[아이티데일리] 디지털 경제의 새로운 장을 여는 글로벌 국경 간 프라이버시 규칙(Global Cross Border Privacy Rules), 일명 ‘글로벌 CBPR’ 인증제가 2025년 6월 2일 공식 출범했다. 글로벌 CBPR은 회원국 간 전자상거래를 활성화하고 안전한 개인정보 이전을 촉진하기 위한 제도다. 국내 기업들은 글로벌에서 통용되는 개인정보 보호 수준을 갖추고 있음을 한국인터넷진흥원(KISA)의 심사를 거쳐 인정받을 수 있다.

글로벌 CBPR 제도는 기업의 개인정보 보호 수준을 국제적으로 인증함으로써, 국가 간 데이터 이동 장벽을 해체하고 디지털 무역 활성화를 견인할 것으로 기대받고 있다. 특히 CBPR 인증 기업이라면 일본·싱가포르 등 13개 참여국 간에 별도 절차 없이 개인정보 이전이 가능해지므로, 전 세계를 상대로 사업을 하고 있는 기업들의 경영 효율성 제고 효과가 클 전망이다.

APEC 넘어 전 세계로 확장된 ‘데이터 여권’

글로벌 CBPR은 2011년 아시아·태평양 9개국이 시작한 ‘APEC CBPR’을 전 세계 규모로 확장한 개인정보보호 인증 체계다. 기존 시스템의 지역적 한계를 극복하기 위해 한국·미국·일본의 주도로 2022년 출범한 글로벌 협의체에서 3년간의 논의를 거쳐 탄생했다. 현재 영국·두바이 등 4개 신규 참여국을 포함해 총 13개국이 공식 회원국으로 활동 중이며, 현재까지 100개 이상의 글로벌 기업이 첫 인증을 획득한 상태다.

글로벌 CBPR 시스템의 핵심은 ‘제3자 책임 에이전트(Accountability Agents)’를 통한 엄격한 심사 절차다. 각국 지정 기관이 ▲개인정보 수집·이용 절차 ▲보안 조치 ▲침해 대응 체계 등을 APEC 프라이버시 9대 원칙에 따라 평가하고 인증서를 발급한다. 인증 유효기간은 2년이며 매년 사후 점검을 실시해 관리 체계의 지속성을 확인한다.

규제보다 실용성에 초점…해외 진출 장벽 완화 기대

글로벌 CBPR은 유럽연합(EU)의 일반개인정보보호법(GDPR)과는 차별화되는 접근법으로 주목받고 있다. GDPR이 엄격한 규제 중심인 반면, CBPR은 기업의 자율적 준수를 유도하면서도 국제적 상호운용성을 확보했다는 평가다. 실제로 일본과 싱가포르는 CBPR 인증 기업에 대해 자국 내 개인정보보호법 준수 요건을 면제해주는 혜택을 부여한다고 밝혔다.

이번 제도 도입으로 기업들의 해외 진출 장벽이 낮아질 전망이다. 해외 사용자들의 개인정보를 취급해야하는 기업들이 정립된 기준에 따라 관련 사항을 준비할 수 있고, 일부 국가에서는 곧바로 개인정보의 이전도 가능해지기 때문이다. 전 세계에 서비스를 제공하는 한 국내 기업의 관계자는 “기존에는 각국별로 다른 개인정보 규정을 따로 준수해야 해 부담이 컸다”며 “단일 인증으로 다수 국가 진출이 가능해지면 경쟁력이 크게 향상될 것”이라고 말했다.

글로벌 CBPR 확대는 중국 중심의 데이터 지역화 정책에 대한 대응 측면에서도 의미가 있다. 미국 상무부 섀넌 코(Shannon Coe) 데이터정책국장은 “글로벌 GBPR 제도는 디지털 권위주의에 맞서 자유로운 데이터 흐름을 수호하는 핵심 도구가 될 것”이라고 언급하기도 했다. 실제로 최근 영국·브라질 등 7개국이 추가 가입을 검토 중인 것으로 알려져 영향력 확장 속도가 주목된다.

6월 중 신규 인증 신청 절차 발표…“요건은 국내가 더 엄격…개선 요청할 것”

한국인터넷진흥원(KISA)은 6월 중 신규 인증 신청 절차를 공개할 예정이다. 기존 APEC CBPR 인증 12개사(네이버·쿠팡 등)는 자동 전환되며, 신규 기업은 ▲개인정보 처리 방침 개정 ▲내부 감시 체계 구축 ▲심사 신청서 제출 등의 절차를 거쳐 획득할 수 있다.

다만 현재까지는 글로벌 CBPR을 획득한다고 해서 국내 개인정보를 해외로 바로 이전하거나 할 수는 없는 것으로 파악됐다. 국내 총괄 부처인 개인정보보호위원회와 인증 심사를 담당하는 KISA 측은 글로벌 CBPR이 한국 개인정보보호 체계와 비교해 현재 다소 수준 차이가 있다고 평가하고 있다. 이에 글로벌 CBPR 측에 인증 요건 강화 등 개선을 요청한다는 계획이다.