국가 | 호주 | 장르 | 게임 |
---|---|---|---|
기관 | (-) | 구분 | 기타 |
제정일 | (-) | 개정일 | (-) |
호주의 게임 정책과 법제 VI
- 개인정보의 수집과 동의 (1)
1. 개인정보의 수집과 동의
1-1. 개인정보보호법 적용 대상
Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?
A. 호주의 게임 회사에 적용되는 데이터 보호에 관한 주요 법률로는 호주 개인정보보호법, 개인 정보보호원칙(APPs)
(개인정보보호법 부속서 2), 그리고 스팸법 2003(Spam Act 2003, Cth)이 있음. 또한, 호주소비자법의 조항은 기관이 개인 및
그 개인정보와 거래할 때 관련이 있음. 개인정보보호법은 해외 사업자가 호주와 연관이 있을 경우 적용될 수 있음.
여기에는 해당 비즈 니스가 호주에 법인으로 설립되었거나 호주에서 비즈니스를 영위하는 경우가 포함됨.
부연 설명
조직이 호주에 물리적 존재가 없더라도 호주 소비자에게 상품이나 서비스를 제공하거나, 호주 시장을 대상으로 하거나, 호주 내 개인의 개인
정보를 상업적 이익을 위해 수집하거나 사용하는 경우 호주에서 비즈니스를 영위하는 것으로 간주될 수 있음.
해당 기준에 해당하는 해외 기관은 개인정보의 수집, 사용, 공개, 관리에 관한 규정을 다루는 개인정보보호원칙을 준수해야 함.
또한, 스팸법은 호주와 연결된 상업용 전자 메시지에 적용됨. 호주에 사업장이 없는 해외 사업자에게는, 호주에 물리적으로 있는 개인에게
보내는 메시지나 호주에서 사업을 하는 기관에게 보내는 메시지가 포함됨.
호주소비자법은 호주에 비즈니스를 영위하는 기관의 해외 행위에도 적용됨.
1-2. 해외 사업자의 국내 대리인 지정
Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?
개인정보처리방침에 공개만 해 두어도 되는지?
A. 개인정보보호법은 해외 조직이 데이터 보호를 위해 국내 대리인을 임명할 의무를 부과하지 않음
부연 설명
개인정보 보호법의 의무를 준수하기 위해 현지 대표를 임명하는 것이 실용적인 선택일 수 있지만, 법적 요구사항은 아님.
해외 조직이 국내 대리인을 임명하는 경우, 이 사실을 호주정보보호청(Office of the Australian Information Commissioner) (OAIC)나
다른 당국에 보고할 의무는 없음. 그러나 기관은 투명성 의무의 일환으로 개인정보 보호정책에 이를 공개하여 투명성을 보장할 수 있음.
1-3. 개인정보 수집 방법 (동의, 고지 등)
Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?
※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등
A. 호주에서는 개인정보의 수집, 사용 및 공개를 주로 개인정보보호원칙에 따라 규제함. 정보가 민감한 정보인지 여부에 따라 수집의
법적 근거가 달라짐.
부연 설명
민감한 정보는 합리적으로 식별 가능한 개인의 인종 또는 민족적 출신, 정치적 의견, 정치 단체의 회원 자격, 종교적 신념 또는 소속,
철학적 신념, 전문직 또는 무역 협회의 회원 자격, 노동 조합의 회원 자격, 성적 지향 또는 행위, 범죄 기록에 관한 정보나 의견을 의미함.
또한 개인의 건강 또는 유전 정보, 자동화된 생체 인식 확인 또는 식별을 위해 사용되는 생체 인식 정보 및 생체 인식 템플릿도 포함됨.
수집
APPs에 따른 개인정보 수집의 법적 근거는 다음과 같음.
민감한 정보가 아닌 개인정보의 경우, 해당 정보가 기관의 기능이나 활동 중 하나 이상에 합리 적으로 필요한 때(APPs 제3조제2항)
민감한 정보의 경우, 개인이 동의하고 해당 정보가 하나 이상의 기관의 기능이나 활동에 합리적으로 필요하거나(APPs 제3조제3항),
다른 예외가 적용될 때. 예를 들어, 수집이 호주 법률 또는 법원/법정 명령에 의해 요구되거나 허가된 경우, 허용된 건강 상황이 존재하거나
허용된 일반 상황이 존재하는 경우가 있음.(APPs 제3조제4항)
“허용된 일반 상황”에는 다음과 같은 경우가 있음.
(a) 생명, 건강 또는 안전에 대한 심각한 위협을 줄이거나 방지하기 위해 수집이 필요한 경우
(b) 기관이 불법 활동이나 심각한 성격의 불량 행위와 관련하여 적절한 조치를 취하는 것이 필요하다고 합리적으로 판단하는 경우
(c) 실종 신고된 사람을 찾는 것이 합리적으로 필요한 경우
(d) 법적 또는 형평성 있는 청구를 방어하는 것이 합리적으로 필요한 경우 또는
(e) 기밀 분쟁 해결 절차를 위해 합리적으로 필요한 경우
사용 또는 공개
개인정보는 수집된 목적(주된 목적)으로 사용하거나 공개할 수 있음. 또한, 다음과 같은 경우 다른 목적(부차적 목적)으로도 사용하거나
공개할 수 있음.
• 개인이 사용 또는 공개에 동의한 경우
• 개인이 정보가 2차 목적으로 사용될 것을 합리적으로 예상할 수 있고, 2차 목적이 주요 목적과 관련되어 있는 경우 또는 정보가 민감한
경우 주요 목적과 직접적으로 관련된 경우
• 사용 또는 공개는 호주 법이나 법원/법정 명령에 의해 승인된 경우
• 허용된 일반 상황이 존재하는 경우(위 정의 참조)
• 허용된 의료 상황이 존재하는 경우
• 조직은 집행 기관이 수행하는 집행 관련 활동에 사용하거나 공개하는 것이 기관이 합리적으로 믿는 활동에 합리적으로 필요하다고
판단하는 경우(APPs 제6조).
고용과 관련해, 직원 기록은 사용 및 공개와 관련된 요구사항에서 면제됨. 단, 고용주가 사용하거나 공개하는 경우이며,
이는 고용 관계와 직접적으로 관련이 있을 때임.
1-4. 아동의 개인정보 수집
Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가
존재하는지? 혹 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?
A. 호주에서는 아동의 개인정보 수집 및 사용을 개인정보보호법과 호주 개인정보보호원칙이 규제하고 있음. 아동에게 마케팅 메시지를 보내는
행위는 스팸법이 규제함. 개인정보 보호법에는 개인 정보 보호 목적이나 스팸법에는 상업용 전자 메시지 수신 동의 목적을 위한 특정 연령
동의 기준이 명시되어 있지 않음. 그러나 호주정보보호청(OAIC)은 아동의 개인정보와 관련된 호주 개인정보원칙지침(APP 지침)을
발행하여 APPs에 대한 지침을 제공함.
부연 설명
APP 지침은 기관이 아동이 정보에 대한 동의를 제공할 능력을 평가해야 한다고 명시함. 개별적으로 아동의 능력을 판단하는 것이
합리적이지 않은 경우 일반적으로 15세 이상의 아동은 이 능력을 갖추고 있다고 추정할 수 있으나, 아동의 능력을 판단할 수 없는 경우,
부모나 법적 보호자로부터 동의를 얻을 수 있음. 동의가 필요하지 않은 경우, 다른 법적 근거를 사용할 수 있음. 그러나 개인정보 보호법에
따라 동의가 필요하지 않더라도, 수집은 합법적이고 공정해야 하므로(APP 제3조제5항), 아동의 개인정보를 다룰 때는 특별한 고려가
필요할 수 있음.
제안된 개정 사항
2024 개인정보 및 기타 법률 개정 법안(Privacy and Other Legislation Amendment Bill 2024 (Cth), 개정안)이 2024년 9월 12일 호주
의회에 제출됨. 개정안이 현재 형태로 통과되면, 아동의 개인정보 보호 권리를 증진하고 아동(18세 미만의 개인)을 새롭게 정의하는 조항을
도입하게 될 것임. 또한, 이 법안은 호주정보보호청으로 하여금 개정안이 통과된 후 24개월 이내에 아동 온라인 개인정보보호규정
(Children’s Online Privacy, COP 규정)을 수립하도록 요구할 것임(법안이 2025년에 통과되면 COP 규정은 2027년까지 시행될 것으로
예상됨). COP 규정은 아동의 프라이버시와 관련하여 하나 이상의 개인정보보호원칙이 어떻게 적용되거나 준수되어야 하는지를 명시할
것이지만, 세부 사항은 아직 알려지지 않았음.
Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?
A. 개인정보보호법, 개인정보보호원칙 및 스팸법에는 법정대리인, 부모 또는 보호자를 통해 동의를 얻는 방법이 구체적으로 명시되어
있지 않음.
Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?
A. 개인정보보호법과 개인정보보호원칙은 개인정보 보호 목적을 위해 아동을 정의하는 특정 연령을 명시하지 않음. 동의 능력은 상황에 따라
다름. 그러나 개별적으로 동의 능력을 판단하는 것이 합리적이지 않은 경우, 일반적으로 15세 이상의 개인은 자신의 동의를 제공할 수 있는
능력이 있다고 간주함. 다만, 그렇지 않다고 믿을 만한 이유가 있는 경우는 제외함. 따라서, 15세 미만의 아동에 대해서는 부모나 보호자의
동의가 일반적으로 필요함.
부연 설명
제안된 개정 사항
개인정보보호법 개정안(Privacy Amendment Bill)이 현재 형태로 통과될 경우 “아동”을 18세 미만의 개인으로 정의하고,
아동의 개인정보 보호와 관련하여 하나 이상의 개인정보보호원칙이 어떻게 적용되고 준수되어야 하는지를 규정하는 COP 규정의 수립을
명시할 것임.
Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?
A. 아동은 개인정보에 관련된 성인과 동일한 권리를 갖음. 개인정보 보호법에는 아동을 대신하여 결정을 내릴 수 있는 규정이 없으며,
일반적으로 부모나 보호자가 결정을 내리고, 결정을 내릴 수 없는 아동을 대신하여 권리를 행사할 책임이 있다고 가정함.
Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?
A. 각 법에 따라 다름.
부연 설명
개인정보보호법
개인정보보호법 또는 개인정보보호원칙을 위반할 경우 처벌과 결과는 다음과 같음.
개인정보 보호 의무를 심각하게 또는 반복적으로 위반할 경우 민사 책임을 짐. 기관은 최대 5천만 호주 달러 또는 정보 오용을 통해 얻은
이익의 세 배, 또는 법원이 이익을 계산할 수 없는 경우 해당 기간 동안 기관의 조정된 연간 매출의 30% 중 더 큰 금액을 부과받음.
OAIC에서 발행한 위반 통지에 따른 벌금은 일반적으로 법원이 부과하는 벌금보다 적음. 기관은 법원 절차 대신 통지서에 명시된 금액의
납부를 선택할 수 있음.
• 기관이 위반을 시정하고 개인정보 보호 의무 준수를 개선하기 위해 특정 조치를 취할 것을 약속하는 법적 구속력이 있는 합의서
• 기관이 개인정보보호법 위반을 해결하기 위해 특정 조치를 취해야 한다는 내용이 포함된 OAIC 발행 준수 통지서
• 위반으로 인해 발생한 손실이나 피해에 대해 개인들에게 보상금을 지급
개인정보보호법 하에서의 조치 예시
호주정보보호청장은 2022년 10월 데이터 침해 사건과 관련하여 Medibank Privacy Limited를 상대로 민사 처벌 절차를 진행하고 있음.
호주정보보호청은 수백만 달러의 벌금을 부과할 것으로 예상됨.
스팸법 벌금
스팸법을 반복적으로 위반하는 기관에게는 하루 최대 313만 달러의 벌금이 부과될 수 있음. 최초 위반 시 최대 62만 6천 달러의 벌금이
적용됨. 스팸법 위반에 따른 다른 결과로는 위반으로 얻은 금전적 이익의 반환, 금지 명령, 집행 가능한 약속, 배상 명령 등이 있음.
2023년, DoorDash Technologies Australia는 적절한 동의 없이 마케팅 메시지를 발송하고, 적절히 기능하는 구독 취소 방법을 제공하지
않아 2백만 호주달러의 벌금을 부과받음.
호주소비자법 벌금
호주소비자법 위반에 대한 벌금은 최대 5천만 호주달러 또는 정보 오용을 통해 얻은 혜택 가치의 세 배, 또는 법원이 혜택을 계산할 수 없는
경우 해당 기간 동안 기관의 조정 연간 매출의 30% 중 큰 금액으로 부과됨.
페이스북은 호주소비자법을 위반하여 관련 서비스를 제공하는 것 외의 목적으로 데이터를 사용할 것이라는 점을 충분히 공개하지 않아
2천만 호주달러를 부과 받았음.
제안된 개정 사항
개인정보보호법 개정안은 개인정보보호법을 개정해 OAIC와 법원의 집행 권한을 강화하고, 더 다양한 집행 옵션을 제공하는 것을
내용으로 함.
1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)
Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한
경우 등)?
A. 개인정보는 수집된 목적(주된 목적)을 위해 제3자에게 공개할 수 있음.
부연 설명
아래에 명시된 상황에서 다른 목적(부차적 목적)을 위해서도 공개할 수 있음(APP 제6조).
• 개인이 사용 또는 공개에 동의한 경우
• 개인이 정보가 2차 목적으로 사용될 것을 합리적으로 예상할 수 있고, 2차 목적이 주요 목적과 관련되어 있는 경우 또는 정보가 민감한
경우 주요 목적과 직접적으로 관련된 경우
• 사용 또는 공개는 호주 법이나 법원/법정 명령에 의해 승인된 경우
• 허용된 일반 상황이 존재하는 경우
• 허용된 의료 상황이 존재하는 경우
• 기관이 집행 기관이 수행하는 집행 관련 활동에 필요하다고 합리적으로 판단하는 경우
1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)
Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?
A. 개인정보 처리 업무를 외부 회사에 위탁하는 경우, 법적 근거 중 하나를 준수하고 관련 통지 요건을 준수하는 한 일반적으로 동의가
필요하지 않음.
Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?
A. 개인정보 처리에 동의가 필요하지 않은 경우, 합법성을 확보하는 방법은 다음과 같음. 일반에 제공되는 개인정보 보호정책에 개인정보를
공개하는 목적 및 개인정보가 공개될 가능성이 있는 해외 국가를 명시함(APP 제1조). 정보를 수집할 때 또는 수집 직후에, 해당 정보가
일반적으로 공개되는 다른 기관이나 기관 유형, 그리고 개인정보가 공개될 가능성이 있는 해외 국가에 대해 개인에게 통지(APP 제5조).
제3자가 개인정보를 오용, 간섭, 손실, 또는 무단 접근, 수정 또는 공개로부터 보호하도록 합리적인 조치를 취하여 APP 제11조를
준수하도록 함.
Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?
A. 개인정보보호법은 개인정보 처리를 위탁 받은 제3자가 서명한 문서를 명시적으로 요구하지 않음. 그러나 해당 제공자와 보안 조치를
구체적으로 명시하고, 개인정보보호원칙을 준수하며, 허용되는 사용 및 공개 범위를 정의하며, 데이터 침해 프로토콜을 다루고,
개인정보 보호법과 관련된 APPs의 요구사항을 지속적으로 준수하기 위해 감사 및 모니터링 조항을 포함하는 공식 계약을 체결하는 것이
바람직함.
Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?
A. 수탁자를 관리하고 감독할 명시적인 의무는 없으나, 조직이 개인정보를 오용, 간섭, 손실, 무단 접근, 수정 또는 공개로부터 보호하기 위해
위탁자를 위한 합리적인 조치를 취해야 하는 의무를 충족하기 위해 이러한 요구사항을 권장함(APP 제11조). 특정 상황에서 수탁자가
해외에 있는 경우, 기관은 수탁자가 개인정보보호원칙을 위반하지 않도록 합리적인 조치를 취해야 함. 이는 수탁자를 관리하고 감독하는
것을 포함할 수 있음. 준수하기 위해 필요한 모니터링과 감독의 성격은 정보의 양과 민감도, 수탁자의 성격, 데이터 침해 발생 시 발생할
수 있는 잠재적 피해 등 여러 요인에 따라 달라짐(APP 제11조제7항 및 제8조제17항).
Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는 위탁업체가
그 책임을 지는지)?
A. 개인정보보호원칙의 적용을 받는 경우, 위탁자는 해당 법률과 원칙을 위반한 것에 대해 책임을 짐. 위탁하는 주체는 위탁 받는 자에게
정보를 위탁할 때 적정한 보호 조치를 취하지 않았다면 책임을 질 수 있음(APP 제11조). 예를 들어, 충분한 적정 주의를 기울이지 않았거나,
위탁받는 자와의 계약을 체결하지 않았거나, 적절한 모니터링과 감독을 제공하지 않은 경우가 이에 해당함. 수탁자가 개인정보 보호 원칙의
적용을 받지 않는 해외 기관인 경우, 대부분의 상황에서 위탁자는 수탁자의 개인정보 보호법(제16C조) 위반에 대해 책임을 짐.
1-7. 쿠키 수집
Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?
A. 호주에서는 쿠키(cookie)에 대한 별도 규제가 없음. 그러나 쿠키 정보와 관련된 개인을 다른 정보와 결합하여 합리적으로 식별할 수 있는
경우, 쿠키를 통해 수집된 정보는 개인정보로 간주되며 개인정보보호원칙의 요구사항을 준수해야 함.
Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?
A. 쿠키를 통해 수집된 정보가 개인정보로 간주될 경우, 수집에 관한 요구사항은 개인정보 수집 방법(동의, 고지 등)에서 설명한 내용이 적용됨.
부연 설명
예를 들어, 쿠키 정보가 하나 이상의 조직 기능이나 활동에 필요하고, 해당 정보가 민감한 정보가 아닌 경우 동의가 필요하지 않음
(APP 제3조제2항). 개인정보 보호법에 대한 개인정보 보호정책 요구사항 및 APP 제5조제2항에 대한 통지 요건이 적용됨.
1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지시항)
Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전
가능 등)?
부연 설명
호주 외부로의 개인정보 이전은 다음과 같은 경우에 허용됨.
• 해당 기관이 개인정보를 이전받는 자가 개인정보 보호 원칙(APP 제38제1항)을 위반하지 않도록 적절한 조치를 취하는 경우
(적절한 조치의 범위는 정보의 상황과 성격에 따라 다르지만, 일반적으로 적정 주의를 기울이고, 이전 받는 자와 계약을 체결하며, 개인정보
보호법 준수를 모니터링 하는 것을 포함).
• 해당 기관은 해외 수신자가 정보 보호에 대해 개인정보보호원칙과 실질적으로 유사한 방식으로 정보를 보호하는 법률이나 구속력 있는
체계의 적용을 받는다고 합리적으로 판단하고 있으며, 개인이 그러한 법률을 집행할 수 있는 경우(APP 제8조제2항(a)호)
• 기관이 개인에게 해외 수신자가 개인정보 보호 원칙(Australian Privacy Principles, 개인 정보 보호 원칙)을 준수하도록 합리적인
조치를 취할 것임을 명확히 알리고, 개인이 이에 동의한 경우(APP 제8조제2항(b)호)
• 호주 법률 또는 법원/법정 명령에 따라 공개가 요구되거나 허가된 경우(APP 제8조제2항(c)호)
• 개인정보 수집 방법에서 설명한 첫 번째 세 가지 허용된 일반 상황 중 하나가 공개와 관련하여 존재하는 경우(APP 제8조제2항(d)호)
제안된 개정 사항
현재 형태로 통과될 경우, 개인정보보호법 개정안은 별도의 규정에 명시된 구속력 있는 제도에 따라 법률이 적용되는 국가나 기관에
개인정보를 공개할 수 있도록 허용할 것임. 이러한 공개에는 조건이 부과될 수도 있음.
1-9. 데이터 현지화
Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?
A. 비디오게임 산업에서, 호주 국민의 개인정보를 호주 내에 저장해야 한다고 명시하는 법률은 호주에 없음.
Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?
A. 없음.