1. 개인정보 관련
법규 준수
가. 개인정보가 포함된 산업데이터의 국외이전은 세계 각국에서 강력하게 규제되고 있다.
다수의 국가는 개인정보보호 관련 법률 외에도 다양한 분야의 법률로 개인정보의 국외이전을 규율하고 있으며, 국가별로 그 내용과 절차에 차이가 존재한다.
나. 미국은 데이터의 자유로운 국경 간 이전을 표방하면서도, 국가안보 관점에서 자국민의 개인정보를 획득 ․ 국외 유출 우려가 있는 외국인투자를 규제하고 있다.
예컨대, 2018년 8월 제정된 「외국인투자검토현대화법(Foreign Investment Risk Review
Modernization Act: FIRRMA)」은 국가안보에 위해가 되는 외국인투자를 통제하고 있는데, 외국자본이 민간데이터를 보유한 미국기업을 인수 ․ 합병하고자 하면 ‘외국인투자위원회(Committee
on Foreign Investment in the United State: CFIUS)’에 신고하도록 규정한다.
다. EU는 개인정보의 보호를 주목적으로 한 GDPR을 제정하여 엄격한 개인정보보호 규정을 마련하고 있다. 이에 따라 EU 내의 개인정보를 역외로 이전하기 위해서는 적정성 평가, 적정한 안전조치 등이 필요하다.
그러나 ①
개인정보 주체에게 개인정보의 이전으로 인해 초래할 수 있는 위험을 명시적으로 알리고, 이에 대한 동의를 받은 경우, ②
계약의 이행 또는 정보주체의 요청으로 필요한 경우, ③
중요한 공익상의 이유로 필요한 경우, ④
법적 권리의 확립 ․ 행사 ․ 방어를 위해 정보이전이 필요한 경우에 해당하는 때에는 적정성 평가 또는 안전조치 없이도 데이터 역외이전을 허용하고 있다.
라. 중국의 「개인정보 보호법」은 중국 정부가 개인정보를 어떻게 보호할지에 대해 초점을 맞추고 있지만 동시에 디지털화된 개인정보에 대한 국가보안 및 검열의 기본 방침을 규정하는바, 국외 기업 ․ 기관이나 개인이 국가안보나 공공의 이익을 위협할 때에는 개인정보 제한 ․ 금지 목록에 이들 기관과 개인을 포함하여 개인정보의 제공을 제한하거나 금지하는 조치실행(제42조)을 할 수 있다.
(1)
이는 중국 정부가 해외 서비스를 차단할 수 있는 법적 근거로 작동될 수 있으며, 국외 기업이 중국 내에서 디지털 경제활동을 영위하는데 장애요소가 될 수 있다.
(2)
따라서 데이터를 국제거래의 대상으로 삼는 기업은 개인정보에 관한 규제를 반드시 검토해야 한다.
마. 해외에서 활동하는 기업은 해당 국가의 개인정보 국외이전에 대한 규제를 준수해야 하며, 법적 의무를 준수하지 않는다면 과징금 처분 또는 형사상 처벌을 받을 수 있기 때문이다.
(1)
이 같은 규제는 데이터의 국제거래를 하고자 하는 기업에 리스크로 작용할 수 있다는 점에서 해당 국가의 규범을 명확히 파악하고 준수하는 것이 바람직하다.
(2)
여러 나라에 걸쳐 영업이나 제조 거점을 둔 다국적 기업은 현지 법률에 따른 법인을 두고 있다. 본국에 본사를 두고 다수 국가에 거점 법인을 두고 있다. 구글, 아마존, 삼성그룹, 현대자동차그룹 등이 있다.
(3)
해외 현지에 법인을 둔 우리 기업이 현지인 채용이나 서비스 제공 과정 등에서 현지 국민의 정보를 수집·처리하게 된다면 해당국 법의 적용을 받게 된다. 현지에서 이루어지는 정보수집이 비록 한국기업의 현지 법인이 하더라도 이는 데이터의 국외이전은 아니다. 그러나 한국 본사가 해외 현지 법인으로부터 개인정보를 이전받을 경우에 데이터의 국외이전이 발생하여 해당국의 법에 따른 조치를 하거나 일정한 제약을 받을 수 있다.
2. 데이터 현지화
요구
가. 일부 국가는 개인정보 포함 여부를 불문하고, 데이터의 국경이동을 제한하는 조치를 넘어 데이터 서버를 자국 내에 위치하도록 강제하는 조치를 두기도 한다.
(1)
대표적으로 중국, 러시아, 베트남 등은 국가안보적 이익과 연결하여 데이터의 현지화를 요구하고 있으므로 이들 국가와 거래하거나 영업을 하는 기업은 규제의 대상이 되는지와 그 내용을 면밀히 검토할 필요가 있다.
나. 미국은 데이터의 이동 제한과 데이터 현지화 조치가 디지털 무역 촉진을 저해하는 요인이 되므로 다양한 통상협정을 통해서 이들을 제거하고자 노력하고 있다.
다. 그밖에도 일부 국가들은 자유무역협정(FTA)에 디지털 무역 관련 규범을 포함하거나 별도의 디지털 무역협정을 체결하고 있으므로 국가별로 데이터 국외이전 규범을 파악할 필요가 있다.
라. 국제거래를 하는 기업은 국내 법령은 물론 거래 상대국과 해당 지역에 적용되는 디지털 무역규범을 정확히 조사하고 이에 대응할 필요가 있다.
(1)
예컨대 거래 상대방이 중국 기업이라면 중국법이 데이터의 현지저장을 요구하고 있으므로 현지에 서버를 마련하는 조치가 필요하다.
3. 알고리즘 ․ 암호화키 공개
가. 다수의 국가에서는 데이터 관련 알고리즘, 암호화키 등의 공개를 의무화하고 있지 않으므로 데이터를 국외로 이전한다고 하더라도 이에 관련된 알고리즘이나 데이터 보호에 필요한 보호조치를 해제할 필요가 없다.
(1)
OECD 보고서에 따르면 2020년까지의 통계를 기준으로 약 42개국이 지역무역협정을 통해 소스코드 공개 ․ 이전 금지에 관한 무역규범을 수용하고 있다.
(2)
그러나 대중국 데이터 이전의 경우 직 ․ 간접적으로 데이터 관련 알고리즘, 암호화키 등을 공개하도록 규제하고 있다는 점에서, 별도의 대응조치가 필요하다.
4. 분쟁 시
준거법 결정
가. 데이터 관련 국제계약체결 시 추후 발생할 법적 분쟁에 대비하여 본 계약에 적용할 준거법과 재판관할을 사전에 정해 둠으로써 거래의 안정과 예측 가능성을 부여할 필요가 있다.
(1)
국제거래에서 관할의 문제는 국제소송에서 어떤 국가의 법원이 재판권을 행사하는가를 정한 것이고, 준거법은 어느 국가의 어떤 법률을 적용할 것인지를 정하는 것인데, 통상 당사자가 미리 계약으로 협의하여 정하게 된다.
(2)
다만, 국제계약을 체결함에 있어서 당사자가 준거법을 자유롭게 선택할 수 있으나, 특정 국가의 강행규정은 당사자가 합의로 그 적용을 배제할 수 없는 때(「개인정보 보호법」상 정보주체의 권리 등)도 있다.
(3)
해외 기업과의 거래계약에 있어서 한국법을 준거법으로 합의하면, 한국 변호사의 조력, 비용, 분쟁해결의 전망 등에서 유리할 수 있다.
나. 산업데이터에 개인정보가 포함되어 있거나 지식재산이 포함된 경우, 개인정보 유출 또는 지식재산 침해가 발생하였을 때는 복잡한 관할 문제가 발생하곤 한다.
(1)
또한, 거래 상대국의 규제, 과세권, 조사권 등이 유효하게 작용할 수 있다는 점에서 분쟁이 발생할 여지도 있다. 따라서 분쟁 발생 시를 대비하기 위한 사전 대응전략 및 계약 시의 전략 수립이 필요하다.
다. 한편, 분쟁해결 수단으로서 소송 외에 국제중재(arbitration)를 고려해 볼 필요가 있다.
(1)
중재는 분쟁 당사자 간의 합의로 법원의 재판이 아닌 당사자들이 선정한 중재인의 판정에 의하여 분쟁을 최종 해결하는 제도이다.
(2)
중재는 각 분야의 전문가(중재인)가 판정하고, 시간과 비용을 절약할 수 있는 단심제이며, 법원의 확정판결과 동일한 효력이 있어서 국제거래 분쟁해결 수단으로 소송보다 선호되고 있다.
(3)
중재판정은 뉴욕협약에 따라 국제적 효력을 인정받을 수 있으며, 우리나라에서는 ‘대한상사중재원’이 국제상사중재 절차를 제공한다.
5. 클라우드 컴퓨팅
환경에서의 산업데이터
국외이전
가. 클라우드 컴퓨팅을 통해 원격지에서의 데이터 보관 ․ 처리가 가능해짐에 따라 이용자의 개인정보가 클라우드 서비스 이용과정에서 처리될 수 있고, 가상화 기술, 분산처리 기술 등을 이용하므로 서비스 제공에 있어서 장소적 제약 없이 원격지에서 개인정보를 처리할 수 있다.
(1)
특히 국내 클라우드컴퓨팅서비스 제공자가 해외 소재의 데이터센터와 같은 전산자원을 활용할 때는 개인정보의 국외이전 문제가 발생할 수 있다. 이 경우 서비스제공자는 개인정보 주체에게 저장 위치와 데이터 통제권 등에 관한 사항을 알리고 동의를 받는 것이 중요하다. 다만 서비스제공 계약에서 개인정보 처리방침에 따라 이 같은 사항을 이용자에게 알린 경우에는 별도의 동의를 받지 않아도 된다.
나. 그밖에도 데이터 보유자 ․ 서버 ․ 사용자 모두가 격지로 분리될 수 있는 클라우드 컴퓨팅 환경하에서는 다양한 법적 쟁점이 발생할 여지가 있으므로 클라우드 컴퓨팅 환경에서의 산업데이터 국외이전에 관한 사전적 대응이 필요하다.
6. 데이터 국외이전
관련 국제규범의
준수
가. 다양한 국제규범에서 데이터 국외이전에 관하여 규정하고 있으며, 디지털 무역의 틀 안에서 규제 또는 규제의 철폐에 관한 사항을 정하고 있다.
나. 데이터 국외이전 관련 주요 국제규범 현황
(1)
포괄적 ․ 점진적 환태평양 경제 동반자 협정(CPTPP)
-
(개요) 아시아 ․ 태평양 11개국이 2018년 3월 칠레에서 결성한 다자간 무역협상으로서, 기존 TPP에서 2017년 1월 미국이 탈퇴한 뒤 호주, 캐나다, 일본 등 남은 회원국이 CPTPP를 결성함. 대한민국은 적극적으로 가입을 검토하고 있으며, 미국은 동 협정에 복귀하기보다 IPEF을 우선시하는 전략 채택
-
(참여국가) 뉴질랜드, 말레이시아, 멕시코, 베트남, 브루나이, 싱가포르, 오스트레일리아, 일본, 칠레, 캐나다, 페루
-
(데이터) 국경 간 데이터 이전 자유화, 정당한 공공정책상 필요 시 예외적 제한 허용
(2)
역내포괄적경제동반자협정(RCEP)
-
(개요) 동남아시아 국가연합(ASEAN) 회원국 및 ASEAN과의 FTA 체결국이 주축이 되어 체결한 자유무역협정으로,
2020.11.15. 체결
-
(참여국가)
ASEAN 10개국 및 대한민국, 중국, 오스트레일리아, 뉴질랜드, 일본
-
(데이터) 데이터의 국제이동에 관한 광범위하고 법적 구속력 있는 무역규칙 포함: 국가 간 이동을 제한하는 ‘컴퓨터 설비 현지화 조치’와 ‘국가 간 이동을 금지하는 여타의 조치’는 원칙적으로 금지하되, 각 당사국의 데이터 규제주권을 보장해 주기 위해 ‘비합치조치 정당화’ 및 ‘데이터 무역규칙 적용면제’ 허용
(3)
미국 ․ 캐나다 ․ 멕시코 자유무역협정(USMCA)
-
(개요) 북미자유무역협정(NAFTA)을 미국 ․ 캐나다 ․ 멕시코 3국간 자유무역협정으로 사실상 단일경제권 구성할 의도를 가지며 2020년 7월 1일 발효됨. 이 협정은 체약국 간의 데이터무역에만 그 효력이 적용되므로 우리나라에 직접적 영향을 주지는 않음
-
(참여국가) 미국, 캐나다, 멕시코
-
(데이터) 국경간 데이터 이전 허용 및 공공정책 목적 예외 인정, 공공데이터에 대한 접근 ․ 활용 확대, 컴퓨팅설비의 지역화 금지 등
(4)
EU 일반 데이터보호 규정(GDPR)
-
(개요)
EU 회원국에 일괄적으로 적용되는 개인정보 보호법으로서 2016년 제정되어 2018년 시행. 국외이전 데이터에 EU 역내 주민의 개인정보가 포함되어 있다면 몹시 까다로운 절차를 통해서 역외이전이 가능
-
(참여국가) 유럽연합
다. 디지털통상 국제규범상 데이터 국외이전 관련 쟁점
(1)
국경 간 정보이전 제한
-
데이터의 국외이전에 관한 강한 규제를 두고 있는 국가로는 중국, 베트남, 러시아가 대표적이며, 우리나라와 EU 역시 데이터 국외이전 제한조치를 어느 정도 두고 있음
-
주요 국제규범은 자유로운 데이터의 국경 간 이전을 천명하면서도 일정한 경우 데이터 이전을 제한할 수 있도록 규정하고 있음. 예를 들면, RCEP 협정의 경우, ‘정당한 공공정책 목적’ 또는 ‘필수적 안보 이익의 보호’를 위한 목적으로 데이터의 국경 간 이전을 금지할 수 있으며, CPTPP 협정과 USMCA 역시 ‘정당한 공공정책 목적’을 위해서 데이터의 국경 간 이전을 금지 가능
-
2022년 서명한 ‘한-싱가포르 디지털동반자협정(DPA)’은 데이터의 국외이전을 제한 ․ 금지할 수 없도록 하면서도 당국의 고유한 규제 권한을 인정하고, 예외적으로 정당한 공공정책 목표를 달성하기 위해 금지 ․제한이 가능 (제14.14조)
(2)
데이터 현지화 조치
-
대부분의 국제규범은 데이터 현지화 조치를 금지하고 있음. 따라서 데이터 국외이전의 경우에도 현지에 데이터센터를 설치하거나 서버를 두는 등의 조치는 필요하지 않은 경우가 많음. 다만, 중국, 러시아, 베트남 등의 경우 데이터 현지화 의무를 두고 있음
*
USMCA는 데이터 현지화를 예외 없이 원천적으로 금지
(3)
개인정보의 국외이전
-
EU GDPR에서는 개인정보의 역외이전을 강력하게 규제하고 있다는 점에서, EU 내의 정보주체의 개인정보가 포함된 데이터를 국내 또는 제3국으로 이전하기 위해서는 이전되는 국가(국제기구 포함, 이하 같음)가 유럽위원회로부터 보호수준이 적절하다고 결정된 경우(이른바 ‘적절성 결정’) 또는 ‘적절한 안전장치’를 마련해야 함. 우리나라의 경우 2021. 12., 적절성 결정 대상국가가 되었으므로 한-EU 간 개인정보 이전은 비교적 낮은 규제하에서 가능
(4)
알고리즘 ․ 암호화키 공개
-
국제규범 대부분은 데이터 관련 알고리즘, 암호화키 등의 공개의무를 금지하고 있지 않음에도 중국 등 일부 국가들은 자국법에 따라 데이터 관련 알고리즘, 암호화키를 공개하도록 강제
-
CPTPP 협정의 경우, 소스코드의 공개 ․ 이전만을 금지하고 알고리즘에 대해서는 명확한 규정이 없다는 점에서 CPTPP 당사국의 경우 개별 법령을 면밀히 검토할 필요
(5)
조세 문제
-
최근 주요국 및 국제기구에서 ‘디지털세’에 관한 논의가 이어지고 있으며, 아직 디지털세를 명시적으로 적용하고 있는 국가는 찾아보기 어려우나, OECD 주도로 마련된 디지털세 합의안*은 2021년 10월 주요 20개국(G20) 정상회의에서 추인
*
OECD 디지털세 합의안은 각국 정부에 과세권을 배분하고 글로벌 최저한세율(15%)을 적용
정회목 변호사
댓글 없음:
댓글 쓰기