본문으로 건너뛰기

CBPR

· 약 6분

CBPR 개념

  • APEC 프라이버시 보호 원칙을 기반으로 기업의 개인정보 보호체계를 평가하여 인증하는 글로벌 인증제도
  • 각국 법제도 비대채성, 자발성, 유연성, 개인정보 국경 간 이동 등 활용 중심

CBPR 개념도, 핵심요소, 인증기준

CBPR 개념도

  • APEC 내 개인정보 처리 기업이라면 CBPR인증 후 개인정보 주체 동의 없이 개인정보 국외 이전 가능

CBPR 핵심요소

구분핵심요소설명
목적전자상거래 활성화APEC 내 국가 간 개인정보 흐름을 원활하게 하여 디지털 경제 촉진
개인정보보호개인정보의 적절한 보호를 보장하면서도 기업의 데이터 활용과 국제 데이터 전송을 지원
적용범위APEC 회원국APEC에 가입한 국가들을 대상으로 하며, 회원국 간의 상호인정 협약 기반으로 운영
대상개인정보개인을 식별할 수 있는 모든 정보에 적용
개인정보처리자개인정보를 수집, 저장, 이용 및 공유하는 기업 또는 조직이 적용 대상
수탁처리자 제외개인정보를 직접 처리하는 기업(Controller)에 초점을 맞춤
단순 데이터 처리만 수행하는 수탁업체(Processors)는 직접적인 적용 대상이 아님
갱신주기1년 단위 갱신CBPR 인증을 받은 기업은 매년 개인정보 보호 준수 여부를 평가받아야 하며, 갱신을 통해 지속적인 적합성을 유지

CBPR 인증기준

분야세부분야내용
개인정보관리체계수립정책 및 절차 수립기업 및 조직이 개인정보 보호를 위한 정책과 절차를 문서화하고 준수하도록 요구
책임성 확보개인정보 보호책임자 지정, 기업의 개인정보 보호 조치 이행 및 지속적 개선 요구
개인정보 수집최소 수집 원칙개인정보는 목적에 필요한 최소한의 정보만 수집하도록 제한
투명성 확보개인정보 수집 시 정보주체에게 수집 목적, 이용 범위 등을 명확히 고지
개인정보 이동/위탁/제공목적 내 이용개인정보는 수집된 목적 내에서만 사용해야 하며, 목적 변경 시 추가 동의 필요
제3자 제공 제한개인정보를 제3자에게 제공할 경우 명확한 동의 절차 및 보호 조치를 마련해야 함
정보주체 권리열람 및 정정정보주체는 자신의 개인정보에 대한 열람 및 정정을 요구할 수 있어야 함
선택권 및 동의 철회정보주체는 자신의 개인정보 이용에 대한 선택권을 가지며, 언제든 동의를 철회할 수 있음
무결성데이터 품질 유지개인정보가 정확하고 최신 상태로 유지될 수 있도록 관리
보관 및 삭제 정책불필요한 개인정보는 보관하지 않고, 일정 기간 후 안전하게 삭제해야 함
보호대책기술적 보호조치암호화, 접근제어, 침입탐지 등 개인정보 보호를 위한 기술적 조치 요구
물리적 보호조치개인정보를 저장하는 서버, 네트워크, 문서 등의 안전한 보호 필요