전체보고서
발간물
전체보고서
목록으로
데이터가 경쟁의 승패를 좌우하는 디지털경제하에서 국가간 데이터 이동을 둘러싼 국제적 관심이 고조되고 있다. 제4차 산업혁명이 진전될수록 새로운 비교우위 창출의 원동력인 데이터의 전략적 중요성은 점점 더 높아질 전망이다. 데이터와 경제활동 간 인과관계도 일방향에서 양방향으로 변화하고 있다. 데이터가 경제활동의 기록물로 남기보다 경제활동의 성과 제고를 위한 핵심 중간재로 활용되고 있으며, 상품 및 서비스에 대비되는 새로운 교역재로 인식되고 있다. 국가간 데이터 이동을 바라보는 관점도 충돌하고 있다. 자유방임이 최선임을 주장하는 견해가 있는가 하면, 그러한 자유방임이 데이터 식민지로의 전락을 의미한다는 견해가 공존하고 있다.
안타깝게도, 현행 국제통상규범은 그러한 상반된 관점을 효과적으로 조율할 만한 시스템을 제대로 갖추지 못한 상태이다. WTO 협정에는 국가간 데이터 이동을 규율하는 명시적 규정 자체가 부재하다. 1998년 출범한 WTO 전자상거래 작업계획의 유일한 성과는 사실상 전자적 전송에 대한 한시적 관세유예에 머물러 있다. 일부 FTA가 ‘데이터 국내화요건(data localization requirements)’ 금지 등 초보적 규범을 제정한 바 있지만, 국가간 데이터 이동에 관한 일국의 규제정책공간(regulatory policy space)이 어디까지인지는 아직 모호한 상태이다. 국가간 데이터 이동에 관한 한, 현행 국제통상규범 내에 심각한 법적 진공상태가 존재한다는 것이다.
이러한 맥락에서 일국이 체결한 FTA 규범에 저촉되지 않는 범위 내에서 정당한 정책목표를 추구하기 위한 데이터 관련 규제정책 권한을 행사하더라도 일견 통상 관점에서 문제될 이유는 없어 보인다. 하지만 데이터가 각종 경제활동의 성과를 결정하는 디지털경제하에서 데이터 관련 규제정책은 근본적으로 상품·서비스무역에 영향을 미칠 가능성이 매우 높다. 이는 WTO 회원국에게 중요한 메시지를 던져준다. 데이터 관련 규제정책의 안정적 시행은 데이터 국내화요건 금지 등 FTA 규범은 물론이고 WTO 협정과의 양립성에 의해 보장되는 것이다. 디지털경제 진전에 따른 경제활동의 서비스화 추세에 비추어볼 때, 특히 GATS 양립성은 중요한 점검사항이다.
2018년 5월 시행된 EU GDPR에 대한 국제적 관심이 높은 이유는 그러한 사정과 무관하지 않다. 우리나라에서도 다수의 관련법 개정안이 이미 EU GDPR을 약방문처럼 벤치마크 하는 형국이다. 이는 국내에서 동법을 데이터 관련 규제정책의 이정표로 간주하는 경향이 없지 않음을 시사한다. 하지만 EU GDPR에 WTO 협정 위반요소가 내재하는지에 대한 논의는 찾아보기 어렵다. 국내 관련법의 통상친화성 보장 차원에서 그러한 벤치마크에 앞서 선행되어야 할 동법의 WTO 협정 양립성에 대한 검토가 결여되어 있다는 것이다. 이와 같은 배경하에서, 본 연구는 EU GDPR 주요 규정의 GATS 양립성을 우선 분석하고, 그 결과에 기초해 우리나라 주요 관련법(개정안)의 문제점 및 개선방향을 제시하고자 했다.
EU GDPR은 역내 정보주체의 프라이버시 보호와 자유로운 개인정보 이동을 목표로 하며, 클라우드컴퓨팅 등 IT 기술을 활용한 개인정보의 수집, 가공, 활용 등 개인정보처리에 대해 적용된다. 역내 정보주체의 개인정보를 처리하는 이상 경제활동 분야를 불문하고 적용되며, 역외 서버(server)를 통해 개인정보를 처리하는 온라인서비스 사업자(online intermediaries) 등 EU 역내에 사업장을 두지 않는 기업도 예외가 아니다. 즉 EU GDPR은 역외적용을 원칙으로 한다. 역내에 사업장이 없는 기업은 동법상의 의무 준수에 차질이 없도록 필히 역내 대리인을 지정해야 한다. 따라서 역내 대리인 지정 요건은 동법의 역외적용을 위한 ‘이행조치(compliance measure)’의 성격을 가진다.
EU GDPR은 개인정보 역외이전을 위해서도 특별한 형태의 이행조치를 도입하고 있다. 이는 역외 서버를 통해 개인정보를 처리하는 기업의 개인정보보호 수준이 동법의 눈높이에 부합하도록 요구하는 것이다. 역외 서버를 통한 개인정보처리는 원칙적으로 EU 집행위원회 또는 역내 회원국 감독기관의 심사·승인 절차인 ‘적정성심사(adequacy test)’를 통과한 경우에 한해 허용된다. 전자는 국가 단위에서, 후자는 기업 단위에서 역외 개인정보처리가 동법에 따른 “적정한 보호수준(adequate level of protection)”을 충족하는지를 평가한다. 따라서 개별 기업은 굳이 국가 단위의 적정성심사를 기다릴 필요 없이 스스로 역내 회원국 감독기관에 적정한 보호수준 제공을 약속함으로써 역외 개인정보처리 승인을 취득할 수 있다.
그렇다면 EU GDPR에 따른 역외적용 및 적정성심사가 통상친화적일까? 우선, 여하한 국제통상협정도 역외적용 자체를 금지하지는 않는다. 다만 과거 GATT 체제하의 분쟁 패널이 역외적용에 대한 강한 거부감을 표한 바 있다. 일국의 국내규제를 다른 국가들에게 강제하는 역외적용을 용인한다면, 다자통상체제의 근간이 훼손될 수 있다고 보았기 때문이다. 한편 적정성심사는 GATS의 최혜국대우, 내국민대우 등 비차별대우 의무 위반 가능성을 내재한다. 적정성심사가 기본적으로 국적에 기초하여 서비스(공급자)를 차별하는 조치이기 때문이다.
이를 방어하기 위해서는 국가별 상이한 개인정보보호 수준 또는 역외 개인정보 처리 사실이 상이한 국적의 서비스(공급자) 간 또는 역내·외 서비스(공급자) 간 경쟁관계를 유의미하게 변화시키는 특성임을 입증하는 것이 관건이다. 예컨대 소비자들이 개인정보보호 수준이 낮은 국가의 기업이 제공하는 서비스에 비해 그 수준이 높은 국가의 기업이 제공하는 서비스를 선호한다면, 전자와 후자가 동종 서비스라는 논리는 성립하기 어렵다. 또한 개인정보를 역외에서 처리하는 기업이 제공하는 서비스에 비해 이를 역내에서 처리하는 기업이 제공하는 서비스를 선호한다면, 마찬가지로 전자와 후자를 동종 서비스라고 주장하기 어렵다. 이러한 경우, 개인정보 역외이전에 대한 차등대우가 설령 국적 구분에 의한 것이라고 하더라도 동종 서비스에 대한 부당한 차등대우로 간주되기 어렵다는 것이다. 역으로, 이는 국가별 상이한 개인정보보호 수준 또는 역외 개인정보처리 사실이 소비자의 행태 변화를 야기하지 않는 서비스 분야에서는 적정성심사가 동종 서비스(공급자)에 대한 부당한 차별 논란으로부터 자유롭지 않음을 의미한다.
만일 특정 서비스 분야의 개인정보 국외이전에 대한 적정성심사가 GATS 비차별대우 의무 위반에 해당될 경우, EU는 이를 수수방관할 수밖에 없을까? 그렇지 않다. EU는 “개인적인 자료의 처리와 유포와 관련된 개인의 사생활 보호와 개인의 기록 및 구좌의 비밀번호 보호”를 기재한 GATS 제XIV조(일반적 예외)에 근거해 부분적으로 그러한 문제에 대응할 가능성이 남아 있다. 이와 관련하여 유념해야 할 사실은 GATS 제XIV조를 동원할 수 있는 조치가 개인정보보호에 관한 모든 조치를 의미하지 않는다는 점이다. 개인정보보호에 관한 한, GATS 제XIV조를 통한 정당화는 적정성심사와 같이 일국의 개인정보보호 관련법 준수를 확보하기 위한 이행조치에 국한된다.
우리나라는 개인정보, 공간정보 등 데이터 국외이전에 관해 엄격한 ‘시장개입형 규제(opt-in regulation)’ 기조를 견지해왔다. 국가안보 논리를 동원할 수 있는 공간정보 국외이전에 대한 규제와 달리, 개인정보 국외이전에 대한 규제는 통상친화성에 취약한 구조이다. 이에 따라 제4차 산업혁명이 회자되기 시작한 2016년부터 데이터 관련 정책의 변화를 모색해야 한다는 견해도 제기되고 있다. 하지만 최근 국내 관련법 개정 동향은 여전히 데이터 활용에 비해 데이터 주권에 더 많은 무게를 두는 국내 여론을 실감하게 한다. 특이한 사실은 개인정보보호에 관한 일반법인 개인정보보호법에 비해 특별법인 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하, 정보통신망법과 전기통신사업법), 인터넷 멀티미디어 방송사업법(이하, IPTV법) 등 개인정보보호와는 직접적인 연관성이 없는 분야별 법령 개정을 위한 EU GDPR 벤치마크가 활발하다는 점이다. 빈번한 벤치마크 대상은 EU GDPR상의 역외적용, 국내 대리인 지정 요건 및 개인정보 역외이전에 관한 적정성심사이다.
특이한 사실은 그뿐만이 아니다. 전기통신사업법 및 IPTV법 개정안은 공통적으로 규제의 역차별 해소를 표방하면서 EU GDPR을 벤치마크 하고 있다. 예컨대 국내에 사업장을 두지 않고 해외에서 공급되는 부가통신서비스, 즉 부가통신서비스의 국경간 공급(mode 1)에서 비롯된 자물쇠(규제의 역차별)를 EU GDPR이라는 열쇠로 열려는 아이러니가 발생하고 있다는 것이다. 목적과 수단의 부정교합인 셈이다. 이는 부가통신서비스의 국경간 공급 양허 사항을 개인정보보호에 관한 국내규제의 역외적용 및 그 이행조치(국내 대리인 지정 요건)로 풀어보려는 시도로서, 향후 통상 문제로 발전할 가능성을 배제할 수 없다.
좀 더 심각한 통상마찰 가능성은 시행을 목전에 두고 있는 정보통신망법 개정안상의 개인정보 국외이전에 관한 상호주의 적용 조항에서 찾아볼 수 있다. 이는 명백하게 국적 구분에 기초해 온라인서비스 사업자 간 차별을 유발하는 조치로서, 우리나라가 관련 조약을 통해 최혜국대우 의무를 면제받지 않은 이상 최혜국대우 의무 위반을 피해가기 어렵다. 소관부처가 모종의 목적 달성을 위해 너무 성급한 나머지 핵심 쟁점을 간과했을 가능성이 의심되는 대목이다. 급할수록 돌아갔어야 옳았다는 생각을 떨칠 수 없다. GATS 양립성 제고를 위해서는 지금이라도 EU의 적정성심사 규정에 대한 면밀한 검토를 통해 개인정보 국외이전에 관한 통상친화적 심사절차를 준비하는 것이 시급하다. 추가적으로, 국회 계류 중인 정보통신망법 개정안의 ‘국내서버요건(local server requirement)’은 GATS 또는 한·미 FTA상의 시장접근 및 내국민대우 의무 위반이 우려되므로 재고하는 것이 바람직하다.
Law amendments with reference to the EU General Data Protection Regulation (GDPR, henceforth) are flooding in Korea. It signals that GDPR is one way or another treated as a landmark for regulatory policy on data space. However, a point to see before such benchmarking is whether GDPR itself is compatible with the WTO Agreement. If not, Korea is likely to suffer from the same trade conflicts as the EU would face. Motivated by the concern, this study seeks to figure out key trade issues of Korea’s recent law amendments inspired by GDPR.
The GDPR applies to all companies processing the personal data of data subjects residing in the EU, aiming to protect its citizens from privacy and data breaches as well as to facilitate free flow of data in the region. One of the major features of GDPR is the extended jurisdiction, so that it applies to the processing of personal data of the EU data subjects by a company not established in the EU. Non-EU businesses processing the data of EU citizens must appoint a representative in the EU to meet the obligations imposed by GDPR. Such requirement to appoint a local representative may be understood as a compliance measure in the GATS context.
There is another kind of compliance measure, so-called ‘adequacy test.’ A country outside the EU should be recognised by the European Commission as having adequate protections in place in order to freely transfer personal data to somewhere outside the EU. It is the Commission that makes the final decision on adequacy status. Alternative route for a company without regional establishment to secure adequacy status for offshore processing personal data of EU citizens is to get an approval from supervisory authorities of EU Member States. In such instances, it is necessary for the company to adduce adequate safeguards for the protection of privacy and personal data.
Is extraterritorial jurisdiction or adequacy test of GDPR trade-friendly then? Despite the lack of any available legal basis in trade agreements, the GATT dispute settlement panel once rejected extraterritorial jurisdiction because it would undermine the legal security of the multilateral trade framework. Adequacy test has potentially severe problems in terms of the GATS consistency. It is basically a discriminatory measure by reasons of origin, so that services and service suppliers are presumed to be of like. Unless such differential treatment is effectively justified by some other characteristics inextricably linked to such origin, it could constitute discrimination under MFN or national treatment obligations on a case-by-case basis. It deserves special attention for the EU to have a safeguard against such potential violations, none other than the GATS Article XIV (General Exceptions). In fact, this option is feasible for the EU because adequacy test is a compliance measure. Recourse to GATS Article XIV is available on the condition that challenged measure is a compliance measure, as far as it may be concerned with protection of privacy and personal data.
Korea has been maintaining strong opt-in regulation on cross-border data transfer including personal data and space information. Contrary to regulation on space information equipped with solid national security ground, regulation on personal data transfer overseas is relatively vulnerable to trade friction. Views are spreading that Korea should change its policy stance to cope with the 4th industrial revolution, a common saying since 2016. Public sentiment still seems to put more weight on data sovereignty than usage in light of the recent law amendments. Patterns are unusual in law-making. Legislation is lingering in the Personal Information Protection Act that is the general law on the protection of personal data. In contrast, legislative efforts are very active in sectoral laws such as the ‘Telecommunications Business Act (TBA, henceforth)’ and ‘Internet Multimedia Broadcast Services Act (IMBSA, henceforth).’ Seemingly having little connection to the protection of personal data, they frequently adopt extraterritorial jurisdiction, local representative appointment requirement and adequacy test of GDPR.
There are more to mention. Benchmarking GDPR, amendment bills of TBA and IMBSA claim to stand for relieving reverse discrimination in regulation. In a word, bill drafters presumably intend to solve regulatory issues induced by cross-border supply of value-added telecommunications services through capitalizing extraterritorial jurisdiction and local representative appointment requirement of GDPR. However, it is not unlike we try to open the lock with a wrong key. Figuratively speaking, it is a crossbite between means and end. Regulatory approach of this kind often leads to trade conflicts.
Much more serious attention is due to two elements of the amendment bill of ‘Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.’ One is the reciprocity provision and the other is the local server requirement. Aiming to authorize overseas transfer of personal data on a reciprocal basis, the former is scheduled to go into effect very soon. This clause is obviously a measure by origin discriminating between foreign online service suppliers. Without MFN exemptions registered in any trade agreements, Korea has no authority to implement such a measure. Although the latter is pending at the National Assembly, it is highly likely to run counter to Korea’s market access and national treatment obligations in the context of GATS and KORUS FTA as well. Therefore, repealing the amendments is greatly advisable to stop Korea from being embroiled in unnecessary trade disputes.
국문요약
제1장 서론
제2장 데이터 국외이전에 관한 국내외 동향 및 현안
1. 국제통상규범 제정·논의 동향
가. WTO/TiSA
나. 주요 FTA
다. USTR의 우리나라 디지털무역장벽 지적 사례
라. 주안점 및 특징
2. 주요 국내법제 현황 및 쟁점
가. 개요
나. 국내 관련규정의 현황 및 쟁점
제3장 데이터 국외이전 규제에 관한 GATT/GATS의 근거규범
1. WTO 차원의 디지털무역에 관한 논의
가. 디지털무역 논의를 위한 선결문제(threshold problem)
나. WTO 차원의 전자상거래 논의 개요
다. 제11차 WTO 각료회의
2. 데이터의 국가간 이동에 적용 가능한 GATT 규정 및 현안
가. 개관
나. 최혜국대우
다. 내국민대우
라. 일반적 예외(General Exceptions)
마. 안보상의 예외(Security Exceptions)
바. 정보기술협정
3. 데이터의 국가간 이동에 적용 가능한 GATS 규정 및 현안
가. 개관
나. 분류 문제
다. 최혜국대우
라. 국내규제
마. 시장접근 및 내국민대우
바. 일반적 예외 및 안보상의 예외
제4장 EU GDPR을 둘러싼 통상법적 논란의 주요 내용 및 시사점
1. EU GDPR의 배경 및 개요
가. EU GDPR 제정의 역사 및 배경
나. EU GDPR의 개요
2. EU GDPR의 주요 쟁점
가. 역외적용
나. 역내 대리인
다. 개인정보의 역외이전
3. EU GDPR의 통상법적 논란 및 시사점
가. 역외적용
나. 적정성심사
제5장 데이터 국외이전에 관한 주요 국내법제 개선방향
1. 무역친화적 데이터 국외이전 규제를 위한 정책적 유념사항
가. 서비스의 국경간 공급과 규제의 역차별 해소
나. EU GDPR 규정의 선택적 벤치마크
다. GATS의 일반적 예외 규정 활용
라. 데이터의 국가간 이동에 관한 관할협정 및 양허 판단
마. 무역상대국의 포럼선택(forum-shopping)
2. 주요 국내법제의 무역친화성 제고방향
가. 국내법제의 개정 추진동향 및 평가
나. 역외적용
다. 국내 대리인 지정 요건
라. 상호주의 적용
마. 국내서버요건
참고문헌
Executive Summary
판매정보
| 분량/크기 | 272 |
|---|---|
| 판매가격 | 10000 원 |
같은 주제의 보고서
연구보고서
아세안 경제통합의 진행상황 평가와 한국의 대응 방향: TBT와 SPS를 중심으로
2023-12-29
연구자료
디지털 정책과 규제 변화 분석: Digital Policy Alert 통계를 중심으로
2023-12-11
연구자료
클라우드 서비스 해외투자 동향과 국내 규제 분석
2023-10-20
연구보고서
국경간 전자상거래가 글로벌 가치사슬에 미치는 영향
2022-12-30
연구보고서
디지털통상협정의 한국형 표준모델 설정 연구
2023-05-26
연구자료
무역과 노동의 연계에 관한 글로벌 규범 현황과 시사점
2022-12-30
APEC Study Series
Regulatory Similarity Between APEC Members and its Impact on Trade
2022-12-16
APEC Study Series
Regulatory Similarity Between APEC Members and its Impact on Trade
2022-12-16
연구보고서
디지털 무역협정 전략 로드맵 연구
2022-12-30
연구보고서
디지털 플랫폼의 활용이 중소기업의 국제화에 미치는 영향과 정책 시사점
2021-12-30
연구보고서
미중 반도체 패권 경쟁과 글로벌 공급망 재편
2021-12-30
연구보고서
디지털 전환 시대의 디지털 통상정책 연구
2021-12-30
중장기통상전략연구
디지털 전환에 따른 노동시장의 변화와 정책 시사점
2021-12-30
중장기통상전략연구
디지털플랫폼에 관한 최근 EU의 규제개편 및 우리나라의 통상친화적 제도 개선 방향
2021-12-20
전략지역심층연구
신흥국 정부조달시장 개방실태 분석과 중소기업에 대한 시사점
2019-12-30
연구보고서
신보호무역주의정책의 경제적 영향과 시사점
2019-12-30
중장기통상전략연구
무역기술장벽(TBT)의 국제적 논의 동향과 경제적 효과 분석
2019-12-30
연구보고서
한국의 대(對)동남아 소비재수출 활성화 방안: 한중일 비교분석을 중심으로
2018-12-31
연구보고서
신보호주의하에서 미국 무역구제제도의 변화와 주요 사례 연구
2018-12-31
연구보고서
신보호무역주의하에서의 비관세조치 현황과 영향에 관한 연구: UNCTAD 비관세조치 분류체계를 중심으로
2017-12-27
공공저작물 자유이용허락 표시기준 (공공누리, KOGL) 제4유형
대외경제정책연구원의 본 공공저작물은 "공공누리 제4유형 : 출처표시 + 상업적 금지 + 변경금지” 조건에 따라 이용할 수 있습니다. 저작권정책 참조
콘텐츠 만족도 조사
이 페이지에서 제공하는 정보에 대하여 만족하십니까?