국가정보_캐나다

  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  싱가포르
  •  베트남

법률체계

1개요

캐나다는 공공과 민간에 모두 적용되는 개인정보보호 기본법을 갖고 있지 않고, 두 부문에 각각 적용되는 별도의 법률을 가지고 있다.

민간부문의 개인정보 수집(collect)·이용(use)·제공(disclosure) 및 관리에 관해 규율하는 법으로는 ① 개인정보보호 및 전자문서법(PIPEDA, Personal Information Protection and Electronic Documents Act), ② 앨버타주 개인정보보호법(PIPA Alberta, Alberta’s Personal Information Protection Act), ③ 브리티시컬럼비아주 개인정보보호법(PIPA BC, British Columbia’s Personal Information Protection Act), ④ 퀘벡주 민간부문 개인정보보호에 관한 법(Quebec Privacy Act, Quebec’s An act respecting the protection of personal information in the private sector)이 있으며 이를 총칭하여 캐나다 프라이버시법(Canadian Privacy Statutes)이라 한다. 또한 프라이버시법(Privacy Act)을 두어 모든 공공부문에 적용하고 있다.

PIPEDA는 각 주 및 국제적인 정보의 수집·이용·제공 및 관리에 관해 규율하고 있으며, 각 주 안에서 상업적인 활동을 하기 위하여 정보를 수집·이용·제공하는 모든 조직을 대상으로 한다. 그러나 각 주에 해당 분야를 관장하는 법이 제정되어 운영되고 있는 경우에는 해당 법이 우선적으로 적용되며 PIPEDA 적용은 배제된다. 즉 (그림 1)과 같이 연방법과 주법 사이에서 특별법의 지위를 인정하는 것이다. 온타리오주, 뉴브런즈윅주, 뉴펀들랜드주에도 이러한 법이 적용되고 있다.

(그림 1) 캐나다 개인정보보호 관련 법률 체계

개인정보보호 관련 법률 체계

2개인정보보호 및 전자문서법(PIPEDA, Personal Information Protection and Electronic Documents Act))

캐나다는 공공부문과 민간부분을 분리하여 개인정보보호 체계를 운영하고 있다. 연방 차원에서 공공부분에서의 개인정보보호는 프라이버시법이 1983년도에 제정되어 운영되고 있으며 민간부문에 있어서는 PIPEDA가 1999년 초안이 제안된 이래 논의를 거쳐 2001년도에 제정되고 2004년 1월 1일 시행・운영되고 있다. 마찬가지로 몇몇 주정부들이 일반적인 프라이버시법이나 개인의 의료・건강정보 등에 관한 법률을 제정하여 운영하고 있다.

캐나다의 개인정보보호 관련 입법적 시도는 1982년 연방통신부와 법무부가 공동 발행한 보고서인 프라이버시와 컴퓨터(Privacy and Computer)에서 출발하는데 동 보고서는 인권법을 확대하여 개인정보보호를 위한 종합적인 기준을 설정하고 프라이버시법을 제정할 필요가 있다는 의견을 제시하였다. 이후 미국 프라이버시법 제정 등의 영향을 받아서 개인정보보호에 대한 연방과 주 차원의 법률들이 제정되기 시작했다. 캐나다 개인정보보호 관련 법제는 연방과 주 차원의 여러 법률들에 의한 복잡한 체계를 가지고 있지만, 캐나다의 개인정보보호의 핵심이 되는 것은 1982년 제정된 공공부문 개인정보보호법인 프라이버시법(Privacy Act) 이다. 이후 IT 기술의 발달, 인터넷 도입으로 인한 전자상거래의 급증으로 민간 부문의 개인정보보호 문제가 대두됨에 따라 2001년 개인정보보호 및 전자문서법(PIPEDA)이 제정되었다. 이와 같이 공공 및 민간에 대한 이원적 규율 체계로 통합적인 일반법이 존재하지 않는 이유는 양 부문에서 다루는 개인정보가 차이가 있다는 점을 고려한 것으로 볼 수 있다.

[표 1] PIPEDA 구성

PIPEDA 구성
구분 주요 내용

제1장

(Part 1)

민간 부문의 개인정보보호

(Protection of Personal Information in the Private Sector)

  • 정의, 목적, 적용 범위 등

제1절 개인정보보호

(Division 1. Protection of Personal Information)

  • 개인정보 수집 시 동의 획득 의무, 고용 관계, 동의 없는 사용, 개인정보 접근 요청, 민감 정보 처리 제한 등

제2절 권리 구제

(Division 2. Remedies)

  • 법률 위반 사항에 대한 민원 제기 절차, 감독 기구 조사 절차 및 권한, 법원 심리 절차, 준법 협약 조건 등

제3절 감사

(Division 3. Audits)

  • 법률 위반 사항에 대한 감독기구 감사 권한 및 결과 보고 절차

제4절 일반 조항

(Division 4. General)

  • 감독 기구 기밀 유지 의무, 정보 공개 요건, 주 정부와의 협력 체계, 연례 보고서 발간 등

제5절 경과 규정

(Division 5. Transitional Provisions)

  • 예외 적용 사항 및 효력 상실 시점
제2장
(Part 2)

전자 문서

(Electronic Documents)

  • 전자 문서의 목적 및 정의, 종이 문서의 대안으로써 전자 문서 사용이 가능한 경우 등

제3장

(Part 3)

캐나다 증거법의 개정

(Amendments to the Canada Evidence Act)

-

제4장

(Part 4)

위임입법에 관한 법률의 개정

(Statutory Instruments Act)

-

제5장

(Part 5)

법률 개정에 관한 법률의 개정

(Statue Revision Act)

-

제6장

(Part 6)

시행

(Coming into Force)

  • 주무 부처 지정

부칙 1

(Schedule 1)

개인정보보호 모델 규약으로 명명된 캐나다의 국가 표준 원칙

(Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information)

  • 1부 : 개인정보 프라이버시의 고려
  • 2부 : 개인정보의 수집
  • 3부 : 개인정보의 처리
  • 4부 : 개인정보의 무결성
  • 5부 : 개인정보에 대한 접근, 수정

부칙 2

(Schedule 2)

의회법

(Acts of Parliament)

  • 의회법내 관련 조항 명시

부칙 3

(Schedule 3)

규칙 및 기타 문서

(Regulation and Other Instruments)

  • 연방 부동산 규칙(Federal Real Property Regulations) 관련 조항 명시

부칙 4

(Schedule 4)

조직

(Organization)

  • 세계 반도핑 기구(World Anti-Doping Agency) 및 관련 개인정보 명시

가. 적용 범위

(1) 적용 대상

PIPEDA는 다음에 해당하는 개인정보와 관련하여 모든 조직에 적용된다.

① 조직이 상업 활동의 과정에서 수집, 사용, 공개하는 정보

② 해당 조직의 직원 또는 구직 신청자에 관한 정보로서 조직이 연방 업무, 사업체, 사업과 관련하여 수집, 이용, 공개하는 정보

그러나 ① 프라이버시법이 적용되는 국가기관, ② 개인적ㆍ가정적 목적으로만 수집·이용·제공하는 개인정보 관련 조직 ③ 보도·예술·문학 목적으로만 개인정보를 수집·이용·제공하는 개인정보에는 적용되지 않는다.

(2) 개인정보

개인정보(Personal Information)를 개인을 식별할 수 있는 정보(information about an identifiable individual)로 정의하고 있다. 그러나 민간기구의 피고용인의 성명, 직위, 회사 주소 및 전화번호는 여기에 포함되지 않는다.

또한 개인건강정보(Personal Health Information)의 개념을 별도로 규정하고 있는데 개인건강정보란 생존 여부를 불문하고 개인의 건강에 관한 정보로서, ① 정보주체의 신체적 또는 정신적 건강에 관한 정보, ② 정보주체에게 제공된 의료 서비스에 관한 정보, ③ 정보주체의 신체조직 기증에 관한 정보나 신체검사에 관한 정보, ④ 정보주체에게 제공된 의료 서비스의 과정에서 수집된 정보, ⑤ 정보주체에게 제공된 의료 서비스의 과정에서 우연히 수집된 정보 등을 말한다.

(3) 연방 업무

동 법률의 적용 대상은 연방 업무 및 사업(federal work, undertaking or business)으로 의회의 입법 권한에 속하는 업무 및 사업을 말한다. 보다 구체적으로는 ① 캐나다 전역에서의 선박 운용이나 선박에 의한 운송을 포함하여, 내륙이나 해상에서의 항해 및 해운업과 관련하여 운영ㆍ수행되는 업무 및 사업, ② 州 간을 연결하거나 州 경계를 벗어나는 철도, 운하, 전신 등, ③ 州 간을 연결하거나 州 경계를 벗어나는 선박 항로, ④ 州 간 또는 州와 외국을 운항하는 정기선, ⑤ 공항, 항공기 및 항공 운송로, ⑥ 라디오 방송국, ⑦ 은행, ⑧ 한 州에 관계된 업무지만 업무의 수행 전후에 의회가 캐나다 전체 혹은 다른 州에 이익이 된다고 선언한 업무, ⑨ 州 의회의 배타적인 입법 권한 밖에 있는 업무 및 사업, ⑩ 해양법 (Oceans Act) 제2조의 규정에 따라 동법 제20조 및 제26조제1항제(k)호의 규정에 따라 연방법의 적용을 받는 업무 및 사업 등이 포함된다.

나. 개인정보보호 의무

(1) 개인정보 수집

조직은 오직 합리적 사람(reasonable person)이 그 상황에서 적절(appropriate)하다고 여기는 목적을 위해서만 개인정보의 수집·이용·제공이 가능하다. 또한 개인정보의 수집·이용·제공을 위해서는 개인의 인지(knowledge) 혹은 동의(consent)가 필요하다는 원칙을 제시하고 다시 본문을 통해 개인의 동의는 해당 정보주체가 자신이 동의하는 개인정보의 수집·이용·제공의 결과를 이해할 수 있을 것으로 합리적으로 기대할 수 있을 때에만 유효한 것으로 규정하고 있다.

한편 OPC는 2018년 5월 PIPEDA상의 유효한 동의에 대한 상세 요건을 안내하는 유의미한 동의 획득을 위한 가이드라인(Guidelines for obtaining meaningful consent)을 발간하였다.

(2) 개인정보 목적 외 이용 제한

앞서 살펴보았듯이 원칙적으로 개인정보 수집·이용·제공 시에는 개인의 인지 혹은 동의를 받아야만 하며 부칙 1에서도 개인정보 수집·이용·제공의 제한 원칙을 명시적으로 규정하고 있다. PIPEDA에서는 개인의 인지 혹은 동의 없이 수집·이용·제공이 가능한 예외적인 경우를 규정하고 있는데, ① 조직이 활동 과정에서 이미 발생했거나 진행 중인 또는 향후 발생할 수 있는 법령 위반에 대한 조사에 유용하다고 믿어지는 합리적인 근거가 있는 정보를 인지하고, 그러한 조사의 목적으로 정보를 사용하는 경우, ② 정보주체의 생명ㆍ건강ㆍ안전에 위협이 되는 위급한 상황에 대처하기 위하여 정보를 사용하는 경우, ③ 통계 및 학술상의 연구나 조사 또는 그 정보를 사용하지 아니하고는 목적을 달성할 수 없는 경우의 정보로서, 비밀을 보장할 수 있는 방법으로 사용하고, 동의를 얻기가 불가능하며, 조직이 사용 전에 정보의 사용을 위원장(Commissioner)에게 알리는 경우, ④ 공적으로 이용하는 경우나 법령의 규정에 의해 정보를 사용하는 경우 등이 해당된다.

(3) 정보주체의 동의 없는 개인정보의 제공

정보주체의 인지 혹은 동의 없이 개인정보를 제공할 수 있는 경우로는 ① 조직을 대리하는 변호사(advocate)나 공증인(notary), 또는 법정변호사(barrister)나 사무변호사(solicitor)에게 정보를 제공하는 경우, ② 정보주체가 조직에게 지고 있는 부채를 회수하려는 목적으로 정보를 제공하는 경우, ③ 법원 또는 정보 생성을 강제할 수 있는 기구의 소환장ㆍ영장ㆍ명령 혹은, 기록의 생성에 관한 법원의 규칙을 준수하기 위하여 필요한 경우, ④ 조직의 주도로 조사기구, 국가기관 혹은 국가기관의 부서에 정보를 제공하는 경우, ⑤ 정보주체의 생명ㆍ건강ㆍ안전에 위협이 되는 위급한 상황으로 인하여 정보가 필요한 사람에게 정보를 제공하는 경우, ⑥ 통계 및 학술상의 연구나 조사 또는 그 정보를 제공하지 아니하고는 목적을 달성할 수 없는 경우의 정보로서, 동의를 얻기가 불가능하며, 조직이 정보 제공 전에 이를 위원장(Commissioner)에게 알리는 경우, ⑦ 역사적 기록 또는 기록상의 중요성을 가지는 기록의 보존을 담당하는 기관에 제공하는 정보로서, 그러한 보존의 목적으로 정보를 제공하는 경우, ⑧ 정보가 기록된 지 100년이 지난 경우, ⑨ 특정인에 관한 정보로 해당자가 사망하고 20년 이상이 경과한 경우, ⑩ 공적 이용이 가능하거나 법령의 규정에 따라 정보를 제공하는 경우, ⑪ 조사기관이 제공하는 정보로서, 협정ㆍ법령 위반의 조사와 관련하여 합당한 목적을 갖는 경우, ⑫ 법률에 의하여 정보 제공이 요구되는 경우 등이다.

다. 국가 표준 개인정보보호 원칙(Principles Set Out in the National Standard of Canada Entitled Model Code for the Protection of Personal Information)

PIEPDA는 부칙(Schedule) 1의 국가 표준 개인정보보호 원칙에서 10가지의 개인정보보호 원칙을 규정하고 있다. 동 원칙은 주요 개인정보보호 의무를 규정하는 제1장 민간 부문 개인정보보호의 본문에서도 빈번히 언급되며 PIPEDA의 핵심을 이룬다. 10가지 원칙의 주요 내용은 다음과 같다.

(1) 책임성(Accountability)

조직은 관리하는 개인정보에 책임을 지며, 책임을 지는 1인 이상의 개인을 지정해야 함

(2) 목적 명시(Identifying Purpose)

조직은 개인정보 수집 목적을 정보 수집 시점 또는 그 이전에 명시해야 함

(3) 동의(Consent)

부적절한 경우를 제외하고, 개인정보를 수집·이용·제공을 위해서는 개인의 인지(knowledge) 및 동의(consent) 필요

(4) 수집 제한(Limiting Collection)

개인정보 수집은 조직이 명시한 목적을 위해 필요한 범위에 한정되어야 하며 공정하고 합법적인 방법으로 수집해야 함

(5) 이용·제공·보유 제한(Limiting Use, Disclosure and Retention)

목적 명시의 원칙(제2원칙) 및 동의에 관한 원칙(제3원칙)과 긴밀하게 연결됨

(6) 정확성(Accuracy)

개인정보는 사용되는 목적을 위해 필요한 정도로 정확하고 완전하며 최신의 것이어야 함

(7) 안전성 확보 조치(Safeguards)

개인정보는 해당 정보의 민감성에 적합한 안전성 확보조치에 의해 보호되어야 함

(8) 개방성(Openess)

조직은 개인정보 관리와 관련된 정책 및 관행에 관한 구체적인 정보를 개인에게 즉시 제공해야 함

(9) 개인의 접근 권한(Individual Access)

개인의 요청이 있는 경우 개인정보의 보유·사용·제공 사실을 해당 개인에게 통지하고, 해당 정보에 대한 접근을 허용해야 함

(10) 준법성에 대한 이의 제기(Challenging Compliance)

개인은 조직의 규정 준수를 책임지도록 지정된 사람에게 상기 원칙의 준수에 관한 이의를 제기할 수 있어야 함

3프라이버시법(Privacy Act)

가. 개요

프라이버시법은 정보접근법(Access to Information Act)과 더불어 1983년 7월 1일에 발효한 법률로서 정부기관이 보유한 개인정보를 보호하고, 개인정보의 주체로 하여금 정보에 접근할 권리를 보장하는 것을 주된 내용으로 하는 법률이다. 프라이버시법은 국가기관이 보유하고 있는 개인정보에 관하여 규율함으로써 개인의 프라이버시를 보호하고 그 개인정보에 접근할 수 있는 권리를 정보주체에게 보장하는 것을 입법 목적으로 하고 있다.

동법은 개인정보의 열람과 교정을 요구할 수 있는 개인의 주관적인 정보 접근권(Right of Access to Personal Information)뿐만 아니라, 국가에 의한 개인정보의 수집 및 처리를 규율하는 기본원칙 등을 규정하여 개인의 프라이버시권도 보장하고 있다.

나. 개인정보의 정의

프라이버시법은 개인정보에 대하여 “어떠한 형태를 포함하는지 불문하고 식별 가능한 개인에 관한 정보(information about an identifiable individual)”라는 것을 원칙으로 매우 상세하게 개인정보의 범위를 정의하고 있다. 다음은 개인정보의 예시이다.

  • 개인의 인종, 국가・민족적 배경, 피부색, 종교, 연령 및 결혼 유무에 관한 정보
  • 개인의 교육・건강・범죄・고용 기록에 관한 정보, 개인이 관련한 금융 거래와 관련한 정보
  • 개인에게 부여된 증명번호・기호 또는 기타 특정한 것
  • 개인의 주소, 지문, 혈액형
  • 규정에서 정한 정부기관 혹은 그 부서가 어떤 개인에게 보조금, 상을 수여하도록 제안하는 것 또는 그 개인에 관한 것을 제외한, 개인적인 의견 및 견해
  • 개인이 정부기관에게 보낸 묵시적 또는 명시적인 사적, 비밀성의 통신문 및 원통신문의 내용을 공개할 수도 있는 통신문에 대한 정부기관의 응답
  • 개인에 대한 타인의 견해 및 의견
  • 제⑥호에서 언급한 기관 혹은 그 부서가 개인에게 보조금, 상을 수여하도록 하기 위한 제안에 관한 타인의 견해 및 의견(단, 그 개인의 이름은 포함되지 아니한다)
  • 개인과 관련된 다른 개인정보와 함께 표현되거나, 이름 자체의 공개(reveal)가 개인정보의 공개가 될 수도 있는 개인의 이름

다. 개인정보보호 조치 의무

(1) 개인정보의 수집 제한 및 유지

프라이버시법은 개인정보의 수집을 원칙적으로 엄격하게 금지하고 있으며, 국가기관에 의한 개인정보의 수집은 해당 기관의 운영이나 활동에 직접적으로 관련되는 경우에만 가능하도록 하고 있다. 만약 국가기관이 행정상의 목적으로 사용하기 위하여 개인정보를 수집하려고 하는 경우에도 가능한 개인으로부터 직접 수집하도록 하고 있으며, 수집한 개인정보의 당사자에게 정보의 수집 목적을 알려야 한다. 다만 이를 준수함으로써 부정확한 정보를 수집하게 되는 경우, 목적을 달성할 수 없게 되거나 수집된 정보의 사용을 손상시키는 경우에는 적용되지 않는다. 한편 국가기관은 정보주체에게 정보에 접근할 정당한 기회를 보장하여 주기 위하여 법령의 규정에 따른 이용 후 일정 기간 동안 해당 정보를 보유하고 있어야 하며, 개인정보의 정확성, 최신성, 완전성을 최대한 유지할 수 있도록 적절한 조치를 취하여야 한다.

(2) 개인정보의 보호 및 공개

동법은 국가기관이 개인정보를 사용하기 위해서는 정보주체의 동의를 얻도록 규정하고 있다. 다만 국가기관이 개인정보를 취득하거나 편집(compile)한 목적에 부합하게 사용하는 경우나 동법 제8조 제2항에 따라 관련 국가기관에게 개인정보를 제공하기 위한 목적으로 사용되는 경우에는 예외를 인정하고 있다. 또한 동법은 국가기관이 보유하고 있는 개인정보를 제공하기 위해서도 정보주체의 동의를 얻도록 규정하고 있다. 다만 의회가 제정하는 법률에 따라 국가기관이 관리하고 있는 개인정보는 ① 국가기관이 정보의 수집 또는 편집한 목적에 부합되게 제공하는 경우, ② 의회가 제정하는 법률 또는 정보 제공을 승인하는 규정에 따라 제공하는 경우, ③ 법원 또는 정보 생성을 강제할 수 있는 기관의 소환장, 영장, 명령이나 기록 생성에 관한 법원의 규칙을 준수하기 위하여 필요한 경우, ④ 연방정부나 왕권과 관련된 법적 절차에서 사용하여 위하여 법무부장관에게 제공하는 경우, ⑤ 연방이나 주의 법률을 시행하기 위하거나 법적 조사를 수행하기 위하여 관련 규정에서 정한 조사기구가 정보 제공의 목적과 제공 대상 정보를 밝히고 서면으로 요청한 경우, ⑥ 연방정부나 그 기관, 주정부, 외국정부, 국제기구, 각국 정부가 설립한 국제기구 혹은 그러한 정부나 기구 간의 협정, 협약에 따라 법률을 시행하거나 법적 조사를 수행하기 위하여 필요한 경우, ⑦ 정보에 관련된 정보주체의 문제 해결을 지원하기 위하여 의회 의원에게 제공하는 경우, ⑧ 내부감사의 목적으로 국가기관 공무원 또는 피고용인에게, 감사의 목적으로 감사원장(Comptroller General) 사무소 및 규정에서 정한 기관에게 제공하는 경우, ⑨ 기록의 목적으로 연방기록원(National Archives of Canada)에게 제공하는 경우, ⑩ 연구 및 통계의 목적으로 관련기구에 제공하는 경우, ⑪ 제공으로 인한 공익이 제공으로 인한 프라이버시 침해보다 가치 있음이 명확한 경우, ⑫ 정보 제공이 관련 정보주체에게 명확히 이로운 경우 등에는 정보주체의 동의 없이도 제공될 수 있다.

(3) 개인정보 파일의 등록 및 제공

동법은 국가기관의 장으로 하여금 해당 국가기관이 행정상의 목적으로 사용하였거나 사용 중이거나 향후 수집 가능한 개인정보와 정부주체의 성명이나 정보주체에게 부여된 증명번호ㆍ기호ㆍ특정표지로 조합되었거나 검색될 수 있는 개인정보를 개인정보 파일(Personal Information Bank)에 등록하도록 규정하고 있다. 나아가 지정된 장관으로 하여금 국가기관이 관리하고 있는 모든 개인정보 파일의 색인(index)을 매년 1회 이상 정기적으로 공표(publish)하도록 하고 있다. 이 색인에는 ① 파일의 명칭과 개요, 제71조제1항제(b)목에 따라 지정된 장관에 의해 해당 국가기관에 할당된 파일등록번호, 파일의 수록된 개인정보와 관련된 개인의 등급 표시, ② 파일을 관리하고 있는 국가기관의 명칭, ③ 파일에 수록된 개인정보에 관한 청구를 받을 담당직원의 직책과 주소 등이 포함되어야 한다. 그리고 국가기관의 관리하고 있는 개인정보 중 개인정보 파일에 등록되지 않은 모든 종류의 개인정보 색인 역시 매년 1회 이상 정기적으로 공표되어야 한다.

(4) 개인정보 열람 권한

동법은 캐나다 국민이나 이민 및 난민보호법(Immigration and Refugee Protection Act) 제2조제1항의 규정에 따른 영주권자가 동법에 따라, 개인정보 파일에 수록된 정보주체 자신에 관한 개인정보나 국가기관에 의해 검색이 가능한 정보의 위치에 관한 특정한 정보를 충분히 제공해 줄 수 있는 개인에 관련하여 국가기관이 관리하고 있는 정보주체에 관한 기타의 개인정보에 대한 열람 요청 권한을 가진다고 규정하고 있다.

한편 동법은 국가기관이 관리하고 있는 개인정보에 오류나 누락이 있다고 생각하는 경우에는 정보주체로 하여금 해당 정보의 정정을 청구할 수 있도록 하였고, 정정을 요청하였으나 정정되지 않은 경우에는 정정의 청구가 있었다는 사실을 해당 개인정보에 부기할 수 있다는 것을 청구할 권리도 인정하고 있다.

개인정보 열람 요청은 해당 정보가 수록된 개인정보 파일을 관리하는 국가기관에게 개인정보 파일을 특정하여 서면으로 하여야 한다. 열람 요청을 받은 국가기관은 원칙적으로 30일 이내에 열람 여부를 결정하여 신청인에게 서면으로 통지하여야 한다.

4한국 법률과 비교 및 분석

[표 2] 캐나다 PIPEDA와 한국 개인정보 보호법 비교

캐나다 PIPEDA와 한국 개인정보 보호법 비교
구분 캐나다 한국
개인정보 정의

개인을 식별할 수 있는 정보(information about an identifiable individual)

개인건강정보(personal health information)

  • 개인의 신체적 또는 정신적 건강에 관한 정보
  • 개인에게 제공되는 의료 서비스에 관한 정보
  • 개인의 신체 부위나 체내 물질의 기증에 관한 정보 또는 이의 시험·검사에서 도출된 정보

살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다).

보호대상

개인(person)

정보주체

규제 대상

사단, 조합, 개인, 노동조합 등이 포함되는 조직(organization)

※ 비영리/개인은 적용 예외

공공기관, 법인, 단체, 개인 등 전체 개인정보처리자

적용 정보

조직(organization)이 상업 활동(commercial activities) 과정에서 수집·이용·제공하는 정보

해당 조직의 직원 또는 구직 신청자에 관한 정보로써 조직이 연방 업무, 사업체, 사업과 관련하여 수집·이용·제공하는 정보

개인정보처리자가 업무 목적으로 처리하는 개인정보

적용 예외

프라이버시법이 적용되는 모든 정부 기관

개인적 또는 가사 목적으로 개인정보를 수집·이용·제공하는 개인

보도·예술·문화 목적으로 수집·이용·제공하는 조직

고용·비즈니스·직무 관련 업무상 개인의 연락처 정보를 수집·이용·제공하는 조직

민간기구의 피고용인의 성명, 직위, 회사 주소 및 전화번호 미포함

공공기관이 처리하는 개인정보 중 통계법에 따라 수집되는 개인정보

국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보

공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보

언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보

수집 시 동의 의무

합리적인 사람이 그 상황에서 적절하다고 여기는 목적을 위해서만 개인정보를 수집할 수 있음

개인정보의 수집·이용·제공에 있어서 정보주체의 인지 및 동의 필요

[제2원칙] 개인정보 수집 혹은 수집 이전에 수집 목적을 명시하여야함

기업은 통상적으로 개인정보 수집 시 아래 사항을 고지하고 정보주체의 동의를 받아야 함

  • 개인정보의 수집ㆍ이용 목적
  • 수집하려는 개인정보의 항목
  • 개인정보의 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
수집 시 동의 예외 사항

정보주체의 인지 또는 동의 없이 개인정보를 수집할 수 있는 경우

  • 개인정보의 수집이 분명히 정보주체에게 이익이 되며 적절한 시점에 동의를 얻을 수 없는 경우
  • 정보주체의 인지나 동의하의 수집이 정보의 가용성ㆍ정확성을 훼손할 것으로 예상되거나, 협정ㆍ법률 위반의 조사와 관련된 정보를 수집하는 경우
  • 언론ㆍ예술ㆍ문학적 목적으로 정보를 수집하는 경우
  • 공적 이용이 가능한 정보를 수집하는 경우나 법령의 규정에 의해 수집하는 경우

정보주체 동의 외에도 개인정보 처리가 가능한 경우

  • 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함
수집 제한

[제4원칙] 명시한 목적 달성에 필요한 범위로 한정하여 수집해야 함

최소 개인정보 수집 필요

별도 규정 없음

※ 지침 및 가이드 등을 통해 수집하는 개인정보의 필수 목적과 선택 목적을 구분하도록 안내

필수 정보 및 선택 정보 구분 필요

별도 규정 없음

선택 정보 수집에 미동의하는 사유로 재화 및 서비스 제공을 거부해서는 안 됨

[제3원칙] 개인정보 동의 획득 시 정보의 민감성을 고려해야 함

민감정보는 명시적 동의를 구해야 함

민감 정보 처리 시 별도 동의 필요

별도 규정 없음

고유식별정보 처리 시 별도 동의 필요

별도 규정 없음

법령 근거 외 주민등록번호 수집 제한

아동 보호

[제3원칙] 법적 보호자 등 대리인에 의한 동의 가능

14세미만 아동 개인정보 수집 시 법정대리인 동의 필요

이용

합리적인 사람이 그 상황에서 적절하다고 여기는 목적을 위해서만 개인정보를 이용할 수 있음

개인정보 이용 시 개인의 인지 및 동의 필요

기업은 개인정보 수집 목적 외 이용 시 정보주체의 동의를 받아야 함

다만 아래의 경우 개인 대상 고지 및 동의 없이 이용 가능

  • 조직이 활동 중에 캐나다, 주 또는 외국 재판관할권의 법률에 대해 행해졌거나, 현재 진행하고 있거나, 곧 진행될 위반 행위의 조사에 유용하다고 믿을만한 합리적인 근거가 있는 정보를 알게 되는 경우로 해당 정보가 그 위반 행위의 조사 목적에 사용되는 경우
  • 개인의 생명, 건강, 안전을 위협하는 비상사태와 관련하여 행동할 목적으로 사용되는 경우
  • 해당 정보를 사용하지 않으면 달성할 수 없는 통계, 학술 연구, 조사 목적으로 사용되며, 정보가 기밀성을 보장하는 방식으로 사용되고, 동의를 얻는 것이 비현실적이며, 조직이 정보 사용에 앞서 위원장에 정보의 사용을 통지한 경우

다만 아래의 경우 정보주체 동의 없이 목적 외 이용 가능

  • 다른 법률에 특별한 규정이 있는 경우
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
제공

합리적인 사람이 그 상황에서 적절하다고 여기는 목적을 위해서만 개인정보를 제공할 수 있음

개인정보 제공시 개인의 인지 및 동의 필요

개인정보 제3자 제공시 아래 사항을 알리고 동의를 받아야 함

  • 개인정보를 제공받는 자
  • 개인정보의 이용 목적
  • 이용 또는 제공하는 개인정보의 항목
  • 개인정보의 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

다만 아래의 경우 개인의 인지 혹은 동의 없이 제공 가능

  • 조직을 대리하는 변호사(advocate)나 공증인(notary), 또는 법정변호사(barrister)나 사무변호사(solicitor)에게 정보를 제공하는 경우
  • 정보주체가 조직에게 지고 있는 부채를 회수하려는 목적으로 정보를 제공하는 경우
  • 법원 또는 정보 생성을 강제할 수 있는 기구의 소환장ㆍ영장ㆍ명령 혹은, 기록의 생성에 관한 법원의 규칙을 준수하기 위하여 필요한 경우
  • 조직의 주도로 조사기구, 국가기관 혹은 국가기관의 부서에 정보를 제공하는 경우
  • 정보주체의 생명ㆍ건강ㆍ안전에 위협이 되는 위급한 상황으로 인하여 정보가 필요한 사람에게 정보를 제공하는 경우
  • 통계 및 학술상의 연구나 조사 또는 그 정보를 제공하지 아니하고는 목적을 달성할 수 없는 경우의 정보로서, 동의를 얻기가 불가능하며, 조직이 제공 전에 정보의 제공을 OPC에게 알리는 경우
  • 역사적 기록 또는 기록상의 중요성을 가지는 기록의 보존을 담당하는 기관에 제공하는 정보로서, 그러한 보존의 목적으로 정보를 제공하는 경우
  • 정보가 기록된 지 100년이 지난 경우
  • 정보주체가 사망한지 20년이 경과한 경우
  • 공적 이용이 가능하거나 법령의 규정에 따라 정보를 제공하는 경우
  • 조사기관이 제공하는 정보로서, 협정ㆍ법령 위반의 조사와 관련하여 합당한 목적을 갖는 경우
  • 법률에 의하여 정보 제공이 요구되는 경우

다만 아래의 경우 정보주체 동의 없이 제3자 제공 가능

  • 다른 법률에 특별한 규정이 있는 경우
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
국외 이전

별도 규정 없음

정보주체에 이전에 관한 사항 고지 및 동의(제3자 제공과 동일하게 처리)

이 법을 위반하는 내용으로 계약 체결 금지

정보주체이외로부터 수집한 개인정보의 수집 출처 등 고지

별도 규정 없음

정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 함

  • 개인정보의 수집 출처
  • 개인정보의 처리 목적
  • 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
파기

수집 목적 달성에 필요한 기간만 보관해야 하며 불필요한 개인정보는 파기(destroyed), 삭제(erased) 또는 익명화(anonymous)해야 함

개인 동의 혹은 법령 규정에 의한 경우는 제외되며 조직은 보유에 관한 지침 개발 및 절차 구현 필요

이용 및 보유기간의 경과, 개인정보의 처리 목적 달성 등 지체 없이 개인정보 파기

정보 주체 동의 혹은 법령 규정에 의한 경우 보유 가능하며 다른 개인정보와 분리하여서 저장ㆍ관리

업무 위탁 처리 제한

별도 규정 없음

※ PIEPDA내에는 별도 규정 없으나 각종 지침을 통해 제3자 이전 시 목적 외 이용 제한, 보호조치 등을 계약 시 요구하도록 안내

제3자에게 개인정보의 처리 업무를 위탁 시 문서를 통하고 위탁 사실을 공개하며 수탁자를 관리·감독하여야 함

영업 양도양수

별도 규정 없음

영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 아래 사항을 정보주체에게 알려야 함

  • 개인정보를 이전하려는 사실
  • 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
  • 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
개인정보 취급자 감독

별도 규정 없음

※ 취급자에 대한 별도 규정은 없으나, 지침을 통해 제1원칙 책임성 준수 및 제8원칙 개방성에 대한 이행 방안에서 직원들 대상 내부 정책에 대한 교육을 안내

개인정보취급자에 대하여 적절한 관리ㆍ감독 및 정기 교육 실시

안전조치 의무

개인정보는 정보의 민감성에 적합한 안전성 확보조치에 의해 보호되어야 함

분실·도난·무단 접근·제공·사용·수정으로부터 보호해야 하며 민감 정보일수록 높은 수준 보호조치 필요

물리적·조직적·기술적 보호조치, 임직원 인식 제고 포함되어야 함

개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치 필요

개인정보 처리 방침 수립 및 공개

[제8원칙] 개인정보 관리와 관련된 정책 및 관행 공개 필요

  • 조직의 정책 및 관행에 대해 책임지는 사람, 민원이나 질문을 접수하는 사람의 이름, 직책, 주소
  • 조직이 보유하는 개인정보에 접근하는 수단
  • 사용에 관한 일반적인 설명을 포함해 조직이 보유하는 개인정보의 유형에 대한 설명
  • 조직의 정책, 표준 또는 수칙을 설명하는 브로슈어 또는 기타 정보의 사본
  • 관련 조직(예시 : 자회사)에 제공하는 개인정보

개인정보처리방침 수립 및 공개 필요

  • 개인정보의 처리 목적
  • 개인정보의 처리 및 보유
  • 개인정보의 제3자 제공에 관한 사항
  • 개인정보처리의 위탁에 관한 사항
  • 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
  • 개인정보보호책임자의 성명 또는 개인정보보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
  • 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항
  • 처리하는 개인정보의 항목
  • 개인정보의 파기에 관한 사항
  • 개인정보의 안전성 확보 조치 사항
개인정보보호 책임자

[제1원칙] 개인정보에 책임을 지며 보호 원칙을 준수하는 1인 이상의 개인을 지정하고 요청 시 해당 개인의 신원을 알려야 함

조직은 책임성 원칙 준수를 위해 아래의 정책과 관행을 구현해야 함

  • 개인정보보호를 위한 절차 구현
  • 민원 및 질문을 접수하고 대응하는 절차 수립
  • 직원 훈련 및 직원에 대한 조직의 정책과 관행에 관한 정보의 전달
  • 조직의 정책과 절차를 설명하는 정보의 개발

개인정보보호 책임자를 지정하고 개인정보처리방침을 통해 이를 공개해야 함

책임자 업무

  • 개인정보보호 계획의 수립 및 시행
  • 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
  • 개인정보보호 교육 계획의 수립 및 시행
  • 개인정보 파일의 보호 및 관리ㆍ감독
  • 개인정보 처리방침의 수립ㆍ변경 및 시행
  • 개인정보보호 관련 자료의 관리
  • 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
개인정보 영향평가

별도 규정 없음

(프라이버시법에 따라 공공기관은 영향평가 의무화)

기업은 정보주체의 개인정보 침해가 우려되는 경우 영향평가 수행을 위해 적극 노력해야 함

개인정보 유출 통지

개인정보 유출 사고(Data Breach) 발생 시 중대한 손해의 실제 위험성에 따라 개인(individual)에게 통지해야 함

  • 개인정보 유출 경위
  • 개인정보 유출 시점
  • 피해를 입은 정보주체의 수
  • 유출로 인한 피해를 최소화하기 위해 취한 노력
  • 유출 사실의 통지 절차
  • 피해를 입은 개인이 유출과 관련된 추가 정보를 얻을 수 있는 수신자 부담 연락처 또는 이메일 주소
  • 조직의 내부 불만 처리 프로세스 및 OPC에 민원 제기 권한에 대한 정보

개인정보 유출시 정보주체에게 아래 사실을 통지해야 함

  • 유출된 개인정보의 항목
  • 유출된 시점과 그 경위
  • 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
  • 개인정보처리자의 대응조치 및 피해 구제절차
  • 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 정부 기관에 신고해야 함

개인정보 유출 사고 발생 시 OPC에 신고해야 함

· 개인 대상 통지 항목의 ① ~ ⑤

1천명 이상 개인정보 유출 사고 발생 시 행안부 및 또는 전문기관에 신고해야 함

· 신고항목 : 이용자 통지 사항 + 유출 피해 최소화 대책 및 필요 조치 결과

정보주체 권리

개인 요청 시 개인정보의 보유·사용·제공 사실을 개인에게 통지하고 접근을 허용해야 하며 정정할 수 있어야 함

동의 철회 가능하며 철회의 의미를 개인에게 알려야 함

정보주체는 개인정보에 대한 열람·정정·삭제·처리 정지 권리를 가지며 처리자는 그 결과를 지체 없이 정보주체에게 알려야 함

top