□ ‘국경을 넘나드는 데이터 이동’, 디지털 대전환을 위한 전제 조건

○ 데이터 활용이 새로운 제품과 서비스 개발 등 가치창출로 이어지는 데이터 경제 시대를 맞아 자국의 데이터 법･제도 정비뿐 아니라 국가 간 데이터 이동을 위한 기틀 마련 중요

- 기업의 제품 개발, 영업･생산 활동, 마케팅 등 비즈니스 과정과 정부의 행정 서비스, 개인의 소비활동 등 산업과 일상생활 전 영역에서 데이터 활용이 증가하며 가치가 높아지는 추세

  ※ 온라인 쇼핑 결제정보를 기반으로 디지털 광고, 자동차 주행 데이터를 이용한 자율주행 기술 개발, 걸음걸이 데이터를 축적해 헬스케어 서비스로 연결 등

- 유럽에서는 EU회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 정보 주체인 개인정보보호 권리를 강화하는 일반개인정보보호법(GDPR) 시행 중

- 반면 국가 주도하에 데이터 관리를 강화한 중국, 우크라이나를 침략한 러시아 등과는 데이터를 공유하고 신뢰 관계를 이어가는 데 국가 경제 안보에 리스크가 확산될 수 있는 우려 증대

- 데이터의 자유로운 이동과 확보가 데이터 경제를 지탱하는 근간이자 안보까지 영향을 미치며 개인정보 보안과 안전장치, 새로운 프레임워크 니즈도 동반 증가

□ 우리 정부는 APEC ‘CBPR’ 인증제도 공식 개시(5.3)

○  CBPR(Cross Border Privacy Rule)은 아시아태평양 지역의 정치･경제 협력체인 APEC 회원국 간 안전하고 자유로운 개인정보 이전을 위해 기업의 개인정보 보호 체계를 평가하는 자율인증제도

- 최소한의 개인정보 보호원칙을 기반으로 회원국 간 신뢰할 수 있는 개인정보 이전체계를 마련해 아시아태평양 권역 내 디지털 경제 활성화를 도모하기 위한 취지

- 인증기업은 개인정보 국외 이전에 대한 효율성과 글로벌 시장에서의 신뢰도를 제고할 수 있어 아태지역뿐 아니라 국제적 차원에서 개인 정보보호 우수기업으로 인식

- 특히 일본･싱가포르에 진출한 국내 기업이 동 인증을 받을 경우, 현지 고객의 개인정보를 국내로 보다 편리하게 이전 가능

  ※ 일본･싱가포르는 인증 받은 기업에 대해서는 별도의 안전장치(고객의 별도 동의, 표준계약 마련 등) 없이도 국외 이전 허용

- 현재 미국･멕시코･일본･캐나다･한국･호주･싱가포르･대만･필리핀 등 9개국이 도입하였으며, 기업 인증에 착수한 나라는 미국, 일본, 싱가포르에 이어 우리나라까지 4개국

  ※ 현재 APEC 회원국에 한하여 CBPR 가입을 신청할 수 있으나 향후 CBPR의 효용을 넓히기 위해 회원국 이외 다른 국가까지 확대하는 방안을 논의 중

 - 이들 국가는 CBPR 집행기관과 인증기관을 각각 두고 있으며 우리나라의 집행기관은 개인정보보호위원회, 인증기관은 한국인터넷진흥원이 담당

 - 이미 미국(애플, IBM, 시스코 등 39개 사)과 일본(야후재팬 등 3개 사), 싱가포르(알리바바 클라우드 등 6개 사) 3개국 48개 기업이 CBPR 인증 획득

○ 개인정보보호위원회가 CBPR 인증제도를 공식 개시한 가운데 한국인터넷진흥원에서 구체적인 가이드라인 설명회 개최(5.17)

- 인증 취득을 희망하는 기업은 한국인터넷진흥원에 인증심사를 신청(5.3∼)할 수 있으며 해당 인증기준을 충족하고 있는지 심사하여 인증서 발급

- CBPR은 프라이버시 9대 원칙(①고지 ②수집 제한 ③목적 내 이용 ④선택권 ⑤무결성 ⑥보호대책 ⑦열람·정정 ⑧책임성 ⑨피해 구제)을 기반으로 하위 총 50개의 세부 인증기준 수립

- 우리나라는 ‘CBPR 인증기준 9대 원칙’을 6개(①개인정보 관리체계 수립 ②개인정보 수집 ③개인정보 이용/위탁/제공 ④정보주체 권리 ⑤무결성 ⑥보호대책)’로 재정리

- 기업이 CBPR 인증을 받은 경우, 정보주체 동의 없이도 국경을 넘어 이전 가능해 상대 기업에 대한 개인정보 보호 수준을 확인하는데 소요되는 시간･비용도 줄일 수 있다는 것이 장점

- 해외 진출하는 우리 기업은 신인도 제고에 도움이 되고 국외 이전된 우리 국민의 개인정보 보호 수준도 강화 기대

- 정보주체 입장에서도 자신의 개인정보를 처리하는 기업이 적절한 보호 수준을 갖췄는지 알 수 있고 권리 행사나 피해 구제 신청이 편리

□ 미국은 CBPR 인증제도 확대 추진…중국･러시아 겨냥 행보

○ 미국 상무부(DOC)는 국경을 초월한 데이터 흐름의 촉진을 위해 CBPR의 글로벌 확산을 위한 포럼 발족(4.21)

- 동 포럼은 국경 간 데이터 흐름 및 상호 운용성을 촉진하고 데이터 및 개인정보 보호에 대한 다양한 접근 방식을 공유하기 위한 목적

- 상호 이익의 원칙과 모든 회원국의 견해를 동등하게 존중하는 열린 대화와 합의 원칙으로 운영하는 것을 규칙으로 명시

- 현재 미국, 캐나다, 일본, 한국, 필리핀, 싱가포르, 대만 등 7개국이 참여한 가운데 포럼에 가입하지 않은 APEC 회원국 참여를 수용해 나가면서 지역 수준의 인증이 아니라 글로벌 표준 시스템으로 확대･정립한다는 목표

- 세부 추진 계획은 ①APEC의 CBPR* 및 PRP(Privacy Recognition for Processors) 시스템을 기반으로 하는 국제 인증 시스템 구축 ②글로벌 CBPR 및 PRP 시스템의 홍보를 통해 데이터의 자유로운 흐름과 효과적인 데이터 및 개인정보 보호 지원 ③글로벌 CBPR 및 PRP 시스템 관련 문제의 정보 교환 및 협력을 위한 포럼 개최 ④글로벌 CBPR 및 PRP 프로그램 요구 사항이 포럼 목표와 일치하는지 확인하기 위해 회원국의 데이터 및 개인정보 보호 표준을 주기적으로 검토 ⑤기존 데이터 및 개인정보 보호 프레임워크와 상호 운용성 촉진

  * CBPR은 개인정보 처리자 인증제도인 반면, PRP는 개인정보 수탁자 기준 제도

○ 일각에서는 미국･한국･일본･대만･캐나다･필리핀･싱가포르 7개국 중심으로 ‘개인 데이터 이전 규칙’에 새로운 기틀을 만들 수 있다는 가능성 대두

- 미국･일본 등 안보동맹국은 러시아･중국이 속한 APEC에서 데이터 유통망을 구축하는 것은 한계가 있기 때문에 이들을 배제하고 신뢰 관계가 형성된 국가 중심의 새로운 데이터 유통망을 구축할 수 있다는 것

- CBPR 도입을 주도했던 미국이 글로벌 CBPR 포럼 설립과 함께 CBPR 외연을 브라질･영국 등 APEC 비회원국에까지 넓힐 수 있다고 밝힌 것도 새로운 데이터 유통망 구축 가능성을 높이는 배경

○ 한편 미국은 국가안보와 관련해 자국민 개인정보 데이터가 특정 국가에 넘어갈 가능성이 클 경우, 관련 거래를 중단·차단하는 내용의 행정명령 초안 작성(5.10)

- 동맹국과는 자유로운 데이터 이동을 보장하지만 중국·러시아 등 위협국과의 데이터 거래･접근은 차단하며 ‘디지털 자주권’을 확립하겠다는 의도