등을 포함한 정보를 제공해야 하고, ③ 제공자가 공개요청을 거절할 수 있는 합리적인 기회를 보장하는 절차를 요구하고 있다. 이용과 마찬가지로 개인정보에 관한 내용도 법률에 의해 엄격하게 규율하고 있다.

3) 이전

주 정부의 개인정보보호법 규정에 따라 , 조직이 수집한 개인정보를 제3자에게 이전하고자 하는 경우, ① 서비스 제공조직의 개인정보 보호정책과 관행에 정보제공자가 어떻게 접근할 수 있는지에 관한 정보와 ② 서비스 제공조직의 개인정보 수집·사용·공개·보관에 관한 사항에 관한 질의에 답변할 수 있는 담당자의 이름·직위·직함에 관한 정보도 반드시 제공되어야 한다고 규정하고 있다. 이는 조직이 이전에 수집한 정보를 캐나다 외부로 이전하는 경우에도 동일하게 적용된다.

4) 직원의 개인정보⁹⁾

앨버타 주 개인정보보호법(PIPA Alberta)은 직원을 조직의 견습생, 자원봉사자 및 회사를 대리하여 업무를 수행하는 개인으로 정의하고 있으며, 조직이 직원의 개인정보를 수집·이용·공개하는 경우에도 PIPA Alberta에서 명시된 규정에 따른 책임을 이행해야 한다고 요구하고 있다. 그러나 ① 조직이 특정 개인(직원)과의 고용관계를 형성 또는 종결하기 위한 목적으로 사용하는 정보와 ② 이미 고용관계가 종료된 이후 사후관리를 위해 활용하는 전(前) 직원의 개인정보에 한해서는 별도의 동의가 없어도 활용할 수 있도록 허용하고 있다. 그러나 재직 중인 직원의 개인정보에 대해서는 반드시 고지하도록 의무하고 있다.

9) https://www.alberta.ca/personal-employee-information.aspx#jumplinks-0

5) 개인정보 보호책무

주 정부의 개인정보보호법은 조직이 개인정보를 수집하고 취급함에 있어, 이를 안전하게 보호하는데 필요한 책임을 부여하고 있다. 또한 조직은 정보제공자의 요청 시에는 언제든지 자신의 개인정보 파일에 접근할 수 있도록 보장해야 한다고 규정하고 있다.

6) 집행¹⁰⁾

앨버타 개인정보보호법(PIPA Alberta)과 브리티시 컬럼비아 개인정보보호법(PIPA BC)은 조직의 개인정보 보호의무 위반에 따른 감독기구의 정식조사와 시정요구에 관한 권한을 인정하고 있으며, 피고소조직은 제시된 기한 내에 시정요구를 이행하거나 법적절차에 따라 대응해야 한다. 감독기구의 조사결과가 확정되면, 정보제공자는 조사결과를 토대로 고소인 자격으로서 피고소조직을 상대로 정식으로 법률절차를 제기할 수 있다. 개인정보피해에 따른 손해배상 외에도 PIPA Alberta와 PIPA BC는 위법행위에 대하여 최고 10만 캐나다 달러의 과징금을 부과할 수 있도록 규정하고 있다. 퀘벡 주 민간부문 개인정보보호에 관한 법률(Quebec Privacy Act)도 개인정보 수집과 이용에 관한 위법행위에 대해 최고 10만 캐나다 달러의 과징금을 부과할 수 있으며, 후속조치 위반에는 최고 20만 캐나다 달러의 과징금부과를 인정하고 있다. 나아가 감독기구의 조사를 방해할 목적으로 허위 또는 부정확한 정보를 전달함으로써 조사를 방해하는 행위와 감독기관의 후속조치를 위반하는 행위에도 각각 최고 10만 캐나다 달러, 20만 캐나다 달러의 과징금을 부과할 수 있다.

10) https://www.dlapiperdataprotection.com/index.html?t=enforcement&c=CA

(2) 건강정보보호법

개인의 민감한 건강정보는 다양한 목적을 위해 여러 조직에서 수집·사용·공개될 수 있으므로, 이에 관한 여러 규제가 적용되고 있다. 캐나다의 건강정보보호체계에서 언급하는 정보는 공적자금병원, 장기요양시설, 재택요양서비스, 요양원, 가정의, 전문의, 치과의사, 약사, 카이로프랙터, 심리치료사, 검안사, 병리검사시설, 개인클리닉, 보건부 등의 연방기관, 공중보건기관, 의료관련 자선단체, 공립·사립학교의 의료부서 등이 취급되는 개인건강정보의 수집·활용·보관·폐기에 관한 내용을 규율한다.
캐나다의 건강정보보호 체계의 큰 틀은 다음의 4가지 법률로 규정될 수 있다.

• 캐나다 연방 감독기구 OPC의 관할이 적용되는 개인정보보호 및 전자문서법(PIPEDA)
• 주 정부가 자체적으로 운용하는 개인정보보호법
• 연방, 주 또는 준주의 공공부문에 적용되는 프라이버시법(Privacy Act)

그러나 상기한 3개 법령 이외에 아래 주에서는 개인의 민감한 건강정보와 관련하여 자체적인 개인건강정보법을 운용하고 있다.

• - 뉴브런즈윅 주: 개인건강정보 및 개인정보 보호 및 접근법(Personal Health Information Privacy and Access Act)
• - 뉴펀들랜드 앤 래브라도 주: 개인건강정보법(Personal Health Information Act)
• - 노바스코샤 주: 개인건강정보법(Personal Health Information Act)
• - 온타리오 주: 개인건강정보 보호법(Personal Health Information Protection Act)