[디지털데일리 최민지기자] 정부가 글로벌 개인정보보호 인증제도에 가입하며 국가 간 자유로운 개인정보 이전을 위한 물꼬를 텄다. 그러나 아직까지 제도 실효성을 담보할 수는 없다. 정보통신망법 개정 여부에 성패가 달려있기 때문이다.

방송통신위원회(이하 방통위)와 행정자치부는 지난 7일 아시아 태평양 경제협력기구(APEC)으로부터 한국의 ‘국경 간 프라이버시 규칙(CBPR, Cross Border Privacy Rules system)’ 가입 승인 통보를 받았다고 12일 밝혔다.

방통위에 따르면 CBPR에 가입된 국가 내 기업들은 정보 이동이 용이하다. 기존에 기업들은 고객들에게 제3자 제공 동의를 받고, 국외로 정보를 재이전할 때도 동의를 구해야 한다. 하지만, 이 제도 내에서는 적용 국가 내 기업들 간 국외 정보 이전에 대해 이용자의 동의를 받지 않아도 된다.

하지만 현재 국내 정보통신망법에서는 이용자의 동의를 받지 않은 국외정보 이전을 허용하지 않고 있다. 국내 기업들의 CBPR 활용을 높이기 위해서는 법 개정이 필수적인 상황.

방통위는 기업들의 참여를 유인하기 위해 법적인 연동을 고려하고 있다는 입장이다. 지난 3월 이러한 내용을 담은 정보통신망법 개정안을 발의하기도 했다. 만약, 법 개정이 무산된다면 CBPR은 실제 기업들에게는 계륵같은 존재로 남게 될 우려도 제기된다.

CBPR은 현재 도입 초기 단계로 이번에 승인된 한국을 비롯해 미국, 일본, 캐나다, 멕시코 등 5개국이 가입했다. 기업의 개인정보보호 수준을 평가해 인증하는 CBPR은 APEC이 전자상거래 활성화와 안전한 개인정보 이전을 위해 2011년 개발됐다. CBPR은 자율 인증제도이지만, 참여 기업의 책임성 강화를 위해 APEC 회원국의 개인정보보호 법 집행력을 기반으로 운영된다.

앞서, 방통위와 행정자치부는 CBPR 가입 추진을 위해 선행 조건인 ‘국경 간 프라이버시 집행협정(CPEA, Cross-border Privacy Enforcement Arrangement)’에 각각 2014년, 2011년에 가입했다. 지난해 12월 방통위와 행정자치부는 공동으로 APEC에 가입 신청서를 제출했다.

정부는 CBPR에 가입함으로써 글로벌 기업의 개인정보 유출 등 침해사고 때 소속 회원국과의 공조를 통해 피해구제책 마련 등 간접적 규제 행사가 가능해져 국민의 개인정보보호 수준이 강화될 것으로 내다봤다. 또한, 국내 기업은 국외 기업과 소비자로부터 개인정보보호에 관한 국제적 신뢰를 확보해 해외 진출 경쟁력이 강화될 것으로 기대했다.

현재 CBPR 가입 승인을 받은 이후 제도 운영을 위해 APEC으로부터 CBPR 인증기관에 대한 승인 절차가 남아 있다. 각 가입국이 지정한 인증기관이 APEC이 규정한 자격 요건에 부합한지 여부를 심사를 받게 된다.

한국인터넷진흥원(원장 백기승)이 인증기관 신청을 준비하고 있으며, 개인정보보호인증제도(PIMS) 운영 경험을 바탕으로 CBPR 운영 체계와 세부 심사 기준을 개발해 오는 12월까지 신청서를 제출할 계획이다.

방통위와 행정자치부는 실효적인 제도 운영을 위해 분야별 전문가, 사업자 등 다양한 채널을 통해 의견을 수렴하고 있다. 또, 사업자 대상 제도 홍보와 운영 체계 수립 등의 준비 과정을 거쳐 2019년부터 정식으로 운영할 방침이다.

아울러, 양 기관은 향후 해외 인증기관과의 적극적 협력을 통해 회원국 내 제도 확산과 CBPR의 공신력 확보를 위한 국제적 활동을 주도하겠다는 의지를 드러냈다.

방통위 관계자는 “국내 기업이 CBPR 제도를 실질적으로 활용하려면 정보통신망법을 개정해야 하는 상황이지만, 국제적 인증을 받았다는 점에서 신뢰도를 강화하는 용도로 사용 가능하다”며 “국외기업 등에서 개인정보유출 사고가 발생하게 되면 국제협력 체계를 통해 해결할 수 있는 방안이 지금보다 더 다양해질 것”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr