CBPR(Cross Border Privacy Rule) 인증제도란?
22년 5월 3일부터, 개인정보보호위원회는 한국인터넷진흥원(KISA)와 공동으로 CBPR 인증 제도를 도입,운영한다고 밝혔습니다. 이로서, 국내 기업들이 해외 기관을 통하지 않고 CBPR인증을 받을 수 있게 되었습니다.
이에 이스트시큐리티에서는 CBPR인증은 무엇이며 어떠한 효용성이 있는지 간략히 설명해 드리고자 합니다.
CBPR(Cross Border Privacy Rule)이란?
CBPR이란, 국경간 프라이버시보호규칙(Cross Border Privacy Rule)의 약자로 2011년 APEC이 전자상거래의 활성화와 회원국 간 안전한 개인정보의 상호 이전을 위해 개발한 글로벌 개인정보보호 자율인증제도 입니다.
APEC 회원국에 한하여 CBPR 가입 신청이 가능하며, 현재(22년 5월 현재)) 회원국은 총 9개 국가(미국, 멕시코, 일본, 캐나다, 한국, 호주, 싱가포르, 대만, 필리핀) 입니다.
CBPR 인증 기준 요구사항
'APEC 프라이버시 프레임워크(APF)'에 포함된 9개 원칙을 기반으로 개발되었으며, 총 50개 인증 기준으로 구성되어 있습니다.
APEC Privacy Framework |
설명 | CBPR 인증 기준 (50개) |
고지 (Notice) |
'사전 혹은 동시'에 고지를 제공할 것을 규정하고 있고, 경우에 따라 '사후 고지' 가능 | 개인정보보호 정책 고지 항목, 고지 방법 등 |
수집제한 (Collection Limitation) |
수집 목적에 관련된 정보를 합법적이고 공정하게 수집하고, 적절한 경우 동의를 받아야 함 | 개인정보 수집 방법, 수집 최소화, 합법적 수집 등 |
개인정보 이용 (Uses of Personal Information) |
수집 목적과 양립 가능하거나 관련된 목적으로 이용 | 수집 목적 내 이용,위탁,제3자 제공 등 |
선택 (Choice) |
적절한 경우 정보주체에게 수집, 이용, 제공에 대한 선택권 부여 | 정보주체의 수집, 이용, 제공에 대한 선택권 제공방법 등 |
개인정보의 무결성 (Integrity of Personal Information) |
정보의 정확성, 완정성, 최신성 확보 | 개인정보의 최신,정확,완전성을 위한 정정, 수탁자 통지 등 |
보안조치 (Security afeguards) |
위험 발생 가능성과 심각성, 정보의 민감성에 비례하여 적절히 조치 * 구체적 보호조치 기준 없음 |
개인정보의 민감성, 침해가능성 및 침해의 심각성에 비례한 보호조치, 보호조치에 대한 평가 등 |
열람,정정 (Access and Correction) |
정보주체의 요청이 있을 시 개인정보의 열람,정정 등이 가능하나, 과도한 비용이 수반되거나 상업적 비밀로 보호되어야 하는 경우 제외 | 정보주체의 열람, 정정, 삭제 요청에 대한 절차 등 |
책임성 (Accountability) |
개인정보를 이전하는 경우, 동의를 받거나 개인정보를 이전받는 기관(개인)의 보호 수준을 실사하고 합리적 조치 이행 | 책임자 지정, 민원처리 및 피해구제 절차, 수탁자 및 제3자에 대한 관리,감독 방법 등 |
피해 구제 (Preventing Harm) |
구제조치는 피해의 개연성과 심각성에 비례하여 취해져야 함 | (책임성 등 다른 항목에 '피해 구제'에 대한 사항 내포) |
CBPR과 GDPR
GDPR은 유럽연합(EU)의 개인정보보호 법령으로, 회원국 간 개인정보보호 법제가 달라 기업들의 활동에 문제가 발생하자 강력하고 통일적인 개인정보보호 규제를 하기 위하여 제정하였습니다.
GDPR은 유럽 내 기업에만 적용되는것이 아니라, EU역내에 자회사를 두었거나 EU에 서비스를 제공하고 개인정보처리에 대한 위탁을 받은 모든 기업들에게 적용됩니다.
▶ GDPR 전격 시행! 데이터 보안 관점에서 필요한 대비책은?
CBPR과 GDPR의 주요 개념을 비교해 보자면 다음과 같습니다.
구분 | CBPR | GDPR |
목적 | 회원국 간 정보 흐름을 원활하게 하고 지속적인 무역 및 경제 성장을 보장하기 위한 효과적인 개인정보 보호를 목표로 함 | 자연인들의 기본적 권리와 자유, 특히 개인정보보호건의 보호와 개인정보의 자유로운 이동의 보장을 목적으로 함 |
적용범위 | APEC 회원국 법률 범위 내 | EU 회원국 법률 범위 내 |
개인정보의 수집, 보유, 처리, 사용, 전송 또는 공개하는 공공 및 개인 또는 민간 조직에 적용 | - 자동화된 방법으로 전체/부분적으로 개인정보를 처리하는 경우 적용 - EU 역내 처리 여부에 관계없이 EU 내의 정보처리자 또는 수탁처리자의 사업장의 활동에 따른 개인정보 처리에 적용 - 특히 EU내에 설립되지 않은 정보처리자 또는 수탁처리자의 경우라도, EU 역내에 거주하는 정보주체에게 재화나 서비스를 제공하는 경우나 정보주체의 행동을 모니터링 하는 경우 적용 |
|
개인정보 | 식별되거나 식별 가능한 개인에 관한 모든 정보 | 식별된/식별 가능한 자연인과 관련된 일체의 정보 |
개인정보처리자 | 개인정보의 수집, 보유, 처리, 사용, 전송 또는 공개하는 개인이나 조직 | 개인정보의 처리목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 기타 단체 |
수탁처리자 | 적용되지 않음 | 적용됨 |
CBPR은 개인정보처리자에게 적용되고 수탁처리자에게는 적용되지 않음 | - 제28조(수탁처리자) - 제29조(정보처리자 및 수탁처리자의 권한에 따른 처리) |
CBPR 효용성
CBPR 인증은 글로벌 인증으로, 인증획득을 통해 APEC 기준의 개인정보보호 체계를 갖췄다는 인정을 받을 수 있습니다.
또한 일본, 싱가포르의 경우 CBPR을 자국의 개인정보보호법과 동등한 수준의 보호체계로 인정하였으며, 이에 CBPR인증 기업은 이러한 국가들에서 정보주체 동의 등 추가적인 절차 없이 개인정보의 국경간 이전이 가능하여 업무 효율성 증대가 기대됩니다.
CBPR의 인증 기준 중 대부분이 국내의 개인정보보호법에 포함되어 있는 내용이기 때문에, ISMS-P 의무 인증 기업이라면 인증심사를 통과 하는데 큰 어려움이 없을 것으로 예상됩니다.
참고 :
https://www.privacy.go.kr/pic/cbpr_info.do
KIEP 기초자료21-13 APEC CBPR 운영 및 논의 동향과 시사점.pdf
2017년 해외 개인정보보호 동향 분석.pdf