[아이뉴스24 김혜경 기자] 아시아태평양경제협력체(APEC)의 '국경 간 프라이버시 규칙(CBPR)' 인증이 지난 4월 '글로벌 CBPR 포럼'으로 확대‧출범했다. CBPR은 개인정보 국외 이전 관리 체계다. 미국 정부는 CBPR을 아‧태 지역 인증에서 글로벌 표준 시스템으로 확대한다는 목표다.
관건은 기존 APEC 인증제와 글로벌 단위 인증을 통합할 것인지 혹은 병존 체제로 할 것인지다. 향후 인증 운영·관리체계가 전환될 경우 APEC이라는 지역색은 옅어질 가능성이 크다.
◆ CBPR이란?…미국·한국 등 9개국 참여
CBPR은 회원국간 데이터 활용을 장려하기 위해 개발된 개인정보 보호 관리체계에 대한 평가인증이다. 개인정보보호 주요원칙, 안전성 확보 등 50가지 요건으로 구성됐다.
2004년 APEC 각료회의에서 승인된 'APEC 프라이버시 프레임워크(APF)'에 포함된 개인정보보호 원칙을 바탕으로 수립됐다. APF는 1980년 경제협력개발기구(OECD)가 제정한 프라이버시 가이드라인을 기반으로 만들어졌다. 2013년 OECD 가이드라인 개정에 따라 APF도 개정된 바 있다.
현재 APEC 회원국에 한해 가입신청이 가능하지만 미국은 CBPR 회원국 확대를 모색하는 상황이다. 현재 미국을 비롯해 ▲한국 ▲일본 ▲캐나다 ▲대만 ▲필리핀 ▲싱가포르 ▲호주 ▲멕시코 등 9개국이 참여하고 있다. 이중 인증기관이 마련된 국가는 한국을 비롯해 ▲미국 ▲일본 ▲싱가포르 ▲대만 등 5곳이다.
CBPR 인증은 해당 국가의 개인정보 보호 법제를 대체하지는 않는다. 개인정보 국외이전을 위한 최소한의 조건으로 만든 것. 개인정보 국외 이전에 대한 효율성을 제고하고, 글로벌 시장에서의 신뢰도를 높인다는 것이 인증 취지다.
개인정보를 국외로 이전해 처리하거나 국외로부터 이전받아 처리하는 기업의 경우 CBPR 인증을 받으면 대외 신뢰도를 높일 수 있다. 상대 기업에 대한 개인정보 보호 수준을 확인하는데 소요되는 시간과 비용도 줄일 수 있다는 것이 장점이다. 정보주체 입장에서는 자신의 개인정보가 이전되는 기업이 적절한 보호 수준을 갖췄는지 여부를 확인할 수 있다.
미국은 2012년에 가입한 후 현재 5개의 인증기관을 두고 있다. 올해 5월 기준 CBPR 인증을 받은 기업은 39개다. 일본은 2014년 가입이 승인됐으며, 3개 기업이 인증을 취득했다. 2018년 가입한 싱가포르의 경우 6개 기업이 인증을 완료했다.
한국은 2017년 CBPR에 가입했다. 집행기관은 개인정보보호위원회, 인증기관은 한국인터넷진흥원(KISA)이다. 지난 5월부터 인증 제도를 실시, 기업인증 신청을 받고 있다. 정태인 한국인터넷진흥원(KISA) 개인정보협력팀장은 "CBPR 인증을 취득한 국내 기업은 현재까지 없지만 인증 심사를 진행 중인 곳은 있다"며 "이르면 이달 내 1~2개 기업에 인증서가 발급될 것으로 예상하고 있다"고 말했다.
◆ 2~4일 서울서 글로벌 포럼 논의…윤곽 나올까
개인정보위와 외교부, 미국 상무부는 2일부터 4일까지 서울에서 글로벌 CBPR 포럼 워크숍을 연다. 지난 4월 말 하와이에 이어 두번째다. 이번 워크숍에는 포럼 참여국과 관심국, 기업 관계자 70여 명이 참석한다. 관심국은 영국과 브라질, 콜롬비아, 버뮤다 등이다.
정 팀장은 "글로벌 포럼은 발족됐지만 기존 APEC 체제에서 인증 업무를 할 것인지 혹은 아예 분리해 글로벌 포럼에서 다룰 것인지 현재 논의 중에 있다"며 "어떤 방향으로 할 것인지 아직까지 결정된 내용은 없다. 이번 워크숍에서 다룰 예정"이라고 말했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기