디지털·클라우드 시대에 국가 간 개인정보 이전은 피할 수 없는 상황이다. 이같은 추세에 대응하기 위해 우리 정부는 아시아태평양경제협력체(APEC) ‘국경간 프라이버시 규칙(Cross Border Privacy Rules, CBPR)체계’에 지난 6월 가입했다.

CBPR은 국경간 정보 유통의 책임성과 피해구제 강화를 위해 개인정보 국외이전 증가에 대응해 지난 2011년 APEC이 개발한 회원국 간 개인정보보호 자율 인증이다.

APEC CBPR 가입 후속조치로 필요한 국내 인증기관(Accountability Agent)으로 한국인터넷진흥원(KISA)이 지정됐다.

방송통신위원회와 행정안전부는 그동안 개인정보보호관리체계(PIMS) 인증심사기관 역할을 수행해오면서 확보하고 있는 전문성을 인정해 KISA를 CBPR 국내 인증기관으로 지정했다. 이같은 사항은 지난 15일 열린 방통위 회의에 보고됐다.

정부와 KISA는 APEC에 국내 CBPR 인증기관 승인을 신청할 예정이다. 심사와 승인 절차가 진행되는데 통상 6개월 정도 소요될 것으로 예상되고 있다. 이에 따라 국내에서 CBPR 인증은 오는 2019년부터 본격 시행될 것으로 보인다. APEC 인증기관 승인이 완료될 내년에는 모의인증을 실시한다.

CBPR 인증은 기업이 자율적으로 신청하면 인증기관이 심사기준을 충족했는지 확인해 인증을 부여하게 된다.

이효성 위원장은 회의에서 “(심사기준과 인증) 절차는 PIMS 인증 요건과 APEC 요건을 반영해 구성할 것”이라며 “심사항목은 PIMS 인증기업의 재인증 부담을 최소화하고 절차를 간소화할 수 있도록 PIMS 기준을 활용해 여섯가지만 별도 인증할 수 있도록 할 것”이라고 말했다.

CBPR 가입은 미국, 일본, 멕시코, 캐나다에 이어 한국이 5번째다. 필리핀과 대만이 신청한 상태고, 싱가포르도 가입 의지를 나타내고 있다. 가입국 인증기관도 현재는 미국과 일본만 운영하고 있다. 현재 CBPR 인증을 받은 기업은 미국에서만 20곳이 있다. 일본에서는 한 개 기업만 인증을 획득했다.

애플, IBM, HP, 박스(Box) 등이 CBPR 인증을 받은 것으로 알려져 있다.

우리나라는 CBPR 가입으로 APEC 회원국 간 개인정보보호 공조체계를 구축할 수 있게 돼 보호수준이 적용된 개인정보의 이동성이 확보되는 한편, 해외에 이전된 우리 국민의 개인정보가 침해된 경우 국가간 협력체계를 통해 피해구제 수단이 확보될 수 있을 것으로 기대된다.

현재로서는 우리 국민의 개인정보가 해외로 이전되면 정부가 통제할 수 있는 방법이 없다.

이 위원장은 “개인정보 침해 발생시 인증기관의 협력공조로 효과적인 피해구제가 가능하다”라면서 “해외 진출하는 기업이 CBPR 인증을 받으면 국제 신뢰도가 향상돼 외국민의 개인정보의 국내 이전도 용이해져 해외지사 설립 등에도 유리해질 것”이라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network