호주 개인정보보호법 개혁 2026: 쿠키 동의, 법정 불법행위, Children's Online Privacy Code에 관한 퍼블리셔 및 광고주 가이드
지난 20여 년간 호주의 개인정보보호법은 유럽이나 미국의 동등한 법률에 비해 조용한 편이었습니다. 그 시대가 끝났습니다. 2024년 11월에 통과된 Privacy and Other Legislation Amendment Act 2024는 한 세대에 걸친 Privacy Act 1988의 가장 큰 개혁입니다. 이는 심각한 프라이버시 침해에 대한 법정 불법행위, Office of the Australian Information Commissioner (OAIC)에 대한 더 강력한 집행 권한, 전용 Children's Online Privacy Code, 자동화된 의사결정에 대한 새로운 중요 투명성 요건, 그리고 대부분의 타겟 광고에 대한 옵트인 동의를 향한 명확한 방향을 도입합니다. 2026년에 호주 시장에서 디지털 광고, 분석 또는 사용자 추적을 운영한다면, 이 개혁은 무시할 수 없는 방식으로 컴플라이언스 의무를 재편합니다. 이 가이드는 무엇이 변경되었는지, 무엇이 아직 오고 있는지, 그리고 퍼블리셔와 광고주가 지금 당장 해야 할 일을 구체적으로 안내합니다.
2024–2026년 개혁의 구조
개혁은 두 단계로 시행되고 있으며, 첫 번째 단계만 완전히 시행되었습니다. 법적으로 효력이 있는 내용과 앞으로 올 내용을 파악하기 위해 순서를 이해하는 것이 중요합니다.
1단계 — 2024–2025년부터 시행
2024년 11월에 재가된 Privacy and Other Legislation Amendment Act 2024는 이미 적용되는 여러 변경 사항을 가져왔습니다:
- 심각한 프라이버시 침해에 대한 법정 불법행위 — 개인은 Privacy Act 자체의 위반을 입증할 필요 없이 심각한 프라이버시 침해에 대해 직접 소송을 제기할 수 있습니다
- 새로운 민사 제재 — OAIC는 심각하거나 반복적인 위반뿐만 아니라 프라이버시에 대한 모든 간섭에 대해 제재를 요청할 수 있습니다
- 자동화된 의사결정에 대한 투명성 요건 — 기업은 자동화 시스템을 사용하여 개인에 대한 중요한 결정이 내려질 때 공개해야 합니다
- 도덕심(doxxing) 형사화 — 피해를 입히기 위한 개인 데이터의 의도적 공개는 이제 형사 범죄입니다
- Children's Online Privacy Code — OAIC는 어린이가 접근할 가능성이 있는 서비스에 대한 구속력 있는 코드를 개발해야 하며, 코드는 2026년에 출시될 예정입니다
2단계 — 2026–2027년을 위한 적극적 협의 중
두 번째 단계는 더 구조적인 변경 사항을 포함하며 2025년과 2026년에 정부 합의를 통해 진행되고 있습니다. 예상되는 요소에는 다음이 포함됩니다:
- 현재 연간 매출 AUD 300만 미만인 기업을 면제하는 소기업 면제의 제거 또는 대폭 축소
- 동의와 독립적으로 개인 정보의 모든 처리에 적용되는 더 명확한 공정하고 합리적인 테스트
- 민감한 범주에 대한 옵트인 동의가 필요할 가능성이 있는 타겟 광고의 명시적 규제
- 호주법을 GDPR에 더 가깝게 만드는 새로운 삭제권
- 국경 간 데이터 이전에 대한 더 엄격한 통제
호주법에서 개인 정보로 간주되는 것
호주의 Privacy Act는 개인 정보를 광범위하게 정의합니다. 식별되었거나 합리적으로 식별 가능한 개인에 관한 모든 정보를 포함하며, OAIC는 합리적으로 식별 가능한을 온라인 식별자, 기기 ID, 다른 데이터와 결합된 IP 주소, 광고 식별자를 포함하는 것으로 해석합니다. 실제로, 쿠키, 픽셀 추적, 기기 핑거프린팅, 사이트 간 광고에 사용되는 ID 그래프는 모두 호주법에 따라 개인 정보를 처리하며 Australian Privacy Principles (APP) 컴플라이언스의 완전한 범위에 속합니다.
2026년 호주법에서 쿠키 동의 작동 방식
호주법은 현재 모든 쿠키에 대해 완전한 GDPR 방식의 옵트인 배너를 요구하지 않습니다. 그러나 자유방임 시스템도 아니며, 몇 가지 최근 발전이 기준을 높였습니다.
APP 3 — 수집에는 통지가 필요
Australian Privacy Principle 3은 목적을 통지하면서 적법하고 공정한 수단으로만 개인 정보를 수집할 것을 요구합니다. 개인 정보를 수집하는 쿠키의 경우, 수집 전이나 수집 시점에 눈에 보이는 정보 제공 통지를 제시해야 합니다. 숨겨진 추적은 APP 3을 충족하지 않습니다.
APP 6 — 사용 및 공개에는 목적 일치가 필요
개인 정보는 수집된 목적으로만, 합리적으로 관련된 부차적 목적으로만, 또는 개인의 동의를 받은 경우에만 사용할 수 있습니다. 교차 컨텍스트 행동 광고를 위해 디지털 광고 플랫폼과 쿠키 파생 데이터를 공유하는 것은 일반적으로 주요 목적을 벗어나며, 이는 동의가 필요한 영역으로 밀어냅니다.
추적에 관한 OAIC 지침
추적 기술에 관한 OAIC의 2024년 지침은 명확합니다. 기업은 개인이 추적을 거부할 수 있는 명확한 메커니즘을 제공해야 하며, 민감한 정보나 중요한 결정을 위한 프로파일링을 포함하는 모든 사용 사례에 대해 OAIC는 옵트인 동의를 기대합니다. 이는 법률이 모든 경우에 아직 의무화하지 않더라도 실제로는 타겟 광고, 프로그래매틱 리타겟팅, 세션 리플레이, 행동 분석을 옵트인 영역에 확고히 위치시킵니다.
2026년 실용적 CMP 구성
호주에서 운영하는 대부분의 퍼블리셔는 이제 수락, 거부, 맞춤 설정의 세 가지 상태 배너를 표시하는 CMP를 운영합니다. EU 또는 UK 트래픽의 경우 옵트인이 엄격합니다. 호주 트래픽의 경우, 옵트인은 타겟 광고와 세션 리플레이에 권장되는 기본값이며, IP 익명화와 데이터 최소화가 적용된 경우 분석은 통지 및 선택 모델로 운영될 수 있는 경우가 많습니다.
법정 불법행위 — 실제로 무엇을 가능하게 하는가
새로운 법정 불법행위는 실용적 측면에서 디지털 광고주에게 가장 중요한 변화입니다. 이전에는 OAIC만 프라이버시 권리를 집행할 수 있었으며 개인 구제 수단은 제한적이었습니다. 법정 불법행위가 이를 바꿉니다.
심각한 프라이버시 침해란 무엇인가
불법행위는 격리 침해 또는 사적 정보의 오용을 통해 심각한 프라이버시 침해를 야기하는 의도적이거나 무모한 행위를 포함합니다. 법원은 공익 및 기타 고려 사항에 대해 심각성을 저울질합니다.
광고주가 주의해야 하는 이유
공격적인 추적, 특히 민감한 페이지에서 키 입력과 커서 동작을 캡처하는 세션 리플레이, 사용자의 옵트아웃을 우회하는 핑거프린팅, 또는 익명 행동을 명명된 신원과 무단으로 연결하는 것 — 이 모든 것이 이제 불법행위 청구의 그럴듯한 사실적 근거가 됩니다. 2026년에 원고 측 법률 회사들이 경계를 테스트하기 시작할 것으로 예상됩니다. 호주에는 미국의 집단 소송 문화가 없지만, 대표 소송은 가능하며 일부 회사들은 그것을 위해 명확히 준비하고 있습니다.
Children's Online Privacy Code
Children's Online Privacy Code는 사이트가 어린이에게 접근될 가능성이 있는 퍼블리셔에게 가장 구체적인 새로운 규제의 한 부분입니다.
범위에 속하는 대상
코드는 소셜 미디어 서비스, 어린이가 접근할 가능성이 있는 관련 전자 서비스, 특정 지정 인터넷 서비스에 적용됩니다. 실제로 이것은 순수 어린이 사이트를 훨씬 넘어섭니다. 상당수의 미성년자가 접근하는 모든 일반 대중 플랫폼이 포함될 가능성이 높으며, OAIC는 포괄적인 해석을 취할 것으로 예상됩니다.
코드에서 예상되는 핵심 의무
- 18세 미만 사용자를 위한 높은 프라이버시 기본 설정
- 미성년자에 대한 타겟 광고 제한
- 어린이를 더 약한 프라이버시 설정으로 유도하는 다크 패턴 금지
- 데이터 처리에 대한 나이에 맞는 설명
- 개인 정보를 처리하는 기능을 배포하기 전 아동의 최선의 이익 평가
지금 준비해야 할 것
18세 미만 방문자가 상당수를 차지하는 퍼블리셔는 코드가 확정되기 전에 추적 스택, 광고 구성 및 기본 설정을 감사하기 시작해야 합니다. 사후 개선은 일반적으로 처음부터 스택에 컴플라이언스를 설계하는 것보다 더 비싸고 더 혼란스럽습니다.
2026년 집행 자세
OAIC는 개혁과 함께 상당히 강화된 자원을 받았습니다. 감사 활동이 증가했으며, 위원은 보다 공개적인 집행 접근 방식을 시사했습니다.
시행 중인 제재
심각하거나 반복적인 프라이버시 간섭에 대한 최대 민사 제재는 AUD 5,000만, 행위에서 얻은 이익의 3배, 또는 위반 기간 동안 기업의 조정된 매출의 30% 중 더 큰 것입니다. 개혁은 또한 심각성 기준을 충족하지 못하는 프라이버시 간섭에 대한 두 번째 제재 등급을 도입하여 OAIC에 더욱 조정된 집행 도구를 제공했습니다.
신고 의무 데이터 침해
호주는 2018년부터 의무적인 데이터 침해 통보 제도를 운영하고 있으며, OAIC는 2022년과 2023년 호주의 주요 데이터 침해 사건 이후 집행에서 눈에 띄게 공격적이었습니다. 무단 공개로 이어지는 쿠키 또는 추적 관련 사건은 범위에 속할 가능성이 높습니다.
국경 간 이전 및 글로벌 트래픽
Australian Privacy Principle 8은 기업이 해외 수신자가 APP에 따라 개인 정보를 처리하도록 합리적인 조치를 취할 것을 요구합니다. 글로벌 ad tech를 사용하는 퍼블리셔의 경우, 이는 실질적으로 유사한 법률을 가진 관할권, 해외 수신자로부터의 계약상 구속력 있는 약속, 또는 개인의 정보에 입각한 동의를 의미합니다.
미국으로의 이전
미국은 현재 실질적으로 유사한 법률을 가지고 있다고 인정되지 않습니다. 따라서 미국 ad tech 벤더로의 이전은 구속력 있는 계약 약속이나 명시적 동의를 필요로 합니다. EU-미국 이전을 다루는 Data Privacy Framework 인증에 의존하는 퍼블리셔는 해당 인증이 호주 APP 8 요건을 자동으로 충족하지 않는다는 점에 유의해야 합니다.
2026년 호주 트래픽을 위한 감사 체크리스트
- CMP는 호주 트래픽에 동등한 시각적 중요성으로 명확한 수락, 거부, 맞춤 설정 옵션을 제시합니다
- 타겟 광고, 리타겟팅, 세션 리플레이는 옵트인 동의가 필요하며, 분석은 통지 및 데이터 최소화를 기반으로 운영됩니다
- 개인정보 처리방침은 APP 3 및 APP 6에 맞는 목적 진술과 함께 쿠키, 픽셀 추적, 광고 식별자를 명확히 식별합니다
- 국경 간 이전 메커니즘은 모든 비호주 처리자에 대해 문서화됩니다 (벤더 목록, 계약상 보호 또는 동의)
- 자동화된 의사결정은 해당 시스템을 사용하여 중요한 결정이 내려지는 곳에서 공개됩니다
- Children's Online Privacy Code 준비 평가가 완료되었으며, 탐지된 미성년 사용자에게 높은 프라이버시 기본값이 제공됩니다
- 사용자가 제출한 개인 정보를 게시할 수 있는 모든 기능에 대해 도덕심 위험 검토가 완료되었습니다
- 데이터 침해 대응 계획은 30일 통보 기간 및 현재 OAIC 보고 형식에 맞춰져 있습니다
2026년 전망
호주는 가벼운 프라이버시 체제에서 유럽 및 캘리포니아 프레임워크와 점점 더 유사해지는 체제로의 구조적 전환 중에 있습니다. 호주만의 특성을 유지하면서요. 첫 번째 단계는 이미 집행 가능하며 소송을 재편하고 있습니다. 소기업 면제 축소와 타겟 광고의 명시적 규제를 포함한 두 번째 단계는 2026년 또는 2027년에 발효될 가능성이 높습니다. GDPR 수준의 동의 스택에 투자한 퍼블리셔와 광고주는 이미 컴플라이언스에 필요한 대부분의 기계를 갖추고 있습니다. 호주의 역사적으로 더 가벼운 자세에 의존해온 사람들은 알려진 격차를 안고 새로운 체제에 진입하고 있습니다. 올바른 행동은 지금 그 격차를 해소하는 것입니다. 법정 불법행위, 아동 코드 또는 OAIC 감사가 아무도 통제할 수 없는 일정에서 문제를 강제하기 전에요.