▶ APEC은 국경간 전자상거래 활성화로 개인정보의 국외 이전 수요가 증가함에 따라 최소한의 개인정보보호 원칙을 기반으로 개인정보보호 인증 메커니즘인 ‘국경간 프라이버시 규칙(CBPR)’을 2011년에 마련하였으나, APEC 회원국의 가입률 저조로 최근 CBPR을 非APEC 국가로 확대하려는 움직임이 있음.

- APEC CBPR은 회원국간 안전하고 자유로운 데이터 활용을 장려하기 위해 자발적 참여를 전제로 개발된 개인정보보호 자율인증 제도로, 이는 2004년 APEC 각료회의에서 승인된 ‘APEC 프라이버시 프레임워크(APF)’에 포함된 개인정보보호 원칙을 바탕으로 수립됨.

- 창설된 지 10년이 지났으나 2021년 우리나라를 비롯하여 9개국(미국, 멕시코, 일본, 캐나다, 한국, 호주, 싱가포르, 대만, 필리핀)이 APEC CBPR에 가입하였고, 그중 5개국에 인증기관이 설치되었으며, 이 중 3개국만 실제로 운영하고 있어 기업의 인증률이 저조한 편임.

- 현재 APEC 회원국에 한하여 CBPR 가입신청이 가능하고 APEC 심의를 통해 가입이 결정되나, 미국은 CBPR을 APEC으로부터 독립시켜 CBPR 회원국 확대를 모색하고 있음.

 

▶ 국가마다 개인정보보호를 위한 법제도의 규제 수준이나 보호 범위 등이 상이하여, APEC은 CBPR을 국경간 데이터 이전의 글로벌 메커니즘으로 상호운용성을 높이고자 노력하고 있으며, 최근 CBPR이 국경간 정보 이전에 효과적인 메커니즘임을 인정하는 자유무역협정이 체결되고 있음.

- 한편 GDPR의 경우 국경간 이전과 관련하여 원칙적으로 개인정보보호의 관점에서 적정한 보호 수준을 갖춘 국가·기업으로의 이전만을 제한적으로 허용하는 등 CBPR보다 높은 요건으로 인해 상호운용 논의가 어려운 상황임.

- 최근 체결된 USMCA, SADEA에는 개인정보보호를 위한 법적 체계 개발에 있어 고려해야 할 국제 원칙과 지침으로 APEC CBPR 인증체계가 포함되었으며, 데이터 국외 이전에 효과적인 메커니즘으로 CBPR을 인정하고 있음.

 

▶ APEC CBPR의 실효성을 강화하고 이를 글로벌 대표 인증체계로 인정받기 위해서는 정부와 APEC 차원의 다양한 부문에서 역할과 노력이 필요할 것으로 보임.

- 우리나라의 CBPR 인증기관인 KISA는 2021년 하반기 중에 CBPR을 정식으로 운영할 계획이며, 일본과 싱가포르는 이미 CBPR을 자국의 「개인정보보호법」과 동등한 수준의 보호체계로 인정하여 그에 상응하는 혜택을 부여하고 있음.

- 현재는 CBPR-BCR의 상호운용성 논의를 위한 APEC 내 비공식회의가 중단된 상태이나, APEC CBPR이 하나의 인증 메커니즘으로 GDPR에서 인정 받기 위해 상호운용 논의를 지속적으로 진행할 필요가 있음.

- 향후 CBPR을 개인정보보호위원회가 지정하는 인증제도 중 하나로 고려해볼 수 있는지 혹은 CBPR에 반영되지 않은 국내 개인정보보호법 요소들을 CBPR에 반영할 수 있는지를 검토하고, 국경간 정보 이전에 있어 국내법에 상응하는 혜택을 인증 기업들에 부여하는 방향으로 나아갈 필요가 있음.

- USMCA, DEA 등에서 개인정보보호를 위한 법적 체계 개발 시 고려해야 할 국제기구의 원칙과 지침 중 하나로 APEC CBPR을 규정하고 있듯, FTA 및 디지털무역협정 등에 APEC CBPR을 포함함으로써 글로벌 대표 인증체계로 발돋움하는 데 기여할 필요가 있음.

 

KIEP기초자료21-12 APEC CBPR 운영 및 논의 동향과 시사점.pdf
1.07MB

원본출처

,