1. 일본의 법제
가. 데이터 거래 촉진을 위한 정책
(1)
일본은
CPTPP를 주도하면서 비교적 자유로운 디지털 무역규범을 지향하고 있다.
-
CPTPP는 소프트웨어 소스코드의 강제 이전 ․ 공개를 원칙적으로 금지하고, 데이터 현지화를 엄격한 예외사유가 존재하는 경우에만 허용한다.
-
특히
2021년에는 개인정보 보호법(個人情報の保護に関する法律)을 개정하여 개인정보의 보호와 이용을 조화하기 위해 노력하고 있다.
(2)
일본은 데이터 경제 활성화에 있어 개인정보 보호규제가 가지는 문제점들을 인식하고, 개인정보 보호규제의 개선을 위한 노력을 수행하고 있었으며, ‘익명가공정보’라는 새로운 개인정보 개념을 도입하고 개인정보 보호규제의 적용을 면제해 주는 대신, 개인정보보호위원회의 기준(고시) 등을 준수토록 하는 체계를 가지고 있다.
-
일본은 데이터 활용 환경을 마련하고, 추진 체계를 정비하며, 글로벌 협력을 위한 정책 전략을 선제적으로 제시하였으며, ’12년 빅데이터 활용 방안은 ‘일본 ICT 활성화 전략’에 반영돼 5대 중점 전략 중 하나인 ‘데이터 활성화’ 전략으로 발표하였고, ’14년 일본 경제산업부는 데이터 이용 활성화를 위해 ‘데이터 기반 혁신 창출 전략 협의회’를 발족하였다.
-
나아가, 범정부 차원에서 데이터 활용을 위한 플랫폼을 구축하고 인재 육성 또한 추진하였으며 ’16년 일본재흥전략 2016을 발표하고, 데이터 활용을 위한 로드맵을 제시하여 미래를 대비하고 있다.
(3)
’17년 「개인정보 보호법」개정으로 ‘익명가공정보’
개념을 도입하여 빅데이터 이용촉진을 위한 법적 기반을 마련하였고, ’19년 「저작권법(著作権法)」의 개정으로 소위 ‘비향수적인 데이터 마이닝의 공정이용’ 조항을 신설하여 빅데이터 분석과정에 발생할 수 있는 저작권 침해 책임을 면제하도록 하였다.
-
또한, 실제 현장에서 사용할 수 있도록 일본 경제산업성에서는
’18년도에 「AI
․ 데이터 이용에 관한 계약 가이드라인(AI ․ データの利用に する契約ガイドライン)」을 제정하여
AI ․ 데이터 거래는 물론 데이터 국제거래 활성화를 도모하고 있다.
나. 개인정보 보호법 개정과 강화된 국외이전 절차
2021년 일본 개인정보 보호법 개정을 통해 정보주체의 권리가 더욱 두텁게 보호되고 있으며, 특히 개인정보의 국외이전에 관한 규정이 강화되었다.
(1)
동법은 일본 내에 있는 사람에 대한 물품 또는 용역의 제공과 관련해 그 개인을 정보 주체로 하는 개인정보, 가명 가공정보, 익명 가공정보 및 개인 관련 정보를 취급한 개인정보 취급 사업자가 외국에서 그 정보를 취급하는 경우에 대해서도 위원회가 보고징수, 명령, 명령 위반 사실의 공표, 외국 사업자에 대한 출입 검사(현장점검) 등을 할 수 있게 하고 벌칙 규정을 적용할 수 있게 하였으며(제40조 제1항, 제75조), 외국에 있는 제3자에게 개인데이터를 제공(위탁과 공유를 포함)하고자 하는 경우에는 원칙적으로 정보 주체의 동의를 받아야 하고, 동의를 받을 때에는 위원회 규칙으로 정한 바에 따라 미리 해당 국가의 개인정보보호제도, 제공받을 자가 강구하고 있는 개인정보 보호조치, 그 밖에 본인이 참고해야 할 정보 등을 제공하도록 하고 있다(제24조 제1, 2항).
(2)
또한, 외국의 제3자가 개인데이터의 적정한 취급을 보장할 수 있는 체제를 갖추고 있어 정보 주체의 동의를 받지 않고 개인데이터를 제공할 수 있는 경우에도 개인정보 취급사업자는 위원회가 규칙으로 정한 바에 따라 외국의 제3자가 개인정보 보호를 위한 상당한 조치를 지속해서 실시하도록 하는 데 필요한 조치를 강구함과 동시에 정보 주체의 요구에 따라 해당 조치에 관한 정보를 제공하도록 하고 있다(제24조 제3항).
2. 베트남의 법제
가. 베트남은 데이터 국외 이전에 있어서 중국과 같이 강한 규제를 채택하고 있는 국가이다.
-
베트남의 경우 「기술이전법」 전부개정(2017.9.)을 통해 데이터 정보를 기술이전의 대상으로 정의하고 있다는 점에서 원칙적으로 베트남에 대한 데이터 이전, 베트남 내 데이터의 국외 이전 등은 허용하고 있으나 데이터 현지화 규제를 두고 있다는 점에서 주의가 필요하다.
-
특히 베트남의 경우 불분명한 관련 법체계 및 집행이 우려된다는 점에서 데이터의 국외 이전 과정에서 곤란이 있을 수 있다.
나. 베트남의 법률 체계는 몹시 복잡한데, 특히 데이터 및 개인정보에 관련된 법체계의 경우 일반법 없이 「사이버 정보 보안법」,
「사이버 보안법」,
「개인정보보호에 관한 시행령(초안)」 등 다양한 법령에 산재되어 있다.
(1)
한편 베트남 현행 법령상 개인정보의 국외이전에 대해서는 별다른 규정이 없으나, 2021년 2월에 발표된 「개인정보보호에 관한 시행령(초안)」에서는 정보주체의 동의는 물론 개인 데이터 현지화, 개인정보보호 위원회의 서면 동의 요건 등 무거운 국외이전 요건을 제시하고 있다.
(2)
따라서 베트남 국민의 개인정보가 포함되어 있는 데이터의 국내 이전 또는 제3국으로의 이전 시 관련 규제 현황을 면밀히 조사하고 대응해야 할 것이다
다. 베트남 개인정보보호에 관한 시행령(초안)상 개인정보 국외이전 요건
(1)
법 제21조에서 규정하고 있는 베트남 국민의 개인정보의 국외이전 요건 (아래 네 가지 모두 충족하는 경우 국외이전 가능)
-
정보주체의 개인정보 국외이전에 대한 동의
-
원본 데이터가 베트남에 저장되어 있을 것
-
정보 이전 지역에서 위 시행령 수준 이상의 개인정보 보호 제도가 있음을 증명할 것
-
공안부 산하 개인정보보호위원회의 서면 동의
(2)
위반 시 제재
-
단일 행위 당 최소 1,000만 동(약 50만 원), 최대 8,000만 동(약 500만 원)의 벌금
-
정보의 국경 간 이동에 대한 규정을 반복해 어기거나 행위의 고의성과 악의성이 있을 경우, 해당 기업의 베트남 내 매출액의 5%를 벌금으로 부과
라. 한편 베트남 「사이버 보안법」은 2019년 발효되었는데, 여기에서는 국외이전 대상 데이터를 베트남 영토 내에 저장하도록 규정하고 있으며, 현지 사무소 설립 의무를 규정하고 있다.
마. 베트남 사이버 보안법상 데이터 현지화 규정의 주요 내용
(1)
제26조 제3항에서 규정하고 있는 데이터 현지화 및 지역 사무소 설치 규정
-
개인정보 관련 데이터, 서비스 사용자의 관계 관련 데이터, 베트남의 서비스 사용자가 생성하는 데이터의 수집, 개발, 분석, 처리활동을 하는 업체로서, 통신망, 인터넷을 통하여 서비스를 제공하거나 베트남의 사이버공간상에서 부가서비스를 제공하는 국내 및 국외의 업체는 정부의 규정에서 정한 기간 동안 베트남에서 이 데이터를 저장하도록 의무화
-
사용자가 업로드한 데이터와 사용자 관계에 대한 데이터는 최소 36개월 동안 저장해야 하며 시스템 로그는 최소 12개월 동안 저장되어야 하며, 개인정보에 대한 데이터는 해당 대상의 수명기간 동안 또는 해당 대상이 해당 국가의 사이버 공간에서 서비스를 운영하는 동안 베트남에 저장되어야 함
-
정부가 규정하는 국외 기업은 베트남에 지사(Branch) 또는 대표사무소(Representative
Office)를 설립하도록 의무화
(2)
위반 시 제재
-
베트남에 데이터를 저장하지 않거나, 지사 또는 대표사무소 설립 의무 위반 시 최대 2억 동(약 1,100만 원) 규모의 벌금 부과
바. 그 밖에도 「인터넷과 온라인 법안」 제정, 「개인정보 보호에 관한 시행령」 개정 등이 추진 중이며, 사이버 보안법은 상당 부분을 정부의 하위 규범에 위임하고 있는데, 이에 따라 데이터의 국외이전 관련 규제의 내용 및 범위가 확대될 가능성이 크며 더욱 강력한 데이터 국외이전 규제가 예상된다.
(1)
특히 「인터넷과 온라인 법안」은 베트남 내 서버 설치 의무, 국외이전 대상 데이터의 ‘원본’ 저장 의무 등의 도입을 논의 중이라는 점에서 향후 관련 법제 동향을 주시할 필요가 있다.
정회목 변호사
댓글 없음:
댓글 쓰기