국가정보_호주

피해 구제 체계

1개요

프라이버시법(Privacy Act)에 따른 호주 프라이버시 원칙(APP) 준수 의무가 있는 기업은 개인정보 유출 통지(Notification of eligible data breaches) 제도에 따른 보고 요건을 준수해 유출 통지를 시행해야 한다. 또한, 건강정보 기록인 My Health Record와 관련해 My Health Records Act 2012에 따라 개인정보 유출 발생 시 관련 시스템을 취급하는 특정 주체들에게 유출 통지 의무가 부과되고 있다.

한편, 개인의 경우 개인정보 침해와 관련해 OAIC에 민원을 제기할 수 있으며, 프라이버시법에 따라 다수 민원인이 참여하는 집단 민원 신청도 가능하다.

가. 프라이버시법에 따른 유출 통지

개인정보 유출 통지 제도는 2017년 도입되어 2018년 2월부터 시행되었다. 이전에는 개인정보 보안 침해 가이드(Data breach notification — A guide to handling personal information security breaches, 2014), 개인정보 유출 대응 계획 수립 가이드(Guide to developing a data breach response plan, 2016) 등을 통해 자발적 유출 통지 제도를 운용했다. 이에 따라 호주 연방정부 기관, 기업 및 비영리 단체(소규모 사업자 제외), 민간 분야 건강서비스 제공자, 신용평가기관, 납세번호 처리자 그리고 영리를 목적으로 개인정보를 받거나 제공하는 자 등 프라이버시법 적용을 받는 주체는 모두 통지 의무 대상이 되며, My Health Records Act 2012에 따른 유출 통지 대상은 해당 규정에 따르므로 동 법에서는 적용이 제외된다. 또한, 본 제도가 시행된 2018년 2월 이전에 확인된 유출 건 또는 시행 이후에 확인된 유출 건이라도 유출이 시행 이전에 발생한 건에는 적용되지 않는다.

개인정보 유출은 개인정보에 대한 비인가 된 접근이나 제공 또는 개인정보 분실 등의 경우를 의미하며, ‘개인정보에 대한 비인가 된 접근 또는 제공이 있거나 개인정보가 분실되었고, 이러한 행위가 합리적인 판단 때문에 해당 개인에게 심각한 피해가 발생할 수 있다고 평가되며, 해당 개인정보 처리 주체가 구제 활동을 통해 발생할 수 있는(likely to occur) 심각한 피해를 방지하지 못하는 경우’가 개인정보 유출에 해당된다.

여기서 ‘발생할 수 있는 심각한 피해’란 단순 발생 가능성(possible)보다는 발생 개연성이 높은(probable) 상황을 말하며, 심각한 피해는 물리적, 정신적, 정서적, 경제적, 사회 평판적 피해를 포함한다. 또한, 심각한 피해 발생 시 개연성 여부에 대한 평가는 다음과 같은 사항을 고려할 수 있다.

개인정보의 종류

개인정보의 민감성

한 가지 이상의 보안 조치로 보호되었는지 여부

한 가지 이상의 보안 조치로 보호된 경우 – 이러한 보호조치가 무력화될 개연성

해당 정보를 획득했거나 획득할 수 있는 사람(의 유형)

해당 정보에 보안 기술이나 방법이 사용된 경우, 인가된 자가 아니면 그 정보가 이해되기 어렵 게 설계되었는지 여부

해당 정보를 획득했거나, 획득할 수 있는 자가 해당 정보와 관련된 개인에게 피해를 끼칠 의도를 가질 수 있는 개연성, 또는 그러한 자가 보안 기술을 우회하는데 필요한 정보나 지식을 획득하거나, 획득할 수 있는 개연성

피해의 성격 등

프라이버시법은 이와 같은 개인정보 유출에 대해 개인정보 유출 통지 의무를 부과하였다. 이에 따라 개인정보 처리 주체는 개인정보 유출을 인지한 경우, 해당 개인과 OAIC에 유출 사실을 통지해야 한다. 단, 하나 이상의 개인정보 처리 주체가 관련된 경우, 그 중 하나의 주체가 통지를 수행하면 나머지 주체는 통지하지 않아도 된다.

통지를 위해서는 개인정보 유출 인지 후 가능한 한 즉시 개인정보 유출에 대한 진술서 작성 및 OAIC에 진술서 사본을 제출하도록 한다. 진술서에 포함되는 내용은 ① 개인정보처리 주체의 신원 및 연락처 정보, ② 개인정보 유출에 대한 설명, ③ 개인정보 유출에 관련된 정보의 종류, ④ 개인정보 유출에 대응하기 위해 개인이 취할 수 있는 조치 등이다. 또한, 진술서 작성 이후 가능한 즉시 해당 개인에게 다음과 같이 통지해야 한다. ① 가능한 경우 개인정보 유출과 관련된 개인에게 진술서의 내용을 통지(또는 통지하기 위한 적절한 조치)하거나, 또는 개인정보 유출로 위험에 처한 개인에게 진술서의 내용을 통지(또는 통지하기 위한 적절한 조치)를 해야하며, ② 위와 같은 통지가 적용되지 않는 경우에는, 진술서를 개인정보 처리 주체의 웹 사이트 등에 게재하거나 언론에 공개하기 위한 적절한 조치를 취해야 한다.

그러나 ① 개인정보 처리 주체가 법 집행기관이고, 개인에게 통지하는 것이 동 법의 집행 행위에 부정적 영향을 끼친다고 판단되는 경우, ② OAIC 또는 개인에게 통지하는 것이 다른 연방법에 명시된 정보 이용 또는 제공을 규율·금지하는 기밀 조항 등과 충돌하는 경우, ③ OAIC가 공익 등을 근거로 통지를 면제하는 경우에는 통지 대상에서 면제된다.

이 밖에 OAIC는 개인정보 유출이 있었다고 확신이 드는 합리적인 근거를 인지한 경우, 해당 개인정보 처리 주체에 유출 통지를 시행할 것을 지시할 권한이 있다.

나. My Health Records Act에 따른 개인정보 유출 통지

호주는 개인의 의료 처방, 치료, 알레르기 등 건강정보를 요약하여 기록한 전자 기록 시스템인 My Health Record 시스템을 운영하고 있으며, My Health Records Act 2012는 이 시스템을 규율하는 연방법이다. 동 법의 규율을 받는 병원이나 건강관리 서비스 업자 그리고 해당 개인 등이 My Health Record에 접속하여 정보를 열람할 수 있으며, 동 법은 건강정보의 민감성을 고려하여 관련 시스템을 취급하는 특정 주체들을 대상으로 My Health Record와 관련된 개인정보 유출이 발생할 경우 OAIC와 My Health Record 시스템 운영자에게 이를 의무적으로 통지하도록 규정했다.

My Health Records Act에 따른 유출 통지 대상(보고 주체)은 My Health Record 시스템 운영자, 공인된 건강관리 기관(registered healthcare provider organisations), 공인된 포털 운영자(RPO, registered portal operators), 공인된 정부 서비스 제공 계약자(registered contracted service providers) 등이다.

My Health Records Act는 개인정보 유출을 다음과 같이 규정하고 있다. ① My Health Record에 있는 개인의 건강정보를 불법적으로 수집하거나 이용, 제공하는 등의 방법으로 My Health Records Act를 위반한 자, ② My Health Records Act의 위반 여부와 상관없이, My Health Record의 보안이나 무결성을 침해하는(했거나 또는 했을 수 있는) 사건(event)이 발생한(했을 수 있는) 경우, ③ My Health Records Act의 위반 여부와 상관없이, My Health Record의 보안이나 무결성을 침해하는(했거나 또는 했을 수 있는) 상황(circumstance)이 발생한(했을 수 있는) 경우가 이에 포함된다.

동 법 제4장 건강관리를 받는 자의 My health Record에 포함된 건강정보의 수집, 이용 및 제공과 관련해 법에 의거한 목적 및 활용에 한해서만 건강정보의 수집, 이용 또는 제공이 허용되며, 이 외에는 불법적인 수집, 이용 또는 제공으로 간주되어 유출 통지 대상이 된다.

개인정보 유출 주체(보고 주체)는 개인정보 유출 인지 후 가능한 즉시 관련 당국에 통지하고 침해에 대응하기 위한 특정 행동을 취하여야 한다. 통지하는 대상은 개인정보 유출 수준과 보고 주체에 따라 차이가 있다. 일반적으로 시스템 운영자는 OAIC 외에도 건강관리를 받는 개인에게도 직접 통지를 해야하며, 다수의 개인에게 피해가 예상되는 경우에는 대중에 공개해야 한다. 반면 시스템 운영자 이외의 보고 주체는 OAIC 또는 시스템 운영자에게 통지하고, 건강관리를 받는 개인에게 통지해야 하는 경우에는 시스템 운영자에게 대신 통지해 줄 것을 요청해야 한다.

다. 개인정보 피해 민원 신청

개인은 다음과 같은 개인정보 침해에 대해 정보위원회(OAIC)에 민원을 제기할 수 있으며, 이때 침해를 받은 개인이 직접 민원을 신청하거나 다른 개인의 동의를 받은 개인이 대신 할 수도 있다. 또한, 프라이버시법에 따라 다수 민원인이 참여하는 집단 민원 신청도 가능하다.

민원 처리 대상은 프라이버시법에 따라 호주 프라이버시 원칙(APP) 또는 공인된 APP 프라이버시 규약을 위반한 경우, 납세번호 정보와 관련하여 법 제17조를 위반한 경우, 법 제3장(정보 프라이버시)의 규정 또는 공인된 CR 규약을 위반한 경우, 개인정보 유출 통지 제도 규정을 위반한 경우 등이다. 그 외 OAIC가 관여하는 다른 법률에 따라 프라이버시 침해로 규정할 수 있는 사안에 대해서는 OAIC의 조사 대상이 된다.

민원 신청 시에는 민원인의 신원, 신고 대상 및 개인정보 침해로 제기된 행위에 대해 서면으로 신청해야 한다. 민원인은 OAIC에 민원을 접수하기 전에 반드시 해당 피민원 기관에 직접 민원을 먼저 제기하여 민원 해결 시도를 해야 하며, OAIC는 개인정보 침해 행위가 불명확하거나 민원 요건을 충족하지 못하는 경우에는 해당 민원인에게 연락하여 해당 사실과 사유를 알린다. OAIC는 민원 접수 양식을 마련하고, 해당하는 경우 다른 관련 기관으로 이관할 수도 있다.

온라인 민원 신청의 경우 분류에 따라 다음과 같은 웹 사이트 신고 양식을 이용할 수 있다.

[표 10] OAIC의 각 온라인 민원 신청 양식

OAIC의 각 온라인 민원 신청 양식
분류 웹 사이트
일반 문의

https://forms.business.gov.au/smartforms/servlet/SmartForm.html?formCode=APC_ENQ

개인정보보호 불만 사항

https://forms.business.gov.au/smartforms/landing.htm?formCode=APC_PC

개인정보 유출 통지 위반

https://forms.business.gov.au/smartforms/servlet/SmartForm.html?formCode=OAIC-NDB

소비자 데이터 권리 불만 사항

https://forms.oaic.gov.au/forms/complaint

FOI 불만 사항

https://forms.business.gov.au/smartforms/servlet/SmartForm.html?formCode=ICCA_1

FOI 결정 검토 요청

https://forms.business.gov.au/smartforms/servlet/SmartForm.html?formCode=ICR_10

정부기관의 FOI 기간 연장 요청

https://forms.business.gov.au/smartforms/servlet/SmartForm.html?formCode=ICRF_1

발언 요청

https://oaic.writemsg.com/em/forms/subscribe.php?db=371540&s=104011&a=57903&k=7538d74

한편, 프라이버시법에 따라 다수의 개인에 대한 프라이버시 침해 행위에 대해 ① 동일한 피민원 기관을 상대로 제기된 민원, ② 동일하거나 비슷한 상황에서 발생된 민원, ③ 법규나 사실의 실질적이고 공통적인 사안에 대해 제기된 민원 등 이 3가지 요건을 모두 충족하는 경우 집단 민원 신청이 가능하다. 집단 민원은 구성원의 동의 없이 신청가능하며, 민원 내용에는 ① 구성원을 밝히거나 설명(단 참여하는 모든 구성원의 이름을 식별하거나 인원수를 명시할 필요는 없다), ② 추구하는 피해 구제 방안 명시, ③ 구성원을 대표하여 제기된 민원의 본질 명시, ④ 구성원의 민원에 공동으로 적용되는 법률이나 사실 명시 등 4가지 사항이 모두 명시되어야 한다.

OAIC는 민원인이 피민원 기관에 먼저 민원을 제기하여 해결 시도를 한 건에 한하여 조사를 진행한다. 단, 개인정보의 열람, 정정과 관련된 민원이거나 위원장이 적절하다고 판단하는 경우는 제외된다. 피민원 기관에 대한 조사를 착수하기 전에 OAIC는 해당 민원이 OAIC의 조사 권한 내에 있는 사안인지 혹은 조사를 할지 여부에 대한 사전 조사를 진행한다. 또한, 조사를 시작하기 전에 피민원 기관에 이를 통지해야 하며, 관련되는 자로부터 필요한 정보를 수집하거나 증인을 조사할 수 있다. 또한, OAIC는 조사에 필요 시 회의를 개최하고 관련 민원인, 피민원 기관 또는 다른 필요한 자에게 회의 출석을 요구할 수 있다. 한편, OAIC는 민원이 다른 대체 민원 기관에 연관이 있으며, 대체 민원 기관에서 보다 편리하고 효율적으로 처리될 수 있다고 판단되는 경우에 해당 기관에 민원을 이관할 수 있다. 대체 민원 기관은 호주 인권 위원회, 연방 옴부즈맨, OAIC가 승인한 외부 분쟁 해결 제도 등이 포함된다.

OAIC는 조사 결과에 대한 후속조치로 조정(conciliation), 결정(determination), 집행 (enforcement)의 절차를 거친다. ‘조정’은 민원 처리의 어떤 단계에서도 가능하나, 만약 OAIC가 조사(또는 추가 조사)하지 않기로 한 경우, 조정을 통해 민원 해결을 하지 않아도 된다. OAIC는 원활한 조정 협상을 위해 당사자들을 지원하고 필요한 자료를 제공하며, 조정이 이루어지지 않는 경우 OAIC의 ‘결정’에 따른다. OAIC의 결정문에는 조사 절차, 관련 법적 근거, 민원 당사자가 제출한 자료, OAIC가 확인한 사실 및 민원의 기각 여부, 위원회의 선언 또는 명령 등이 명시된다. 피민원 기관은 OAIC의 결정을 준수하여야 하며, 민원인이나 OAIC는 연방법원 또는 연방 순회 법원(Federal Circuit Court)에 결정에 대한 ‘집행’을 명령하도록 기소할 수 있다.

2처리 실적

2020년 11월 OAIC는 설립 10주년을 맞이했다. 지난 10년 동안 OAIC는 24,000건 이상의 개인정보보호 불만 사항 및 약 800건의 FOI 불만 사항을 처리하고, 약 6,000건의 FOI 결정 검토를 완료했으며, 212,000건 이상의 문의 사항에 대응했다.

2020년의 경우, 개인정보보호 민원은 7% 감소한 2,474건이었다. OAIC는 12개월 사이 목표치의 70%를 상회하는 94%의 개인정보보호 불만 사항에 대한 민원 대응을 완료했다. 2020년 개인정보보호 관련 민원이 가장 많이 발생한 분야는 금융(327건)이며, 그 뒤를 이어 정부 기관(310건), 건강 서비스 제공자(301건), 소매(177건), 온라인 서비스(152건) 순으로 나타났다.

[표 10] 2020년 호주 개인정보보호 관련 민원이 많은 분야

2020년 호주 개인정보보호 관련 민원이 많은 분야

개인정보보호 관련 일반 문의는 전년대비 22% 감소한 11,647건으로, 핸드폰을 통한 문의가 7,020건, 서면 문의 4,625건, 대면 문의 2건이었다.

이 외에 FOI 관련 문의는 전년대비 21% 감소한 1,824건, FOI 불만 사항 접수는 전년대비 39% 증가한 151건을 기록했다. 처리 건수는 이월된 사안을 포함해 145% 증가한 174건이었다. FOI 불만 사항 관련 평균 처리 기간은 6.8개월로 나타났다. 정보위원장에 대한 정부기관의 FOI 결정 검토 요청은 전년대비 15% 증가한 1,224건으로, 처리 건수 또한 23% 증가한 1,018건을 기록했다. 평균 처리 기간은 8.3개월로 나타났다.

한편, 개인정보 유출 통지 제도는 3년째 운영 중으로, OAIC는 2018년 2월 이후 3,000건 이상의 개인정보 유출 통지 관련 문제를 해결했다. 2020년의 경우, 개인정보 유출 통지는 전년대비 7% 감소한 975건으로 나타났다. 이 중 60일 안에 처리 완료된 건수는 80%였다. 개인정보 유출 통지 관련 평균 처리 완료 기간은 62일이 소요되었다. 온라인 서비스 확대와 더불어 개인정보 등록 및 이용이 확대됨에 따라 악의적인 사이버 공격이 개인정보 유출 및 침해 사건 발생의 주요 원인이 되고 있으며, 동 제도는 개인정보 침해 사건에 직면한 소비자들에게 개인정보의 안전성과 투명성을 높이고 조직이 개인정보보호 의무에 책임을 다하도록 기여하고 있다.

top