보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
CBPR(Cross Border Privacy Rule) 인증제도란?
22년 5월 3일부터, 개인정보보호위원회는 한국인터넷진흥원(KISA)와 공동으로 CBPR 인증 제도를 도입,운영한다고 밝혔습니다. 이로서, 국내 기업들이 해외 기관을 통하지 않고 CBPR인증을 받을 수 있게 되었습니다.
이에 이스트시큐리티에서는 CBPR인증은 무엇이며 어떠한 효용성이 있는지 간략히 설명해 드리고자 합니다.
CBPR이란, 국경간 프라이버시보호규칙(Cross Border Privacy Rule)의 약자로 2011년 APEC이 전자상거래의 활성화와 회원국 간 안전한 개인정보의 상호 이전을 위해 개발한 글로벌 개인정보보호 자율인증제도 입니다.
APEC 회원국에 한하여 CBPR 가입 신청이 가능하며, 현재(22년 5월 현재)) 회원국은 총 9개 국가(미국, 멕시코, 일본, 캐나다, 한국, 호주, 싱가포르, 대만, 필리핀) 입니다.
'APEC 프라이버시 프레임워크(APF)'에 포함된 9개 원칙을 기반으로 개발되었으며, 총 50개 인증 기준으로 구성되어 있습니다.
APEC Privacy Framework | 설명 | CBPR 인증 기준 (50개) |
고지 (Notice) | '사전 혹은 동시'에 고지를 제공할 것을 규정하고 있고, 경우에 따라 '사후 고지' 가능 | 개인정보보호 정책 고지 항목, 고지 방법 등 |
수집제한 (Collection Limitation) | 수집 목적에 관련된 정보를 합법적이고 공정하게 수집하고, 적절한 경우 동의를 받아야 함 | 개인정보 수집 방법, 수집 최소화, 합법적 수집 등 |
개인정보 이용 (Uses of Personal Information) | 수집 목적과 양립 가능하거나 관련된 목적으로 이용 | 수집 목적 내 이용,위탁,제3자 제공 등 |
선택 (Choice) | 적절한 경우 정보주체에게 수집, 이용, 제공에 대한 선택권 부여 | 정보주체의 수집, 이용, 제공에 대한 선택권 제공방법 등 |
개인정보의 무결성 (Integrity of Personal Information) | 정보의 정확성, 완정성, 최신성 확보 | 개인정보의 최신,정확,완전성을 위한 정정, 수탁자 통지 등 |
보안조치 (Security afeguards) | 위험 발생 가능성과 심각성, 정보의 민감성에 비례하여 적절히 조치 * 구체적 보호조치 기준 없음 | 개인정보의 민감성, 침해가능성 및 침해의 심각성에 비례한 보호조치, 보호조치에 대한 평가 등 |
열람,정정 (Access and Correction) | 정보주체의 요청이 있을 시 개인정보의 열람,정정 등이 가능하나, 과도한 비용이 수반되거나 상업적 비밀로 보호되어야 하는 경우 제외 | 정보주체의 열람, 정정, 삭제 요청에 대한 절차 등 |
책임성 (Accountability) | 개인정보를 이전하는 경우, 동의를 받거나 개인정보를 이전받는 기관(개인)의 보호 수준을 실사하고 합리적 조치 이행 | 책임자 지정, 민원처리 및 피해구제 절차, 수탁자 및 제3자에 대한 관리,감독 방법 등 |
피해 구제 (Preventing Harm) | 구제조치는 피해의 개연성과 심각성에 비례하여 취해져야 함 | (책임성 등 다른 항목에 '피해 구제'에 대한 사항 내포) |
GDPR은 유럽연합(EU)의 개인정보보호 법령으로, 회원국 간 개인정보보호 법제가 달라 기업들의 활동에 문제가 발생하자 강력하고 통일적인 개인정보보호 규제를 하기 위하여 제정하였습니다.
GDPR은 유럽 내 기업에만 적용되는것이 아니라, EU역내에 자회사를 두었거나 EU에 서비스를 제공하고 개인정보처리에 대한 위탁을 받은 모든 기업들에게 적용됩니다.
▶ GDPR 전격 시행! 데이터 보안 관점에서 필요한 대비책은?
CBPR과 GDPR의 주요 개념을 비교해 보자면 다음과 같습니다.
구분 | CBPR | GDPR |
목적 | 회원국 간 정보 흐름을 원활하게 하고 지속적인 무역 및 경제 성장을 보장하기 위한 효과적인 개인정보 보호를 목표로 함 | 자연인들의 기본적 권리와 자유, 특히 개인정보보호건의 보호와 개인정보의 자유로운 이동의 보장을 목적으로 함 |
적용범위 | APEC 회원국 법률 범위 내 | EU 회원국 법률 범위 내 |
개인정보의 수집, 보유, 처리, 사용, 전송 또는 공개하는 공공 및 개인 또는 민간 조직에 적용 | - 자동화된 방법으로 전체/부분적으로 개인정보를 처리하는 경우 적용 - EU 역내 처리 여부에 관계없이 EU 내의 정보처리자 또는 수탁처리자의 사업장의 활동에 따른 개인정보 처리에 적용 - 특히 EU내에 설립되지 않은 정보처리자 또는 수탁처리자의 경우라도, EU 역내에 거주하는 정보주체에게 재화나 서비스를 제공하는 경우나 정보주체의 행동을 모니터링 하는 경우 적용 | |
개인정보 | 식별되거나 식별 가능한 개인에 관한 모든 정보 | 식별된/식별 가능한 자연인과 관련된 일체의 정보 |
개인정보처리자 | 개인정보의 수집, 보유, 처리, 사용, 전송 또는 공개하는 개인이나 조직 | 개인정보의 처리목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 기타 단체 |
수탁처리자 | 적용되지 않음 | 적용됨 |
CBPR은 개인정보처리자에게 적용되고 수탁처리자에게는 적용되지 않음 | - 제28조(수탁처리자) - 제29조(정보처리자 및 수탁처리자의 권한에 따른 처리) |
CBPR 인증은 글로벌 인증으로, 인증획득을 통해 APEC 기준의 개인정보보호 체계를 갖췄다는 인정을 받을 수 있습니다.
또한 일본, 싱가포르의 경우 CBPR을 자국의 개인정보보호법과 동등한 수준의 보호체계로 인정하였으며, 이에 CBPR인증 기업은 이러한 국가들에서 정보주체 동의 등 추가적인 절차 없이 개인정보의 국경간 이전이 가능하여 업무 효율성 증대가 기대됩니다.
CBPR의 인증 기준 중 대부분이 국내의 개인정보보호법에 포함되어 있는 내용이기 때문에, ISMS-P 의무 인증 기업이라면 인증심사를 통과 하는데 큰 어려움이 없을 것으로 예상됩니다.
참고 :
https://www.privacy.go.kr/pic/cbpr_info.do
KIEP 기초자료21-13 APEC CBPR 운영 및 논의 동향과 시사점.pdf
2017년 해외 개인정보보호 동향 분석.pdf