[디지털데일리 최민지기자] 한국 정부는 오는 2019년부터 아시아태평양 지역 내 국가들과 자유롭고 안전하게 개인정보를 주고받을 수 있도록 ‘국경 간 프라이버시 규칙(CBPR)’ 인증을 본격 운영한다.
이를 위해 지난 15일 방송통신위원회(이하 방통위)는 한국인터넷진흥원(KISA)을 한국의 CBPR 인증기관으로 지정키로 결정했다.
CBPR은 국경 간 정보 유통의 책임성 및 피해구제 강화를 위해 아시아 태평양 경제협력기구(APEC)가 2011년 개발한 회원국 간 개인정보보호 자율 인증체계다.
개인정보 국외이전 증가에 대응해 아·태 회원국 간 개인정보보호 공조체계를 강화하고자 한국 정부는 CBPR을 추진해왔고, 지난 6월 APEC으로부터 가입 승인을 받았다. 현재 CBPR에 가입된 국가는 미국, 캐나다, 멕시코, 일본, 한국이다.
가입에 따른 후속조치로 국내 인증기관 지정 절차가 필요하며, 이에 따라 방통위·행정안정부는 한국의 CBPR 인증기관으로 KISA를 지정키로 했다. APEC이 한국에서 제안한 국내 인증기관에 대해 심사·승인한 후, KISA는 CBPR 인증업무를 수행하게 된다.
방통위에 따르면 연내 APEC에 국내 인증기관 지정 신청서를 제출하고, 승인에 따라 내년까지 모의인증 심사를 진행한다. 본격적인 CBPR 인증 운영은 2019년부터다.
기업이 자율적으로 인증을 신청하면, KISA가 기준에 따라 심사 후 인증을 부여한다. 이후 국내외 개인정보보호 법집행기관에 통보한다. 예비심사 단계에서는 신청기관의 자가진단 및 증빙 결과를 확인하고, 관리적·기술적 보호대책 등에 대해 심사한다.
방통위는 개인정보보호 관리체계(PIMS)를 받은 기업의 재인증 부담을 줄이고 절차를 간소화하기 위해 PIMS 인증기준을 활용하고 이 외 6여개 기준만 별도로 마련키로 했다.
정부는 CBPR로 인해 해외기업에 의한 개인정보 침해발생 때 국내 인증기관 채널로 신속대응할 수 있고, 국내 인증기관의 협력공조 통해 효과적인 피해구제가 가능할 것으로 기대했다. 또, 국내기업이 CBRP 인증을 받으면 외국인 개인정보를 국내에 이전하기 용이해져 해외지사 설립 등 해외진출에 유리할 것으로 내다봤다.
다만, 아직까지는 초기단계이고 국내에서도 법·제도 개선이 수반돼야 하는 만큼 당장의 효과를 기대하기는 어렵다. 국내 정보통신방법에서는 이용자 동의를 받지 않은 국외정보 이전은 허용하지 않고 있다. CBPR 제도 안착을 위해서는 현행법 개선이 필요한 상황이다. 이러한 내용을 담은 정보통신망법 개정안이 지난 3월 발의된 바 있다.
김기석 방통위 개인정보보호협력팀장은 “2019년부터 CBPR 인증을 운영할 계획이고, 자율 인증이기 때문에 해외 상황을 살펴보며 서두르지 않게 준비하려고 한다”며 “현재 일본은 1개 기업, 미국의 20여개 기업이 CBPR을 받았는데 이러한 사례를 면밀하게 살펴보려고 한다”고 말했다.
이어 “4차 산업혁명으로 인해 개인정보 국외이전 유통은 전보다 더 활발해질 것이며, 이에 따라 국가 간 공조가 필요하다”며 “국외이전과 관련해서는 유럽연합(EU)과 미국이 대립되는 측면이 있으니, 한국은 어떻게 기준을 가져갈지 검토가 필요하다”고 덧붙였다.
<최민지 기자>cmj@ddaily.co.kr
