글로벌 CBPR(개인정보보호) 인증제도와 WTO 협정 합치성
Global CBPR (Personal Information Protection) Certification Scheme and Its Consistency with WTO Agreements
이희영(서강대학교 일반대학원 글로벌법무학과)
1호, 272~314쪽
초록
디지털기술이 발달함에 따라 산업 및 국제교역에 있어 데이터의 중요성이 커지고 있으며, 특히 기업경영이나 디지털교역에 있어 데이터 이전이 필수 요인으로 작용한다. 글로벌 CBPR(Cross-Border Privacy Rules) 인증제도는 이 데이터 중에서도 개인정보의 보호에 대한 신뢰성을 확보하고, 각 국가별 서로 다른 수준의 개인정보보호 수준을 조화시킴으로써 디지털 교역을 촉진하기 위한 자율적 인증체계로 설계되었다. 당초 APEC이라는 지역 체계에서 CBPR 인증제도를 운영하던 미국은, EU의 GDPR에 대응하고 전세계적인 영향력 확대를 위하여 독립적인 글로벌 CBPR 포럼을 발족하고 이에 따른 인증제도를 정립하게 되었다. 그러나 포럼 회원국 중심의 접근 구조와 인증 활용 방식에 따라, 동 인증제도가 국제거래・계약・조달 및 규제 관행 속에서 사실상의 요건(de facto requirement)로 작용할 가능성이 있다는 의견이 제기되어 왔다. 따라서 동 연구에서는 CBPR 인증제도의 배경과 형성, 전환 과정과 현재의 운영 구조, 인증취득 기업 목록 등을 검토하고 동 제도가 WTO TBT 협정상 적합성평가 절차와 GATS 서비스무역 규율과 어떤 관계인지를 규범경쟁 및 지정학적 동맹 구축 차원에서 분석하고 우리나라의 정책적 대응방향을 제시하고자 한다. 연구 방법으로는 WTO TBT 협정 부속서 및 제5조 체계에 대한 문안과 법적 해석을 기반으로, 글로벌 CBPR 인증제도가 TBT 협정상의 적합성평가절차, 그중에서도 특히 인증(certification)에 해당하는지를 검토하였고, 민간 책임기관이 인증을 부여하는 경우라도 국가 책임에 귀속되는지 여부와 국제표준과의 정합성 여부에 대해서도 검토하였다. 한편, 글로벌 CBPR 인증이 데이터 이전 및 디지털 서비스 제공의 신뢰성 기준으로 작용한다면 GATS 협정상 서비스 공급(Mode 1 및 3)에 미치는 실질 효과를 중심으로 최혜국대우, 시장접근, 내국민대우 및 예외 정당화 등의 의무를 함께 검토하였다. 분석결과, 글로벌 CBPR 인증제도는 자율적 성격임에도 불구하고 포럼 비회원국 기업은 인증 취득이 구조적으로 제한된다. 따라서 인증 취득이 국제 거래, 계약, 조달, 파트너십 등에 있어 전제조건으로 작용한다면 TBT 협정상 필요성 및 무역제한 최소화 원칙에 위반될 소지가 있다. 또한, 포럼 회원국과 비회원국 사이의 인증 취득 접근 차이는 사실상의 차별을 초래하여 비차별대우 원칙의 위반 가능성이 있으며, ISO/IEC 27701 등 국제표준・적합성평가 상호인정 체계와의 연계 미흡 등은 국제표준 부합화 의무 위반 가능성, CBPR 인증제도의 운영방식에 관한 세부 정보 미공개 등은 투명성 의무 위반 가능성으로 이어질 수 있다. 또한, 동 인증제도가 서비스 제공의 사실상 요건으로 작용 시 GATS 협정상 최혜국대우, 시장접근, 내국민대우 의무와도 충돌 가능성이 있고, 개인정보 보호에 대한 예외(exception)도 서문(chapeau)에서의 요건 미충족시 정당화가 어려울 것으로 보인다. 따라서 동 연구에서는 첫째, ISO/IEC 및 ISO/CASCO 체계 등 국제표준과의 부합화・연계와 둘째, 포럼 회원국 위주 운영 방식의 개방 및 투명성 강화, 셋째, 글로벌 CBPR 인증제도 외의 EU GDPR상 적정성 결정, ISO/IEC 27701 표준, OECD 지침 등 대체 수단 인정을 통한 무역제한 최소화, 넷째, 국내 산업계에 인증 비용 및 절차 관련 정보 제공 등 지원을 우리나라의 향후 대응 방향 및 정책 과제로 제시한다.
Abstract
As digital technologies are advanced, data is emerging as a core element in industry and international trade. In particular, cross-border data transfer functions as an essential element for business management and provision of digital services. Global CBPR Privacy Rules certification system is designed as a voluntary certification mechanism for promotion of digital trade by enhancing the reliability of personal information protection and harmonizing personal information protection systems among countries. Although CBPR certification had been discussed within APEC but switched over new phase since United States established an independent Global CBPR Forum. However, some concerns are raised on this certification system since only member countries can access the system and can function as a ‘de facto requirement’. This study examine the formation and operation process of Global CBPR certification system and consistency with WTO TBT and GATS Agreements. So, it will be studied whether the certification is regarded as conformity assessment procedure and whehter the action of private responsible agency belonged to country. In addition, the effectiveness of GATS Agreement on the supply of services(Mode 1 and 3) is examined, assuming that CBPR certification affects data transfer and provision of digital service. The result shows that access to certification is structurally limited to only forum member countries and if certification serves as a practical prerequisite, it can conflict with the non-discrimination and other obligations of the TBT agreement. Theses differences of accessibility can cause de facto discrimination under TBT and GATS agreements, and problems in terms of obligation of harmonization with international standards. In addition, as the impact of authentication on service provision expands, it will become more difficult to justify an exception based on privacy, if the non-discrimination requirements of the chapeau are not met. So, this study suggests enhanced interoperability through enhanced compliance with international standards, expanded openness and transparency of the CBPR system, recognition of alternative measures of personal information protection, and institutional support for domestic industries, as a policy response.
- 발행기관:
- 법무부
- 분류:
- 법학