[아이뉴스24 김혜경 기자] 올해 안으로 '국경 간 프라이버시 규칙(CBPR)' 인증을 취득한 첫 국내 기업이 나올 것으로 전망된다. CBPR은 아시아태평양경제협력체(APEC)가 개발한 개인정보 국외 이전 관리체계에 대한 평가인증이다. 지난 4월 미국 주도의 '글로벌 CBPR 포럼'으로 확대된 가운데 국내에서 CBPR 인증 발급이 본격화할지 주목된다.
20일 한국인터넷진흥원(KISA)에 따르면 현재 2~3곳의 기업이 CBPR 인증 심사를 받고 있다. 오용석 KISA 개인정보정책단장은 "인증을 신청한 기업 대부분은 IT‧물류업종"이라며 "최근에는 게임사들도 관심을 보이고 있는 상황"이라고 말했다.
CBPR은 회원국간 데이터 활용을 장려하기 위해 만들어졌다. 2004년 APEC 각료회의에서 승인된 'APEC 프라이버시 프레임워크(APF)'를 근거로 개인정보 보호 주요원칙과 안전성 확보 등 50가지 요건으로 구성됐다. CBPR 참여국은 미국을 비롯해 ▲한국 ▲일본 ▲캐나다 ▲대만 ▲필리핀 ▲싱가포르 ▲호주 ▲멕시코 등 9개국이다.
APF 9원칙은 ▲고지 ▲수집 제한 ▲목적 내 이용 ▲선택권 ▲무결성 ▲보안조치 ▲열람‧정정 ▲책임성 ▲책임 구제다. 고지 원칙은 사전 혹은 동시 고지 제공을 규정하고 있지만 경우에 따라 '사후 고지'가 가능하다는 점이 골자다.
한국은 2017년 CBPR에 가입한 후 지난 5월부터 인증 신청을 받고 있다. APF 50가지 요건을 개인정보보호법에 맞춰 ▲개인정보 관리체계 수립 여부 ▲개인정보 수집 ▲개인정보 이용‧위탁‧제공 ▲정보주체 권리 ▲무결성 ▲보호대책 6가지로 구분했다.
CBPR 인증은 해당 국가의 개인정보 보호 법제를 대체하지는 않는다. 개인정보 국외이전을 위한 최소한의 조건으로 만든 것. 개인정보 국외 이전에 대한 효율성을 제고하고 글로벌 시장에서의 신뢰도를 높인다는 것이 인증 취지다. 일본, 싱가포르 등 CBPR 참여국을 대상으로 사업을 영위하고 있는 기업의 경우 해당 인증을 받으면 대외 신뢰도를 높일 수 있다.
현재 APEC 회원국에 한해 가입신청이 가능하지만 미국은 CBPR 회원국 확대를 모색하고 있다. 지난 4월에는 글로벌 CBPR 포럼이 출범한 바 있다. 현재 글로벌 포럼에는 기존 참여국 중 멕시코를 제외한 8개국이 참여하고 있다.
오 단장은 "멕시코도 조만간 합류할 것으로 전망된다"며 "현재 APEC CBPR 체제에서 글로벌 체제 전환을 준비하는 작업이 이뤄지고 있다"고 말했다.
APEC 회원국들은 2012년부터 CBPR을 운영했지만 현재 9개국만 가입했으며, 인증기관이 마련된 국가도 ▲한국 ▲미국 ▲일본 ▲싱가포르 ▲대만 등 5곳에 불과하다. CBPR 인증을 받은 기업도 현재까지 48곳으로 저조한 상황이다. 데이터 국외이전 관련 회원국 간 입장 차로 제도 확산이 늦어졌을 뿐만 아니라 기업 유인책이 부족했다는 분석이다.
미국 등은 최소한의 개인정보 보호 기준을 기반으로 데이터의 자유로운 이동을 지지하는 반면, 중국 등은 데이터 지역화와 보호주의를 고수하고 있다. 논의가 정체되는 상황에서 가입국 확장이 어려웠고, 미국은 APEC 회원국 이외 다른 국가로 확대하는 방안을 제안했다. 미국의 궁극적인 목표는 CBPR을 APEC 체제에서 분리, 중국 등의 간섭 없이 규범을 형성하는 것으로 풀이된다.
앞서 개인정보보호위원회와 외교부, 미국 상무부는 지난 2~4일 서울에서 글로벌 CBPR 포럼 워크숍을 열었다. 4월 말 하와이에 이어 두번째다. 이번 워크숍에는 포럼 참여국과 관심국, 기업 관계자 70여 명이 참석했다. 관심국은 영국과 브라질, 콜롬비아, 버뮤다 등이다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기