호주에 물리적 법인 두고 있지 않아 Privacy Act 요건 적용할 수 없다?
호주정보위원회 및 개인정보위원회 (Australian Information Commissioner and Privacy Commissioner)는 우버가 2016년 사이버 공격을 받은 후 호주 소비자의 개인정보를 적절히 보호하지 못했다는 조사결과를 발표했다. 실제로 우버는 해커들에게 합의금을 지불하고 난 뒤에야 개인정보 파기를 요청했다고 한다. 결국 호주정보위원회의 조사는 우버의 사고예방책이 Privacy Act 1988 (Cth) (이하 Privacy Act)에 부합하는지에 대한 수사로 이어졌다.
01_해외기업도 호주 개인정보보호법 적용 받을까?
우버는 호주에 물리적인 법인을 두고 있지 않기 때문에 데이터 위반이 발생하였을 당시 호주 내 우버 운전자 및 승객들과 직접적인 계약관계를 맺고 있지 않았다. 이에 따라 우버 측에서는 Privacy Act 요건을 적용할 수 없다고 주장했다.
그러나 호주정보위원회는 우버가 호주에서 영업을 하는 사업체이므로 Privacy Act의 section 5B(1A)의 적용을 받아야 한다고 판결했다. 이 section은 Privacy Act의 적용범위를 호주 국외로 확대시켜 호주에 등록되어 있지 않거나 실체가 없는 사업체라도 호주와 관련 있는 조직이라면 그 활동에 대하여 Privacy Act가 적용되어야 한다고 규정하고 있다.
02_우버는 어쩌다 Privacy Act를 위반하게 됐을까?
호주정보위원회에서는 우버가 다음 3가지의 호주 개인정보원칙 (Australian Privacy Principles, 이하 APP)을 위반하였다고 판결했다.
- APP 11.1: 기업이 ‘주어진 상황에서 정보의 오용, 개입, 손실을 방지하고, 정보의 무단접근이나 변경, 공개를 예방하기 위한 합리적인 조치를 취할 것’을 요구하는 원칙
- APP 11.2: 기업이 더 이상 필요치 않은 개인정보에 대하여 ‘주어진 상황에서 해당정보를 파기하거나 개인식별이 불가능하도록 합리적인 조치를 취할 것’을 요구하는 원칙
- APP 1.2: 기업이 APP를 준수하기 위한 ‘기업의 기능 또는 활동에 관련된 관행, 절차 및 제도를 시행’할 수 있도록 합리적인 조치를 취하고 문의 또는 불만사항을 처리할 수 있는 능력을 갖추도록 요구하는 원칙
이러한 위반사항에 기반하여 호주정보위원회는 우버가 향후 APP에 부합할 수 있도록 포괄적인 데이터 보관 및 파기 정책 및 정보보안 프로그램, 사고대응 프로그램을 마련해야 한다는 명령을 내렸다. 그러나 위원회는 우버에게 그 어떠한 벌금도 부과하지 않았다.
이번 결정으로 소비자의 개인정보를 해외에 보관하는 다국적기업 역시 호주의 개인정보 법률에 대한 법적 책임을 부담한다는 사실이 확실해졌다. 아울러 주목할 것은 우버가 영국을 포함한 여러 국가에서 이와 유사한 개인정보 보호 위반행위로 소송을 당했으며 이들 국가에서는 우버에 금전적인 제재를 내렸다는 점이다.
03_Ethringtons Solicitors의 지원방법
호주정보위원회 조사결과는 호주 내에서 사업체를 운영하는 호주 및 해외 기업 모두에게 개인정보 취급에 대한 법적 의무 준수의 중요성을 시의적절 하게 상기시키는 계기가 되었다. 개인정보에 대한 법적 의무와 관련한 지원이 필요하다면 02 9963 9800번으로 연락하여 관록 있는 변호사의 도움을 요청할 수 있다.
글 / 백진우 (Etheringtons Solicitors 가정법변호사 / 02 9963 9800 / chris@etheringtons.com.au)