Cloudflare에서는 데이터 개인정보 보호 및 개인정보 보호에 대한 접근 방식을 자랑스럽게 선도하고 있으며 관할권 경계를 넘나드는 데이터의 자유로운 흐름에 대한 필요성을 열렬히 지지해 왔습니다. 따라서 오늘, 데이터 개인정보 보호의 날(국제적으로는 데이터 보호의 날이라고도 함)을 맞아, 저희는 네 번째와 다섯 번째 개인정보 보호 검증을 추가하게 되어 기쁩니다. 이번에는 세계 최초입니다! Cloudflare는 데이터 컨트롤러에 대한 새로운 글로벌 국가 간 개인정보 보호 규칙(글로벌 CBPR) 및 프로세서에 대한 글로벌 개인정보 보호 처리자 인증(글로벌 PRP)에 대한 감사를 성공적으로 완료했다고 발표한 최초의 조직입니다. 이러한 검증은 Cloudflare가 개인정보를 보호하는 여러 관할권의 데이터 흐름을 규정하는 글로벌 표준을 준수하고 있음을 입증합니다. 감사를 성공적으로 거친 조직은 인증이 공식적으로 출시될 때 공식적으로 인증을 받게 되며, 이는 2025년 말에 이루어질 것으로 예상합니다.
글로벌 CBPR 및 글로벌 PRP에 참여함으로써 Cloudflare는 개인정보 보호 검증 목록에 합류하게 되었습니다. 당사는 ISO 27701:2019가 발표되었을 당시 해당 표준에 대한 인증을 받은 최초의 사이버 보안 기관 중 하나였으며, 2022년에는 클라우드 개인정보 보호 인증인 ISO 27018:2019도 인증받았습니다. 2023년에 저희는 세 번째 개인정보 보호 검증을 추가했고, 유럽 연합(EU)의 독립적인 모니터링 기관의 검토를 거쳤으며, 최초의 공식 GDPR 행동 강령인 EU 클라우드 행동 강령을 준수한다고 선언했습니다.
이것이 Cloudflare 고객에게 중요한 이유
이러한 개인정보 보호 인증을 모두 취득함으로써 Cloudflare는 호주, 오스트리아부터 스웨덴, 미국까지 전 세계 39개 관할권에서 주요 공식 개인정보 보호 검증을 충족하고 있음을 입증했습니다. 추가로 4개의 관할권(영국, 버뮤다, 모리셔스, 두바이 국제 금융 센터)에서도 글로벌 CBPR 인증에 가입하고 인정하는 과정을 거치고 있습니다. 이는 Cloudflare 고객에게 중요합니다. Cloudflare에서 구축한 개인정보 보호 관행이 전 세계 정부로부터 인정을 받고 있다는 확신을 줄 수 있기 때문입니다.
지난 3년 동안, 전 세계 정부에서는 두 가지 새로운 국제 개인정보 보호 표준을 마련하느라 분주했습니다. 중요한 이정표 하나가 2024년 4월 30일 글로벌 CBPR 시스템 이 수립되었을 때 달성되었습니다. CBPR은 회원국 경제 간에 프라이버시를 존중하는 데이터 흐름을 촉진하는 자발적이고 강제력이 있는 국제적인 책임 기반 시스템입니다. CBPR은 사람들의 개인정보를 처리하는 방법에 대한 일련의 규칙을 통해 소비자에게 기본적인 수준의 개인정보 보호를 제공합니다. 각 관할권에 자체 데이터 보호법이 있음에도 불구하고 참여 회원국 간에 소비자 개인정보가 보호되므로 데이터의 자유로운 흐름이 촉진됩니다.
CBPR 시스템은 대한민국, 호주, 캐나다, 일본, 대한민국, 멕시코, 필리핀, 싱가포르, 대만, 미국 정부 간의 정부간 포럼인 글로벌 CBPR 포럼에서 개발했습니다. 영국은 또한 버뮤다, 모리셔스, 두바이 IFC와 마찬가지로 CBPR 포럼의 준회원국으로, 향후 정회원으로 가입할 의사가 있음을 밝혔습니다.
지난 1년 동안, Cloudflare에서는 글로벌 CBPR 시스템 출시를 준비하느라 바빴습니다. 시스템이 구축된 다음 날인 2024년 5월 1일에 Cloudflare에서는 가입을 신청했습니다. 그리고 우리는 이제 요건에 대한 감사를 성공적으로 완료하는 주요 이정표를 달성했으며, 이는 회사가 공식적으로 인증을 받을 수 있는 2025년 후반으로 예상되는 글로벌 CBPR 시스템과 관련된 글로벌 개인정보 보호 인식에 대해 새롭게 인증을 받은 세계 최초의 조직이 될 것으로 기대한다는 것을 의미합니다.
글로벌 CBPR 시스템에는 조직에서 이 체계에 따라 인증을 받기 위해 충족해야 하는 50가지 요건에 대한 자세한 목록이 포함되어 있습니다. 이 요건은 글로벌 CBPR 개인정보 보호 원칙에서 비롯된 것입니다. 이는 경제협력개발기구(OECD)의 개인정보 보호 및 개인 데이터의 국가 간 이동 가이드라인의 핵심 원칙과 일치합니다. 50가지 요건에서는 조직에서 보관하는 개인정보를 수집, 관리, 보호하는 방법을 다룹니다. 조직에서 글로벌 CBPR 인증을 받으려면 50가지 요건을 모두 충족해야 합니다. 요건의 기본이 되는 9가지 원칙은 다음과 같습니다.
피해 방지 | 고지 | 수집 제한 |
목적 내 이용 | 선택권 | 개인정보의 무결성 |
보호 대책 | 열람 및 정정 | 책임성 |
9가지 글로벌 CBPR 개인정보 보호 원칙
글로벌 CBPR 인증은 고객, 직원, 구직자의 개인정보 등 조직에서 관리하는 개인정보의 처리를 다룹니다. Cloudflare의 경우, 여기에는 네트워크 정보도 포함됩니다. 네트워크 정보에는 글로벌 클라우드 플랫폼이 서비스를 제공하는 과정에서 Cloudflare에서 생성한 서버, 네트워크, 트래픽 데이터를 처리하는 방식에 대한 관찰이 포함됩니다.
관련 글로벌 개인정보 보호 처리자(PRP) 인증은 일반적으로 자사 고객인 다른 조직을 대신하여 조직에서 처리하는 개인정보의 취급에 대해 다룹니다. PRP의 18가지 요건은 다른 조직을 대신하여 이 정보를 처리할 때 가장 관련성이 높은 두 가지 개인정보 보호 원칙, 즉 보안 보호 장치 및 책임성과 관련됩니다. Cloudflare의 경우 여기에는 당사에서 모든 고객과 체결한 데이터 처리 부록에 따른 데이터 처리, 주로 당사 네트워크를 통해 흐르는 고객 콘텐츠와 해당 데이터 흐름에 따라 생성된 고객 로그가 포함됩니다. 조직에서 글로벌 PRP 인증을 받으려면 18가지 요건을 모두 충족해야 합니다.
글로벌 CBPR의 몇 가지 요건 자세히 알아보기
앞서 언급했듯이 글로벌 CBPR과 글로벌 PRP의 핵심 요건에는 고지, 선택권, 수집 제한(데이터 최소화), 데이터 주체의 열람 및 정정 권리, 적절한 보호 대책, 피해 방지, 개인 정보의 무결성, 책임성, 개인정보의 목적 내 이용 등 잘 알려진 데이터 보호 원칙이 포함됩니다. 이러한 원칙을 다루는 요건은 수십 가지가 있으므로 여기에서는 그 중 몇 가지만 다루겠습니다.
먼저 고지의 원칙을 살펴보겠습니다. CBPR에서 가장 분명한 요건 중 하나는 1번 질문입니다.
귀하는 위에서 설명한 개인정보를 다루는 관행 및 정책에 대해 명확하고 쉽게 접근할 수 있는 진술(개인정보 처리방침)을 제공하나요?
개인정보 수집 및 사용을 투명하게 하는 것은 개인정보 보호 및 데이터 보호의 핵심 원칙이며 투명성은 Cloudflare의 핵심 약속 중 하나입니다. 개인정보를 사용하는 방식에 대한 Cloudflare의 관행 및 정책을 문서화하면 개인이 자신의 정보 제공 여부를 결정할 수 있으며, 따라서 정보가 수집되는 시점에 개인정보 보호 알림을 제공하고 볼 수 있도록 하는 것이 모범 사례입니다. 실제로 이러한 고지 제공 개념은 EU GDPR의 제13조에서 명확하게 확인할 수 있습니다. Cloudflare에서는 웹 사이트의 각 페이지 바닥글에 명확하고 접근하기 쉬운 개인정보 보호 고지를 제공하여 이러한 CBPR 요건을 충족합니다. 저희는 또한 웹 페이지의 양식을 통해 개인 데이터를 수집할 때 고지에 대한 링크를 제공합니다.
당사가 개인정보를 사용하는 방식과 관련하여 8번 질문에서는 다음과 같이 묻습니다.
귀하는 수집한 개인정보의 사용을 개인정보 취급방침에 명시된 대로(직접적으로 또는 귀하를 대행하는 제삼자의 이용을 통해) 제한하시나요?
수집한 개인정보를 서비스 제공 목적으로만 사용하는 것이 Cloudflare의 오랜 약속입니다. Cloudflare의 비즈니스는 고객의 네트워크 애플리케이션을 보호하는 도구를 제공하며, 해당 도구를 더 빠르고, 더 안전하며, 더 신뢰할 수 있고, 더 비공개로 만드는 것을 기반으로 합니다. 저희 개인정보 취급방침에서 저희는 "서비스를 제공하는 데 필요한 경우 또는 본 취급방침에 달리 명시된 경우에만 귀하의 개인정보를 공유하거나 공개할 것"이라고 약속합니다. 단, 귀하에게 먼저 고지하고 동의 기회를 제공하는 경우는 예외입니다. Cloudflare에서는 또한 처리하는 데이터와 해당 데이터를 처리하는 목적을 문서화하기 위해 내부 문서(CBPR의 책임성 원칙에 따라)를 유지 관리하고 있습니다.
글로벌 CBPR과 글로벌 PRP의 또 다른 핵심 요건은 보안 보호 장치와 관련이 있습니다. CBPR 요건 27번 질문에서는 다음과 같이 묻습니다.
분실 또는 무단 열람, 정보의 파괴, 사용, 수정, 공개, 기타 오용 등의 위험으로부터 개인정보를 보호하기 위해 구현한 물리적, 기술적, 관리적 보호 장치에 대해 설명하세요.
글로벌 PRP의 유사한 요건은 2번 질문은 다음과 같습니다.
조직의 정보 보안 정책을 구현하는 물리적, 기술적, 관리적 안전장치를 설명하세요.
Cloudflare에서는 ISO/IEC 27000 표준 제품군에 따라 정보 보안 프로그램을 구현했습니다. Cloudflare의 보안 프로그램에 대한 자세한 내용은 개인정보를 보호하기 위해 구현된 물리적, 기술적, 관리적 보호 장치를 포함하여 Cloudflare의 고객 데이터 처리 부록의 부록 2('기술적 및 조직적 보안 조치')에 문서화되어 있습니다.
책임성 원칙과 관련하여 질문 46번에서는 다음과 같이 묻습니다.
귀하는 해당 개인에 대한 귀하의 의무가 이행될 수 있도록, 귀하를 대신하여 처리하는 개인정보와 관련하여 개인정보 처리자, 대리인, 계약자, 기타 서비스 공급자와 함께 마련한 메커니즘을 갖추고 있나요?
당사 또는 당사 고객의 개인정보를 처리하는 벤더가 있는 경우, 당사에서는 벤더가 당사와 함께 데이터 처리 부록에 서명하도록 요구합니다. 이를 통해 고객 계약에서 저희가 고객에게 한 약속이 보안 요건을 포함하여 벤더에게 전달되어 벤더와 당사 모두 책임을 지게 됩니다.
Cloudflare에서는 2025년 하반기에 글로벌 CBPR 인증의 시행을 기대하며, 이번 데이터 개인정보 보호의 날에 개인 데이터의 프라이버시를 보호하기 위해 보편적으로 유지되는 원칙에 대한 우리의 약속을 다시 한 번 입증할 수 있게 된 것을 자랑스럽게 생각합니다.
globalcbpr.org에서 글로벌 CBPR 시스템, 글로벌 PRP에 대해 자세히 알아보고 요구 사항 전문을 다운로드하며 관련 뉴스를 최신 상태로 유지할 수 있습니다.
Cloudflare의 인증에 대한 최신 정보는 Trust Hub를 방문하세요. 고객은 Cloudflare 대시보드에서 Cloudflare의 인증 및 보고서 사본을 다운로드하는 방법을 확인할 수도 있습니다.