디지털 통상 시대, 신뢰 기반 데이터 이동을 위한 주요 규범 비교 및 시사점
디지털 기술의 발전으로 인터넷과 데이터의 중요성이 커지고 있다. 산업, 지역, 규모에 관계없이 기업들은 국경간 데이터 이동에 크게 의존하고 있고, 데이터의 활용과 이동이 증가함에 따라 데이터의 오·남용에 대한 우려 또한 커지고 있다. 소셜미디어를 통해 노출된 개인정보가 정치적, 상업적으로 사용되고, 채팅앱을 통해 전달된 대화가 삭제되거나 암호화되지 않은 채 이용된 사례들이 이어지고 있다.
국가들은 데이터 보호 외에도 국가안보, 산업정책 등 다양한 공공정책 목적으로 국경간 데이터 이동에 대한 규제를 채택·발전시키고 있다. 각국 규제의 증가에도 불구하고 데이터의 수집, 보관, 처리 및 이전에 관해 세계적으로 합의된 규범은 아직까지 전무한 상태이며, 현재 데이터 이동 관련 글로벌 법제는 서로 상이한 내용을 다룬 조약과 국내 법률 등이 혼재된 상황이다.
기업과 소비자가 디지털 무역을 활용해 가기 위해서는 신뢰 구축이 필요하다. OECD의 조사에 따르면 응답 기업의 99% 이상이 개인정보 보호가 소비자 신뢰 구축에 필요한 핵심 요소로 인식하고 있으나, 78%는 소비자 개인정보 보호를 위한 규제에는 회의적인 모순적 인식을 보여주고 있다. 이러한 상황을 반영하듯 국경간 데이터 이동 촉진과 데이터의 안전한 보호를 위한 ‘신뢰 기반 데이터 이동’(Data Free Flow with Trust, DFFT)에 대한 국제적 공감대가 형성되고는 있으나, 방법론에 대한 국가별 입장차이가 큰 상황이다. 각국 정부는 개인정보의 안전한 국외 이전을 위한 다양한 정책수단을 인정·활용하고 있으나, 안전조치를 누가, 어떻게 하느냐에 대한 시각차는 여전히 좁혀지지 않고 있다.
개인정보의 무분별한 국외 이전을 통제하기 위해 각국은 개인정보 보호 법률을 통해 유사하면서도 조금씩 상이한 규범을 발전시켜 왔다. 이러한 규범은 각각 장단점이 있다. 가장 자율적인 규범이라 평가할 수 있는 책임성 원칙과 적정성 인정 제도부터, 정부 또는 공공 영역의 개입이 증가하는 표준계약조항과 국제인증제도, 그리고 가장 많이 인정되나 데이터 이동의 제한 가능성이 높은 정보주체의 동의 방식 등이 이용되고 있다.
책임성 원칙은 개인정보 수신자가 정보처리시 동등한 법적 요건을 준수할 책임을 정보 발신자에게 부여하는 원칙이다. 정보를 국외로 이전한다 하여 반드시 같은 위험과 피해를 야기하는 것은 아니기 때문에, 실질적인 보호에 중점을 둔 책임성 원칙은 상황별로 특화된 보호수준을 요구함으로써 신뢰도가 제고될 수 있다. 또한 새로운 제도적, 기술적 발전을 반영하기 쉬워 대응이 용이한 장점도 있다. 호주, 캐나다, 필리핀 등에서 채택하고 있다.
정보 이전 주체의 자율성이 높은 또다른 규범인 적정성 인정 제도는 개인정보가 이전되는 국가의 정보보호 수준이 국내법과 비교하여 동등하거나 그 이상의 수준을 부여하는 것으로 인정하는 제도로, 적정성이 인정된 국가에는 개인정보를 자유롭게 이전할 수 있다. 기업은 규제에 대한 부담을 덜 수 있다는 장점이 있으나, 정치적 요소가 적정성 인정에 영향을 줄 수 있다는 우려도 있다. 적정성 인정은 유럽연합(EU)의 ‘일반개인정보보호규정’(GDPR)에 처음 도입되어 타 국가로 확대되는 추세로 영국을 포함해 일본, 호주 등에서 시행하고 있다.
표준계약조항은 기업 입장에서 법적 확실성이 뚜렷하고 유지비용이 낮으며 규제조사 부담이 적기 때문에 활용도가 높은 제도이다. 표준계약조항은 개인정보 규제당국이 승인한 표준화된 계약조항으로, 개인정보를 이전받는 국외 수신자가 국내법을 준수하도록 하는 안전조치 중 하나로 활용되고 있다. EU와 영국이 표준계약조항을 채택하여 운용 중이며, 일본, 싱가포르, 호주 등은 표준화된 조항을 도입하지는 않았지만 국외 수신자와의 계약을 안전조치 중 하나로 인정하고 있다.
국제인증제도는 기업의 개인정보 보호체계를 평가하여 인정하는 제도로, APEC의 ‘국경간 개인정보 보호규정’(Cross Border Privacy Rules, CBPR)이 대표적인 국제인증제도이다. APEC CBPR은 참여국 기업을 위한 자발적 인증제도인데, 현재까지 우리나라(8개사)와 미국(46개사), 싱가포르(11개사), 일본(5개사) 등 4개국에서 공공 및 민간기관이 인증을 부여하고 있다. 인증 관련 비용이 높고 인증획득이 법령 준수를 보장하는 것은 아니기 때문에 활용도가 높지 않으나, 일본과 싱가포르는 국외기업이 CBPR 인증을 받은 경우 자국과 동등한 수준의 보호를 제공한다고 보고 개인정보의 이전을 허락하고 있다.
세계적으로 가장 많이 인정되는 규범은 정보주체로부터 동의를 받는 방식이다. 그런데 최근에는 동의를 철회할 수 있는 권리를 정보주체에게 부여하는 방향으로 규제가 강화되고 있어, 현지에 서버를 두지 않은 기업은 개인정보를 국외로 이전하는데 부담이 가중되고 있다. 대만, 베트남, 인도, 말레이시아 등은 국외로 개인정보를 이전하기 위해 정보주체의 동의를 요구하는 한편, 실제로 활용가능한 다른 정책수단이 없어 개인정보의 국외 이전이 쉽지 않다. 우리나라의 경우 개정 개인정보보호법이 ’23.9월부터 시행되었는데, 개정된 법에는 개인정보의 국외 이전을 위한 조건에 정보주체 동의 외 적정성 인정 등을 추가했다.
기업들은 법적 불확실성, 준수전략 수립의 어려움, 효과적이지 못한 준수요건 등을 디지털 무역 확대의 애로사항으로 지적하고 있다. 앞서 살펴본 바와 같이 국가별로 상이한 규제환경도 디지털 무역을 제한하는 요소이다. 그러나 규범 간 공통점과 상호보완의 여지가 늘어나고 있으며, 각국의 개인정보 보호제도도 유사한 원칙을 중심으로 수렴되고 있다. 우리나라도 주요 수출상대국과 유사한 수준으로 국내 제도를 정비하고, 신뢰 기반 데이터 이동에 대한 국제 논의에 적극 참여하여 우리 업계에 유리한 디지털 무역환경을 만드는데 선제적으로 대응할 필요가 있다.