CBPR 인증제도 운영 지침 제정... ‘수익자 부담 원칙’ 따라 유료 전환
심사기관 지정 근거 마련해 ‘심사’와 ‘인증’ 업무 이원화 추진

[보안뉴스 조재호 기자] 앞으로 기업 개인정보 보호 수준을 증명하는 국제 인증인 ‘국경 간 개인정보 보호 규칙’(CBPR) 인증을 받으려면 수수료를 내야 한다. 또 인증 업무와 심사 업무가 분리돼 전문성이 강화될 전망이다.


개인정보보호위원회(위원장 송경희)는 28일 열린 전체회의에서 이 같은 내용을 담은 ‘국경 간 개인정보 보호 규칙(Global CBPR) 인증제도의 운영에 관한 지침’ 제정안을 의결했다고 밝혔다.

그동안 개인정보위는 제도의 초기 정착을 지원하기 위해 인증 수수료를 면제해 왔다. 그러나 제도의 장기적·안정적 운영을 위해 ‘수익자 부담 원칙’에 따라 수수료 부과가 필요하다고 판단, 이번 지침을 통해 유료화 근거를 마련했다.

CBPR은 국제협의체인 ‘글로벌 CBPR 포럼’이 국경 간 데이터 흐름을 활성화하기 위해 개발한 국제 인증이다. 기업의 개인정보 관리체계 등을 심사해 일정한 보호 수준을 갖추면 인증을 부여한다. 현재 한국, 미국, 일본, 싱가포르, 대만 등 5개국에서 통용되고 있다. 인증을 획득한 기업은 해외 사업을 할 때 대외 신뢰도를 높일 수 있으며, 일본이나 싱가포르 등 일부 국가에선 이를 국외 이전 수단으로 인정해 자유로운 개인정보 이전이 가능하다.

이번 지침엔 수수료 규정 외에도 인증 체계 개편 내용이 포함됐다. 핵심은 ‘심사’와 ‘인증’ 기능의 분리다.

현재는 인증기관인 한국인터넷진흥원(KISA)이 인증심사와 인증서 발급 업무를 모두 수행하고 있다. 앞으론 추후 지정될 별도 ‘심사기관’이 심사 업무를 전담하고, KISA는 심사 결과를 바탕으로 ‘인증 부여 결정’을 담당하는 방식으로 역할이 나뉜다.

개인정보위는 구체적 유료화 시행 시점과 심사기관 지정 등 세부 사항을 올해 상반기 중 확정할 예정이다.

양청삼 개인정보위 사무처장은 “CBPR은 해외 사업 과정에서 요구되는 개인정보 보호 수준을 국제적으로 입증하고 신뢰도를 높이는 데 도움이 되는 수단”이라며 “이번 제도 정비를 통해 우리 기업의 해외 진출이 더욱 활성화되기를 기대한다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>