Home > 전체기사 > 정책

CBPR, APEC 넘어 글로벌 공동 ‘개인정보보호 인증’으로 도약한다

  |  입력 : 2022-11-20 22:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘글로벌 CBPR 포럼’ 출범...APEC 비회원국 참여 허용
개인정보 및 주요 데이터 국경 간 원활한 이동 위한 목적
미국 41개사, 싱가포르 6개사, 일본 4개사 인증...한국 기업 연내 2개사 나올 듯


[보안뉴스 김영명 기자] APEC CBPR은 아시아-태평양 경제협력체(Asia-Pacific Economic Cooperation, APEC) 21개 회원국 가운데 대한민국, 미국, 싱가포르, 대만, 일본, 캐나다, 오스트레일리아, 멕시코, 필리핀 등 9개국이 별도로 모여 CBPR(Cross Border Privacy Rules), 즉 '국경간 프라이버시 보호규칙'을 통일하면서 규정한 데이터 및 개인정보보호 공동 인증체계를 말한다.

▲아시아-태평양 경제협력체(APEC) 로고[이미지=APEC]


CBPR은 최소한의 개인정보보호 원칙을 기반으로 APEC 회원국 간 신뢰할 수 있는 개인정보 이전 체계를 마련해 아시아-태평양 권역 내 디지털 경제 활성화를 도모하기 위해 만들어졌다. 최근 미국을 중심으로 우리나라를 포함한 9개국은 글로벌 CBPR 포럼 출범 선언을 통해 CBPR의 APEC 역외 확대를 추진하고 있다.

CBPR의 주요 특징은 △각국의 법·제도를 대체하지 않고(비대체성) △자발적 참여를 기반으로 하며(자발성) △각국의 법·제도 환경에 맞게 제도 운영이 가능하고(유연성) △개인정보의 국경 간 이동 등 활용을 장려하기 위한 보호 체계 마련(활용 중심) 등이 있다.

▲CBPR System[이미지=KISA]


CBPR 인증제도의 운영 요건과 인증 기준
특정 국가가 CBPR 인증제도를 운영하기 위해서는 ①국가 간 분쟁, 법 집행 협력 체계가 구축돼 있어야 한다 ②CBPR을 집행할 수 있는 관련 법령 및 법 집행 체계가 충족돼야 한다 ③인증기관 자격요건 충족 및 APEC 승인 인증기관 제도를 운영해야 한다 등의 요건을 갖춰야 한다.

CBPR은 강제성이 없는 자율 제도로, 우리나라에서는 개인정보보호법(법률 제16930호)에 근거하며, 개인정보보호위원회가 법집행기관을, 한국인터넷진흥원이 인증기관을 맡고 있다. CBPR의 인증대상은 개인정보보호법 적용 대상 및 CBPR 인증 기준에 따른 개인정보보호 관리체계 수립·이행 기업이다.

국내 CBPR 운영체계는 인증기관과 APEC, 법집행기관 등 3개의 역할로 분담해 운영되고 있다. 먼저 인증기관인 ‘한국인터넷진흥원(KISA)’에서는 △CBPR 인증심사 △인증심사원 양성 및 관리 △인증취득기업 모니터링·인증서 관리 △민원 통계 관리 △인증기관 자격유지(2년주기 재인정)을 담당한다. ‘APEC’은 △CBPR 운영체계 마련 △참여국·인증기관 심사 및 승인 △CBPR 제도를 확산을 담당하며, CBPR 법집행기관인 ‘개인정보보호위원회’에서는 △CPBR 정책 결정 △제도 개선 △인증기관 관리 감독 △집행기관 간 개인정보보호 협력 △인증취득 허위사실 유포 시 제재 등의 역할을 하고 있다.

CBPR 인증기준은 APEC 프라이버시 9원칙을 근거로 50가지 기준을 개발했다. 먼저 APEC 프라이버시 9원칙은 ①고지(개인정보 처리에 대한 사전 고지) ②수집 제한(수집 목적과 관련된 정보를 합법적이고 공정하게 수집, 적절한 경우 동의 획득) ③목적 내 이용(수집 목적과 양립 가능 혹은 관련된 목적 내 이용) ④선택권(적절한 경우 정보주체에게 수집·이용·제공에 대한 처리 제한권 부여) ⑤무결성(개인정보의 정확성, 완전성, 최신성 유지) ⑥보호대책(피해 발생 가능성과 심각성, 정보의 민감성에 비례한 보호조치 이행) ⑦열람·정정(정보주체의 개인정보 열람·정정·삭제권 보장) ⑧책임성(CBPR 원칙을 이행할 수 있는 내부 및 수탁사 등 책임성 있는 관리체계 수립·이행) ⑨피해 구제(개인정보 오용 방지를 위한 설계, 피해의 개연성과 심각성에 비례한 피해구제 조치) 등으로 구성된다.

위의 9원칙을 근거로 한 50가지 인증기준은 △개인정보 관리체계 수립 2건 △개인정보 수집 9건 △개인정보 이용·위탁·제공 7건 △정보주체 권리 11건 △무결성 5건 △보호대책 16건 등으로 분류된다.

▲APEC CBPR 프로그램 요건 50가지 충족 시 인증[이미지=KISA]


CBPR 인증의 장점과 주요 특징
CBPR 인증을 받은 기업이 적을 두고 있는 국가의 정부에서는 해외 기업에 대한 간접적 법 집행이 가능해지고, 국가 간 교역을 활성화할 수 있다. 또한, 인증 기업은 △글로벌 신뢰 획득 △CPBR 참여국 대상 사업 영위 기업의 개인정보 국외 이전의 간편성 △CBPR 참여국 확대 등 저변 확대 시 개별 법규 대응 비용 절감 가능 △해외 교역 대상 기업과 계약 시 CBPR 인증 취득 조건 요구를 통한 개인정보보호 수준을 확보할 수 있다는 장점이 있다.

우리나라는 미국(2012년), 멕시코(2013년), 일본(2014년), 캐나다(2015년)에 이어 2017년에 CBPR에 가입했다. 전 세계에서 CBPR 인증을 받은 기업은 미국이 애플(Apple), IGM, 시스코 시스템즈(Cisco Systems)를 포함한 41개사, 일본이 야후 재팬(Yahoo Japan)을 포함한 4개사, 싱가포르가 알리바바 클라우드(Alibabab Cloud)를 포함한 6개사 등 총 51개 기업이 있다. 현재 우리나라는 인증심사를 진행 중에 있으며, 올해 안에 2개사 정도의 인증기업이 나올 것으로 예상하고 있다.

CBPR은 현재 일본과 싱가포르에서 법으로 인정하고 있다. 일본에서는 개인정보보호법 제28조 및 동법 시행규칙 제16조제2호에서 ‘외국의 제삼자에게 개인정보를 제공하는 경우 개인정보 취급과 관련된 국제적 기준에 근거한 인정 획득이 필요하다’고 명시하고 있다. 또한, 싱가포르는 개인정보보호법 제26조 및 개인정보보호규정 제10조와 제12조에서 ‘국외이전 요건으로 국외 기업의 CBPR 인증 취득 등 개인정보보호 기준 마련 법적 이행 의무 요구’를 언급하고 있다. 이와 비슷하게 미국, 멕시코, 캐나다는 USMCA 협정(United States, Mexico, Canada Agreement, 미국-멕시코-캐나다 간 무역협정), 싱가포르와 오스트레일리아는 DEA(Digital Economy Agreement, 디지털 경제 협정) 체결을 통해 개인정보보호 및 국외이전을 쉽게 하는 메커니즘으로 인정하고 있다.

기존의 APEC CBPR 체계는 APEC 회원국에 한해서만 CBPR 가입을 허용하고 있어 한계가 있다. 따라서 관련국은 CBPR 참여 확대를 위해 대한민국, 미국, 일본, 캐나다, 필리핀, 싱가포르, 대만이 합류해 올해 4월 글로벌 CBPR 포럼 출범을 위한 공동 선언을 했다. 현재 APEC 산하 CBPR 체제에서 글로벌 체제로의 전환을 준비하고 있으며, 이를 위한 포럼 운영 기초자료 마련 작업이 진행 중이다.

▲CBPR 가입국, 인증기관 및 인증기업 현황[이미지=KISA]


CBPR 인증 신청 기준 및 신청 방법
CBPR 인증심사 신청 대상은 개인정보보호법 적용을 받는 기업으로, CBPR 인증 기준에 따른 개인정보보호 관리체계 수립이 필수로 요구된다. 또한, 국경 간 이전되는 개인정보의 처리 흐름을 고려해 인증범위를 설정하고 있다.

CBPR 인증은 CBPR 정책에 따라 주로 사업기반을 둔 관할권 소재 인증기관에 인증심사를 신청하면 된다. 공통의 프라이버시 정책을 갖는 다국적 기업은 본사가 신청 기업이 되며, 계열사(자회사)를 인증범위에 포함하고 있다. 단순 개인정보 수탁 업무를 인증범위로 한 CBPR 인증심사 신청은 불가능하며, 별도로 ‘수탁자 대상 인증’을 의미하는 PRP(Privacy Recognition for Processors System)를 통해서만 가능하다. 다만, 우리나라는 PRP 제도를 운영하지 않는다.

CBPR 인증 신청 방법은 사전준비로 APEC CBPR 인증체계에 따른 운영 과정이 1개월 이상 소요된다. 신청서류는 인증심사 신청 공문을 접수한 후, APEC CBPR 인증신청서, APEC CBPR 명세서, APEC CBPR 인증기준 자가평가지, 사업자 등록증, 기타 증빙서류 등을 접수하는 과정을 거쳐 신청할 수 있다. 인증서 유효기간은 APEC에서 1년으로 설정하는 것과 동일하게 우리나라도 1년을 기준으로 하며, 만료되기 전 갱신을 신청해야 한다.

▲CBPR 인증 절차[이미지=KISA]


CBPR 인증 심사 방법은 △서면심사(관련 문서, 증적자료 확인 등) △담당자 인터뷰(필요 시 현장심사 진행)로 나눠 진행된다. CBPR 인증절차는 1단계에서 신청기업은 △인증 준비와 함께 인증심사를 신청하고, KISA는 △인증심사 신청 접수 △예비 점검을 진행한다. 2단계에서 KISA는 △심사팀 구성 및 심사 계획을 통보하면, 신청기업은 인증심사 계획 접수 및 인증심사를 준비하게 된다.

KISA에서 △인증심사 △결함보고서 작성을 진행하면, 신청기업에서는 △결함보고서를 확인한다. 이후 KISA에서 △인증심사 종료 및 보완조치를 요청하면, 신청기업에서는 △보완조치 및 보완 내역서를 제출하고, KISA는 △보완조치 완료를 확인한다. 3단계에서 KISA가 △심사결과 보고서 작성 △인증위원회 개최(인증 심의·의결) △인증서 발급을 진행하고, 마지막으로 신청기업에서 △인증서를 수령하게 된다.

현재 국내에서 발급하는 CBPR 인증서는 국가(2자리), 인증기관(4자리), 년도(4자리), 순서(3자리), 인증횟수(2자리) 등 총 15자리의 번호체계로 구성돼 있다. 다만, 국내 CBPR 인증서와 해외 인증기관 간 인증로고 및 번호체계가 달라 단일화를 위한 논의를 진행 중이다.

CBPR 인증을 취득하게 되면 CBPR 인증 유효기간 내 CBPR 체계 유지 관리, 인증 취득 범위 관련 개인정보 민원발생 시 해결 노력과 함께 인증기관과의 협력에도 만전을 기해야 한다. 이밖에도 개인정보 보호 및 국외이전 관련 불편 민원 접수 시 적극 대응하고 신속하게 처리해야 한다.

▲CBPR/ISMS-P 비교[이미지=KISA]


CBPR 인증 관련 국내법에는 포함되지는 않았지만, 무결성 부문에서 CBPR 인증 취득을 희망하는 기업은 제삼자-수탁사 간 개인정보 업데이트 체계를 구현해 내부 정책에 반영하는 것이 필요하다. 또한, 보호대책 부문에서는 국내법과 다르지만 제삼자의 개인정보보호 수준을 확인하기 위한 내부정책(조치방안 등)을 수립할 필요가 있다.

현재 우리나라는 ISMS-P 인증심사원을 대상으로 CBPR 인증제도 교육을 통해 CBPR 심사원 80여명을 운영하고 있다. 인증심사원 선발은 심사일정 수립 시 CBPR 심사원 풀(pool) 대상으로 일정을 확인하고 기업 이해 상충 여부를 조사한 후 선발하게 된다. CBPR 인증심사원의 심사료는 ISMS-P 인증심사원 등급에 따라 차등 지급되며, 심사일수는 통상 3일이 소요된다.

국내 CBPR 인증제도에서 인증심사를 맡고 있는 KISA는 향후 CBPR 인증심사원 양성 교육을 추가로 실시하며, 등급 자격제한도 완화할 계획이다. 또한, 원가산정 전문기관을 통해 CBPR 인증심사 적정 수수료를 산정하고, 해외 CBPR 인증기관 간 인증심사 형평성 확보를 위한 심사절차 표준화 등을 논의·협력할 예정이다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)