본문으로 바로가기

전체보고서

발간물

전체보고서

인쇄

개인정보보호, EU GDPR

전체 2건 현재페이지 1/1

  • 클라우드 서비스 해외투자 동향과 국내 규제 분석

    이 보고서는 클라우드 서비스 해외직접투자와 규제 동향을 점검한다. FDI Markets.com 데이터를 통해 2016~22년 동안 발생한 클라우드 서비스 해외직접투자 프로젝트 2,442건(기업 수준)을 확보하고 투자 목적, 연도, 대상 국가, 투자 규모, 해당 산..

    이규엽 외 발간일 2023.10.20

    개인정보보호, 전자상거래

    원문보기

    목차
    국문요약

    이 연구에서 사용한 주요 약어

    들어가며

    제1장 서론
    1. 연구 배경
    2. 연구 필요성과 목적
    3. 연구 내용과 방법

    제2장 클라우드 서비스 해외직접투자 동향 분석
    1. 분석 자료와 방법
    2. 통계 분석 결과

    제3장 클라우드 산업 국내 규제 분석
    1. 지역별 국가
    2. 한국의 클라우드 산업 규제

    제4장 결론
    참고문헌

    부록

    Executive Summary
    닫기
    국문요약
    이 보고서는 클라우드 서비스 해외직접투자와 규제 동향을 점검한다. FDI Markets.com 데이터를 통해 2016~22년 동안 발생한 클라우드 서비스 해외직접투자 프로젝트 2,442건(기업 수준)을 확보하고 투자 목적, 연도, 대상 국가, 투자 규모, 해당 산업(대분류, 중분류) 등에 관한 정보를 활용하여 통계 분석을 수행한다. 첫째, 2016~22년 클라우드 서비스 해외직접투자의 총액은 약 2,144억 달러이다. 정보통신기술과 인프라 구축을 위한 해외 설비투자가 주요 목적이며, 통신 산업, 소프트웨어와 정보기술 서비스 산업이 총투자액의 98.7%를 설명한다. 고소득 국가간 해외투자가 약 62%(약 1,329억 달러)를 차지하며, 고소득 국가와 상위 중소득국 국가간 거래로 확대하면 85.5%(1,839억 달러)에 달한다. 하위 중소득 국가는 하위 중소득 국가에 투자(약 9억 달러)하기보다 고소득 국가(약 15억 달러)에 투자를 집중한다. 저소득 국가간 해외투자 실적은 나타나지 않는다. 아메리카, 유럽, 아시아, 아프리카 지역 내 국가(오세아니아 제외)끼리 거래가 활발하고, 아메리카와 유럽 간 해외투자가 가장 큰 비중(29.3%)을 차지한다. 클라우드 서비스 해외직접투자를 주도(투자 비중 61.9%)하는 지역은 아메리카이며, 지역간 거래 패턴을 살펴보면 유럽(35.5%), 아시아(25.6%), 아메리카(24.4%) 순으로 투자가 집중된다. 

    둘째, 유럽 지역(투자국 43개, 피투자국 37개)에 투자된 총액은 약 760억 달러이다. 아메리카 지역의 국가가 유럽 지역에 투자한 금액은 약 529억 달러로 전체에서 69.6%를 차지한다. 유럽 지역의 주요 투자국은 미국(약 519억 달러 투자)이고, 유럽 지역의 1위 투자대상국은 네덜란드이다. 아시아 지역(투자국 35개, 피투자국 39개)에 투자된 총액은 약 549억 달러이다. 아메리카 지역의 국가가 아시아 지역에 투자한 금액은 약 319억 달러로 전체에서 58.1%를 차지한다. 아시아 지역의 주요 투자국은 미국(약 316억 달러 투자)이고, 아시아 지역에서 1위 투자대상국은 인도다. 아메리카 지역(투자국 37개, 피투자국 21개)에 투자된 총액은 약 523억 달러이다. 아메리카 지역의 국가가 동일 지역에 투자한 금액은 약 298억 달러로 전체에서 56.9%를 차지한다. 아메리카 지역의 주요 투자국 역시 미국(약 250억 달러 투자)이며, 아메리카 지역에서 1위 투자대상국은 캐나다다. 아프리카 지역(투자국 19개, 피투자국 26개)에 투자된 총액은 약 172억 달러이다. 아메리카 지역의 국가가 아프리카 지역에 투자한 금액은 약 68억 달러로 전체에서 39.4%를 차지한다. 아메리카 지역에서 아프리카 지역에 투자한 국가는 미국이 유일하고, 아프리카 지역에서 1위 투자대상국은 남아프리카공화국이다. 오세아니아 지역(투자국 12개, 피투자국: 호주와 뉴질랜드)에 투자된 총액은 약 140억 달러이다. 아메리카 지역의 국가가 오세아니아 지역에 투자한 금액은 약 115억 달러로 전체에서 81.8%를 차지하며, 미국이 투자한 금액이 약 108억 달러에 달한다. 아메리카 지역에 아시아 지역의 국가는 약 15억 달러(10.7%), 유럽은 약 9억 달러(6.5%)를 투자했다. 한국은 2016~22년 동안 미국, 중국, 인도, 아프리카 등 일부 국가에 투자했고, 투자한 총액은 5억 8,000만 달러로 세계 클라우드 서비스 투자액의 약 0.3% 수준이다. 한국에 투자한 국가는 미국, 중국, 아세안 10국과 인도, 싱가포르, 홍콩뿐이다. 한국의 클라우드 서비스 외국인직접투자 총액은 21억 6,000만 달러(1.0%)이고, 해당 금액은 미국의 약 12억 7,000만 달러, 아세안 10국과 인도의 5억 3,000만 달러, 중국의 2억 4,000만 달러, 나머지 국가의 1억 2,000만 달러로 구성된다. 

    셋째, 미 무역장벽보고서(2017~23년)를 바탕으로 주요국의 클라우드 산업 관련 국내 규제를 살펴본 결과, 시장 개방, 데이터 현지화, 국경간 데이터 이동 제한, 보안인증, 국산품 구매 의무, 콘텐츠 통제의 측면에서 나라마다 차이가 드러났다. 시장 개방과 관련하여 중국은 상업적 주재를 통한 클라우드 서비스 제공을 허용한다고 GATS 양허표에 기재했지만, 현재까지 외국 회사에 허용한 사례가 없어 실질적으로는 시장을 개방하지 않은 것으로 평가된다. 데이터 현지화와 국경간 데이터 이동 제한을 함께 적용하는 국가로는 중국, 사우디아라비아, 남아프리카공화국이 있고, 데이터 현지화만 요구하는 국가로는 파나마, 나이지리아가 있다. 국산품 구매 의무는 중국과 필리핀에서 부과된다. 보안인증은 EU, 프랑스, 미국, 우리나라와 같이 비교적 선진 경제권에서 요구된다. 콘텐츠 통제가 있는 국가는 사회주의 정치체제를 가진 베트남과 왕정 국가인 사우디아라비아이다. 조사 대상 규제 항목에 가장 많이 해당한 국가는 중국과 사우디아라비아이다. 연도별로 볼 때, 기존 규제가 철폐된 경우는 희소하고 새로운 규제가 도입된 경우가 대부분이다. 특히 최근인 2022년 전후에 규제가 도입된 경우가 많았다. 예컨대 나이지리아는 2022년부터, 파나마는 2023년부터 데이터 현지화 규제가 도입되었다.

    정부가 제4차 클라우드 컴퓨팅 기본 계획(2025~27년)을 수립하고, 국내 클라우드 서비스 공급기업의 해외 진출만큼 중요한 클라우드 서비스 외국인직접투자 정책과 규제 정책을 검토하는 과정에서 이 보고서의 분석 결과가 유용한 참고 자료로 활용되길 기대한다.
    닫기
  • EU GDPR 위반사례의 분석과 시사점

       이 보고서는 EU GDPR 위반사례에 관한 통계를 분석하고, EU 법원 판결문 및 개인정보 감독당국의 결정을 검토한 후, 판결 및 결정의 근거가 된 EU GDPR 조항과 국내법령을 비교분석하여 시사점을 도출했다.    2018년 6월부..

    이규엽 외 발간일 2020.11.20

    EU GDPR, 개인정보보호

    원문보기

    목차
    국문요약

    제1장 서론
    1. 연구의 필요성과 목적
    2. 연구의 내용과 구성
    3. 연구의 차별성

    제2장 EU GDPR 과징금 부과 현황
    1. 시기별
    2. 국가별
    3. 위반유형별
    4. 조항별

    제3장 EU GDPR 관련 EU 법원의 판례
    1. 독일소비자단체연합 대 플래닛49 사건: 수동적 동의  
      가. 사건의 배경  
      나. 독일 프랑크푸르트 암 마인 지방법원의 판단: 수동적 동의는 무효
      다. 독일 프랑크푸르트 암 마인 고등법원의 판단: 수동적 동의는 유효
      라. 독일연방법원: EU 법원에 선결적 판결 요청
      마. EU 법원의 판결: 수동적 동의는 무효
    2. 아일랜드 당국 대 페이스북 아일랜드 사건: 개인정보 역외 이전
      가. 사건의 배경
      나. 아일랜드 개인정보 감독당국의 결정: 페이스북에 대한 조사 신청 기각
      다. 아일랜드 고등법원의 선결적 판결 요청과 EU 법원의 기각결정 무효판결
      라. 아일랜드 고등법원의 기각결정 취소판결 및 개인정보 감독당국의 조사
      마. 아일랜드 개인정보 감독당국의 요청에 따른 조사 신청서 변경
      바. 변경된 신청에 따른 당국의 소제기 및 법원의 선결적 판결 요청
      사. EU 법원의 판단: 프라이버시 실드 결정은 무효
    3. 구글 스페인 및 구글 대 스페인 당국 사건: 잊힐 권리
      가. 사건의 배경
      나. 스페인 개인정보 감독당국의 결정: 일부 기각
      다. 스페인 고등법원의 선결적 판결 요청
      라. EU 법원의 판결: 잊힐 권리 인정
    4. 구글 대 프랑스 당국 사건: 장소적 적용 범위
      가. 프랑스 개인정보 감독당국의 결정: 모든 국가의 구글 검색엔진에서 삭제
      나. 프랑스 최고행정법원의 선결적 판결 요청
      다. EU 법원의 판결: EU 역내에서의 구글 검색엔진에서 비참조(링크 삭제)
    5. 소결

    제4장 국내법령과의 비교
    1. 수동적 동의
      가. 우리나라 법률에서 수동적 동의의 유효성 여부
      나. 우리 법원의 판례
    2. 개인정보 국외 이전
      가. 우리나라 법률에서 개인정보 국외 이전 규정
      나. EU GDPR과 비교
    3. 잊힐 권리
      가. 잊힐 권리의 정의
      나. 우리나라 법률에서의 잊힐 권리 인정 여부
      다. 우리나라 법률과 EU GDPR의 차이
    4. 소결

    제5장 결론

    참고문헌

    Executive Summary



    닫기
    국문요약
       이 보고서는 EU GDPR 위반사례에 관한 통계를 분석하고, EU 법원 판결문 및 개인정보 감독당국의 결정을 검토한 후, 판결 및 결정의 근거가 된 EU GDPR 조항과 국내법령을 비교분석하여 시사점을 도출했다.
       2018년 6월부터 2020년 10월까지 GDPR Enforcement Tracker가 제공한 위반사례 414건을 분석한 결과, EU GDPR 위반유형 중에서 데이터 처리에 대한 법적 근거 부족, 정보보안을 위한 기술적·조직적 조치 불충분, 일반데이터 처리원칙 불이행이 위반사례 건수의 약 75%를 차지하고 과징금액 비중의 98%를 차지한다. EU GDPR 관련 EU 법원의 선결적 판결을 기초로 수동적 동의의 유효성, EU와 미국 사이에서 개인정보 이전의 근거인 프라이버시 실드 제도의 유효성, 잊힐 권리의 인정 여부 및 지리적 적용 범위에 관해 검토하여 세 가지 주요 결과를 얻었다. 첫째, 미리 선택되어 있는 체크박스와 같은 수동적 동의는 유효한 동의가 아니다. 둘째, 정보기관에 대해 구속력 있는 결정을 내릴 수 없는 옴부즈맨 제도는 사법적 구제수단이 아니기 때문에 프라이버시 실드 제도는 무효다. 셋째, 잊힐 권리가 인정되며 이 권리의 행사에 따라 인터넷 검색 결과에서 삭제되어야 하는 지리적 범위는 전 세계가 아닌 EU 역내로 제한된다. EU 법원의 판결 및 EU GDPR 규정을 우리 법률 및 판례와 비교하면 유사점과 차이점이 나타난다. 우리 법률에 의하더라도 수동적 동의는 유효한 것으로 해석되지 않는다. 우리 법원도 정보주체의 동의 의사를 제3자가 객관적으로 확인할 수 있는지를 중요한 기준으로 언급했다.
       우리 개인정보보호법과 EU GDPR의 차이점은 개인정보 국외이전과 잊힐 권리에서 식별된다. 개인정보 국외이전은 우리 법률에서는 정보주체의 동의를 받는 경우에만 허용된다. 반면 EU GDPR에서는 정보주체의 동의가 없더라도 EU 집행위원회가 개인정보가 이전될 국가나 지역에서 적정한 보호 수준이 보장된다는 결정을 내린 경우 개인정보 역외이전이 허용된다. 그런데 정보주체의 동의라는 유일한 기준을 충족시킬 것을 요구하는 우리 법률이 개인정보보호라는 목적을 달성하는 데 충분하지 않은 반면, 개인정보의 활용에는 중대한 장애물이라는 시각도 있다. 개인정보가 아닌 우리 국민의 정보는 지금도 기업 사이의 약정을 통해 국외로 이전될 수 있다. 또한 개인정보와 개인정보가 아닌 정보 사이의 경계가 언제나 명확한 것은 아니다. 개인정보가 아닌 정보는 다른 정보와 용이하게 결합하여 개인을 특정할 수 없는 정보로 정의되지만, 결합에 소요되는 시간, 비용, 기술은 기술의 발달 등으로 인해 바뀔 수 있다. 그러므로 장기적으로는 우리나라도 EU와 같이 동의 이외에 개인정보 국외 이전의 근거가 될 적정성 평가제도의 도입에 대해 논의할 필요가 있다.
       우리 개인정보보호법과 EU GDPR의 또 다른 차이점은 잊힐 권리이다. 잊힐 권리는 EU 법원의 판례를 통해 먼저 인정된 후 EU GDPR에 명시되었다. 잊힐 권리에 대해 EU 법원은 “정보주체와 개인적으로 관련되는 정보가 일정 시간이 지난 현재 시점에서는 정보주체의 성명으로 검색하여 표시된 검색 결과에서 정보주체의 이름으로 더 이상 링크되지 않을 권리”라고 설명했다. 반면 우리 법률에는 잊힐 권리에 대한 명시적 근거가 없으며, 우리 법원도 잊힐 권리를 인정하지 않는다. 우리 법률이 EU GDPR과 차이가 있다는 사실이 우리 법률을 개정해야 한다는 것을 의미하지는 않는다. 특히 잊힐 권리의 경우 정보주체의 권리 측면뿐만 아니라 정보에 대한 접근의 자유, 학문, 예술, 언론의 자유와도 밀접한 관계가 있기 때문이다. 국가마다 사회마다 잊힐 권리를 인정할 것인지와 인정하더라도 어떤 내용과 범위로 인정할 것인지는 달라질 수밖에 없다. 그러므로 잊힐 권리와 관련해서는 개인정보보호 분야 외에 시민단체, 언론계 등의 전문가들도 포함한 광범위한 논의가 필요하며 동시에 EU 등 주요국의 동향에도 지속적으로 주목할 필요가 있다.
       EU GDPR의 위반사례가 지속적으로 늘어날 것으로 예상되므로 우리 기업과 정부의 적극적인 대비와 함께 개인정보의 국외이전에 따른 부과사례에 관한 연구가 필요하다. 또한 미국을 포함한 여러 국가가 EU GDPR을 개인정보보호 분야의 중요한 표준으로서 참고하는 추세이므로, 우리나라도 국내 데이터 관련 법률을 정비하고 개선하기 위한 노력이 요구된다. 이 보고서에서 식별한 우리 법률과 EU GDPR의 차이점을 기초로 개인정보의 국외이전을 위한 다양한 근거 허용 여부와 국외로 이전된 개인정보에 대한 효과적인 보호 방안에 관한 논의가 확산되길 기대한다.
    닫기
처음 1 / 마지막
공공누리 OPEN / 공공저작물 자유이용허락 - 출처표시, 상업용금지, 변경금지 공공저작물 자유이용허락 표시기준 (공공누리, KOGL) 제4유형

대외경제정책연구원의 본 공공저작물은 "공공누리 제4유형 : 출처표시 + 상업적 금지 + 변경금지” 조건에 따라 이용할 수 있습니다. 저작권정책 참조

콘텐츠 만족도 조사

이 페이지에서 제공하는 정보에 대하여 만족하십니까?

콘텐츠 만족도 조사

0/100