개인정보보호 국제협력센터

국가정보_뉴질랜드

[뉴질랜드] 개인정보보호 법 행정 체계 현황 및 주요 위반사례

법률체계

1개요

뉴질랜드는 1993년 제정된 개인정보보호법(Privacy Act 1993, 이하 ‘보호법 1993’)을 2020 년에 개정하여 같은 해 12월 1일부터 시행 중이다. 2020년 개인정보보호법(Privacy Act 202 0, 이하 ‘보호법 2020’)은 법원과 재판소, 언론, 정치인의 공식 활동 등을 제외하고는 공공· 민간 구분 없이 개인정보를 처리하는 모든 개인, 조직, 사업자(person, organisation, busines s)에 적용된다.

뉴질랜드의 개인정보 감독기구(Office of the Privacy Commissioner, 이하 OPC)는 의료· 통신·국방·연금 등 특정 유형에서의 개인정보 처리에 대한 실행지침(Code of Practice)을 6종 발표하여 다양한 분야의 개인정보 보호에도 노력을 기울이고 있다. * <참고> Ⅱ. 감독기구의 업무 참고

2개인정보보호법(Privacy Act 2020)

보호법 2020은 OPC 커미셔너의 역할과 기능, 개인정보보호 원칙과 실행규약, 개인정보 보호 관련 민원과 조사 절차, 심각한 개인정보 침해사고 발생 시 통지 의무, 개인정보의 공유 등에 관한 내용을 담고 있으며, 개정으로 인한 주요 변화는 아래와 같다.

1. 개인정보 침해 통지 제도 도입 : 심각한 피해를 입었다고 판단 또는 피해가 야기될 가능성이 있을 경우 OPC와 개인에 통지하는 제도로, OPC는 제도 안내를 위해 개인정보 침해에 관한 지침을 발간

2. 행정처분 권한 : 법률 위반행위에 대하여 OPC는 행정처분을 통해 시정을 요구할 수 있음

3. 개인정보 제공 명령 권한 : OPC는 개인정보 처리자에게 자신의 개인정보를 열람하고자 하는 정보주체에게 정보를 제공하도록 명령할 수 있음

4. 역외이전 제한 : 새로 추가된 개인정보보호 원칙 12번에 따라 개인정보 처리자는 개인정보를 이전받는 제3국의 조직 또는 처리자가 뉴질랜드 보호법의 적용을 받거나 그에 상응하는 보호조치를 제공하는 경우에만 개인정보를 역외에 제공할 수 있음

5. 적용범위 확대 : 사무실이 역외에 있어도 뉴질랜드에서 사업을 영위하는 경우 보호법 적용

6. 범법행위 규정 확대 : 타인을 사칭하거나 타인의 허락을 받은 것처럼 행동하여 개인정보 처리자가 제3자의 개인정보에 접근하도록 오도하는 행위 및 개인정보 열람 요구를 인지한 상태에서 개인정보를 파기하는 행위를 범법행위로 추가 규정

또한 보호법 2020는 보호법 1993과 같이 원칙 기반의 접근방식을 유지하며 수집의 목적, 방법, 정보주체의 권리와 신규 추가된 개인정보 역외이전 등 13개의 원칙을 규정하였다.

[표 1]뉴질랜드 개인정보 보호법 2020 개인정보 처리 원칙

[표 1]뉴질랜드 개인정보 보호법 2020 개인정보 처리 원칙
No	원칙	내용
1	수집 목적 (Purpose for collection)	조직의 기능이나 활동과 관련된 합법적 목적에 필요한 경우에만 개인정보를 수집해야 함
2	정보의 출처 - 정보주체로부터 수집 (Source of information - collection from the individual)	개인정보는 정보주체로부터 직접 수집되어야 함 단, 정보주체가 제3자로부터의 수집을 허락한 경우 또는 공개된 정보인 경우, 법 집행에 필요한 경우 등은 예외로 함
3	수집 관련 정보주체에게 알려야 할 내용 (What to tell the individual aboutcollection)	개인정보의 수집 사실과 수집 목적, 개인정보 수집 및 보유자의 연락처, 수집 근거, 개인정보를 제공하지 않았을 때의 결과 등을 정보주체에게 알려야 함
4	수집 방법 (Manner of collection)	개인정보는 적법한 수단으로 상황에 맞게 공정하고 합리적인 방식으로 수집되어야 함
5	저장 및 보안 (Storage and security of information)	개인정보 처리자는 개인정보의 손실, 허가되지 않은 접근, 사용, 수정 또는 공개 및 기타 오용을 막기 위한 보호조치를 취해야 함
6	개인정보 열람권 (Access to their information)	정보주체는 개인정보 처리자의 개인정보 보유 여부를 확인하고 개인정보의 열람을 요구할 권리가 있음
7	개인정보 정정권 (Correction of personal information)	정보주체는 개인정보의 정정을 요구할 권리가 있음
8	정보 사용 전 정확성 확보 (Accuracy of personal information)	개인정보를 사용하거나 공개하기 전에 개인정보의 정확성, 최신 여부, 완전성, 관련성 및 오도 여부를 확인해야 함
9	개인정보의 보유 기한 (Retention of personal information)	개인정보 처리자는 개인정보를 적법한 목적에 필요한 기한 이상으로 보유해서는 안 됨
10	개인정보의 이용 제한 (Limits on use of personal information)	개인정보 처리자는 개인정보를 적법한 목적에 필요한 기한 이상으로 보유해서는 안 됨
11	개인정보의 공개 (Disclosure of personal information)	개인정보 처리자는 개인정보를 다른 기관이나 제3자에게 공개해서는 안 됨 단, 개인정보의 공개가 원래의 수집 또는 획득 목적과 연관되거나 정보주체의 허가를 받았거나 법 집행에 필요한 경우, 또는 공공 보건이나 공공안전을 위한 경우 등은 예외로 함
12	개인정보 역외이전 (Disclosure outside New Zealand)	개인정보 처리자는 개인정보를 이전받는 제3국의 조직 또는 처리자가 뉴질랜드 보호법의 적용을 받거나 그에 상응하는 보호조치를 제공하는 경우에만 개인정보를 역외에 제공할 수 있음
13	고유 식별자 (Unique identifiers)	개인정보 처리자는 조직의 효율적 역할 수행에 고유 식별자가 필요한 경우에 한해 개인에게 고유 식별자를 할당할 수 있음

3개인정보 처리자 의무사항

Ⅰ. 개인정보 처리자

보호법 2020에는 데이터 컨트롤러와 데이터 프로세서라는 개념이 부재하며 개인정보를 수집, 사용, 공개하는 ‘개인정보 처리자(Agency)’¹⁾을 적용 대상으로 한다.

개인정보 처리자(A)가 (B)를 대신해 개인정보를 보관 또는 처리하는 경우, 개인정보 보호법은 (A)가 자체 목적을 위해 정보를 사용하거나 공개하지 않는 한, 개인정보를 (A)가 아닌 (B)가 보유한 것으로 취급한다.

▶ (정보주체의 권리)보호법 2020은제22조의 개인정보보호원칙을 통해 정보주체의 권리를규정한다.

제22조의 개인정보보호원칙
제22조	내용
정보를 제공받을 권리	개인정보보호 원칙 3번(정보주체로부터 정보의 수집)에 따라 개인정보를 수집하는 개인정보 처리자는 해당 정보주체에게 ▲정보의 처리 사실 ▲정보 수신자 ▲개인정보를 보유하는 개인정보 처리자의 명칭과 주소 ▲개인정보 수집의 근거 법률 ▲정보 제공이 자율인지 의무인지 여부 ▲개인정보를 제공하지 않았을 경우의 결과 ▲개인정보에 대한 열람권과 정정권 등을 알려야 함
열람권	개인정보보호 원칙 제6번(개인정보에 대한 접근)에 따라 정보주체는 본인의 개인정보를 보유하고 있는지 여부를 개인정보 처리자로부터 확인받을 권리가 있으며, 본인의 개인정보를 열람할 수 있음
정정권	개인정보보호 원칙 제8번(사용이나 공개 전 개인정보의 정확성 확인) 에 따라 개인정보를 보유한 개인정보 처리자는 해당 정보의 정확성, 최신 여부, 완전성, 관련성과 오해의 소지 없음을 보장하는 조치 없이 해당 정보를 사용하거나 공개해서는 안 됨

1) 뉴질랜드 개인정보 처리자와 해외 개인정보 처리자로 구분되며 뉴질랜드 개인정보 처리자에는 뉴질랜드 거주자와 공공기관, 민간기업 등을 포함. 해외 개인정보 처리자는 해외에 있는 개인, 단체 및 정부기관 등을 지칭

▶ (개인정보 처리자의 의무사항) 보호법 2020에 의한 개인정보 처리자의 기타 의무는 아래와 같다

제22조의 개인정보보호원칙
조항	세부 내용
제201조 개인정보보호 관리자의 지정	개인정보 처리자는 사적으로나 가족 용도로 개인정보를 수집 및 보유하는 경우를 제외하고는 개인정보보호 관리자(Privacy Officer)를 지정해야 하며, 개인정보보호 관리자의 책임은 아래와 같음 개인정보 처리자가 개인정보보호 원칙을 준수하도록 독려 개인정보보호법 하에서 개인정보 처리자의 요청 처리 개인정보 처리자와 연관된 개인정보보호 관련 조사에서 커미셔너와 협력 개인정보 처리자가 개인정보보호법의 규정을 준수하도록 보장
제112조 개인정보 침해사고의 통지	개인정보 처리자는 개인정보 침해사고가 해당 사고의 영향을 받는 개인에게 심각한 피해를 일으켰거나 일으킬 위험이 있다고 판단되는 경우, 커미셔너 및 영향을 받은 정보주체 또는 일반에게 사고 사실을 통지해야 함 개인정보 침해사고로 인한 심각한 피해의 가능성 여부를 평가할 때는 다음 사항을 고려해야 함 침해 이후 피해 위험을 줄이기 위해 개인정보 처리자가 취한 조치 민감한 개인정보 여부 영향을 받는 개인에게 일으킬 수 있는 피해의 성격 침해의 결과로 개인정보를 획득한 사람이나 단체 개인정보가 보안 조치를 통해 보호 받는지 여부 기타 관련 사항들 개인정보 처리자는 통지가 필요한 개인정보 침해사고가 발생한 사실을 인지한 후 실행 가능한 선에서 최대한 빨리 커미셔너와 영향을 받는 정보주체에게 통지해야 함 피해를 입은 정보주체나 단체에게 통지하는 것이 합리적으로 불가능한 경우, 이를 대신해 개인정보 침해사고를 공시해야 함(뉴스 웹사이트에 광고 집행 또는 TV와 라디오를 통한 발표 등) 단, 침해사고의 통지가 ▲보안 또는 방어, 국제 관계에 악영향을 미치는 경우 ▲공공기관의 법 집행에 악영향을 미치는 경우 ▲개인의 안전을 위협 하는 경우 ▲거래 기밀을 노출하는 경우 등 합리적 근거가 있다고 판단 되는 경우에는 영향을 받는 개인에 대한 통지나 공시를 하지 않을 수 있음 <참고 : 개인정보 침해에 관한 지침(동 보고서 14쪽 참고)>
제22조 개인정보 보유기한의 제한	개인정보보호 원칙 9번(개인정보의 보유기한 제한)에 따라, 개인정보를 보유한 개인정보 처리자는 해당 정보가 합법적으로 이용될 수 있는 목적에 필요한 기한 이상으로 정보를 보유해서는 안 됨

▶ EU GDPR과 뉴질랜드 개인정보보호법 간 비교²⁾

EU GDPR과 뉴질랜드 개인정보보호법 간 비교
구분	GDPR	뉴질랜드 개인정보보호법
관할부처	각 EU 회원국의 감독기구	OPC
개인정보 처리자	데이터 컨트롤러 데이터 프로세서	개인정보 처리자(Agency)
적용	EU 내 사업장을 운영하는 경우 EU 외에 있으나 EU 시민에게 제품 또는 서비스를 제공하는 경우 EU 외에 있으나 EU 내 시민의 행동을 모니터링하는 경우	정보의 수집 또는 보유 위치와 관계없이 뉴질랜드 개인정보 처리자에 적용됨 뉴질랜드에서 사업을 하는 과정에서 해외 개인정보 처리자가 수집 또는 보유한 개인정보도 해당
정보주체의 권리	정보를 제공받을 권리 열람권 정정권 삭제권 처리제한권 개인정보 이동권 반대권 프로파일링을 포함 자동화된 의사결정에 반대할 권리	정보 제공권 열람권 정정권
개인정보 침해 사고의 통지	개인정보 침해사실을 인지한 시점으로부터 72시간 내에 감독기구에 통지	신고가 필요한 개인정보 침해사고 발생 시 실행가능한 선에서 가능한 빠른 시일 내 OPC 신고 지침에서 72시간으로 제한
최대 과징금	심각한 위반의 경우 전 세계 연간 매출액 4% 또는 2천만 유로 중 높은 금액을 과징금으로 부과	1만 뉴질랜드 달러 (약 800만 원)

2) https://www.lexology.com/library/detail.aspx?g=fbedb163-07f1-48e7-ab88-3cdc29d0dc3b 참조

Ⅱ. 데이터 프로세서

▶ 뉴질랜드는 컨트롤러와 프로세서가 분리되어 있지 않으며, 보호법 2020에 제시된 개인정보보호 원칙은 모든 개인정보 처리자에 적용된다.

4행정처분 법적 근거

보호법 2020은 제123조에서 커미셔너가 행정처분를 내릴 수 있는 권한을 부여하고, 제212조에서 법 위반 시 벌금 처분의 근거를 제공한다.

EU GDPR과 뉴질랜드 개인정보보호법 간 비교
조항	세부 내용
제123조 행정처분	커미셔너는 ▲개인정보보호법의 위반 ▲기타 법률에서 개인정보보호를 저해하거나 개인정보보호 원칙의 위반으로 취급되는 행위 ▲개인정보보호법에 따라 제정된 실행규약의 위반 발생 시 해당 개인정보 처리자에게 행정처분을 내릴 수 있음
제212조 위반행위	개인정보보호법을 위반한 사람은 다음의 경우 최대 1만 뉴질랜드 달러(약 800만 원)의 벌금에 처해질 수 있음 합당한 이유 없이 개인정보보호법 하의 커미셔너나 다른 사람의 권한 행사를 방해하거나 저해하는 행위 합당한 이유 없이 개인정보보호법 하의 커미셔너나 다른 사람의 합 법적 요구를 거부하거나 이행하지 않는 행위 개인정보보호법을 위반한 사람은 다음의 경우 최대 1만 뉴질랜드 달러의 벌금에 처해질 수 있음 개인정보보호법 하에서 권한을 행사하는 커미셔너 또는 다른 사람에게 진술 또는 정보에 거짓이거나 오해의 소지가 있음을 인지한 상태로 진술 또는 정보를 제공하는 경우 개인정보보호법 하에서 권한을 보유하지 않은 자가 직간접적으로 권한을 보유한 것처럼 행동하는 경우 개인정보를 취득하거나 개인정보를 사용, 변경, 파기할 목적으로 어느 개인을 사칭하거나 해당 개인의 허락을 받는 것처럼 행동하여 개인 정보 처리자를 오도하는 경우 개인정보에 관한 정보주체의 요구를 인지한 상태에서 개인정보를 담은 문서를 파기하는 경우

▶ 보호법 2020은 권력기관에 대한 OPC의 통제권을 법률상으로 보장하고 있다.

보호법 2020 제8조는 법의 적용을 받는 개인정보 처리자를 뉴질랜드에 거주하는 개인, 공공기관, 민간기관, 사법적 기능과 관련된 경우를 제외한 법원 또는 재판소로 규정하여, 정부와 같은 공공 부문을 적용 대상에서 제외하지 않는다.

OPC는 보호법 2020 제17조에 따라 동법 상 부여된 기능과 의무를 수행하고 권한을 행사할 수 있다

▶ OPC가 법률상 권한을 행사하여 정부부처 등에 대해 행정처분을 내린 사례는 아직까지 없는 것으로 파악된다.

5개인정보 국외이전 조항

▶ 보호법 2020은 ‘20년 개정으로 새로 추가된 개인정보보호 원칙 12번을 통해 개인정보 처리자 (A)가 특정 조건이 충족된 경우에만 국외의 개인정보 처리자 (B)에게 개인정보를 공개할 수 있다고 규정하고 있다

개인정보를 해외에 공개할 수 있는 경우는 아래와 같다.

해당 정보주체가 A로부터 B가 보호법 2020에서 제공되는 보호 방식과 유사한 수준으로 정보를 보호하지 않을 수 있다는 점을 명확히 전달받은 이후 B에게 공개를 승인한 경우

B가 뉴질랜드에서 사업을 수행하며, 개인정보와 관련해 보호법 2020의 적용을 받는다고 믿을만한 합리적 근거가 있는 경우

B가 보호법 2020에서 제공되는 보호조치에 상응하는 개인정보보호법의 적용을 받는다고 믿을만한 합리적 근거가 있는 경우

B가 지정 구속력 제도(prescribed binding scheme)³⁾에 참여하고 있다고 믿을만한 합리적 근거가 있는 경우

B가 지정 국가⁴⁾의 개인정보보호법의 적용을 받는다고 믿을만한 합리적 근거가 있는 경우

(가령 A와 B 사이에 체결된 계약 등에 따라) B가 보호법 2020에서 제공되는 보호조치에 상응하는 방식으로 개인정보의 보호를 요구 받는다고 믿을 만한 기타 합리적인 근거가 있는 경우

3) 뉴질랜드 총독이 관할 부처 장관의 권고에 따라 제정할 수 있는 규제로서, 외국인이나 외국 단체가 뉴질랜드 개인정보보호법에 상응하는 방식으로 개인정보를 보호하도록 요구하는 제도를 의미
4) 뉴질랜드 총독이 관할 부처 장관의 권고에 따라 뉴질랜드 개인정보보호법에 상응하는 보호조치를 제공하는 개인정보보호법을 보유한 국가를 지정할 수 있음

6개인정보 법제 준수 지원 현황

EU GDPR과 뉴질랜드 개인정보보호법 간 비교
지침/가이드라인	개요	발행일
민감한 개인정보에 관한 지침⁵⁾	뉴질랜드 개인정보보호법이 민감한 개인정보에 어떻게 적용되는지를 안내	‘21.12.
생체정보와 개인정보보호에 관한 지침⁶⁾	뉴질랜드 개인정보보호법이 생체정보를 규제하는 방법에 관한 OPC의 입장 안내	‘21.10
개인정보 침해에 관한 지침⁷⁾	개인정보 침해 사고에 대한 대응과 방지 방법에 관한 가이드라인 제공	‘21.7

▶ 민감한 개인정보에 관한 지침

동 지침은 개인의 인종, 성적 지향, 성생활, 건강, 장애, 연령, 종교나 정치적 신념 등 개인에게 실질적으로 중요한 의미가 있거나 개인이 사적으로 간직하고자 하는 민감한 개인정보에 관한 내용을 담고 있다.

동 지침에 따르면 보호법 2020에서는 민감한 정보에 대한 특별 절차를 규정하고 있지는 않으나, 민감한 개인정보를 다루는 개인정보 처리자는 해당 정보가 적절하게 처리될 수 있도록 더욱 특별한 관심을 기울여야 한다

개인정보보호 원칙은 개별적인 맥락에 따라 적용되는 만큼 개인정보의 민감성에 비례해 개인정보 처리자의 준법 의무도 강화되어야 한다.

일례로 보호법 2020 원칙 1번에 따라 민감한 개인정보는 개인정보 처리자의 합법적 목적에 필요하지 않는 한 수집되어서는 안 된다.

또한 보호법 2020 원칙 3번에 따라 개인으로부터 개인정보를 수집할 때는 정보의 민감성을 고려하여 해당 개인이 정보의 수집 사실과 목적, 기타 관련 정보를 알 수 있도록 적절한 조치를 취해야 한다.

▶ 생채정보와 개인정보보호에 관한 지침

생체정보는 보호법 2020를 적용받는 개인정보로서, 동 지침은 보호법 2020이 생체정보를 규제하는 방법에 대한 OPC의 입장을 설명하고 있다.

지침에 따르면 OPC는 보호법 2020에 제시된 개인정보보호 원칙과 규제수단이 생체정보의 사용을 규제하기에 충분하다고 인식하여, 현재로서는 생체정보에 관한 별도의 행동규약을 제정할 필요가 없으나 추후 고려할 여지가 생길 수 있다.

OPC는 생체정보의 사용을 고려하는 모든 계획에 대하여 개인정보 처리자가 개인정보 영향평가(PIA)를 실시할 것을 권고한다.

개인정보 영향평가는 생체정보의 활용이 필요한지 여부 및 개인정보 영향을 어떻게 완화할 것인지를 고려해야 한다.

또한 생체정보 시스템이 개인정보 처리자의 필요에 어떻게 부합하며 시스템의 정확성과 효율성을 어떻게 검증할 지도 설명이 필요하다.

▶ 개인정보 침해에 관한 지침

동 지침은 OPC에 신고해야 하는 심각한 피해를 야기한 개인정보 침해사고의 의미와 신고절차, 대응 방법 등을 안내한다

또한 개인정보 침해를 방지하기 위한 기업의 활동인 이메일 보안, 기기와 문서의 도난이나 손실 방지, 직원 교육, 개인정보의 안전한 저장과 폐기, 소프트웨어 패치와 강력한 비밀번호의 사용 등을 안내한다.

심각한 개인정보 침해사고 발생 시에는 OPC 사이트에 72시간 이내에 신고 접수해야 한다.
* privacy.org.nz → your responsibilities → NotifyUs (for organisations)