개인정보 유통에 관한 국제규범과 우리의 대응 -EU BCRs와 APEC CBPR을 중심으로-
What’s Different in Regulating the Transborder Data Flow between EU BCRs and APEC CBPR?
박훤일(경희대학교)
23권 2호, 237~261쪽
초록
오늘날 전세계적으로 영업을 하는 기업들은 국경을 넘는 개인정보의 이전에 대하여 각별한 주의를 요한다. 상대국의 개인정보보호의 수준이 자국에 못 미칠 때에는 개인정보보호 대책을 수립해야 하기 때문이다. 특히 다국적 기업이 EU를 비롯한 세계 각국에서 사업을 수행하는 경우에는 EU의 개인정보보호 기업규칙(BCRs)에 관심을 가질 필요가 있다. 회원국 간에 정보화 격차가 심한 APEC에서도 전자상거래를 원활히 하기 위해 프라이버시준칙 및 국경간 프라이버시 집행규칙(CBPR)을 시행하고 있다. 그러나 개인정보보호를 너무 강조하면 전자상거래 자체가 위축될 수 있으므로 개인정보의 보호와 원활한 전자상거래의 균형점을 찾기 위해 많은 나라가 개별적으로 또는 국제협력을 통하여 여러 방안을 모색하고 시행 중이다. EU의 BCRs이나 APEC의 CBPR이나 모두 개인정보가 제3국에서 처리될 때 관계당국의 승인을 받도록 하고 있다. 양자 간에는 유사점이 많으므로 이를 이용하게 될 다국적 기업을 위하여 EU에서는 BCRs와 APEC CBPR을 대조한 참조문서(BCR/CBPR referential document)를 2012년 말 공표한 바 있다. 그러므로 EU와 APEC 영역을 넘나드는 정보유통이 필요한 기업은 27개 항목에 달하는 체크리스트를 보고 양쪽에 필요한 서면, 어느 한쪽에 필요한 자료, 예외 사유를 정리해 두어야 한다. 그리고 EU에서는 관할국의 개인정보감독당국(DPA)에 승인을 신청하고, APEC에서는 관할국의 공인 책임기관(AA)의 인증서를 받도록 한다. 한-EU FTA가 시행되고 있는 우리나라에서는 현지 진출기업이 BCRs나 표준계약서 채택에 따른 시간과 비용을 줄일 수 있도록 EU 기준으로 개인정보보호의 적합성 평가를 받거나 유럽회의협약(CoE 108)에 가입하는 것도 고려할 만하다. 그 동안 미국 기업들은 한-미 FTA와 관련하여 국내 개인신용정보의 국외처리를 허용해 줄 것을 줄기차게 요구해 왔다. 그러므로 APEC 회원국들과 공동보조를 취하여 CBPR의 시행을 위해 노력함으로써 EU나 미국과의 협상에 있어 우위를 점하여야 한다. 아울러 현행 정보통신망법이나 개인정보보호법이 개인정보의 국외 이전을 엄격하게 규제하고 있는 것을 완화하는 대신 안전조치를 강화할 필요가 있다.
Abstract
One of the most complex issues facing multinational companies today is how to manage the personal data of their customers in an effective manner while maintaining compliance with applicable law. Data protection and privacy regulators are fearful that personal data which is adequately protected and safeguarded under the laws of their jurisdiction will lose those protections once transferred to a foreign jurisdiction. In light of this fear, many countries have enacted data protection and privacy laws which regulate the transfer of personal data. Under the European Data Protection Directive (Directive 95/46/EC), personal data may only be exported from the European Economic Area to entities located in destinations that are considered to have adequate data protection law, as determined by the EU Commission. If an entity is not located in a destination with adequate data protection law, then the data exporter must comply with one of the exemptions provided for by the Directive such as Binding Corporate Rules, EU Model Contractual Clauses and user consent, among others. Binding Corporate Rules allow for an organization to bind itself to a set of policies through a binding intra-group agreement which is then approved by the different Member States in which the organisation is active. The benefit of Binding Corporate Rules is that it makes the organization a safe harbour in the sense that it is then considered “adequate” under European data protection law and may receive personal data without the use of EU Model Contractual Clauses. On the other hand, APEC’s Data Privacy Subgroup worked to create a policy environment that favours free flow of information across borders while at the same time providing effective and meaningful protection for personal information, essential to trust and confidence in the online marketplace. APEC CBPR system makes use of accountability agents that verify an organization’s data privacy policies and practices meet the APEC CBPR program requirements.
- 발행기관:
- 국제거래법학회
- 분류:
- 법학