▲ 한국무역협회(KITA) 국제무역통상연구원은 ‘디지털 통상 시대, 신뢰 기반 데이터 이동을 위한 주요 규범 비교’ 보고서를 통해 기업과 소비자가 디지털 무역을 활용하기 위해서는 신뢰 구축이 필요하다고 강조했다.

[기계신문] 디지털 기술의 발전으로 인터넷과 데이터의 중요성이 커지고 있다. 산업, 지역, 규모에 관계 없이 기업들은 국경간 데이터 이동에 크게 의존하고 있고, 데이터 활용과 이동이 증가함에 따라 데이터의 오·남용에 대한 우려 또한 커지고 있다.

소셜미디어를 통해 노출된 개인정보가 정치적, 상업적으로 사용되고, 채팅앱을 통해 전달된 대화가 삭제되거나 암호화되지 않은 채 이용된 사례들이 이어지고 있다.

국가들은 데이터 보호 외에도 국가안보, 산업정책 등 다양한 공공정책 목적으로 국경간 데이터 이동에 대한 규제를 채택·발전시키고 있다. 각국 규제의 증가에도 불구하고 데이터의 수집, 보관, 처리 및 이전에 관해 세계적으로 합의된 규범은 아직까지 전무한 상태이며, 현재 데이터 이동 관련 글로벌 법제는 서로 상이한 내용을 다룬 조약과 국내 법률 등이 혼재된 상황이다.

한국무역협회(KITA) 국제무역통상연구원은 지난 10일(화) ‘디지털 통상 시대, 신뢰 기반 데이터 이동을 위한 주요 규범 비교’ 보고서를 통해 기업과 소비자가 디지털 무역을 활용하기 위해서는 신뢰 구축이 필요하다고 강조했다.

▲ 국경간 데이터 이둥 규제 확대 추세

OECD에 따르면 응답 기업의 99% 이상이 개인정보 보호가 소비자 신뢰 구축에 필요한 핵심 요소로 인식하고 있으나, 78%는 소비자 개인정보 보호를 위한 규제에는 회의적인 모순적 인식을 보여주고 있다.

이러한 상황을 반영하듯 국경간 데이터 이동 촉진과 데이터의 안전한 보호를 위한 ‘신뢰 기반 데이터 이동’(Data Free Flow with Trust, DFFT)에 대한 국제적 공감대가 형성되고는 있으나, 방법론에 대한 국가별 입장차이가 큰 상황이다.

각국 정부는 개인정보의 안전한 국외 이전을 위한 다양한 정책수단을 인정·활용하고 있으나, 안전조치를 누가, 어떻게 하느냐에 대한 시각차는 여전히 좁혀지지 않고 있다.

개인정보의 무분별한 국외 이전을 통제하기 위해 각국은 개인정보 보호 법률을 통해 유사하면서도 조금씩 상이한 규범을 발전시켜왔다. 자율적 규범이라 평가되는 ▶책임성 원칙 ▶적정성 인정 제도부터 정부 또는 공공 영역의 개입이 증가하는 ▶표준계약조항과 ▶국제 인증제도, 가장 많이 인정되고 있으나 데이터 이동 제한 가능성이 높은 ▶정보 주체 동의 방식 등이 이용되고 있다.

▲ 신뢰 기반 데이터 이동을 위한 주요 규범 내용

책임성 원칙은 호주, 캐나다, 필리핀 등이 채택하고 있는 제도로서 실질적인 보호에 중점을 두고 상황별로 특화된 보호 수준을 요구하고 있으며, 새로운 제도적, 기술적 발전을 반영하기 쉬워 유연한 대응이 용이하다.

적정성 인정 제도는 기업 입장에서 규제에 대한 부담을 덜 수 있다는 장점이 있으나, 정치적 요소가 적정성 인정에 영향을 줄 수 있다는 우려가 존재한다. 이 제도는 유럽연합(EU)의 ‘일반개인정보보호규정’(GDPR)에 처음 도입되어 타 국가로 확대되는 추세로 영국, 일본, 호주 등에서 시행 중이다.

표준계약조항은 개인정보를 이전받는 국외 수신자가 국내법을 준수하도록 하는 안전 조치로 활용되고 있으며, 법적 확실성이 뚜렷하고 유지 비용이 낮다. 또, 규제 조사 부담이 적기 때문에 기업의 활용도가 높은 제도이다. EU와 영국이 표준계약조항을 채택하여 운용 중이며, 일본, 싱가포르, 호주 등은 표준조항 대신 국외 수신자와의 계약을 안전조치 중 하나로 인정하고 있다.

국제 인증제도는 인증 비용이 높고 인증을 획득하더라도 법령 준수를 보장하는 것은 아니기 때문에 활용도가 높지 않다. 대표적 국제 인증제도인 APEC의 국경 간 개인정보 보호 규정(CBPR, Cross Border Privacy Rules)은 참여국 기업을 위한 자발적 인증제도로, 2023년 8월 기준 한국, 미국, 싱가포르, 일본, 대만 등 5개국의 공공 및 민간 기관이 인증을 부여하고 있다.

▲ 국가별 APEC CBPR 인증 획득 기업 현황

일본과 싱가포르의 경우에는 국외 기업이 CBPR 인증을 받은 경우 자국과 동등한 수준의 보호를 제공한다고 간주하여 개인정보의 이전을 허용하고 있다.

세계적으로 가장 많이 인정되는 규범은 정보 주체로부터 동의를 받는 방식이나 최근 정보 주체에게 정보 제공 동의 철회권을 부여하는 방향으로 규제가 강화되고 있어, 현지에 서버를 두지 않은 기업이 개인정보를 국외로 이전하는데 부담이 가중되고 있다.

대만, 베트남, 인도, 말레이시아 등은 국외로 개인정보를 이전하기 위해 정보 주체의 동의를 요구하고 있으나 실제로 활용 가능한 다른 규범이 없어 개인정보의 국외 이전이 쉽지 않은 상황이다.

정해영 한국무역협회 수석연구원은 “데이터 이동에 대한 규제가 국가마다 상이해 디지털 무역이 제한될 수 있다”면서 “다만 규범 간 공통점과 상호 보완의 여지가 늘어나고 있고, 각국의 개인정보 보호제도도 유사한 원칙을 중심으로 수렴되고 있는 점은 긍정적”이라고 평가했다.

그러면서 “우리나라도 주요 수출 상대국과 유사한 수준으로 국내 제도를 정비하고, 신뢰 기반 데이터 이동에 대한 국제 논의에 적극 참여하여 우리 업계에 유리한 디지털 무역 환경을 조성하기 위해 적극 대응할 필요가 있다”고 제시했다.

기계신문, 기계산업 뉴스채널