CBPR 회원국 목록. 사진=CBPR 누리집
CBPR 회원국 목록. 사진=CBPR 누리집

[이코리아] APEC CBPR 인증제도로 인해 국내 기업들도 개인정보 이전·처리가 용이해질 것으로 보인다.

한국인터넷진흥원은 APEC(아시아태평양경제협력체) CBPR(Cross Border Privacy Rule, 국경 간 개인정보 보호 규정) 인증제도 설명회를 17일 개최했다. 지난 3일부터 CBPR 인증제도를 공식 개시함에 따라, 의의와 기준 등을 기업들에 안내하기 위한 자리다. 설명회에는 한국인터넷진흥원과 학계 인사들이 참석했다.

CBPR은 APEC이 회원국 간 안전한 개인정보 이전을 위해 개발한 개인정보 보호 자율인증제도다. APEC 회원국만 가입할 수 있고, 현재 미국·멕시코·일본·캐나다·한국·호주·싱가포르·대만·필리핀 등 9개국이 참여 중이다.

CBPR은 미국이 활성화를 주도하는 규정이다. 원칙으로는 고지, 수집 제한, 개인정보 이용, 개인정보 무결성, 보안 조치, 열람·정정, 책임성, 피해 구제 등 9개가 있다. 각 원칙 아래의 평가항목은 모두 더해 50개가 존재한다.

기업이 CBPR 인증을 받을 경우, APEC 회원국들 사이에서 신인도를 높일 수 있다는 장점이 있다. 개인정보를 APEC 안에서 처리하는 기업이라면, CBPR 인증 뒤 정보주체 동의 없이도 국경을 넘어 이전할 수 있다.

기업은 CBPR을 지키며 우선 1개월을 운영한 뒤에 인증을 신청할 수 있다. 유효기간은 1년이지만, 추후 2~3년으로 연장하는 방안을 논의 중이다.

정보주체 입장에서도 이점이 있다. 자신의 개인정보를 처리하는 기업이 적절한 보호 수준을 갖췄는지 알 수 있고, 권리 행사나 피해 구제 신청이 편리해진다.

◇“ISMS-P 있으면 CBPR 인증도 수월”

CBPR과 ISMS-P 일부 항목 비교. 사진=고려대학교 김법연 연구교수
CBPR과 ISMS-P 일부 항목 비교. 사진=고려대학교 김법연 연구교수

고려대학교 김법연 연구교수는 전 세계에서 개인정보 강화를 위한 법률이 늘고 있어, 국제적 인증의 중요성이 커질 것이라고 전망했다. 김 교수는 이와 관련해 해외 주요 법률에 대해 소개했다.

미국은 각 주에서 관련 법률을 제정하고 있다. 일리노이주는 인공지능 화상면접법, 워싱턴주는 공공기관 얼굴인식 서비스 사용에 관한 법률을 시행 중이다.

AI 등 개인정보를 활용하는 기술을 규제하는 관점에서도 규제가 있다. 유렵연합 의회에서는 지난해 인공지능 법안을 발의했다. 골자는 GDPRGeneral Data Protection Regulation, 개인정보 보호 규정)을 반드시 준수해야 하고, 고위험 인공지능에는 보다 강력하게 조치하는 것이다.

김 교수는 “ISO27001, ISMS-P, BCRs 등 다른 인증을 받았다면, CBPR 인증도 어렵지 않을 듯하다”며 “CBPR에서 요구하는 사항은 타 인증제도와 크게 차이가 없는 상황”이라고 말했다. 실제로 관계 기관들은 CBPR과 ISMS-P를 상호 연계할지 검토 중이기도 하다.

그는 이어 “향후 개인정보 보호 규제와 국외 이전을 통제하는 입법이 지속적으로 강화될 것으로 예측한다”며 “개인정보 이전 용이성 확보는 필연적이며, 규제가 확장되는 만큼 개인정보 보호 체계를 미리 준비하고, 유지·관리한다는 관점에서 접근이 필요하다”고 강조했다.

◇미국, CBPR 확대하되 중국·러시아 배제할 듯

한국인터넷진흥원 정태인 팀장은 CBPR 인증의 기대효과와 동향에 대해 언급했다. 정 팀장은 “CBPR이 법을 대체하지는 않지만, 각국 기준이 상이하다 보니 인증을 받으면 이점을 주자는 취지”라며 “인증 취득은 의무는 아니고 자발적으로 신청하는 것”이라고 밝혔다.

CBPR은 향후 APEC를 넘어 전 세계적인 규정이 될 가능성이 높다. 정 팀장은 “미국은 참여국과 인증기업을 늘리고 싶어하지만, APEC이라는 한계가 있어 이외 지역으로 확대하려는 생각을 가졌다”며 “APEC 테두리에서의 외연 확대가 아니라, 독립적인 글로벌 규정으로 발전시키려는 것”이라고 설명했다.

CBPR 회원국들은 글로벌 CBPR 포럼을 연내 설립하겠다고 지난달 발표한 바 있다. 단, 미국은 중국과 러시아를 CBPR에서 배제할 것으로 예상된다. 개인정보 국외 이전을 제한하려는 국가들이므로, 미국과 반대되는 입장이기 때문이다.

미국이 CBPR을 활성화하려는 또다른 이유로는 그간 성과가 저조했던 점도 있다. CBPR은 2012년부터 운영해왔지만, 인증을 받은 기업은 미국 39개, 일본 3개, 싱가포르 6개 등 48개에 그친 탓이다. 회원국은 9곳이지만 사실상 3국만 활동한 셈이다.

일본은 CBPR을 가장 적극적으로 활용하고 있다. 일본 개인정보보호법에는 CBPR을 획득해야 해외 제3자에게 개인정보를 제공할 수 있다는 내용이 담겼다.

싱가포르의 경우 국외이전 요건으로 CBPR 인증 취득 등 개인정보 보호 기준 마련을 요구한다. 미국·멕시코·캐나다는 상호 간 협정에서 CBPR이 개인정보 보호 및 국외이전을 용이하게 하는 메커니즘이라고 명시했다.

정 팀장은 “한국은 다른 법정제도가 있어 개인정보보호법에 CBPR을 명시하기는 어렵다”고 내다봤다.

저작권자 © 이코리아 무단전재 및 재배포 금지