해외콘텐츠 법령정보

 

 

호주의 게임 정책과 법제 VII

- 개인정보의 수집과 동의 (2)

 

 

 

1. 개인정보의 처리와 보호

1-1. 개인정보 이용 내역 통지

Q. 개인정보 이용을 이용자에게 알려야하는 규정이 있는지. 있다면 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단

     (이메일, 핸드폰 번호 등)이 없다면 이용 내역을 통지하지 않아도 되는지?

A. 호주에서는 기업이 정보를 수집할 때 또는 수집이 불가능한 경우 가능한 한 빨리 개인에게 특정 사항을 통지하거나 개인이 이를 인지하도록

    비즈니스가 합리적인 조치를 취해야 함.

 

    부연 설명

    통지해야 할 사항은 다음과 같음.

    • 기관의 신원과 연락처

    • 기관이 제3자로부터 정보를 수집했거나 개인이 정보 수집 사실을 모를 경우, 정보가 수집되었음과 해당 수집의 상황을 설명

    • 법률이나 법원/법정 명령에 따라 수집이 필요하거나 허가된 경우, 해당 법률의 이름이나 법원/법정 명령의 세부 사항을 명시

    • 개인정보를 수집하는 목적

    • 수집된 유형의 개인정보를 일반적으로 공개하는 다른 기관이나 유형의 기관

    • 개인이 정보를 제공하지 않을 경우 주요 결과

    • 기관의 개인정보 보호정책에는 개인이 개인정보에 접근하고 수정하거나 APPs 위반에 대한 불만 제기 방법 또는 기관을 구속하는 등록

      규정, 그리고 기관이 불만을 처리하는 방법에 관한 정보가 포함되어 있다는 사실

정보가 해외 수령인에게 공개될 가능성이 있는지 여부 및 공개할 경우 해당 정보를 공개할 국가 방법이나 통지에 대한 규정은 없으나,

OAIC는 지침에서 통지를 명확하게 표현해야 한다고 규정하고 있음.

    통지가 요구되지 않는 경우는 다음과 같음.

    • 개인이 이미 개인정보가 수집되고 있다는 사실과 수집 목적 및 기타 APP5 사항을 알고 있는 경우

    • 통지의 비현실성, 시간과 비용을 포함한 요소들이 통지로 인한 개인정보보호 이익을 능가하는 경우

사용자가 이메일, 휴대전화 번호 또는 다른 직접적인 통신 수단이 없다는 이유로 통지를 회피하는 것은 허용되지 않음.

이러한 경우, 사업자는 사용자가 자신의 개인정보 사용에 대해 인지할 수 있도록 물리적 우편, 대면 통지 또는 다른 실질적인 방법을

모색해야 함.

 

1-2. 광고성 정보 (수신, 동의 ,고지, 발송, 방법) 

Q1. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지?

A. 전자 주소(이메일, SMS, 인스턴트 메시지 등)로 광고 및 마케팅 정보를 발송하는 행위는 스팸법의 규제를 받음.

 

    부연 설명

    스팸법의 적용을 받지 않는 직접 마케팅은 개인정보를 사용하는 맞춤형 광고와 전자 주소로 전송되지 않는 모바일 푸시 앱을 포함해 APP

    제7조의 적용을 받음.

    음성 통화의 경우, 2006수신거부등록법(Do Not Call Register Act 2006 (Cth))이 적용됨. 동법은 텔레마케터가 수신거부 등록부에 등록된

    번호에 대해 동의 없이 연락하는 것을 금함.

 

Q2. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있다면, 광고성 정보를 보낼 때

       지켜야 하는 표기 의무가 있는지?

A. 스팸법과 APP 제7조는 직접 마케팅 통신 발송에 대한 의무를 부과함.

 

Q3. 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?

A. 스팸법은 기업이 상업용 전자 메시지를 발송하기 전에 반드시 동의를 얻어야 한다고 규정하고 있음. 동의는 명시적일 수도 있고,

    당사자 간의 행위와 비즈니스 및 기타 관계에서 추론될 수도 있음. 또한, 모든 마케팅 메시지에는 발신자를 명확히 식별하고 연락 방법을

    제공하며, 수신자가 계정에 로그인하거나 추가 개인정보를 제공하지 않고도 향후 통신을 거부할 수 있는 사용하기 쉬운 기능적 구독 취소

    옵션을 포함해야 함.

 

    부연 설명

    스팸법은 주소 수집 소프트웨어로 생성된 주소 목록의 획득 또는 사용을 금지하고 있음. APP 제7조에 따라 직접 마케팅을 진행할 때, 다음의

    경우 직접 마케팅을 보낼 수 있음.

    • 개인정보를 개인으로부터 직접 수집했으며, 개인이 자신의 개인정보가 직접 마케팅 목적으로 사용될 것을 합리적으로 예상할 수 있는 경우

    • 개인정보가 제3자로부터 수집되었거나 개인으로부터 직접 수집되었지만, 개인이 해당 정보가 직접 마케팅에 사용될 것이라는 합리적인

       기대를 하지 않았고, 개인이 그 목적을 위해 정보의 사용 또는 공개에 동의했거나 동의를 얻는 것이 실현 불가능한 경우

    위의 두 가지 예외 사항 모두 기관이 개인이 직접 마케팅 통신을 받지 않기를 요청할 수 있는 간단한 수단을 제공해야 함.

    그러나 조직이 개인으로부터 개인정보를 얻지 않았거나, 개인이  자신의 개인정보가 이러한 방식으로 사용될 것이라고 합리적으로 기대하지

    않는 상황에서는, 개인이 기관으로부터 직접 마케팅 통신을 받지 않도록 선택할 권리가 있음을 인지하도록 할 추가 의무가 있음.

    위의 내용은 민감한 정보가 직접 마케팅 목적으로 사용되는 경우에는 적용되지 않으며, 이 경우 동의가 필요함.

    개인은 기관에게 직접 마케팅을 목적으로 하거나 다른 기관의 직접 마케팅을 촉진하기 위해 자신의 개인정보를 사용하거나 공개하지 않도록

    요청할 수 있음. 기관은 개인의 이러한 요청을 합리적인 기간 내에 무료로 이행해야 함.

    기관은 요청 시, 직접 마케팅 목적으로 사용하거나 공개한 개인의 개인정보 출처를 해당 개인에게 통지해야 함. 단, 이는 불합리하거나 실현

    불가능한 경우에는 예외로 함.

 

1-3. 개인정보 파기

Q1. 개인정보를 파기해야 하는 의무가 있는지?

A. 기관은 개인정보가 APPs에 의해 허용된 목적으로 더 이상 필요하지 않은 경우, 기관은 기관이 호주 법률 또는 법원/법정 명령에 따라 정보를

    보유해야 하는 경우를 제외하고, 합리적인 조치를 취하여 개인정보를 파괴하거나 식별 제거하여야 함.

 

    부연 설명

    제안된 개정 사항

    현재 형태로 통과될 경우 개인정보보호법 개정안은 새로운 조항을 도입하여 “합리적인 조치”에 특정 기술적 및 조직적 조치를 포함한다는

    내용을 명시할 것임.

 

Q2. 개인정보를 어떠한 경우에 파기해야 하는지?

A. 호주 법률이나 법원/법정 명령에 따라 보유해야 하는 경우를 제외하고, 개인정보가 개인정보 보호원칙에서 허용하는 목적에 더 이상

    필요하지 않으면 파기하거나 비식별화해야 함.

 

Q3. 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?

※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,

     소비자의 불만 또는 분쟁처리에 관한 기록 3년

A. 호주에서는 특정 부문에서 개인 데이터를 보관해야 하는 법적 의무가 있음. 예를 들어, 기업 법에 따르면, 기업은 재무 기록을 7년 동안

    보관해야 하며, 1936 소득세평가법(연방) (Income Tax Assessment Act 1936 (Cth))에 따르면 세무기록을 5년 동안 보관해야 함.

    2009공정근로법(연방)(Fair Work Act 2009 (Cth))에 따르면 고용 기록을 최소 7년 동안 보관해야 함. AML/CTF법이 적용되는 경우,

    고객 식별 정보도 최소 7년 동안 보관해야 함.

 

1-4. 장기 미 접속 계정 휴면 처리 방법

Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?

A. 호주 APP 제11조의 요구사항 외에는 의무 사항이 없음. 휴면처리도 해당 사항 없음

 

1-5. 개인정보 처리 방침

Q1. 국내의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로

       기재해야 하는 내용이 있는지? 그리고 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지?

A. 기관은 명확하게 기재된 최신 상태의 개인정보 보호정책을 유지해야 함.

 

    부연 설명

    개인정보 보호정책은 기관이 개인정보를 어떻게 관리하는지를 상세히 설명해야 하며, 다음과 같은 필수 정보를 제공해야 함.

    • 기관의 신원과 연락처

    • 기관이 수집하고 보유하는 개인정보의 종류

    • 기관이 개인정보를 수집하고 보유하는 방식

    • 기관이 개인정보를 수집, 보유, 사용, 공개하는 목적

     • 개인이 자신의 개인정보에 접근하고 수정할 수 있는 방법

    • 개인이 개인정보보호원칙 위반에 대해 불만을 제기할 수 있는 방법과 기관이 그 불만을 처리하는 방법

    • 기관이 개인정보를 해외 수령인에게 공개할 가능성이 있는지 여부와, 공개할 경우 그 수령인이 위치할 가능성이 있는 국가를 명시

 

Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?

A. 개인정보 보호정책은 명확하게 표현하고 최신 상태를 유지해야 하며, 적절한 형식으로 무료로 제공되어야 함. 개인정보 보호정책은

    일반적으로 사업자의 웹사이트나 사용자 플랫폼(예: 게임 내)에 공개됨. 특정 형태로 개인정보 보호정책 사본을 요청하는 경우,

    기관은 해당 형태로 사본을 제공하기 위해 상황에 맞는 합리적인 조치를 취해야 함.

 

1-6. 이용자 개인정보 권익보호방법

Q1. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)?

 

    부연 설명

    이용자는 다음과 같은 권리를 가짐.

    • 개인정보에 접근을 요청할 권리

    • 개인정보 수정 요청 권리와 정보가 수정되었음을 다른 기관에 통지하도록 기관에 요청할 권리

    • 직접 마케팅을 받지 않을 권리, 다른 기관이 마케팅을 용이하게 하기 위해 개인정보를 사용하거나 공개하지 않도록 요청할 권리,

       기관에게 직접 마케팅에 사용된 개인정보의 출처를 제공하도록 요청할 권리

    • 가능한 경우 익명으로 또는 가명을 사용하여 상호작용할 권리

    • 개인정보 사용 또는 공개의 근거가 동의인 경우, 동의를 철회할 권리

    • OAIC에 개인의 개인정보 침해에 대해 불만을 제기할 권리

 

Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?

 

    부연 설명

    접근

    기관은 다음의 경우에 개인정보에 대한 접근을 제공할 의무가 없음.

    • 접근 허용 시 개인의 생명, 건강 또는 안전, 공중 보건 또는 공공 안전에 심각한 위협을 초래할 경우

    • 접근 허용 시 다른 개인의 사생활에 부당한 영향을 미칠 경우

    • 접근 요청이 경솔하거나 진정성이 없는 경우

    • 정보가 기관과 개인 간의 현재 또는 예상되는 법적 절차와 관련이 있으며, 해당 절차에서 증거 개시 절차를 통해 접근할 수 없는

       정보인 경우

    • 접근 허용 시 기관의 의도를 드러내어 그 협상에 손해를 줄 수 있는 방식으로 개인과의 협상과 관련된 조직의 의도가 드러나게 될 경우

     • 접근 허용이 불법인 경우

    • 호주 법률 또는 법원/법정 명령에서 접근 허용을 요구하거나 허가하는 경우

    • 다음 두 가지 사항이 모두 적용되는 경우. (i) 조직이 불법 활동이나 심각한 성격의 불량 행위가 조직의 기능이나 활동과 관련하여

      발생했거나, 발생 중이거나, 발생할 가능성이 있다고 의심할 만한 이유가 존재, (ii) 접근을 허용하는 것이 해당 문제에 대한 적절한 조치를

      취하는 데 손해를 줄 수 있을 가능성이 존재

    • 접근 허용 시 집행 기관 또는 집행 기관을 대신하여 수행하는 하나 이상의 집행 관련 활동에 손해를 끼칠 가능성이 있는 경우

    • 접근 허용 시 상업적으로 민감한 의사 결정 과정에서 생성된 평가 정보를 노출하게 되는 경우

기관은 접근을 거부하는 이유를 명시한 서면 통지를 제공해야 하며, 개인이 거부에 대해 불만을 제기할 수 있는 방법을 안내해야 함

(단, 서면 통지가 불합리한 경우는 제외).

 

    수정

    기관은 개인정보가 이미 정확하고 최신이며 완전하고 관련성이 있으며 오해의 소지가 없는 경우, 개인정보 수정 요청을 거부할 수 있음.

    기관은 정보 수정을 거부하는 이유와 개인이 거부에 대해 불만을 제기할 수 있는 방법을 명시한 서면 통지를 제공해야 함(단, 서면 통지가 불

    합리한 경우는 제외).

 

    직접 마케팅 정보의 출처

    기관이 직접 마케팅에 사용된 개인정보의 출처를 제공하는 것이 실현 불가능하거나 합리적이지 않은 경우, 출처를 제공할 의무는 없음.

 

    익명성

    기관은 호주 법률이나 법원/법정 명령에 따라 신원을 확인한 개인과 거래해야 하는 경우, 또는 개인에게 익명으로 상호작용하거나 가명을

    사용할 수 있는 선택권을 주는 것이 비현실적인 경우, 그러한 선택권을 제공할 의무가 없음.

 

    추첨 철회

    개인은 데이터 처리에 대한 동의를 철회할 수 있지만, 이는 이전의 수집, 사용 또는 공개의 적법성에 영향을 미치지 않음.

    다른 법적 근거가 존재하는 경우, 기관은 계속해서 데이터를 처리할 수 있음.

 

    OAIC에 대한 불만 제기

    OAIC는 개인이 먼저 해당 기관에 불평을 제기하지 않는 한 불평을 조사하지 않음. 단, OAIC가 해당 기관에 불평을 제기하는 것이 적절하지

    않다고 판단하는 경우는 예외로 함.

 

1-7. 개인정보 침해에 대한 보상 보험 요건

Q1. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지?

A. 호주에서는 합리적인 근거가 있을 경우 데이터 주체에게 ‘통지 대상 데이터 침해’가 발생했음을 통지해야 하는 의무가 있음.

 

    부연 설명

    통지 대상 데이터 침해는 다음과 같은 경우로 정의됨.

    • 개인정보에 대한 무단 접근, 무단 공개가 발생하거나, 또는 무단 접근 또는 공개가 발생할 가능성이 있는 상황에서 개인정보의 손실이

      발생하는 경우

    • 해당 침해가 정보와 관련된 개인 중 어느 누구에게든 심각한 피해를 초래할 가능성이 높은 경우

    기관이 위와 같은 데이터 침해가 발생했을 가능성을 의심할 경우, 상황을 신속히 평가하여 통지 대상 데이터 침해가 발생했는지 여부를

    결정해야 함.

    개인은 기관이 일반적으로 사용하는 방법(예: 이메일)을 통해 통지받을 수 있음. 각 영향을 받는 개인에게 통지하는 것이 실질적으로

    불가능한 경우, 기관은 웹사이트에 통지 사본을 게시하고 이를 널리 알리기 위한 합리적인 조치를 취해야 함.

    기관이 데이터 침해로 인해 심각한 피해가 발생할 가능성이 없도록 구제 조치를 취했거나, 다른 기관이 동일한 자격 있는 데이터 침해에

    대해 필요한 통지를 이미 한 경우에는 통지 의무가 없음.

 

Q2. 정보주체에게 고지 의무가 있다면, 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지[홈페이지에

       사고 사실 공개, 개별 연락 (이메일, 전화 등)]?

A. 통지 의무 발생과 관련해 위반 건수나 피해 데이터 주체의 수 요건은 없음. 대신, 개인정보가 포함된 데이터 침해가 발생하여 해당 개인에게

    심각한 피해를 초래할 가능성이 있는 경우, 통지 의무가 발생함. 단 한 명의 개인정보가 침해되더라도, 그 침해가 심각한 피해를 초래할

    가능성이 있다면, 기관은 영향을 받은 개인에게 통지해야 함.

 

Q3. 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?

A. 기관이 심각한 피해를 초래할 가능성이 있는 데이터 침해를 인지한 경우, 가능한 한 빨리 데이터 침해에 관한 성명을 준비하고, 성명 준비 후

    가능한 한 빨리 개인에게 성명의 내용을 통지해야 함. 조직이 합리적인 근거에 따라 자격 있는 데이터 침해가 발생할 가능성이 있는 경우에

    심각한 피해를 초래할 것으로 의심하지만, 그 의심이 데이터 침해가 발생했다고 믿을 만한 합리적인 근거에 이르지 않는 경우,

    조직은 신속한 평가를 수행하고 평가가 30일 이내에 완료되도록 합리적인 조치를 취해야 함.

 

Q4. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지?

A. 합리적인 근거가 있는 데이터 침해가 발생했다고 판단되면, 성명서를 작성하고 호주정보보호청에 사본을 제출해야 함.

 

    부연 설명

    성명서에는 다음 사항을 명시해야 함.

    • 기관의 신원과 연락처

    • 기관이 합리적인 근거를 바탕으로 발생했다고 판단하는 데이터 침해에 대한 설명

    • 해당 정보의 구체적 종류

    • 개인정보 유출이 발생했다고 합리적으로 판단되는 경우, 해당 기관이 발생한 것으로 판단하는 데이터 침해에 대한 조치에 대한 권고 사항

    해당 기관은 동일한 데이터 침해를 겪은 다른 기관의 신원과 연락처를 명시할 수도 있음. 중요한 점은, 조직이 데이터 침해로 인해 심각한

    피해가 발생할 가능성을 없애는 시정 조치를 취했거나, 다른 조직이 동일한 적격 데이터 침해에 대해 필요한 통지를 이미 한 경우에는 통지

    의무가 없다는 점임.

 

Q5. 신고 의무가 있다면 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 시간이 정해져 있는지(사고 사실을 인지한 순간부터\

       1주일 이내 등)?

A. 개인정보 사고가 발생했을 때 사고 수를 기준으로 통지 의무가 발생하지는 않음. 모든 사고는 해당 사고가 정보주체에게 관련된 위험을

    시사하는 경우 관리자 통지 의무 발생과 관련해 침해 건수 요건은 없음. 대신, 개인정보가 포함된 데이터 침해가 발생하여 해당 개인에게

    심각한 피해를 초래할 가능성이 있는 경우, 통지 의무가 발생함. 조직은 심각한 피해를 초래할 가능성이 있는 침해 사항을 인지한 후 가능할

    경우 가능한 신속하게 해당 개인과 OAIC에 통지해야 함. 일주일 이내와 같은 고정된 통지 기간은 명시되어 있지 않지만, 통지는 신속하고

    불합리한 지체 없이 이루어져야 한다. 통지에는 위반 사항의 세부 사항, 관련된 정보의 유형, 개인이 취해야 할 조치에 대한 권고 사항이

    포함되어야 함.

 

1-8. 데이터 침해에 대한 보상

Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을

     적립하는 등 필요한 조치를 하여야 함. 이와 유사한 규제가 있는지?

A. 해당 규정은 없음.

 

1-9. 개인정보 유출 손해 배상 보험

Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?

A. 개인정보의 수집과 동의 보고서의 해당