신뢰성 있는 데이터 이동 접근법

[디지털비즈온 김맹근 기자] 최근 국경 간 데이터 이동에 대한 우려가 높아지며 세계 각국이 관련 규제를 강화하고 있다. 각국 정부는 국경 간 데이터 이동을 자유롭게 허용할 경우, 개인정보보호, 지적재산권 보호, 규제 집행, 디지털 보안, 자국 산업정책의 발전 등 다양한 측면에서 문제가 발생할 것으로 우려된다.

이에 따라, 각국 정부는 데이터 관련 규제를 업데이트 및 조정하고 있으며, 그 결과 국경 간 데이터 이동에 조건을 더하거나 데이터를 현지에 저장하도록 요구하는 국가가 점점 더 증가하고 있다.

한편, 국경 간 데이터 이전(data transfer)은 기업의 활동을 증대 시키고 이를 통한 경제 발전을 모색한다. 이에 따라 다양한 국제회의에서 데이터의 신뢰성을 확보하면서도 자유로운 국경 간 데이터 이전을 촉진하는 방안을 논의한다.

특히, 일본 정부는 2019년 1월 다보스포럼과 같은 해 6월 G20 오사카 정상회의에서 ‘신뢰 기반의 자유로운 데이터 이동(DFFT : Data Free Flow with Trust)’이라는 용어를 정립하였으며, 이후 이에 대한 논의가 더욱 활발해진다.

2023년 개최된 G7 디지털·기술장관회의는 DFFT를 구체화하기 위해 정부 및 이해관계자 협의체인 “the Institutional Arrangement for Partnership(IAP)”을 설립하기로 합의했다. IAP는 특히 다음과 같은 문제를 검토했다.

첫째 기존 데이터 관련 규제 요건에 적합한 데이터 이동을 위해, 상호 전환이 가능한 정책, 도구 및 관행 개발, 둘째 DFFT의 주요 저해 요인 및 과제다. 셋째 프라이버시 강화 기술(PETs) 등 DFFT 관련 기술 개발, 넷째 DFFT를 가능하게 하는 법적 사례, 국제 프라이버시 프레임워크 등 인증 메커니즘, 이와 같은 문제는 OECD 매핑 보고서에서도 다루고 있어, 이들 문제를 검토하는 데 OECD 매핑 보고서가 도움이 된다.

OECD 매핑 보고서는 국경 간 신뢰성 있는 데이터 이동을 실현하기 위한 접근법을 각각의 특성에 따라 a) 단독 메커니즘(Unilateral mechanisms), b) 다국간 협정(Plurilateral arrangements), c) 무역협정(Trade agreements), d) 표준 및 기술에 관한 이니셔티브(Standards and technology driven initiatives)로 분류한다.

오픈 세이프가드는 국경 간 데이터 이동에 대한 신뢰성 평가와 데이터 취급에 관한 책임을 민간 부문에 맡기는 시스템이다. 오픈 세이프가드에는 사후 책임(Ex-post accountability), 계약(Contract), 민간 부문을 통한 적합성 인증(Private sector adequacy)이 있다.

사전 승인형 세이프가드는 국경 간 데이터 이동을 사전에 공적 승인을 요구하는 시스템이다. 사전 승인형 세이프가드는 정부의 공적인 적합성(public adequacy) 인정, 정부에 의한 기타 사전 승인형 세이프가드가 있다. 각국의 단독 메커니즘 내용을 분석하면 54%가 오픈 세이프가드를 사용하고 있으며, 65%가 사전 승인형 세이프가드를 사용하고 있는 것으로 나타난다.

다국간 협정은 국경 간 데이터 이동 메커니즘을 포함해 일정 유형의 데이터 취급에 관한 규칙, 규범 등의 공유를 목적으로 하는 국제적 협정을 의미한다. 규칙을 공유하면 데이터에 관한 각국 법적 제도의 공통성이 높아져 기업들이 글로벌 사업을 추진할 때 국가마다 각기 다른 법적 제도를 준수하기 위해 드는 비용을 절감할 수 있어 국경 간 데이터 이동이 촉진되는 효과가 기대된다. 다국간 협정은 크게 법적 구속력이 없는 협정과 법적 구속력이 있는 협정으로 분류된다.

다국간 협정은 일정 유형의 데이터 취급에 관한 규칙, 규범, 원칙 등을 공유하려는 목적으로 성립되며, 다국간 협정이 보급되면 데이터에 관한 각국 법적 틀의 공통성이 높아진다. 실제 26개 국가·지역의 프라이버시 및 개인정보보호 관련 규제에 포함된 원칙을 분석한 결과, 데이터 정정 권리, 안전성 및 비밀성, 사용 제한 및 데이터 수집 통지에 관한 원칙은 조사 대상이된 모든 국가·지역에 포함된다.

국경 간 데이터 이동에 관한 각국의 규제는 물품 및 서비스무역에 영향을 미칠 수 있지만, 관세 및 무역에 관한 일반협정(GATT), 서비스무역에 관한 일반협정(GATS) 등 세계무역기구(WTO)의 협정이 각국의 규제를 얼마나 규율할 수 있을지는 명확하지 않다. 이 같은 배경 때문에 최근 세계 각국이 전자상거래(E-commerce) 또는 디지털 무역(Digital Trade)에 관한 규칙이 필요하다는 인식을 공유한다.

국경 간 데이터 이동 규제 조항은 그 내용과 법적 구속력에 따라 크게 법적 구속력이 없는 조항, 법적 구속력이 있는 조항, 향후 재검토를 정한 조항으로 분류된다.

결론적으로 OECD 매핑 보고서는, 정부가 DFFT 목표를 달성하기 위해서는 개별 접근법이나 개별 회의에서의 논의를 독립적으로 다뤄서는 안되며, 신뢰성 있는 국경 간 데이터 이동은 하나의 접근법이 아닌 여러 접근법을 조합해야 실현할 수 있다는 점을 염두에 두고 작성된다.

신뢰성 있는 국경 간 데이터 이동을 실현하기 위한 각 접근법의 차이점과 상호 관계를 이해하고, 각 접근법이 회의에서 어떻게 발전 및 논의되는지 파악할 필요가 있다. 각 회의에서 논의되는 다양한 접근법들은 각각 소관 정부 부처가 상이하므로 부처 간 협력, 나아가 정부의 사령탑 기능을 강화할 필요가 있다. 따라서 정부 내 협력 뿐만 아니라 각국 정부, 국제기구, 비정부기구 등과의 협력 추진도 중요하다.