1. 영국: 유럽연합의 데이터 시민주권론 편승 vs. 미국과의 데이터 공유 강화

○ 브렉시트 이후에도 유럽 일반개인정보보호법(GDPR)를 준수함.

  • 2018년 5월 시행된 GDPR은 EU 회원국 간 개인정보의 자유로운 이동을 보장하고 정보주체인 개인의 개인정보보호 권리를 강화하는 한편 자국민 데이터의 해외서버 이전은 엄격히 제한하고자 제정된 통합 규정임.
  • 브렉시트 이후로도 영국은 GDPR을 수용하고자 자국 데이터보호법 개정에 착수함.
  • 2021년 2월 유럽위원회는 영국의 개인정보보호법이 EU 기준을 충족한다고 평가하고 향후 4년간 EU에서 영국으로 경찰, 금융 정보를 계속 이동시킬 수 있도록 허용함.
  • 영국은 법 개정을 통해 자국 정보위원회의 과징금 부과 권한을 강화하고 과징금 액수 역시 상향 조정하여 GDPR 규정과 일치시킴.

○ 미국 안면인식 서비스업체 클리어뷰AI에 대한 조사에 착수함.

  • 영국 정보위원회(ICO)는 호주 정보위원회(OAIC)와 공동으로 클리어뷰AI의 개인 생체인식 정보 수집 및 사용 방법 적절성에 대한 조사에 착수함.

○ 그러나 영국은 2019년 10월 The Crime(Overseas Production Orders, COPOA) 법안을 통과시켜 최초로 미국과 데이터 공유 행정협정을 체결한 국가이기도 함.

  • COPOA는 개인의 데이터를 외부(미국)로 전송을 가능하게끔 하는 조항을 담고 있어 GDPR과 충돌이 불가피함.
  • 미국의 클라우드법은 GDPR이 요구하는 조건을 충족하지 못한 관계로 체결되지 않은 상태임.

○ 북아메리카와 유럽 간 데이터 유통 허브 위치.

  • 글로벌 컨설팅 기업 Arcadis의 ‘2021 데이터센터위치인덱스(Data Centre Location Index)’에 따르면, 영국은 전 세계에서 데이터 센터 설립에 가장 선호되는 장소임.
  • 이러한 결과는 영국이 사이버 안보, 데이터 보호, 개인정보보호 규칙 등 데이터 안보와 관련한 여러 측면에서 우수하다는 평가와 더불어 미국과의 관계(정보동맹)를 고려한 것으로 해석됨.

○ 유럽인권조약(ECHR) 및 유럽평의회(CoE) 조약 제108호(Convention 108)

  • 개인정보보호권은 ECHR 제8조에 의해 보호된 권리들의 일부임. 동 조는 사생활 및 가족생활, 가정과 교신의 존중권을 보장하며, 이 권리의 제한이 허용되는 조건을 규정함.
  • 유럽평의회 조약 제108호는 개인정보의 자동처리와 관련한 개인의 보호를 위한 조약으로서 개인정보의 수집 및 처리에 수반될 수 있는 남용에 대해 개인을 보호하며, 그와 동시에 국경을 넘는 개인정보의 유통을 규제함. 조약 당사국 간 개인정보의 자유로운 유통을 규정하고 있지만, 법적 규제가 동등한 보호를 제공하고 있지 않는 국가에의 유통에 대해서는 다소의 제약을 부과함.
  • 영국은 브랙시트와 상관없이 유럽인권조약 및 유럽평의회 조약 제108호을 따름.

2. 캐나다미국의 자유로운 데이터 유통론 편승

○ 미국-멕시코-캐나다 자유무역협정(USMCA)에서 데이터 지역화 금지조항과 국경 간 정보이전의 자유화 조항을 명시함.

  • 캐나다 정부는 해당 협정을 통해 미국, 멕시코와 공공데이터 및 정부 정보 접근성 확대, 소스 코드 및 알고리즘 요구 금지에 합의함.

○ 다만, 2016년 발표된 ‘정보기술전략계획’에서 캐나다 정부는 데이터 주권 보호를 위한 데이터 현지화를 강조.

  • 데이터 주권 보호를 위해 민감한 데이터를 자국 영내에 존재하는 서버에 보관할 것을 명기함.
  • 그러나 2017년, 캐나다의 두 정부 기관(Shared Services Canada 그리고 Communications Security Establishment)이 마이크로소프트의 미국 내 클라우드 서버에 자국민의 민감한 정보를 암호화하여 보관하는 것을 검토한 것이 드러나 논란이 일었음.

○ 2018년 발표된 ‘데이터 주권과 공공 클라우드’ 백서에서 캐나다 정부는 데이터 현지화가 낳는 무역 장벽 등의 문제점을 지적하는 한편 미국 정부가 자국의 데이터에 자유롭게 접근하는 것을 차단할 수 없는 현실을 드러냄. 다만, 이러한 위험을 암호화 등을 통해 완화할 수 있다고 밟힘.

○ 한편, 캐나다 연방 차원의 감독기구인 OPC (Office of the Privacy Commissioner of Canada)는 디지털 시대가 도래함에 따라 데이터 수집 및 제공 등이 대폭 증가할 것을 우려하여 개인정보보호법 개정을 통해 자국이 기본적인 권리와 자유를 침해하는 위험에 효과적으로 대응할 것을 촉구함.

  • 2020년 2월 캐나다 개인정보위원회는 미국 안면인식 기업 클리어뷰AI의 데이터 수집 및 사용에 문제를 제기하고 조사를 착수함.

○ 2020년 말 ‘소비자 개인정보보호법 (Consumer Privacy Protection Act, CPPA)’ 제정 본격화.

  • 캐나다는 공공과 민간에 각각 적용되는 별도의 법을 제정해 시행하고 있음.
  • 공공 부문에 적용되는 ‘프라이버시법(Privacy Act)’은 연방정부 기관의 개인정보 수집-이용-공개에 대해 규율.
  • 2020년 11월 캐나다 하원에서 민간 부문 개인정보보호를 위한 법제 개편 및 ‘CPPA’ 제정에 본격적으로 착수함.
  • CPPA는 정보주체의 권리를 보호하고 기업의 상업 활동 과정에서 개인정보의 수집, 이용, 공개를 규제할 것으로 계획함. 특히 데이터의 이동과 관련하여, CPPA는 정보주체가 자신의 개인정보(데이터)를 안전한 방식으로 한 조직에서 다른 조직으로 자유롭게 이동할 수 있도록 ‘데이터 이동권’을 지지함. -> 개인이 데이터 이동을 요구할 수 있는 권리를 보장.

3. 호주사이버 위협 대응을 위한 데이터 주권 강화

○ 지원 및 접근법 제정

  • 2018년 12월 호주 연방정부는 정부 기관이 민간 기업들에 사용자 메시지 데이터의 암호화 해제를 강조할 수 있도록 하는 지원및접근법을 통과시킴.
  • 해당 법을 통해 호주 정부는 필요에 따라 외국 기업이 해외에 보관한 자국민 데이터에도 접근할 수 있는 법적 권한을 갖게 됨.

○ 정부 데이터 주권 강화 추진

  • 2020년 7월 호주 연방정부는 정부 관련 데이터와 보건, 인구통계자료 등 민감한 데이터가 외국으로 유출되는 것을 막고자 해당 데이터를 호주 영내 데이터 센터에만 보관하게끔 강제하는 새로운 데이터 주권 규칙을 발표함.
  • 민감한 데이터의 경우 외국에서 접근이 불가하도록 신호정보국(ASD)이 인증한 클라우드에 저장해야 하며, 물리적으로 데이터를 저장할 때는 호주 영내에 설치된 데이터 센터를 이용하는 것을 강제함.
  • 이러한 행보는 외부로부터의 사이버 공격에서 자국의 중요 데이터를 보호하기 위한 조치로 해석됨.

○ 다만, 미국과의 데이터 공유 조건을 완화하려는 노력을 지속함.

  • 호주는 미국과의 데이터 공유 조건 완화를 위해 미-호 간 클라우드법 행정협정 체결을 추진함.
  • 2019년 10월 호주 연방정부는 미국과 클라우드법에 따른 행정협정을 체결하기 위한 선결 조건으로 전자통신서비스 사업자의 의무를 규정(데이터 제공 의무 등)하는 International Production Orders, IPO 법안 개정을 추진함.
  • 마이크로소프트와 구글 등은 IPO 법안이 데이터 제공의 강제성을 포함하고 있다며 반발함.

○ 호주 개인정보보호법 1988(Privacy Act 1988)에 명기된 데이터 이동에 관한 규제.

  • 다음의 경우 이전 가능:
  • ①정보를 이전하기 전에, 정보를 이전받는 자가 APP를 위반하지 않도록 합리적인 조치를 취하는 경우
  • ②이전 받는 자에게 적용되는 APP와 비슷한 수준의 법규가 있고 개인이 이를 행사할 수 있는 제도가 있다고 APP 주체가 합당하게 판단하는 경우
  • ③이전받는 자에게 ①과 같은 조치가 없음을 개인에게 명확하게 알리고 동의 받은 경우
  • ④법령 등에 따라 이전이 허용되는 경우
  • ⑤정보 제공에 대해 허용된 일반 상황이 존재하는 경우
  • ⑥국제협정에 따라 정보를 제공할 의무나 권한이 있거나 법 집행기관의 법 집행에 필요한 경우 등

이는 유럽의 GDPR과 비슷함.

○ 2019년 말 발효된 ‘소비자데이터권리(Consumer Data Right, CDR))’를 통한 ‘마이데이터 서비스’ 활성화.

  • CDR은 소비자가 정보 사업자(data holders)가 보유 중인 소비자 본인의 정보를 효과적이고 편리하게 접근하며, 본인이나 본인이 지정한 제3자에게 안전하게 정보를 제공하도록 하는 등, 데이터에 대한 소비자 통제권을 강화하는 것이 목적임.
  • 마이데이터는 정보주체인 개인이 정보이동권리에 근거하여 본인 데이터에 대한 개방을 요청하면, 개인정보처리자인 기업은 요청자를 포함한 개인이나 해당 정보주체가 지정한 제3자에게 정보를 개방하도록 하는 것을 의미함.
  • CDR 핵심은 소비자가 시장의 경쟁을 통해 선택권 등의 편익이 향상되도록 관련 재화와 서비스 시장의 경쟁을 제고하는 것.

○ ‘국민 건강 기록(My Health Records)’ 시스템 관련 데이터 규제

  • 시스템 운영자는 등록된 포털 운영자 또는 등록된 계약 서비스 제공자로서 건강기록 시스템의 목적상 그 기록을 호주 밖에서도 보유하거나 처리하는 것이 금지함. 다만, 시스템 운영자는 그 정보가 개인정보 또는 식별정보를 포함하지 않는다면 이를 국외에서 보유하거나 처리할 수 있음.
  • 보건부는 국민의 건강기록이나 개인정보를 국외에서 밝히지 않는다는 입장임.
  • 그러나, 작년 호주 정부가 COVIDSafe 애플리케이션에 의해 수집된 데이터를 미국 기업의 클라우드 서비스에 저장해온 것으로 밝혀져 논란이 일었음. 미국의 클라우드 법으로 인해 호주 국민의 코로나19 관련 보건 기록이 노출 위험에 처해있다는 지적이 나옴.

4. 뉴질랜드: ‘데이터 관할권 위험’ 강조 vs. 우호국과의 데이터 유통에 유연한 입장

○ 2017년 공공 클라우드 서비스의 ‘관할권 위험(jurisdictional risks)’ 관리 대응법 안내서를 발표함.

  • 2016년 뉴질랜드 정부 차원의 공공 클라우드 서비스 추진의 가속화가 이루어짐에 따라 데이터 주권 이슈가 부각됨.
  • 외국에 보관된 자국 데이터에 정부가 접근하는 데 있을 수 있는 한계점을 지적하고, 클라우드 서비스업체 선정에 있어 정부 기관들이 주의할 점을 명기함.
  • 호주, 싱가포르, 미국이 가장 선호되는 관할권이라는 점을 명기함.
  • 특정 국가 또는 관할권 내 클라우드 서비스 이용을 제한하지는 않음.

○ 2018년 말 호주가 지원및접근법을 제정함에 따라 호주 영내에 보관된 자국 정부 및 국민의 데이터가 위협받을 수 있다는 우려가 제기됨.

  • 그러나 내무부(Department of Internal Affairs)는 기존의 클라우드 서비스 관할권 위험 관리 대응법을 수정할 필요성과 계획이 없음을 발표함.

○ 2020년 12월 발효된 개인정보보호법(Privacy Act 2020)에 명기된 데이터 이동에 관한 규제.

  • 유럽의 GDPR과 호주의 1988 개인정보보호법과 비슷함.
  • 외국 행위자(person or entity)가 뉴질랜드와 유사한 수준의 개인정보 보호 시스템을 준수해야 하는 요건을 충족할 시 데이터 개방(disclose)이 가능함.
  • 본사와 데이터를 공유하는 해외 법인 역시 본사와 유사한 수준의 개인정보 보호 시스템을 준수해야 하는 요건을 충족할 시 데이터를 해외 법인에 개방할 수 있음.
  • 새로운 법은 뉴질랜드에서 운영되는 기업에 적용되며, 이는 해당 기업이 뉴질랜드에 물리적 실체가 없는 경우에도 해당됨.

5. 프랑스유럽 차원의 데이터 시민주권 보호 주도

○ ‘유럽형 클라우드 서비스’ 구축 주도.

  • 2013년 미국 정보 당국이 사찰 프로그램 ‘프리즘’을 이용하여 마이크로소프트와 구글 등 미국 기업의 클라우드 서비스를 통해 개인정보를 불법적으로 수집해온 사실이 폭로됨에 따라 EU 차원에서 대안이 모색됨.
  • 2019년 10월 독일과 함께 유럽 내 데이터를 이용, 수집, 공유할 수 있는 클라우드컴퓨팅 인프라의 자체적 개발을 추진하는 ‘가이아-X’ 프로젝트에 착수할 것을 발표함.

○ 유럽일반개인정보보호법(GDPR)을 통한 유럽의 데이터 주권 보호 강조.

  • EU 회원국 중 최초로 디지털서비스세 법안을 통과시켰고, 글로벌 디지털 기업의 매출에 3%의 디지털서비스세를 부과하기로 함.
  • 2019년 12월 구글이 검색광고 시장에서 우월적인 지위를 남용했다며 과징금(1억5천만 유로)을 부과함. 또한 2020년 3월 애플이 시장우월적 지위를 남용해 자국 소매업체들의 정상적인 가격 경쟁을 방해했다 하여 과징금(11억 유로)을 부과함.
  • 구글과 아마존이 사용자 동의 없이 쿠키를 설치하여 개인정보 보호 규정 위반한 것에 대해 과징금을 각각 1억 유로, 3,500만 유로 부과함.

○ 정부 관련 중요 데이터의 현지화를 추진.

  • Sovereign Cloud (le cloud souverain): 국내 데이터 센터 인프라 구축 시도.
  • 2016년 공공조달에 관한 프랑스 정부 각료 회람(ministerial circular on public procurement)은공공기관(national and local administration)에 의해 생성된(produced) 데이터 처리에 비주권 클라우드(non-sovereign cloud)를 사용하는 것을 불법으로 규정함. 해당 데이터는 필히 프랑스 영내에서 저장 및 처리되어야 함을 명기함.

6. 독일유럽 차원의 데이터 시민주권 보호 주도

○ 유럽일반개인정보보호법(GDPR) 제정을 통해 제3국으로의 개인정보 이전을 위한 ‘적정성 평가’를 수립하여 유럽의 데이터 주권 보호에 앞장섬.

  • 이는 역내 단일시장화와 소극적 대외 개방을 지향하는 것으로 해석됨.

○ ‘유럽형 클라우드 서비스’ 구축 주도

  • 2019년 11월 피터 알트마이어 경제장관은 EU 집행위원회에 구글과 페이스북 등 유럽 시장을 독점하고 있는 온라인 플렛폼에 강경 노선을 추진할 것을 촉구하면서 “유럽이 개발·운영하는 클라우드컴퓨팅 시스템이 유럽의 디지털 주권을 회복하는 데 도움이 될 것”이라고 주장함.
  • 메르켈 총리는 2019년 11월 독일 고용주협회컨퍼런스에서 “유럽연합(EU)이 독자적인 데이터 플랫폼을 개발해 구글, 마이크로소프트, 아마존 등 미국 대형 IT기업들의 클라우드 서비스에 대한 의존도를 낮춰야한다…너무 많은 기업이 자사의 모든 데이터를 미국 기업에 아웃소싱하고 있다…데이터에서 만들어지는 부가가치 상품들이 미국에 의존해 만들어지는 게 좋은지 확신할 수 없다”며 미국 기업으로부터 자국 데이터 주권 보호를 강조함.
  • 알트마이어 경제장관도 “독일 기업뿐 아니라 독일 내무부 등 데이터가 아마존 서버에 저장되면서 데이터 주권을 잃고 있다”며 민간 뿐 아니라 정부의 데이터 역시 미국의 글로벌 IT 기업의 소유가 되고 있다는 데 우려를 표함.
  • 2019년 10월 유럽 내 모든 기업이 자사의 정보를 저장, 처리, 공유하고 상호 협력할 수 있는 독자적 플랫폼을 마련하고자 ‘가이아-X’ 프로젝트에 착수함.

○ 정부 관련 중요 데이터의 현지화.

  • 유럽형 클라우드 서비스 구축을 주도하면서도, 또 한편으론 정부 데이터를 국내에 저장하는 클라우드 인프라인 Bundescloud를 구축함.
  • Resolution 2015/5: 민감한 정보(정부 기밀 및 국가 인프라 관련 정보)는 독일 영내에 저장되어야 하며, 클라우드 및 소프트웨어 서비스 제공업자는 해당 정보가 외국 주체(특히 미국)의 공개 의무 대상이 되지 않도록 해야 함을 요구.
  • 독일의 상법(Commercial Code)과 세법(Tax Code)은 기업에 회계 데이터 및 자료를 독일 내에 저장하게끔 요구함.
  • 이러한 행보는 독일이 디지털 보호주의(digital protectionism)라는 지적이 있음.

7. 일본국제적 데이터 유통 규범 마련 주도

○ 오사카 트랙 제안을 통한 개인정보의 국제 유통지지.

  • 일본은 2019년 7월 오사카에서 열린 G20 정상회담에서 데이터의 자유로운 유통, 전자상거래 유통 등에 대한 규칙을 제정하기 위한 국제적 규범의 틀을 마련하는 차원에서 ‘오사카 트랙’을 제안함.
  • 오사카 트랙은 국제적 데이터 유통 규칙을 표준화하여 “신뢰있는 데이터의 자유이동”의 중요성을 강조함.

○ 2018년 일본은 세계 최초로 GDPR 적정성 평가에 통과함.

  • 2017년 일본과 EU는 개인 데이터 국외이전에 대한 공동성명을 발표하고 지속해서 협력해왔음.
  • 2017년 5월 일본은 개정된 개인정보보호법을 전면 시행하였고, 2018년 7월 EU 집행위원회가 일본의 GDPR 적정성 평가 통과를 발표함.
  • 이는 일본이 오사카 트랙을 통해 역설한 “신뢰있는 데이터의 자유이동”에 부합하다고 볼 수 있음.
  • 일본의 ‘정보보호법’은 EU의 GDPR과 유사하다고 평가됨.

○ 일본 주도로 체결된 포괄적-점진적 환태평양경제동반자협정(CPTPP)은 회원국 사이에 국경 간 데이터의 자유로운 이동 촉진과 데이터 지역화 조치 금지를 명시한 의무규정을 포함함.

○ 2016년 발효된 일본-몽골 EPA 전자상거래 장은 여타 FTA 협정과 다르게 컴퓨팅 설비의 지역화 의무 부과 금지조항을 포함함.

  • 컴퓨팅 설비의 지역화 관련 요건 금지 조항을 별도로 두고 TPP 협정과 마찬가지로 서비스 공급 국가 내에서 사업의 수행을 위한 조건으로 그 국가 내의 컴퓨팅 설비를 이용하거나 그 국가 내에 컴퓨팅 설비를 설치해야 한다는 의무를 부과하지 말 것을 규정함.
  • 선언적 규정 포함: “양 당사국은 활발한 전자상거래 환경을 위한 필수 요소로서 정보의 국경 간 흐름을 유지(maintain)하기 위한 노력의 중요성을 인식한다.”

<참고문헌>

영국

캐나다

  • 박미영. 2020. “[개인정보보호 연차보고서 톺아보기-29] 해외동향-미주: 미국·캐나다.” 『보안뉴스』 2020/12/1. https://www.boannews.com/media/view.asp?idx=93043
  • 한국인터넷진흥원. 2020. “캐나다 소비자 개인정보보호법(CPPA) 제정 배경 및 주요 특징 분석.” 『해외 개인정보보호 동향보고서』 2020/11/.

프랑스

독일

뉴질랜드

호주

일본

  • 이규엽 외. ‘국경 간 데이터 이동에 관한 국제적 논의 동향과 대응 방안.’ 『대외경제정책연구원 연구보고서』. 2018/12/28.