국가별 상이한 데이터 이동 규제, 디지털 무역 발목 잡는다

기사 메일전송

국가별 상이한 데이터 이동 규제, 디지털 무역 발목 잡는다 - 무역협회, ‘디지털 통상 시대, 신뢰 기반 데이터 이동을 위한 주요 규범 비교 및 시사점’ 보고서 발간

황신기 기자

기사등록 2023-10-10 11:50:01

한국무역협회(KITA) 국제무역통상연구원은 10일 ‘디지털 통상 시대, 신뢰 기반 데이터 이동을 위한 주요 규범 비교’ 보고서를 발간했다고 밝혔다.

국경간 데이터 이동 규제 확대 추세

보고서에 따르면 데이터의 활용과 이동이 증가함에 따라 데이터 보호, 국가 안보, 산업 정책 등 다양한 공공 정책등을 이유로 국경 간 데이터 이동에 대한 규제가 늘어나고 있으며, 국내법과 일부 국가 간 조약들이 상이한 접근법을 택하고 있어 우리 기업에게 애로사항으로 작용될 수 있다.

2021년 기준 데이터를 현지에 저장하거나 처리하도록 요구하는 조치는 39개국 92건에 달했으며, 절반 이상은 최근 5년간 법제화 되었다. 이에 보고서는 기업과 소비자가 디지털 무역을 활용하기 위한 신뢰 구축이 필요하다고 지적했다.

OECD에 따르면 기업은 소비자 신뢰 구축에 필요한 핵심 요소로 개인 정보 보호를 꼽았으나, 소비자 개인 정보 보호를 위한 규제 시행에는 회의적인 것으로 나타났다.

이러한 상황을 반영하듯 국경 간 데이터 이동 촉진과 데이터의 안전한 보호를 위한 ‘신뢰 기반 데이터 이동’(Data Free Flow with Trust, DFFT)에 대한 국제적 공감대가 형성되고 있으나, 방법론에는 국가별 입장 차이가 크다.

국가별로 개인 정보의 안전한 국외 이전을 위해 다양한 규범을 인정·활용하고 있으나, 안전 조치를 누가, 어떻게 하느냐에 대한 시각차는 좁혀지지 않고 있는 상황이다.

이에 각 국은 개인정보의 무분별한 국외 이전을 통제하기 위해 개인 정보 보호 법률을 통해 유사하면서도 조금씩 상이한 규범을 발전시켜 왔다.

자율적 규범이라 평가되는 △책임성 원칙, △적정성 인정 제도부터 정부 또는 공공 영역의 개입이 증가하는 △표준 계약 조항과 △국제 인증제도, 가장 많이 인정되고 있으나 데이터 이동 제한 가능성이 높은 △정보 주체 동의 방식 등이 이용되고 있다.

신뢰 기반 데이터 이동을 위한 주요 규범 내용

책임성 원칙은 호주, 캐나다, 필리핀 등이 채택하고 있는 제도로서 실질적인 보호에 중점을 두고 상황별로 특화된 보호 수준을 요구하고 있으며, 새로운 제도적, 기술적 발전을 반영하기 쉬워 유연한 대응이 용이하다.

적정성 인정 제도는 기업 입장에서 규제에 대한 부담을 덜 수 있다는 장점이 있으나, 정치적 요소가 적정성 인정에 영향을 줄 수 있다는 우려가 존재한다.

이 제도는 유럽연합(EU)의 ‘일반개인정보보호규정’(GDPR)에 처음 도입되어 타 국가로 확대되는 추세로 영국, 일본, 호주 등에서 시행 중이다.

표준 계약 조항은 개인정보를 이전받는 국외 수신자가 국내법을 준수하도록 하는 안전 조치로 활용되고 있으며, 법적 확실성이 뚜렷하고 유지 비용이 낮으며, 규제 조사 부담이 적기 때문에 기업의 활용도가 높은 제도다.

EU와 영국이 표준계약조항을 채택하여 운용 중이며, 일본, 싱가포르, 호주 등은 표준 조항 대신 국외 수신자와의 계약을 안전조치 중 하나로 인정했다.

국제인증 제도는 인증 비용이 높고 인증을 획득하더라도 법령 준수를 보장하는 것은 아니기 때문에 활용도가 높지 않다.

대표적 국제 인증 제도인 APEC의 국경 간 개인 정보 보호 규정(CBPR, Cross Border Privacy Rules)은 참여국 기업을 위한 자발적 인증제도로, ‘23.8월 기준 우리나라, 미국, 싱가포르, 일본, 대만 등 5개국의 공공 및 민간 기관이 인증을 부여하고 있다.

일본과 싱가포르의 경우에는 국외 기업이 CBPR 인증을 받은 경우 자국과 동등한 수준의 보호를 제공한다고 간주하여 개인정보의 이전을 허용했다.

세계적으로 가장 많이 인정되는 규범은 정보주체로부터 동의를 받는 방식이나 최근 정보 주체에게 정보 제공 동의 철회권을 부여하는 방향으로 규제가 강화되고 있어, 현지에 서버를 두지 않은 기업이 개인정보를 국외로 이전하는데 부담이 가중되고 있다.

대만, 베트남, 인도, 말레이시아 등은 국외로 개인정보를 이전하기 위해 정보 주체의 동의를 요구하고 있으나 실제로 활용 가능한 다른 규범이 없어 개인정보의 국외 이전이 쉽지 않다.

정해영 한국무역협회 수석연구원은 “데이터 이동에 대한 규제가 국가마다 상이해 디지털 무역이 제한될 수 있다”면서 “다만 규범 간 공통점과 상호 보완의 여지가 늘어나고 있고, 각 국의 개인정보 보호제도도 유사한 원칙을 중심으로 수렴되고 있는 점은 긍정적”이라고 평가했다.

그는 “우리나라도 주요 수출 상대국과 유사한 수준으로 국내 제도를 정비하고, 신뢰 기반 데이터 이동에 대한 국제 논의에 적극 참여하여 우리 업계에 유리한 디지털 무역 환경을 조성하기위해 적극 대응할 필요가 있다”고 주장했다.