APEC 국가 간 개인정보 이전을 위한 규칙, CBPR 인증제도

 

‘국경 간 프라이버시 규칙’을 뜻하는 CBPR(Cross Border Privacy Rule)인증제도는 아시아·태평양 경제협력체(APEC)회원국 간 원활한 개인정보 이전을 위해 기업의 개인정보 보호 체계를 평가하는 인증 제도입니다.

개인정보를 보호하면서 국경간 자유로운 데이터 이전을 보장하기 위해 APEC은 2011년 CBPR을 수립하였습니다. EU의 GDPR과 다른점은 각 국의 다른 개인정보 보호법에 대해 법이나 제도를 바꾸는 것이 아닌 개인정보 이전체계를 마련한다는 점입니다.

APEC CBPR에 가입한 회원국은 한국, 미국, 멕시코, 일본, 캐나다, 호주, 싱가포르, 대만, 필리핀으로 총 9개국입니다. 우리나라는 2017년에 CBPR 가입이 승인되었으며, 2022년 5월 개인정보보호위원회와 한국 인터넷 진흥원(KISA)이 공동으로 국내 기업을 대상으로 CBPR인증제도를 도입·운영하게 되어 우리나라 기업들도 해외 기관을 통하지 않고 CBPR 인증을 받을 수 있게 되었습니다.

 

CBPR 인증제도의 효용

 

CBPR인증제도는 ① 각 국의 법제도를 대체하지 않고 ② 각 국의 법제도 환경에 맞게 제도 운영이 가능합니다. 또한 ③ 국가나 기업의 자발적 참여를 기반으로 하며 ④ 개인정보의 활용을 장려하기 위한 보호체계입니다.

 

CBPR인증을 받은 기업은 개인정보 보호 체계를 갖추었음을 대외적으로 알림으로써 개인정보 보호 신뢰 기업 이미지를 제고할 수 있으며 해외 제휴사, 수탁사 등 선정 혹은 해외시장 진출 시 교역 국가 별 개인정보 규제 준수를 위한 비용과 시간을 절감할 수 있습니다. 이를 통해 우리나라 기업이 국제적 신뢰를 확보하고 해외 진출 경쟁력을 강화할 수 있을 것입니다. 특히 일본, 싱가포르는 CBPR인증 기업에 대해 별도의 계약 없이 국외이전을 허용하고 있어, 이에 진출한 국내 기업은 현지 고객의 개인정보 국내이전을 편리하게 할 수 있을 것입니다.

개인정보 주체자는 CBPR인증을 통해 자신의 개인정보가 이전되는 기업이 적절한 보호 수준을 갖추었는지 여부를 확인할 수 있으며, 정보 주체로서 권리 행사나 피해 구제 신청을 편리하게 할 수 있습니다.

 

그러나 CBPR인증을 취득했을지라도 자국의 법령에서 요구하는 정보 수집 동의 의무 등을 경감하거나 면제하지는 않습니다. 이와 관련된 법령은 개인정보보호법 제28조의8(국내이전)에 해당합니다.

 

제28조의8(개인정보 국외이전)

② 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외이전할 수 있다.

   1. 정보주체로부터 국외이전에 관한 별도의 동의를 받은 경우
   2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 국외이전에 관한 특별한 규정이 있는 경우
   5. 이 법에 규정된 개인정보 보호 수준과 실질적으로 동등한 수준에 있다고 보호위원회가 인정하는 국가 또는 국제기구로 국외 이전하는 경우

 

CBPR 적용 대상

 

· 아시아·태평양 지역을 비롯한 국외에 개인정보를 이전하거나 국외로부터 개인정보를 이전받아 처리하는 기업

· 아시아·태평양 지역을 비롯한 국가에 계열사, 자회사 등이 위치하여 전사에 적용할 통일된 개인정보보호 체계가 필요한 기업

· APEC프라이버시 보호 원칙을 적용한 글로벌 기준의 개인정보 보호 체계를 수립하여 인정받고자 하는 기업

이 외에도 국내 개인정보 보호법 적용 대상 기업은 모두 신청 가능합니다.

 

CBPR 인증 기준 

 

APEC은 회원국 간 신뢰할 수 있는 교역을 위해 APEC 프라이버시 프레임워크(APEC Privacy Framework, APF)를 개발하여 개인정보 이전 원칙과 체계를 수립하였으며, 이는 국경간 자유로운 데이터 이전을 보장하기 위한 가이드라인을 제공하기 위한 목적으로 수립되었습니다. APF에는 고지, 수집 제한 등 9가지 프라이버시 원칙을 담고 있습니다.

 

 

CBPR 적용 사례

 

2022년 7월 기준으로 CBPR대상 APEC국가 중 미국 39개, 싱가포르 6개, 일본 3개의 기업이 인증을 받았습니다. 미국은 CBPR에서 가장 많은 인증을 받은 기업을 보유한 국가로 Apple, HP, IBM등의 모두가 알만한 기업과 다양한 디지털 기술을 활용한 기업들이 인증을 받았습니다.

우리나라는 2017년에 CBPR 가입이 승인되었으며, 2022년 5월 개인정보보호위원회와 한국 인터넷 진흥원(KISA)이 공동으로 국내 기업을 대상으로 CBPR인증제도를 도입·운영하게 되어 우리나라 기업들도 해외 기관을 통하지 않고 CBPR 인증을 받을 수 있게 되었습니다. 

CBPR인증 기업 현황, 출처:  http://cbprs.org

 

출처 및 참고자료

개인정보보호 국제협력센터

개인정보보호위원회 보도자료, 「개인정보위, 아태지역 개인정보 국제인증제도 운영 개시」

KIEP 기초자료21-12, 「 APEC CBPR운영 논의 동향과 시사점」