전체메뉴

디지털 시대가 본격화되면서 세계 각국은 자국의 데이터를 보호하고 사용방법·목적을 결정할 수 있는 권리라고 할 데이터 주권의 유지, 보호에 주력하고 있다.

특히 클라우드 분야에서는 디지털 형식으로 저장된 데이터에 그 저장 장소가 있는 국가의 법률이 적용된다는 개념으로 확장되면서 ‘데이터 주권’ 개념이 중시되고 있다.

이는 데이터 흐름을 촉진해 부가가치를 창출하고, 자국 산업을 보호하기 위한 방어막이 되고 있다.

개인 차원에서도 자신의 데이터를 관리하는 권리를 가지고 데이터 활용 과정에서 자기 결정권을 확대한다는 개념의 데이터 주권이 주목을 받고 있다.

한국 데이터 ‘헌법’, 개인정보보호법
구체적으로 데이터 주권은 자국 기업 보호, 개인정보 국외반출 금지, 이를 위한 규제 확대 등으로 나타난다. 우리나라는 개인정보보호법 등에 따라 데이터 국외이전을 규제하고 있다.

개인정보를 국외 제3자에게 유출하려면 정보주체의 동의를 받도록 하며, 국가안보나 조세회피, 국내산업에 피해를 줄 경우 등엔 국외반출을 금지하고 있다.

한국정보화진흥원이 펴낸 보고서에 따르면 미국과 중국, EU, 인도 등 세계 각국에서도 최근 데이터 주권을 위한 다양한 노력과 정책을 펴고 있다.

유럽 여러 나라들은 특히 차별적 규제를 통해 데이터 주권 확보에 각별히 노력하고 있다. 그 중에서도 미국에 대한 견제가 강하다.

즉 데이터 정책과 클라우드 정책을 통합적으로 추진하여 미국, 중국 등의 거대 플랫폼 기업에 종속되는 현상을 막고자 한다.

미국, 데이터 활용과 이동에 대한 폭넓은 자율성
이에 비해 미국은 데이터 활용과 국가 간 이동에 관한 폭넓은 자율성을 부여하고 있다. 즉 일부 분야를 제외하고 기본적으로 옵트-아웃(opt-out) 방식으로 개인정보 또는 데이터에 관한 규제를 최소화하고 있다.

또 자국민 개인정보의 국외 이전을 제한하기보다 정부의 국외 정보 접근에 더 무게를 싣고 있다. 그 결과 자국 플랫폼 기업을 위해 외국 정부에 대한 규제를 최소화하고 있다. 그러나 최근 국가안보 등을 이유로 자국의 역외데이터 접근에 대한 법적 근거를 마련하는 등 대외적 영향력을 확대하고 있다.

‘해외정보이용 합법화법’을 통해 미국 정부기관은 국내외를 막론하고 실제 데이터가 저장된 위치에 관계없이 이를 제공해줄 것을 요청할 수 있도록 한 것이다. 세계 데이터 패권국가로서의 면모라고 할 수 있다.

중국, 폐쇄적 데이터 정책
이에 맞선 중국은 규제 중심의 폐쇄적 데이터 이동 정책을 펴고 있다. 그렇다보니 자국민의 온라인 활용을 감시하거나, 다른 국가나 기업을 노골적으로 차별하고 있다. 중국은 아예 데이터 국외이전을 원천적으로 금지하고 있다.

즉 핵심정보 인프라 시설 사업자가 중국 내에서 수집·생성한 개인정보나 중요 데이터는 반드시 중국 내에 저장하도록 의무화한 것이다.특히 중국의 사이버보안법은 매우 엄격하다.

중국에서 수집·창출된 개인정보와 중요 데이터는 현지 서버 저장을 의무화하되, 국외로 전송할 때는 매우 엄격한 보안 평가를 실시하도록 한다.

핵심 정보통신 시설(CII) 운영자에게 또한 엄격한 책임과 의무를 부과하고 있다. 개인정보 보호가 미흡한 제3국으로의 개인정보 이전 불허하되, 자율규제, 표준계약서 등 안전대책을 갖춘 경우는 허용하고 있다.

러시아, 아시아 각국도 다양한 규제책
이 밖의 다른 나라들도 각기 나름의 규제와 시스템을 통해 데이터 주권을 확보하는데 주력하고 있다. 러시아는 ‘러시아 연방법’의 관련 조항에 따라 자국민의 개인정보는 러시아 국내에 설치된 DB에 관리하고, 데이터센터 소재를 당국에 신고토록 하고 있다.

베트남은 ‘인터넷 통화, SM서비스제공·이용 관리 규정’을 통해 유상 OTT 서비스를 제공하는 해외사업자의 자격을 제한하고 있다.

사업인가를 취득 한 베트남 사업자와 동업 계약을 했거나, 베트남 국내에 1개 이상의 서버를 설치하고 베트남 사업자와 업무협약을 체결한 경우에 한한다. 또 웹사이트나 SNS 웹사이트 사업자는 감독 당국의 검사를 받는 하나 이상의 서버를 베트남 국내에 설치하도록 의무화하고 있다.

인도네시아의 경우 ‘전자시스템과 거래조직에 관한 규정’에 따라 공공서비스 전자시스템 관리자는 데이터센터를 국내에 설치해야 한다. 건강정보는 보건부장관이 관리하는 데이터센터와 연결된 국내 데이터센터에서 처리해야 한다.

또 이 나라 정보통신부 규칙은 개인정보 취급에 관한 포괄적 의무 규정, 데이터를 국외이전하는 사업자의 정보통신부와의 협의 의무 등을 규정하고 있다. 특히 외자계 기업이 OTT 서비스를 제공할 때에는 국내에 항구적 시설을 두어야 한다.

인도, 앱용 서버 필히 자국내 설치 의무화
인도는 이른바 ‘M2M 로드맵’을 통해 국가 안보 관점에서 인도 국내 이용자에게 서비스를 제공하는 M2M 게이트웨이나 앱용 서버는 모두 국내에 설치토록 하고 있다.

호주는 ‘건강기록 시스템’ 관련 법규에 따라 규제하고 있다. 등록된 포털 운영자나 계약 서비스 제공자인 건강기록 시스템 운영자가 주 대상이다. 이들은 개인이 식별 가능한 호주 시민의 건강기록을 해외에서 보관·처리하는 것을 금지하고 있다.

일본 역시 ‘개인정보 보호법’에 따라 국외의 제3자에게 개인정보를 제공할 경우를 규제하고 있다. 이에 따르면 미리 외국의 제3자에게 개인정보를 제공하는 것에 대해 정보 주체의 동의를 얻어야 한다.

한국, 글로벌 업체에 대한 제약 미미
한편 우리나라도 개인정보보호법 등에 따라 데이터의 국외이전을 규제하고 있다. 즉 개인정보를 국외 제3자에게 제공하려면 정보주체의 동의를 받아야 한다고 규정하고 있다. 다만  국가안보, 조세회피, 불공정 경쟁에 다른 국내산업 피해 등의 우려가 있을 경우 공간정보의 국외반출을 금지하고 있다.

그럼에도 글로벌 업체들의 국내 데이터 접근·활용에 대한 제약은 거의 없다고 할 수 있다. 공공데이터 포털(data.go.kr)을 비롯하여 국내에서 제공되는 데이터에의 외국 기업의 접근·이용을 제약하는 제도적·기술적 규제가 미흡하다는 지적이다. 

다만, 실제 데이터를 활용하려는 경우 누구나 접근하여 쓸 수 있도록 공개하는 것이 아니라 관리 기관의 승인에 의해 엄격하게 활용 여부를 관리하고 있다.

제조업계 데이터의 경우에도 관련 기업들이 모여 있는 클러스터 내에 속한 기업에게만 공유하게 한다. 이는 글로벌 기업에 의한 데이터 점유 확대를 방지하기 위한 최소한의 조치로 해석된다.