개인정보 보호위원회

의장 윤종수 : [“「2022-2023 개인정보 미래포럼」제10차 회의를 시작하겠습니다.
오늘로 벌써 미래포럼 10차가 되었습니다. 총 열두 번 중 오늘 열 번째이고, 벌써 날씨도 더워져가는 세월의 흐름이 느껴집니다.
오늘 제10차는 우리가 지난번에 시작할 때 4개의 큰 카테고리로 나눴는데 그중에 글로벌 데이터 이슈가 두 번 진행이 됩니다. 그래서 그중에 오늘은 ‘개인정보와 디지털 통상’이라는 큰 주제로 두 분의 발표가 있겠습니다.
오늘 오프라인뿐만 아니라 온라인으로 참석해 주셨고 온라인으로는 김우창 위원님, 김이식 위원님, 김현경 위원님, 나종연 위원님, 윤영미 위원님, 이동규 위원님, 장준영 위원님이 참석하셨고, 오늘 특별하게 개인정보 보호위원회의 위원이시고 소비자연맹회장님이신 강정화 위원님께서 참석해 주셨습니다. 고맙습니다.
그러면 오늘 미래포럼을 진행하기 전에 지난 제9차 미래포럼에 대한 결과보고를 먼저 들어보겠습니다. 혁신지원단장께서 결과 보고해 주시겠습니다.“]

혁신지원단장 최경진 : [“안녕하십니까. 저희가 지난번 제9차 개인정보 미래포럼에서는 ‘개인 일상의 위협 : 개인정보 유출위험에서의 자유로운 사회’라는 주제로 2개의 발표를 들었고 또 토론을 했습니다.
첫 번째 발표는 개인정보 유출위험에서 자유로운 사회라는 주제로 발표하셨는데 여기서는 해커에 의한 침해사고도 많지만 기본적으로 내부자에 의한 오·남용, 유출 이런 이슈가 많다는 말씀을 지적하시면서 기본적으로 인터넷을 통해 유출되는 것이 일반적이기 때문에 효과적인 통제, 망 분리라든가 DB 접근·통제 같은 다양한 방안들을 고민해야 한다는 말씀을 제안해 주셨습니다.
내부자에 의한 유출이나 오·남용의 경우에는 상당히 다양한 통로에 의한 오·남용이 있고 유출이 있을 수 있기 때문에 실제 USB 같은 이동형 저장매체에 대한 통제나 기타 다양한 노력들이 필요한데, 특히 공공기관에서는 상대적으로 내부자에 의한 그런 오·남용이나 유출 같은 인식들이 미흡하기 때문에 그에 대한 투자나 관심도가 높아질 필요가 있다는 지적을 하셨습니다.
그리고 그 외에 암호화 같은 것에 기존에 우리나라가 많이 집중을 했었는데 암호화는 여러 가지 안전조치 중 하나일 뿐이라는 그런 경각심을 제고하셨습니다. 그리고 최근에 클라우드가 많이 활용되고 있는데 클라우드가 물론 상대적으로 안전한 면이 있는 것은 사실이지만 클라우드의 경우에도 기존 내부망 통제에 의한 통제력이 반드시 높아진다고 볼 수 없기 때문에 클라우드를 활용하거나 클라우드로 옮겨갈 때 개인정보 유출사고가 나지 않도록 하는 경각심을 가지고 적절한 조치를 해야 한다는 말씀을 하셨습니다.
그리고 전체 개인정보 라이프사이클 중 파기가 끊임없이 강조되고 있는데 문제는 실무에서 파기가 생각보다는 제대로 관리되지 못하고 있다는 문제점을 지적하셨습니다. 그래서 지속적인 관심을 가지고 파기해야 할 것들에 대해서는 반드시 파기할 수 있는 조치들과 적절한 보안 수준을 유지하는 인식 제고가 함께 필요하다는 말씀을 하셨습니다.
다음 발표는 프라이버시 강화 기술과 관련된 발표와 함께 인공지능의 활용에 대한 말씀을 하셨는데 개인적 유출이라는 것이 기본적으로 Data Breach와 Data Leak 두 가지가 있고, 이 두 부분에 대한 주의를 해야 하는데 다양한 솔루션들이 있고 이런 솔루션들을 종합적으로 활용해서 적절하게 대응해야 한다는 그런 여러 가지 상세한 말씀을 주셨는데 제가 여기에서 구체적인 기술에 대한 언급을 하는 것은 적절하지 않은 것 같습니다. 다만, 더 나아가서 다양한 솔루션들이 있지만 그 솔루션만으로는 적합하지 않고 개인 이용자에 대한 대응을 제고할 필요가 있다는 강조를 하셨습니다.
그래서 개인 이용자가 계정마다 다른 비밀번호를 설정하거나 아니면 데이터 유출된 계정의 비밀번호를 신속하게 변경하는 것과 같은 개인 이용자 차원에서의 대응과 함께 또 한편으로는 기업 차원에서의 대응이 함께 조화됨으로 인해 프라이버시 강화 내지는 개인정보 보호가 될 수 있다는 지적을 하셨습니다.
그리고 개인정보 유출을 막기 위한 기술적 대책으로 기술 자체로도 매우 중요하지만 교육이 매우 중요하고 그다음으로 접근권한을 단순화하는 것이 필요하다는 말씀을 하셨고, 인증도 멀티팩터(Multi-Factor) 인증 같이 다양하고 강화된 형태의 보호조치들을 취할 필요가 있다는 말씀을 하셨습니다.
그리고 프라이버시 강화 기술에 대한 소개도 해 주셨는데 이런 다양한 프라이버시 강화 기술들이 존재하기는 하지만 이것들이 그 자체 하나만으로 충분한 것이 아니고 여러 가지 영지식 증명이라든가 또는 가명화라든가 합성데이터 등과 같은 다양한 조치가 함께 결합됨으로써 개인정보 보호 수준을 높일 수 있고, 더 나아가서 최근에 논의가 되고 있는 인공지능 기술이 결합된다면 훨씬 더 강화된 또 보호 수준이 높아질 수 있다는 제언을 하셨습니다. 그리고 최근 프라이버시 강화 기술의 경우에는 데이터 보호와 활용의 절충점을 찾는 데에 적절한 기술적 솔루션을 제공할 수 있다는 희망찬 말씀도 함께 해 주셨습니다.
이러한 두 가지 발표에 대해서 다양한 토론이 있었는데 주요한 몇 가지만 소개해 드리면 클라우드가 만능이 아니라는 것에 대해서는 참석하신 위원님들의 경우에도 동의하셨고 그러한 인식 하에 기본적으로 기술적인 측면에서의 노력뿐만 아니라 인식 개선이나 교육과 같은 것들도 클라우드가 확산하는 시점에서 매우 중요한 우리의 과제라고 지적하셨습니다.
또 다른 한편으로는 데이터가 유출됐을 경우에 왜 위험한가를 고려해 보면 기본적으로 다른 정보와 결합해서 재식별될 가능성이 높아지기 때문에 그러한 위험성 측면에서 봤을 때는 재식별의 가능성을 최소화시킨다는 측면에서 범용 식별자를 쓰고 있는 것에 대한 위험성을 제기하셨습니다. 그래서 이런 범용 식별자를 쓰거나 또는 그 외에 현재 쓰고 있는 CID(Confidential Identifier Number)나 CI(Connecting Information) 그런 값들의 경우에도 영구적으로 쓰게 되는 이상 이것이 공통 식별자로서의 데이터 결합의 위험성을 높이기 때문에 그에 대해서는 다양한 보완 방법 검토가 필요하고 이것을 정책적으로 도입할 필요가 있다는 말씀을 하셨습니다.
그리고 또 다른 이슈로서는 CISO(Chief Information Security Officer, 최고정보보호책임자)와 CPO(Chief Privacy Officer, 최고 개인 정보 책임자)의 역할을 어떻게 적절히 분배 내지는 역할을 분담할 것이냐는 이슈가 있었는데 기본적으로 CISO나 CPO가 각각의 고유한 역할을 적절하게 할 수 있게끔 권한을 주고, 또 힘을 실어주는 것이 필요하지만 다른 한편으로 중소규모 사업자의 경우에는 이것을 반드시 분리하는 형태로 가는 정책 방향은 부담을 줄 수 있기 때문에 그러한 부담을 합리화하는 방향으로 CPO와 CISO의 역할을 합리적으로 조정하는 논의들이 앞으로 필요하다는 지적을 하셨습니다.
그리고 개인정보 보호 수준을 높이기 위해서는 무엇보다 CPO나 CISO가 각각의 역할, 특히 독립적으로 각각 전문성에 기반한 역할을 할 수 있게끔 환경을 만들어주는 것이 매우 중요하다는 것에 대해서는 대체로 동의하셨던 것 같습니다.
그리고 마지막으로 지난번에는 다른 어떤 때보다 위원장님께서 많은 말씀을 주셨는데 그 말씀을 제가 계신 자리에서 요약하는 것은 적절하지 않은 것 같고, 8페이지 하단에 보시면 위원장님께서 전문성에 기반한 상당히 다양한 말씀을 주셨습니다. 그래서 이러한 프라이버시 강화 기술을 포함해서 클라우드의 활용 등에 따라 적절한 정책적 대응과 기술적인 검토 내지는 R&D까지도 함께 이루어져야 한다는 강조 말씀을 주셨습니다. 이상으로 보고 마치겠습니다. 감사합니다.“]

의장 윤종수 : [“정리 고맙습니다. 그러면 제10차 개인정보 미래포럼을 진행하도록 하겠습니다.
오늘도 역시 두 분의 발표가 있겠습니다. 두 분의 전문가가 참여해 주셨는데 산업부 디지털경제통상과의 고장원 과장님이 참석하셨습니다. 그리고 김앤장 법률사무소의 정영진 변호사님 나오셨습니다.
두 분 다 아주 바쁘실 텐데 이렇게 나와 주셔서 오늘 중요한 이슈에 대해 발표해 주셔서 다시 한번 감사드립니다. 그러면 발표자는 두 분인데 20분씩 발표하고 끝나고 나서 잠시 쉰 후에 전체토론을 진행하도록 하겠습니다.
그러면 먼저 고장원 과장님께서 ‘디지털 통상의 이해-개인정보와 디지털 통상’이라는 제목으로 발표를 해 주시겠습니다. 부탁드립니다.“]

산업통상자원부 디지털경제통상과장 고장원 : [“안녕하십니까. 산업통상자원부 디지털경제통상과장 고장원입니다.
오늘 개인정보 미래포럼 이 좋은 자리에 불러주셔서 감사드리고 고학수 개인정보위원회 위원장님 그리고 공동의장이신 윤종수 변호사님 외에 각계 전문가이신 포럼위원님들 만나 뵙게 돼서 반갑습니다.
제가 이렇게 전문가분들 앞에서 발표를 하게 되니까 좀 긴장되기도 하고 외람된 자리가 아닌가 싶은데 저 역시도 전문가분들 고견 많이 듣고 배울 수 있는 좋은 기회라고 생각하고 발표를 시작하겠습니다.
오늘 발표 주제는 디지털 통상의 이해로 잡아봤고 발표순서는 디지털 통상이 무엇인지, 디지털 통상규범 관련 최근 동향 그리고 자리가 자리인 만큼 개인정보와 관련된 디지털 통상규범을 살펴보려고 합니다. 그리고 시간이 허락하면 디지털 통상 정책 방향에 대해서도 간략히 소개를 드리겠습니다.
“디지털 통상이 무엇일까요?”라는 질문에 대해서 정해진 답은 없는 것 같습니다. 통상 분야에서는 과거 1990년대 후반부터 WTO에서 전자상거래 관련 논의가 있기는 했고 2000년대부터는 전자상거래 대신 디지털 트레이드(Digital trade)라는 용어를 사용하고 있기는 한데 잘 아시는 것처럼 인터넷 보급이나 든가 디지털 기술 발전에 따라 과거에는 없던 새로운 거래방식과 거래대상이 확장된 상거래가 출현하기 시작했습니다.
자료의 좌측을 보시면 거래방식에 있어서도 과거 오프라인으로 실물 제품이나 서비스를 거래했다면 최근에는 온라인을 통해 상품이나 서비스를 거래하는 사례가 많이 늘고 있습니다. 예를 들면 아마존을 통해서 책을 구입한다든가 온라인을 통해서 호텔 예약을 한다든가 그런 사례가 있을 수 있겠습니다.
그리고 거래대상에 있어서도 자료의 좌측면에 보시면 실제로는 물리적인 형태의 제품 또는 서비스를 구매하던 형태에서 온라인 전자적 수단으로 전송되는 디지털 재화, 더 나아가서 개인정보와 같은 데이터까지도 지금 거래 대상으로 확대되는 추세에 있습니다.
그래서 디지털 통상에 대해서 국제적으로 합의된 정의는 없습니다. 그래서 저희 부처에서 그간의 국제기구 차원의 정의나 현실 사례 등을 반영해서 저희 나름대로 정리하기로는 ‘디지털 기술 또는 전자적 수단에 의한 상품·서비스·데이터 등 교역 및 이와 관련된 경제주체 간 초국경적 활동 전반’이라고 개념정리를 하고 통상정책도 입안하고 통상협상도 진행하고 있습니다.
이렇게 거래대상이나 방식이 디지털화되면서 일종의 비용문제 때문에 진입하지 못했던 중소기업이나 개도국들이 상거래를 시작하게 된 것은 기회요인이라고 볼 수 있는 반면에 위험요소로는 프라이버시 침해나 데이터 보안 관련 이슈들이 나타나는 현상이 있을 수 있습니다.
다음 페이지는 주요국들이 디지털 통상과 관련해서 어떤 입장을 가지고 있는지 간략히 소개를 드리려고 하는데 최근에는 디지털 패권경쟁이라는 말이 나올 정도로 지금 디지털 분야에서도 각국이 주도적으로 논의를 이끌어가려는 시도들이 있는데 미국은 잘 아시는 것처럼 거대한 플랫폼 기업이나 혁신 디지털 기업들이 많기 때문에 비즈니스 차원에서 자유화 위주에 방점을 두고 디지털 통상규범을 통해서 디지털 무역장벽을 최소화하는 데 포커스를 두고 추진하고 있습니다.
실제로 미국 USTR(United States Trade Representative, 미국무역대표부)의 경우는 국별 무역장벽보고서라는 것을 매년 내는데 최근에는 디지털 무역장벽을 별도로 정리해서 나올 정도로 관심을 가지고 있고, 최근에 IPEF(Indian-Pacific Economic Framework, 인도·태평양 경제 프레임워크)나 미-일 디지털 협정처럼 높은 수준의 디지털 통상규범을 추구하고 있습니다.
반면 EU의 경우는 최근 디지털 단일시장 전략을 수립하는 계획들을 내놓기는 했는데 일단 개인정보 보호에 상당히 높은 우선순위를 두고 있고 최근 디지털시장법이나 데이터법 등을 통해 빅테크 기업들, 글로벌 플랫폼 기업의 행위를 규제하려는 행태도 나오고 있습니다.
반면 중국은 만리방화벽(GFW: Great Firewall of China)으로 대표되는 타국 플랫폼 기업의 진출이나 자국 데이터의 국외이전을 철저히 제한하는 입장을 취하고 있고, 디지털 통상보다는 전자상거래 쪽에 방점을 두고 독자적인 디지털 시장과 산업을 육성하겠다는 전략을 내놓고 있습니다. 이에 비해 일본, 호주, 싱가포르의 경우는 디지털 개방을 통한 혁신을 추구하고 있기는 한데 어느 정도의 규제 완화는 필요하다는 입장이라고 이해하시면 되겠습니다.
다음은 디지털 통상규범 관련 논의 동향에 대해서 소개해 드리겠습니다.
기존 FTA 등 통상협정은 상품의 경우 관세를 인하한다든가 서비스의 경우는 시장개방을 주로 목적으로 하는 시장접근을 개선하는 쪽에 방점이 주어졌었고, 전자상거래 관련 소수의 규정들이 규율됐던 반면 최근 디지털 기술 산업발전에 따라서디지털 비즈니스 자유화 등 규범이나 관련 협력 같은 내용이 포함되는 새로운 형태의 디지털 통상협정들이 많이 나타나고 있습니다.
그리고 디지털 통상협정의 주요 요소는 크게 세 가지로 말씀드릴 수 있을 것 같은데 기존 전자상거래를 원활히 하는 측면에서 종이 없는 무역이나 전자인증, 서명을 상호 인정해 주는 것, 전자적 거래에 대한 무관세, 전자결제, 전자송장 등 관련규정이 포함되고 있습니다.
그다음에 미국 같은 선진국들이 주도적 하고 있는 디지털 비즈니스 자유화 측면에서는 디지털 제품의 비차별 대우나 국경 간 데이터 이전을 자유화하고 컴퓨팅 설비 등 설비를 국내에 두도록 하는 요건을 금지해라, 그다음에 소스코드 공개요구를 금지하라는 규범들이 포함되고 있습니다. 그리고 온라인 소비자 권익보호를 위해서는 개인정보 보호나 온라인 소비자 보호로서 스팸 메시지 관련 대응 같은 규정들이 들어가고 있고 협정에 따라서는 디지털 관련 협력내용도 포함되고 있는 상황입니다.
글로벌 논의 동향에 대해 간략히 말씀드리면 앞서 말씀드린 것처럼 WTO 차원에서부터 전자상거래에 대한 무관세 모라토리엄(moratorium) 관행부터 논의가 있기는 했는데 통일된 국제규범은 없었던 상황이고 최근에 지역 또는 FTA 같은 양자협정을 통해 미국 등 선진국들이 디지털 통상규범 논의를 주도하고 있고, 인도·태평양 프레임워크에서도 디지털 관련 논의가 이루어지고 있습니다.
그리고 디지털경제동반자협정이라고 해서 CPTPP(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, 포괄적·점진적 환태평양경제동반자협정) 회원국인 싱가포르, 뉴질랜드, 칠레가 디지털 관련하여 별도 협정을 맺은 복수국간 협정이 있고 싱가포르-호주, 한-싱 같은 양자협정에서도 디지털 통상규범과 협력 논의를 규율하고 있습니다. 그리고 WTO 차원에서도 ’19년 5월부터 우리나라를 포함해서 88개국이 참여하는 WTO 전자상거래 협상이 진행 중입니다.
우리나라의 경우에는 양자적으로는 최초의 디지털 협정인 한-싱가포르 디지털동반자협정이 올해 1월에 발효를 했고, 기존 한-싱 FTA에 있던 전자상거래 챕터를 대체해서 높은 수준의 규범과 협력내용을 반영하고 있습니다. 그러니까 앞서 말씀드린 주요 요소인 전자상거래의 원활화나 디지털 비즈니스 자유화, 디지털 신기술 협력 등의 내용이 들어가 있습니다. 그래서 이 한-싱 디지털동반자협정 체결로 인해 양국 간 무역과정이 전자화된다거나 안정적인 데이터 비즈니스 환경 조성 등 긍정적인 효과가 있을 것으로 기대하고 있습니다.
한편, EU와도 작년 무역위원회 계기로 한-EU 디지털통상원칙이라는 것에 합의했고 그 원칙을 토대로 기존 한-EU에 FTA에 있는 오래된 전자상거래 관련규정을 대체하는 논의를 진행하려고 합니다. 그 외에 기존 FTA를 개선하거나 신규 체결할 때도 높은 수준의 디지털 규범을 포함하는 것을 목표로 진행 중입니다.
그리고 복수국간으로는 앞서 말씀드린 싱가포르, 뉴질랜드, 칠레의 디지털경제동반자협정에 우리나라가 최초 가입신청을 해서 지금 가입협상을 진행 중이고, 여기에는 캐나다나 중국 같은 국가도 참여의사를 밝힌 바 있습니다.
그리고 잘 아시는 것처럼 인도·태평양 경제 프레임워크에서도 필라1이 트레이드 파트인데 그중에 한 요소로 디지털 경제에 대해서 협상을 하고 있고 WTO 전자상거래 협상도 앞서 말씀드린 바처럼 우리나라도 주도적으로 협상에 참여하고 있습니다.
다음은 개인 정보와 디지털 통상규범 관련 내용입니다. 여기는 우리나라가 최초로 체결한 한-싱가포르 디지털동반자협정의 내용을 위주로 소개를 드리려고 합니다.
먼저 자료 23페이지 설명을 드리겠습니다. 대부분 디지털 협정에 포함되는 것들이 전자적 수단에 의한 국경 간 정보전송을 자유화하는 내용이 들어 있습니다. 비즈니스 과정에서 이루어지는 전자적 수단에 의한 정보전송 관련해서 국경 간 정보이전을 제한하거나 금지하지 말라는 내용입니다. 다만, 당사국의 고유한 규제권한을 인정하고 있습니다. 그리고 정당한 공공정책 목적의 경우에는 예외적인 조치도 채택·유지 가능하다고 규정하고 있습니다. 이는 대부분 디지털 협정에 그렇게 들어가고 있는 조항입니다.
그래서 이 개인정보 이전 관련해서는 우리나라의 경우에 개인정보 보호법과 개별 법령에서 취급하고 있는데 개인정보의 경우에는 개인정보 보호법에 따라 정보주체에게 개인정보 제공의 목적과 기간 등을 알리고 정보주체의 동의가 있는 경우에 한해서 국경 간 정보제공이 가능하도록 법에 규정이 되어 있고, 그 외의 개별 법령에서는 민감한 개인정보나 공간정보와 같은 일부 정보에 대해서는 국외이전을 제한하고 있습니다.
참고로 저보다 더 잘 아시겠지만 개인정보 보호법 개정안이 공포가 됐고 금년 9월 시행을 앞두고 있는데 해외 법제와의 상호 운용성 강화를 위해 기존 개별동의 이외에 개인정보 국외이전 요건을 다양화하는 조항을 포함한 개정안이 시행될 예정입니다.
다시 자료 22페이지로 돌아와서 개인정보 보호 관련 조항이 있는데 여기서 개인정보란 식별된 또는 식별 가능한 자연인에 관한 모든 정보라고 한-싱가포르 DPA의 경우는 규정하고 있고, 당사국들은 전자거래에 참여한 자의 개인정보 보호를 위한 국내법 체계를 채택 또는 유지해야 하며 국내법 체계를 개발 시 관련 국제기구의 원칙 및 지침을 고려하도록 규정하고 있습니다.
또한 당사국 내에서 발생하는 개인정보 보호 위반으로부터 타 당사국의 국민을 자국민과 동일하게 보호하도록 규정하고 있고 전자거래에서 개인정보 보호를 위한 자연인의 구제 청구방법이나 기업의 개인정보 보호 관련 법령 준수방법 등 개인정보 보호와 관련된 정보를 공표하도록 규정하고 있습니다.
그리고 APEC-CBPR(Cross-Border Privacy Rules)이라고 국경 간 프라이버시 규칙시스템을 활용하거나 또는 각 당사국의 개인정보 보호 인증체계 간 상호 인정 등 서로 상이한 개인정보 보호체계의 상호 운용성을 증진하기 위한 메커니즘 개발을 장려하고 있습니다.
그런 맥락에서 글로벌 CBPR이 미국 주도로 출범을 했는데 당초 APEC 차원에서 합의가 됐던 것으로 회원국 간 공동의 개인정보 보호 인증체계 개발을 목표로 CBPR 논의가 있었는데 미국에서는 CBPR의 영향력 확대 및 회원국 확장을 위해 독립적인 글로벌 CBPR을 출범시켰고 우리나라의 경우에도 외교부와 개인정보 보호위원회 등을 중심으로 관련 논의에 활발히 참여하고 있습니다.
실제로 우리나라의 경우는 국내기업 대상 CBPR 인증을 KISA에서 인증하는 것으로 해서 실시하고 있고, 네이버나 엔씨소프트 등 국내기업들이 인증을 취득한 바 있습니다. 그래서 이 인증을 받게 되면 타 CBPR 회원국 현지고객의 개인정보를 별도 안전장치 없이 국내로 이전할 수 있다는 장점이 있겠습니다.
마지막으로 디지털 통상 정책방향에 대해서 간단히 말씀드리겠습니다. 개방과 혁신을 통해 성장해 온 우리나라에 있어서는 디지털 통상이라는 것이 우리 산업의 경쟁력과 직결된다고 볼 수 있습니다. 우리나라는 5G나 인터넷 활용률이 매우 높은 수준으로 세계 최고수준의 디지털 인프라를 보유하고 있고, 또 반도체나 디스플레이 같은 세계최고의 IT 제조업도 가지고 있습니다. 또 최근에는 전 세계가 열광하는 한류 콘텐츠도 보유하고 있기 때문에 디지털 통상 강국으로 나아가기 위한 충분한 여건을 보유하고 있다고 판단됩니다.
이에 따라서 정부는 디지털 통상 관련된 글로벌 룰 세팅에 적극 참여해서 디지털 통상규범 논의를 선도해 나가려고 하고, 그 일환으로 DEPA(Digital Economy Partnership Agreement, 디지털경제동반자협정) 가입이나 IPEF 또는 WTO 전자상거래 협상에도 주도적으로 참여하고 있고 EU 외에 여타 주요 경제권역이나 거점국가와도 양자적으로 디지털 규범을 강화하는 노력을 추진 중입니다. 그리고 국내 산업계 이익을 반영한 디지털 통상협정을 체결하려고 하고 있고 글로벌 규범과 국내 제도 간 정합성 제고를 위해 국내 제도개선도 필요하다는 점을 말씀드리고 싶습니다.
그리고 구글이나 아마존, 애플 같은 세계적인 플랫폼들은 데이터 확보·활용을 통해 새로운 부가가치나 소비자 편익을 창출함으로써 선순환 고리를 통해 성장할 수 있는 계기를 마련했었는데 우리 기업들도 글로벌 경쟁력을 갖추기 위해서는 국내외 시장 간 상호 운용성이나 호환성 확보가 중요하기 때문에 국내 제도개선도 충분히 고려를 해야 한다고 말씀드릴 수 있겠습니다.
다음으로는 디지털 통상정책 기반도 강화해 나가겠습니다. 이를 위해서 수요가 증가하고 있는 디지털 통상 전문인력 양성에도 노력하는 한편 산·학·연 소통도 강화해서 관계기관, 업계 등 의견을 반영하여 우리 국익에 도움이 되는 디지털 통상협정을 체결하고 관련 정책을 만들어나갈 수 있도록 노력하겠습니다. 이상입니다. 감사합니다.“]

의장 윤종수 : [“고맙습니다. 디지털 통상 전반에 대한 자세한 설명을 해 주셨습니다. 그다음 발표는 정영진 변호사님이 ‘개인정보와 디지털 통상’이라는 제목으로 발표해 주시겠습니다.“]

김앤장 법률사무소 변호사 정영진 : [“김앤장 법률사무소 정영진 변호사입니다.
오늘 고학수 위원장님, 의장님 그리고 이 분야의 최고의 전문가들을 모시고 간단하게 제 생각을 나눌 수 있어서 대단히 영광으로 생각합니다.
아까 과장님께서 디지털 통상이 1990년대 후반부터 이 논의가 국제적 차원에서 진행되었다고 했는데 마침 그때 제가 통상교섭본부에서 1995년 WTO가 맨 처음 출범한 이후 소위 신통상 의제로 해서 여러 가지 것이 있었지만 그중에서 이커머스(E-Commerce) 논의들이 있었습니다.
제가 정부 대표단의 일원으로 WTO, APEC에 가서 정부 입장들을 발표하는 기회도 있었는데 그때의 논의와 지금의 논의를 비교해 보면 아까도 과장님께서 말씀하셨지만 그때는 이커머스라는 국제통상의 논의 자체가 WTO 또는 GATS의 가장 중요한 구성요소 중 하나인 무역원활화(Trade Facilitation), 이 무역원활화를 하는 데 있어서 이커머스가 어떠한 영향이 있는지 또 규격을 통일화하고 디지털 통상 이커머스라는 것이 WTO의 기본적인 체계와 맞지 않습니다.
왜냐하면 WTO라는 것은 기본적으로 서비스 트레이드, 프로덕트 트레이드 이렇게 각각의 어떠한 트레이드가 이루어지는 그 대상의 성격에 따라서 다른 규제체계를 가지고 있는데 그 당시에도 WTO에서 가장 논란이 많이 됐던 것이 바로 그러면 Digitized product는 상품이냐 서비스냐? 왜냐하면 서비스로 분류할 경우에는 상품과 달리 굉장히 많은 국내의 규제체계를 용인해야 합니다.
지금 과장님께서 말씀 주셨지만 기본적으로 저희들이 cross-border data transfer 그것은 절대로 방해받아서는 안 된다는 원칙을 천명한 후에 국내 regulatory autonomy를 광범하게 인정하는 것으로 딱 두 개가 맞물려 있지 않습니까? 그런데 서비스 트레이드가 바로 그렇습니다. 그래서 그런 논의들이 지속적으로 이루어져왔는데 최근에는 그것이 디지털 트레이드라는 말로 바뀌고, 어떻게 보면 과거에는 프라이버시가 trade and service agreement, 그러니까 조문 자체 구조상 WTO의 개체에서는 예외적인 것으로서 논의가 되어 왔는데 지금은 하나의 원칙적인 것으로 프라이버시가 논의된다는 측면이 있어서 한 20여 년간 굉장히 많은 발전이 있었다고 평가할 수 있겠습니다.
보시면 이것입니다. 1995년 WTO가 만들어질 당시에도 이미 GATS에서 이 프라이버시와 관련된 것들은 예외가 필요하다고 하는 것들이 명시적인 조문으로 들어와 있습니다. 그것이 잘 아시겠지만 1995년 EU에서 프라이버시 관련된 directive가 나왔기 때문에 그것이 1990년대 미국과 EU 간 transatlantic trade에서 가장 중요한 통상 분쟁 이슈였습니다.
그래서 나온 것이 바로 세이프하버(Safe Harbor)입니다. 뒤에도 나옵니다만 아시다시피 그것이 2015년에 위법 판단을 받았고, 또 그것이 고쳐진 프라이버시의 실드(Privacy Shield)도 2020년에 위법 판단을 받은, 그것에 대해 양국 간 프라이버시의 관점을 어떻게 보는가에 대한 지속적인 긴장관계가 있었습니다.
그래서 뒤에도 나오지만 미국이 주도해서 나프타(NAFTA)의 대체제로 나온 USMCA(United States-Mexico-Canada Agreement, 미국·멕시코·캐나다 협정), 그러니까 미국·멕시코·캐나다 거기에서 프라이버시라는 것은 전면에 나선다기보다는 그 cross-border data transfer를 원칙적으로 천명하고, 그것에 대한 예외로 regulatory autonomy를 인정하고 있는데 예컨대 다른 아시아 국가들이 주도한 것을 보면 기본적으로 regulatory autonomy를 더 먼저 두고 cross-border data transfer를 약간 뒤에 둬서 또 예외로 인정합니다.
그래서 조문이 “이게 동일한 구성요소로 되어 있네?”라고 하지만 trade agreement를 자세히 뜯어보면 정책적 방향이 있다는 것을 알 수 있습니다. 아까 과장님께서 말씀하셨던 한-싱 DPA에서 보면 이것이 사생활 보호를 기본원칙으로 하고 그다음에 예외를 인정하는 식으로 되어 있습니다. 쭉 보시면 이미 과장님께서 많은 말씀을 해 주셔서 빨리빨리 지나가겠습니다.
우리가 국제협정을 보면 국내법과 달리 국제협정의 의미가 뭐냐? 협정이 굉장히 넓은 언어로 되어 있고 실질적으로 각 국가에게 의무를 지우는 정도로 충분하게 발전되어 있지 않기 때문에 우리가 일반적으로 법을 구분할 때 hard law와 soft law로 구분하는데 이것은 사실상 soft law가 아니냐, 협정이 체결됐다고 하지만 그 내용을 보면 워낙에 많은 정책적 재량을 허용하고 있기 때문에 각 국가에게 의무를 부과하고 있지 않습니다.
그러니까 협정은 체결되어도 실질적으로 원칙만 선언하고 있는 가이드라인과 다를 바 없다고 해서 저희들이 보통 국제법에서는 soft law라고 하는데 대부분 soft law 형식입니다. WTO에서도 그렇게 진행됐었고 국제협력체인 OECD, APEC에서도 그랬었고 국가 간 협정이 체결된 것이 많이 있지만 그것을 뜯어보면 실질적으로 각 국가에게 적극적인 자기의무를 부과한다든지 그리고 적극적으로 이것을 위반했을 경우에 페널티를 부여하는 것들은 없습니다.
그 역사는 굉장히 오래된 것이고 UN 인권선언에도 쭉 나오는 것입니다. 그리고 UN General Assembly에서도 했었습니다. 특히 알아야 할 것이 소위 말해 이것이 EU의 인권 협정인데 막스밀리안 슈렘스(Maximillian Schrems) litigation에서도 EU 인권협정에 나와 있는 내용들에 배치된다고 해서 위반 판단을 받았는데 이것이 프라이버시에 대한 높은 수준의 보호를 선언하고 있는 것을 알 수 있습니다. OECD, APEC도 마찬가지입니다. 법적 구속력이 없지만 개인정보 보호 및 국경 간 이전 관련 국제적 협력 필요성을 강조하는 이런 식으로 되어 있습니다.
미국의 경우에는 가장 대표적으로 미국의 입장을 반영하고 있는 협정이 바로 NAFTA를 대체한 USMCA입니다. CPTPP만 봐도 CPTPP는 잘 아시겠지만 원래 미국이 주도했지만 미국이 결국은 트럼프 행정부가 들어서면서 CPTPP에 참여하지 않겠다고 선언했습니다. 그리고 원래 저것을 만들 때부터 좀 더 폭넓게 만들려고 했기 때문에 어떻게 보면 가장 공통분모가 굉장히 낮도록 되어 있습니다. 그래서 CPTPP와 USMCA도 language를 보시면 사생활 보호와 관련해서 약간 편차가 있습니다.
그리고 중국이야 어떤 국제적인 협력을 한다는 것이 자기들의 정책적 재량을 줄인다고 생각했기 때문에 소극적이었다가 아까 과장님도 말씀하셨지만 싱가포르, 뉴질랜드, 칠레 간의 복수국간 협정과 관련해서 우리나라뿐만 아니라 중국도 참여하겠다. 그 이유는 거기에 나와 있는 협정의 내용 자체가 USMCA의 형태로 되어 있지 않고 정책적 재량을 인정하는 것을 좀 더 폭넓게 허용하는 language로 되어 있습니다.
그런데 굳이 개인정보 보호법, EU GDPR, CPRA 비교는 여기 전문가들에게 제가 말씀드릴 필요는 없을 것 같고, language 관점에서 봤을 때 기본적으로는 broadly하게 converge를 하고 있는 것 같습니다. 그렇지만 법하시는 분들은 잘 아시겠지만 language와 statistical language는 비슷하지만 실질적으로 집행하는 것과 관련해서는 contextual한 차이가 있기 때문에, 저는 trade와 antitrust를 주로 하는 변호사입니다만 antitrust language를 보면 전 세계 한 170개 국가가 거의 동일한 language를 쓰고 있습니다. 그래서 statistical language만 보고서 이 나라는 더욱더 비즈니스의 application에 대해서 hostile을 한다든지, 아니면 좀 더 tolerant하다든지 그런 것들을 알 수 없습니다.
실제 Case by case로 factual determination을 어떻게 하느냐에 따라서 달라지는 것이기 때문에 broad하게 converge하고 있다는 것이 실질적으로 각 국가의 사법체계라든지 아니면 프라이버시에 대한 기본적인 관점 차이에서 나오는 편차를 극복하기는 어려울 것으로 생각되고 실질적으로 많은 편차가 있는 것으로 알고 있습니다.
이것을 보면 이렇게 비슷하고 약간 차이가 있는데 굳이 차이를 들어본다면 몇 가지 할 수 있지만 실무적으로 이것이 어느 정도 차이가 있을지에 대해서는 그렇게 큰 무게는 두고 있지 않습니다. 다만, 개인정보 처리원칙이라는 것이 우리나라와 달리 미국은 조금 Opt-out 형식으로 되어 있기 때문에 그런 것들이 차이라고 할 수 있겠지만 나머지 부분들에 있어서는 이번에도 전송 요구권이라든지 자동화된 결정에 대한 대응권 이런 GDPR 안에 있는 내용들이 전부 들어와서 broadly하게 계속적으로 language 관점에서는 soft harmonization이 지속적으로 진행되고 있다고 볼 수 있겠습니다.
국제통상과 관련해서 우리나라 개인정보 보호법, GDPR, CPRA, 물론 그것은 주법입니다만 이것을 내용적으로 굳이 nit-picking을 해 보면 이런저런 것들이 있을 수 있는데 통상과 관련해서는 국외이전, cross-border data transfer 이 부분이 굉장히 중요한 저희들의 논의대상이 되고 각국이 이와 관련된 Free flow of information data와 그로 인해서 potentially 영향을 받을 수 있는 개인의 프라이버스에 대한 보호, 이 갈등관계의 형량을 어떻게 조정하느냐는 것이 굉장히 중요한 과제로 되어 있습니다.
이번에 과장님도 말씀을 주셨지만 전체적으로 소위 호환성 그리고 각 국가 간 어떻게 보면 여러 가지 규제체계 보호 수준의 차이가 있을 수 있지만 어떠한 기준점을 통과하는 정도의 legalism인 경우에 저희들이 그 국가에 대해서 일정적으로 benefit of the doubt를 주는, “그것은 괜찮아. 그냥 특별한 추가적인 보호 장치 없이 넘길 수 있어”라고 하는 것들이 마련되고 그런 구조화가 되어 있는데 지금 저희들도 그런 내용들이 전부 들어가 있고, 물론 조문형식은 굉장히 차이가 있습니다.
잘 아시겠지만 EU GDPR 같은 경우 기본적으로 적절성, 그러니까 adequacy determination, decision을 하게 되면 넘기는 것이 있고 그렇지 않은 경우에는 예외로 되어 있고, 그것에 대한 예외로 예를 들어 동의가 있다든지 해서 어떻게 보면 예외의 예외로 그것이 우리의 개인정보 보호법에서는 기본으로 되어 있어서, 뭔가 EU는 기본적으로, cross-border data transfer는 기본적으로 적절성을 결정해서 하라는 정책적 의지가 좀 더 강조되는 것 아닌가, 통상을 하는 사람의 관점에서는 그렇게 읽고 있습니다.
결과적으로 실질적인 내용은 유사하다고 할지라도 기본적으로 어떤 쪽이 더 바람직한 모습이냐고 하는 것들이 있는 것 같습니다. 그리고 한 가지만 덧붙일 것이 이 통상협정 가장 아름다운 모습은 뭐냐 하면 그것은 바로 실질적인 규정체계가 전 세계적으로 동일해지는 것이 중요한데 그것은 각 국가가 처한 상황에 따라 할 수가 없어서 hard harmonization에 불과하기 때문에 soft harmonization, 그러니까 국제협정을 통한 지속성 있는 스탠더드를 정하지 않는다고 하더라도 개별 국가들에게 나름대로의 자율성을 인정해서 결국 trade and investment에 별로 영향을 받지 않도록 하는 메커니즘과 테크닉이 필요한데 그 대표적인 것이 상호 인정 제도입니다.
이 adequacy decision 메커니즘도 1958년 이후 EU 역내 통합할 때부터 사용되었던 mutual recognition 제도를 EU가 대외적인 통상 협정을 할 때도 그런 메커니즘을 활용한 것이 바로 이런 제도이고 이런 제도에 대해서 EU는 굉장히 익숙합니다. 그래서 그런 것들이 어떻게 보면 통상협정을 할 때 hard law harmonization이 불가능한 상황에서 굉장히 많이 활용하고 있는 테크닉이라고 볼 수 있겠습니다. 그리고 국회이전 제한과 아울러서 국외이전 중지명령도 도입되었습니다.
시간이 많이 없기 때문에 USMCA를 보면서 간단한 flavor를 보시면 좋겠습니다. 이것을 보시면 맨 처음 제1조 자체가 굉장히 strong한 statement를 두고 있습니다. ‘No Party’, 이것을 prohibit하거나 restrict하지 말라고 해 놓고 그 예외로 그렇지만 regulatory autonomy를 인정하겠다. 어떻게 인정하겠느냐고 한다면 public policy exception은 인정하는데 이것이 necessary라고 되어 있습니다. 그것이 WTO GATS의 과거 국제 판정례를 보면, 일종의 판례지요. 그 판례를 보면 저 necessary와 관련해서 이 necessary를 broad하게 인정할 것이냐 아니면 아주 느슨하게 인정할 것이냐 하는 엄청난 다툼이 있습니다.
과거 1998년에 유명한 Shrimp/Turtle 사건이라고 WTO 판정이 있는데 Appellate Body(상소기구)까지 간 것이 있는데 거기 전까지는 necessary를 아주 restrictive means로, 그러니까 마지막까지 가서 더 나은 alternative가 이것밖에 없을 때라고 해석해서 단 한 번도 이 예외를 인정하지 않았습니다. 그런데 1998년부터 인정하기 시작했지요. 이 necessary를 reasonable한 relations만 있으면 허용하자는 식으로 됐었습니다. 다만, 그 아래에 보시면 WTO GATS나 서비스 그런 것들이 나와 있는 일반적 예외에서 보면 단순하게 necessary뿐만 아니라 additional한 requirements가 있는데 그것이 뭐냐? 바로 necessary를 인정한다고 하더라도 그 조치가 자의적이거나 정당화할 수 없는 차별적이거나 위장된 restriction으로 보는 방식으로 돼서는 안 된다고 해서 저것을 통과하기가 너무나 어렵습니다.
그래서 necessary가 인정된다고 하더라도 저 부분에 대한 것이 지금까지 WTO에서 한 300여개의 판정문이 있는데 저것과 관련된 해석론들이 굉장히 많이 있고 commentary도 굉장히 많습니다. 그래서 과연 저 조문이 있다고 해서 실질적으로 저것을 어떻게 어느 정도의 정책적 재량을 regulatory autonomy로 인정할까 하는 것은 별도의 이슈입니다.
그다음에 보시면 RCEP은 중국이 주도를 했기 때문에 미국의 CPTPP를 염두에 두고 자기주도로 regional 통상협정 프레임워크를 만들기 위해서 한 것이고, 우리나라는 양다리를 걸치기 위해서 중간자의 위치해 있기 때문에 CPTPP도 저희들이 들어가려고 신청을 했는데 일본의 반대로 되지 않았고 우리나라와 일본은 굉장히 보완적인 산업구조이기 때문에 결국 별로 도움은 안 되는 것입니다. 그럼에도 불구하고 저희들은 했는데 안 돼서 지금 기다리고 있는 중입니다.
그리고 RCEP는 중국이 주도를 했는데 보시면 기본적으로 regulatory autonomy를 먼저 인정하고 있습니다. ‘each Party may have its own regulatory requirements’ 그래 놓고 나서 밑에 이렇게 되어 있는 것이지요. 그래서 과연 저것이 실질적으로 어떤 분쟁이 생겼을 때, 물론 분쟁조항이 정확하게 저기에 적용되는 것은 아니지만 저것을 해석할 때 저희들이 어느 정도로 그 예외를 인정해 주면서 regulatory autonomy를 인정할 것인가에 대해서는 앞으로 지켜봐야 될 문제입니다.
그다음에 법 제28조의8로 되어 있는 것을 한 번 적어봤습니다. 저희 같은 경우는 원칙으로 금지를 딱 해 놓고 나서 예외로 이렇게 되어 있지 않습니까? 그래서 저희 같은 경우에는 어떤 것이 원칙이냐 예외냐는 것도 법 해석이 굉장히 중요한데 금지를 해놓고 예외를 해놨는데 이것들을 과연 어떻게 해석할 것인지 여러 가지 예외규정을 두고 있는데 실제 어떻게 이것을 해석해야 하는지, 예에 보면 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정으로 되어 있는데 아까 모두에도 말씀드렸지만 실질적으로 저것을 국제법적인 관점에서 보면 굉장히 논쟁적인 이슈입니다.
왜냐하면 우리나라 법률이 있는데 국제협정에 의해서 예외를 인정한다고 했는데 일반적으로 국제협정이라고 하는 것은 우리나라 대법원이 이것이 과연 직접적 효력이 있는 것인지 아니면 직접적인 적용 가능성만 있는 것인지, 그래서 일반적으로 국제법에서 이것을 distinction할 때는 direct applicability와 direct effect를 구분합니다. direct effect가 있는 것만 국내법 체계로 들어와서 결국은 예외로 인정될 수 있는 것입니다.
그래서 저희 대법원에서 유명한 학교급식 조례 사건이 있었는데 대법원에서 조례와 관련해서는 이것이 법이지 않습니까? 그러면 분명히 WTO 협정에서 예외로 인정되어 있는데 그것은 직접 적용가능성만 있지 개인에게 권리 의무를 부여하는 direct effect가 인정되는 것은 아님에도 불구하고 대법원은 direct applicability만 가지고 그것을 인정한 예가 있습니다.
그래서 서울대 장성호 교수님을 비롯해서 통상전문가들은 굉장히 비판적인 입장인데 앞으로도 저것이 실질적으로 문제가 되었을 때 과연 법원이 국제협정에 어느 정도의 구체성을 띠어야만 저것이 국내법 체계로 들어와서 하나의 예외로 private party들을 원용할 수 있는지 그것은 앞으로도 판례의 발전을 지켜봐야 될 것 같습니다. 두 번째도 마찬가지입니다.
그다음에 보호위원회가 정하여 인증을 받는 경우도 그렇고 나머지는 다 알고 있는 것이니까 별도로 말씀드릴 필요는 없을 것 같습니다. 이것은 비교를 해봤는데 다 알고 계시는 것이니까 넘어가도록 하겠습니다.
이 부분도 넘어가겠는데 일본은 우리나라보다 먼저 adequacy decision을 받은 곳이니까 기본적으로 비슷한 규제체계를 도입한 상태입니다. 그리고 이 부분은 막스밀리안 슈렘스라고 해서 굉장히 유명해진 분이지 않습니까? 그래서 우리나라에 굉장히 많은 논문도 있는데 그런 것들은 한 번 보시면 될 텐데 아무튼 이 유럽형 Court of Justice가 아까 말씀드렸던 European Human Rights Convention과 관련해서 결국은 이 level of protection과 관련해서 기본적으로 미국의 규제체계에 대해 상응하는 규제체계를 가지고 있지 않다고 해서 저희들이 위법 판단을 받았습니다.
그래서 여러 가지 논의가 있었고 이런 것이 아시다시피 GDPR을 만들 때도 굉장히 많은 영향을 미쳤고 그 뒤에 각국 간 adequacy determination을 위한 협상과정에서도 굉장히 많은 영향을 미친 것으로 다 알고 계실 것입니다.
제가 워낙에 말을 많이 해서 죄송한데 이제 마지막 시사점을 보도록 하겠습니다. 아까 말씀드린 바와 같이 국내법과 국제법은 국제통상 관점에서 굉장히 많은 불확실성이 여전히 존재한다고 볼 수 있을 것 같습니다. 그리고 지금 여러 가지 국경 간 데이터의 이동 필요성이 좀 더 증가하고 있는데 과연 아까 말씀드렸던 공공 정책 측면에서 어느 정도까지 regulatory autonomy를 인정해 줄 수 있는 것인지 그런 것들은 앞으로 학계를 비롯해서 정부 간 굉장히 중요한 논의의 대상이 될 것으로 예상됩니다.
이 정도로 간단하게 두서없는 말씀 마쳤습니다. 이상입니다.“]

의장 윤종수 : [“디지털 통상에서의 개인정보 규정에 대한 히스토리와 각 규정의 문헌까지 자세히 중요 포인트를 짚어주셨습니다. 좋은 발표 고맙습니다.
이렇게 해서 두 분의 발표를 들었고, 어떻게 보면 매우 어려운 주제이기도 하고 상당히 고민이 많이 필요한 내용들인데 10분 정도 쉬고 4시 10분에 다시 토론을 시작하도록 하겠습니다. 그러면 10분 쉬도록 하겠습니다.“]

의장 윤종수 : [“속개하겠습니다. 이제 전체토론을 진행하도록 하겠습니다. 발표 다 들으셨다시피 디지털 통상에서 개인정보 이슈가 차지하는 비중이 말씀하신 대로 예외에서 원칙으로 들어가면서 그 함의나 역할이 엄청 커지는데 그렇지 않아도 개인정보 이슈는 여러 이해관계나 생각하는 각도에 따라서 많은 의견이 있고 논의가 있는 매우 어려운 이슈인데 거기에 디지털 통상이라는 측면까지 겹치면서 그 양상이 좀 더 복잡해지는 느낌이 있는 것 같습니다.
그만큼 이 부분에 대해서 개인정보 보호체계에 대한 것뿐만 아니고 디지털 통상 관련하여 우리나라의 입장이나 다른 국가의 관계에서도 여러 쟁점을 고민해야 할 부분이어서 이것이 계속적으로 연구되어야 할 과제이고, 또 계속 발전이 되어야 할 이슈인 것 같습니다. 그래서 오늘 여기 계신 분들이 좋은 인사이트나 의견을 주시면 많은 도움이 될 것 같습니다.
그러면 예전처럼 자유롭게 토론을 진행하도록 하겠습니다. 어느 분이 먼저 하시겠습니까? 이성엽 위원님이 준비하고 계시는데.“]

위원 이성엽 : [“두 분 발표 잘 들었습니다. 저는 질문 겸해서 말씀드리고 싶은데 저도 예전에 디지털 통상과 프라이버시, 개인정보, 데이터 이전에 대해서 공부도 했고 발표도 많이 했는데 그동안 다자협상 내지는 국제기구에서 논의되던 것들이 최근 양자협상 또 종래에는 FTA 기반해서 데이터가 논의되다가 지금은 별도의 데이터 협정을 체결하는 방식으로 변화가 있는 것 같습니다.
그래서 산업부가 국가와의 협상에 상당히 많은 시간을 보내고 있는데 제가 몇 년 지나서 보니까 실제로는 그렇게 큰 디지털 협정과 개인정보 데이터 이전 이슈의 영향이나 우리 산업의 영향이 많이 발견되지는 않습니다. 그래서 우리가 생각했던 것보다는 이것이 임팩트가 크지 않다는 생각이 들어서 그 원인이 무엇일까 아주 궁금한 측면이 있습니다. 그래서 그것을 과장님께 질문드립니다.
그다음에 정영진 변호사님이 바쁘셔서 이런 토론에 나오시지 않는데 오늘 위원장님 때문에 나오신 것 같은데 발표하는 것을 처음 들었습니다.
제가 궁금한 것이 지금 미-중 간 갈등 문제 관련해서 그동안 미국은 데이터의 자유 이동의 원칙을 계속 견지해 왔고 중국은 네트워크안전법이나 이런 것을 통해서 서버 현지화라든가 데이터 이동에 대한 규제를 하고 있었다고 알려져 있는 상황입니다.
최근 틱톡 관련해서 데이터를 중국으로 가져가는 것을 금지하겠다. 그래서 이것이 중국에 대해서만 이런 식의 데이터 이동을 제한하는 쪽의 정책으로 가고 있는지 아니면 전체적인 기조가 IT 분야, 디지털 산업분야의 경쟁력 차원에서 중국과 유사한 정도의 데이터 제한정책을 하고 있는 것은 아닌지 하는 생각이 들어서 그런 부분에 대한 의견을 여쭙고 싶습니다.
제가 최근에 플랫폼 규제와 관련하여 보니까 미국도 두 가지 정도 이유 때문에 플랫폼 규제 자체가 지지부진한 상태입니다. 하나는 아까 말한 미-중 갈등 상황에서 보니까 이 플랫폼 산업이 그래도 미국이 비교우위가 있는 산업인데 과연 우리가 미국의 플랫폼을 규제하면 중국의 플랫폼이 들어오는 것이냐는 국가안보 차원에서 플랫폼 규제에 대해서 다시 고려하는 상황이 된 것 같습니다.
또 하나는 아시겠지만 구글이 영원한 제국일 줄 알았는데 ChatGPT가 나오면서 플랫폼이라는 것이 결국은 대단히 가변적인 시장이어서 이것을 미리 규제한다고 해서 실효성이 있느냐는 논의들이 진행되고 있어서 규제 논의도 상당히 퇴색하는 느낌이 나타나고 있습니다.
그런데 한국은 여전히 약간 다른 양상인 것 같은데 그런 측면에서 미국이 그동안 데이터 협정을 맺으면서 LPPO(Legitimate Public Policy Objectives), 그러니까 정당한 공공정책의 목적이라는 것이 거의 인정이 되지 않아서 대단히 자유화를 주장하는 측면이 있었는데 그런 면에서 최근의 변화들을 우리가 지켜봐야 한다는 생각입니다.
끝으로 저는 그동안 우리 한국이 데이터 이동의 자유화보다는 데이터 이전을 제한하는 쪽의 국가에 속했는데 이번에 법 개정이 이루어지면서 우리도 유럽과 일본 수준의 상당한 데이터 이동의 자유화를 이룬 국가가 되었다는 측면에서 매우 의의가 있다고 생각합니다.
그런데 우리가 중간에 낀 국가이기 때문에 미국이라든지 선진국에 대해서는 조금 더 데이터와 관련된 주권을 수호할 수 있는 식의 제안을 하고 우리보다 조금 후진국에 대해서는 개방하는 투 트랙 전략이 필요하다고 보는데, 이론적인 것은 그렇습니다. 그런데 실제로 차별적으로 하기가 쉽지 않아서 그런 부분에 대해서도 정영진 변호사님이 고견을 주시면 좋겠습니다. 이상입니다.“]

의장 윤종수 : [“고맙습니다. 지금 위원님이 의견과 함께 질문을 주셨는데 고장원 과장님께 질문드린 것은 생각보다 발전이 잘 되지 않는 것 같다는 취지였지요? 그것을 먼저 답해 주시고 진행하면 될 것 같습니다.
그다음에 미-중 간 관계, 미국의 입장이 도대체 뭐냐, 플랫폼 규제 양상이 또 어떻게 변하고 있느냐, 또 거기에 우리 법 개정의 의미는 어떤 것이냐를 정영진 변호사님이, 물론 이 주제에 대해서 양쪽 분이 다 말씀해 주셔도 좋습니다.
그러면 고장원 과장님부터 먼저 의견 주시면 고맙겠습니다.“]

산업통상자원부 디지털경제통상과장 고장원 : [”위원님 질문 감사합니다.
지금 산업의 영향이나 가시적인 성과가 잘 보이지 않는다고 말씀하신 부분에 대해서는 독자적인 디지털 협정이 체결된 지가 최근의 일이고 우리나라만 해도 한-싱 DPA 자체가 올해 1월에 발효되었기 때문에 그 경제적 효과는 조금 지켜볼 필요가 있을 것 같습니다.
다만, 이전까지 우리나라 기 체결 FTA에서 가장 높은 수준이 한-미 FTA 수준이었고, 한-싱의 경우는 전자상거래 무관세하는 부분과 전자상거래 관련 협력내용 정도밖에 없었는데 이번에 전자상거래 원활화라든가 디지털 비즈니스 자유화 같은 규정이 들어갔기 때문에 우리나라 산업계 쪽에서도 데이터 관련 기업들이 성장하면서 싱가포르를 기점으로 하는 아세안 시장 진출 측면이 확보된다는 차원에서 기대효과의 의의가 있다고 말씀드릴 수 있습니다. 산업에 대한 영향은 저희도 계속 모니터링하겠습니다만 곧 다른 형태의 협력이라든가 이런 식으로 나타나지 않을까 조심스럽게 예측해 봅니다.“]

의장 윤종수 : [“정영진 변호사님.“]

김앤장 법률사무소 변호사 정영진 : [”이성엽 교수님이 굉장히 중요한 말씀을 해 주셨는데 과연 디지털 통상이 실질적으로 업계에 미치는 영향이 무엇이냐? 우리가 디지털 통상의 발전에 대해서 어느 정도 관심을 가져야 되겠느냐는 것이 통상하는 사람들에게도 항상 중요한 화두인 것 같습니다.
예컨대 통상이라는 것이 누가 주도하느냐가 굉장히 중요한 것 같습니다. 아까도 말씀드렸지만 USMCA 미국이 주도한 것이니까 미국의 interest를 반영한 디지털 통상에 대한 규범체계가 거기에 반영된 것입니다. 그리고 RCEP의 경우는 그 나름대로 중국 주도의 것들이 반영된 것 같습니다.
미국 내에서도 굉장히 복잡한 것 같습니다. 지금 과장님께서 말씀하셨듯이 WTO, FTA 시대는 지나고 이제는 일종의 그랜드한 협정을 만들지 말고 미국에게 필요한 네 가지 분야 정도의 요소들만 딱 찍어서 그것을 가지고 자기의 like-minded도 컨트롤하고 무엇을 한 번 만들어보자는 것이 바로 Indian-Pacific Economic Framework(IPEF)입니다. 그중에서 디지털 트레이드가 나옵니다.
그런데 최근 미국을 보면 당연히 USMCA에 나와 있는, 아까 PPT에서 본 그런 것들을 전체적으로 서포트할 것이 아니냐고 하지만 지난주에 미국의 가장 큰 이익단체인 AFL-CIO, 그러니까 노동조합 같은 곳이지요. 바이든 행정부의 노동조합 같은 곳에서 지금 계속 트레이드의 가장 큰 주제가 뭐냐 하면 과장님도 잘 알고 계시지만 workers centric trade입니다. 어떻게 보면 노동자의 권리에 바탕을 둔 트레이드를 하자는 것이 바이든 정부의 가장 큰 주제인데 결국 거기에서 뭐라고 했느냐면 USMCA에서 나온 privacy protection 관련된 provision도 그렇게 하면 안 된다는 것입니다.
결국 미국이 지금까지는 계속 unlimited한 data transfer를 지지하고 그것을 USMCA에 반영했는데 그렇게 하지 말고 workers rights를 반영한 것을 해야 한다. 따라서 바로 노동자들의 권리를 반영하는 regulatory autonomy를 광범위하게 다른 협정처럼 만들어야 한다고 해서 미국 내에서도 생각이 굉장히 복잡한 것 같습니다.
그리고 틱톡 관련한 것도 여기 계신 분들도 잘 아시겠지만 틱톡이 미국에서 두 가지 관점에서 굉장히 큰 문제이지 않습니까? 하나는 data security, 중국 공산당과 연계된 Binance 쪽으로 결국 언제든지 볼 수 있으니까 문제라는 측면도 있지만 지금 미국 여야에서 정치적으로 굉장히 많이 다투고 있지만 단 하나의 이슈에 대해서 여야가 일치하지 않습니까? 그것이 바로 중국 때리기입니다.
그런데 그것이 단순하게 프라이버시 보호 이슈가 아니고 두 번째 이슈인 계속적으로 틱톡이라는 미국의 1억 5,000만이 쓰고 있는, 그다음에 굉장히 어린 아이 3명 중에서 2명이 쓰고 있는 틱톡이라는 것을 통해서 중국이 원하는 메시지를 틱톡에게 계속적으로 디스플레이를 한다는 것이지요. 그럼으로 인해서 실질적으로 미국에 있는 국민들이 그에 대한 영향을 받는다는 어떻게 보면 정치적인 영향이 현재 프라이버시보다도, 프라이버시 쪽은 아시다시피 미국에 서버 두고 오라클(Oracle)이 그것을 실질적으로 관리하면 이론적인 가능성 빼고는 충분하게 어드레스가 됨에도 불구하고 그런 요소들도 있는 것 같습니다. 그래서 지금 여러 가지 논의가 미국 내에서도 굉장히 다양한 스펙트럼으로 진전되고 있는 것 같습니다. 이상입니다.“]

의장 윤종수 : [“고맙습니다. 단순한 이슈가 아니라는 것이 자꾸 드러나는 것 같은데, 오병일 위원님.“]

위원 오병일 : [“발표 잘 들었습니다. 그런데 저는 개인정보 보호정책 혹은 디지털 통상에 대한 정책도 어떻게 보면 공공정책이지 않습니까? 말 그대로 공공정책은 공공의 이익을 위해 수립되어야 하는데 통상 관점에서 공공정책이 수립되는 것이 맞느냐는 것에 대해서 의문을 가지고 있습니다.
왜냐하면 공공정책이 결정되는 과정에서는 그 사회의 다양한 이해당사자들이 자신의 의견을 자유롭게 이야기할 수 있고 그런 논의과정을 거쳐서 수립이 되어야 하는데 통상 관점에서 공공정책이 수립되면 통상부처에 의해서 한 국가의 공공정책이 수립되는 문제점이 있다고 생각합니다. 가장 대표적인 것이 한-미 FTA, 한-EU FTA라고 생각합니다. 예를 들면 지적재산권 같은 경우 한 사회의 지식문화의 생산과 유통에 큰 영향을 미치는 것임에도 불구하고 통상적 관점에서 미국의 요구에 다 양보를 했지 않습니까? 그러니까 전체적인 차원에서 통상적 관점에서 보자면 그것이 타당하다고 할지라도 특정정책의 어떤 공공정책적인 측면을 본다면 말이 되지 않는 메커니즘인 것이지요. 특히 통상정책이 결정되는 과정 속에서 다양한 이해관계자의 의견이 관철될 수 있으면 모르겠는데 주로 기업들의 이해관계가 국익이라는 이름으로 관철된다는 것이 문제인 것 같습니다.
예를 들면 시민사회에서 그러한 논의과정에 참여하는 것이 거의 닫혀 있는 상황이고, 특히 민주적인 절차 측면에서 보자면 투명성이 가장 중요한데 통상정책에서 논의될 때는 이 논의과정의 텍스트가 대부분 비공개되어서 실제 어떻게 진행되는지 다른 이해관계자들은 거의 알 수 없고 한-미 FTA 과정에서도 일부 기업들은 해당 분야의 텍스트를 접할 수 있었을지 모르겠지만 시민사회는 거의 접할 수가 없었습니다.
이것은 단지 우리나라에서만의 문제가 아니라 다른 나라 시민사회의 의견을 들어봐도 항상 동일하게 그런 의견들을 표명하고 있습니다. 물론 저는 각 국가의 맥락 속에서만 어떤 정책이 정해지는 것이 아니라 이런 글로벌한 환경 속에서 전 세계적으로 공통의 규범들을 수립하는 과정은 필요하다고 생각은 합니다.
그런데 그런 것들이 통상정책의 맥락이 아니라 보통 UN이라든가 이런 UN 기구에서 정책을 결정할 때는 모든 논의과정들이 공개되고 다양한 이해관계자들의 의견을 수렴하는 방식으로 결정이 되지 않습니까? 그러니까 저는 글로벌하게 소비자의 권리, 이용자의 권리가 보호되어야 한다고 생각하고 해외의 사업자들이 국내에서 비즈니스를 할 때도 그런 가치가 지켜져야 한다고 생각하는데 그런 정책을 글로벌하게 결정할 때도 투명하게 이루어져야 한다는 것이지요.
그런 측면에서 질문드리고 싶은 것은 개인정보와 관련된 디지털 통상문제에 개인정보 보호위원회가 관여할 텐데 개인정보 보호위원회와 산업부, 다른 부처 등과의 관계가 어떻게 되고, 그러니까 통상이 하나의 주된 가치가 되느냐? 저는 개인정보 정책에서 부수적인 가치가 되느냐의 문제라고 생각하는데 과연 이런 관계들이 어떻게 형성될 것인지 어떻게 이루어지고 있는지 그런 부분들이 궁금합니다.

의장 윤종수 : [“고장원 과장님 이 부분 코멘트 가능하시겠습니까? 지금 질문으로 개인정보 보호위원회와 어떤 관계에서 통상정책이 결정되고 있는지를 질문하신 것 같습니다.“]

산업통상자원부 디지털경제통상과장 고장원 : [”오병일 위원님께서 아주 어려운 질문을 주셨는데 통상정책 결정과정에 대해서 제가 말씀드리는 것은 적절치 않은 것 같고, 다만 디지털 통상 관련해서는 아까 정영진 변호사님도 발표에서 말씀해 주셨는데 서비스처럼 국내 규제권한을 확보하는 부분이 분명히 있습니다. 실제 조항에도 그런 부분이 들어가고 있어서 저희도 통상규범과 국내 규제권한을 어떻게 조화시킬지는 고민하고 있습니다.
사실 저는 온 지 2주밖에 되지 않았는데 그간에도 다양한 이해관계자 의견수렴 과정을 거치고 있다고 들어서 적절한 계기에 관련해서 의견을 주시면 저희도 감안해서 협상할 때 참고토록 하겠습니다.
그리고 개인정보 보호위원회와의 관계에 대해서 말씀하셨는데 산업통상자원부의 통상교섭본부가 통상 주무부처이기는 한데 각 규범별로 논의를 할 때는 소관부처와 긴밀하게 협의하고 있습니다. 그러니까 개인정보 조항을 다룰 때는 당연히 개인정보 보호위원회 쪽에 의견도 구하고 당연히 개인정보 보호위원회에서는 관련 포럼 등을 통해서 의견수렴을 하는 것으로 알고 있어서 저희는 관계부처와 긴밀히 협의하고 있다고 말씀드리겠습니다.“]

의장 윤종수 : [”혹시 위원회에서 이 부분에 대해 코멘트하실 분 있으십니까? 아면 마지막에 위원장님이 말씀하실 때 간단하게 언급을 해 주셔도 좋습니다.
정영진 변호사님, 이런 통상정책 결정하는 부분에 대해서 아까 투명성도 이야기했고 시민사회에서 참여할 기회가 없다. 통상이라는 것이 매우 중요한 부분인데 특정 부처에서 움직인다는 질문을 해 주셨습니다. 그래서 개인정보 이슈에 대한 우려를 표명하신 것인데 이에 관해서 전문가 입장에서 생각이 어떠십니까?“]

김앤장 법률사무소 변호사 정영진 : [”굉장히 본질적인 문제를 질문해 주신 것 같습니다. 잘 아시겠지만 한-미 FTA가 2007년에 타결이 되었습니다. 그 후 4년 뒤에 비준동의가 되어서 발효가 되었지요. 기억하시겠지만 그때 국회에서 청문회도 했었고 저도 그때 청문회에 나갔었습니다. 기본적으로 통상정책, 집행 그것이 어떻게 보면 효과적인 통상협상을 하기 위해서는 밀행성이 필수적일 수도 있습니다.
그래서 통상협정과 관련해서는 보통 두 가지로 나누어서 하고 있습니다. 하나는 협상은 정부에서 책임지고 하고, 물론 그 과정에서 다양한 이해 당사자의 의견을 반영해서 정부의 포지션을 정하겠지요.
그다음에 그 안이 타결되면 국회라는 민주적 정당성을 확보하는 절차가 있습니다. 그래서 한-미 FTA 이후에 방금과 같은 그런 말씀 때문에 통상절차법이라는 것이 통과가 되었습니다. 그래서 중요한 통상협상을 체결하게 될 때 민주적 정당성을 확보하기 위해 이해관계자들의 의견을 듣고 그것을 반영하는 공청회도 하고 그런 과정에서 다양한 사회의 이해관계자들이 의견을 표출할 수 있는 기회를 제공하고 있습니다.
물론 말씀 주신 분과 같이 그것이 충분하지 않을 수는 있지만 통상협상이라는 것이 각 국가들 간 굉장히 많은 give and take가 있을 수밖에 없고 그것을 전면적으로 disclosure했을 때 어떤 통상협상도 제대로 마무리되기 어렵습니다. 그런 측면에서 통상협상의 본질적인 성격에 대한 이해가 필요합니다. 그렇지만 과거에 국가는 어떻게 보면 협상을 하고 국회에 가서 동의하느냐 동의하지 않느냐고 up-or-down vote만 했는데 이제는 민주국가에서 우리나라의 통상절차법처럼 민주적인 절차적 정당성을 확보하기 위한 노력을 많이 하고 있다고 말씀드릴 수 있겠습니다.“]

위원 오병일 : [”짧은 코멘트 하나 하겠습니다. 한-미 FTA도 제 기억으로는 협상개시 하루 전에 공청회를 했습니다. 그래서 공청회를 어떤 법적절차에 따라서 한다고 하더라도 과연 그것이 진정으로 민주적인 의견수렴 과정이었느냐, 사실은 형식적인 절차가 아니냐는 생각을 많이 하고 있습니다.
제가 근본적인 질문을 제기한 것은 맞는데 국제적인 통상협상은 비밀협상이 될 수도 있다고 생각합니다. 그래서 제가 제기하고 싶은 것은 이런 공공정책이 비밀협상의 대상이 될 수 있느냐? 예를 들면 “우리가 뭘 양보할 테니 너희는 무엇을 내줘라”와 같은 시장개방과 관련된 협상이라면 모르겠지만 이것은 공공정책에 대한 것이지 않습니까? 그런 것들을 비밀리에 하는 것이 과연 공공정책의 본질적 취지상 맞느냐는 근본적인 질문을 드린 것입니다.“]

의장 윤종수 : [“잘 알겠습니다. 강정화 위원님 말씀해 주시지요.“]

개인정보보호위원 강정화 : [”앞의 질문과 연관되는 것 같습니다. 통상이라면 그동안 산업적 관점에서 많이 접근했었는데 지금은 개인 간 거래, 그러니까 국경 간 거래가 개인 간 거래로 점점 확대되고 이제 개인이 통상의 주체가 되는 시대가 아닌가 하는 생각이 듭니다. 그래서 개인정보 이슈도 그 점에서 굉장히 중요하다고 생각하는데 그 관점에서 국민 개개인의 이익이 충분히 고려되어야 한다는 점에서 앞에서 오병일 위원님이 말씀하신 부분들이 충분히 고려되었으면 좋겠다는 생각입니다.
그리고 소비자들 입장에서 실제로 지금 거래주체가 되고 있는데 이 개인정보 이전에 대한 인식은 굉장히 낮다는 생각입니다. 그리고 이런 문제가 생겼을 때 피해구제를 받을 수 있는 가능성이나 절차에 있어서 우리가 준비가 되어 있는지 그런 우려도 생겼습니다.
어제 마침 저희가 다른 데서 개인통관번호가 개인정보이냐 아니냐를 가지고 논의가 있었습니다. 가벼운 논의이기는 했지만 개인을 특정할 수 있는데 아직은 관세청에서는 개인정보로 판단하는 것 같지는 않다고 해서 이것이 개인정보냐 아니냐에 대해 우리가 새롭게 생각해 보자는 이야기가 있었는데 결국 국경 간 거래에서 일어나는 여러 가지 정보에 대한 생각을 다시 한번 판단할 필요가 있을 것 같다는 생각입니다.
그리고 국민들이 지금 우리나라말로 이루어진 사이트에서 거래를 하다 보니까 외국에 자기의 정보가 이전된다는 것에 대한 인식을 잘하지 못하고 있고 거기에 따른 여러 가지 문제점도 잘 모르고 있는 상황입니다. 그래서 소비자들에게 이러한 것들에 대한 인식을 높일 수 있는 활동들도 적극적으로 일어나야겠다는 생각이 들고, 특히 중국과의 거래가 굉장히 많은데 이런 부분에 대해서 개인정보 보호위원회나 정부 정책적으로 국민들을 보호할 수 있는 여러 가지 규범 또는 규범이 아니라도 국민의 인식을 높일 수 있는 방안들, 제가 오늘은 소비자단체의 입장에서 말씀드렸는데 그런 부분에 대해서도 조금 더 적극적으로 고민해 주시기를 부탁드립니다.“]

의장 윤종수 : [”고맙습니다. 국경 간 거래에 있어서 소비자들의 인식을 높이는 숙제에 대해서 말씀을 해 주셨습니다.
혹시 박민철 변호사님이나 김기중 변호사님 중에서 이 부분에 대한 의견을 주실 것이 있으십니까?“]

위원 박민철 : [”오랜만에 와서 그런지 말이 잘 안 떨어지는데 지금 데이터는 국제적으로도 자유롭게 이동해야 하고 그것과 관련해서 통상에서 접근하는 것이고 통상은 국가 대 국가의 협정입니다. 그래서 저는 거기서부터 출발하고 싶은데 국외이전에 대해서 저희가 어떤 규제를 만들어놓고 그것이 기본적으로는 정보주체의 동의가 필요하다고 이렇게 우리나라의 개인정보의 수집과 활용에 대한 정보주체의 동의원칙을 그대로 거기서 가져다주고 몇 가지 예외를 두고는 있는데 거기에 보면 정부가 후견적으로 들어가서 할 수 있는 것들을 나열했습니다.
그래서 아까 국제협정 체결도 있고 내가 인정하는 고시에 대한 안전성 조치를 취하는 경우 그리고 어느 국가가 신청을 기반으로 할 것 같은데 보호수준이 동등하다면 해 주는 경우가 있습니다. 그것이 개인이 판단할 수 있는 것을 원칙으로 해놓고 정부가 후견적으로 판단해서 저 나라는 괜찮겠다고 하면 이전이 가능하도록 되어 있습니다.
그래서 저는 체계적인 접근을 생각해 봐야겠다는 생각입니다. 왜냐하면 지금 정보주체에게 동의의 하나로 풀 수 있는 key를 주는 것이 항상 문제라고 생각하고 그것이 실질적으로 정보주체에게 크게 도움이 되지 않는 방식이라고 생각하기 때문에 그 부분을 수집과 이용 그리고 더 추가해서 국외이전과 연계해서 하나의 key로 만드는 개선이 필요하겠다는 생각입니다.
국외이전에서는 갑자기 정부가 들어와서 몇 가지 후견적인 해결을 해 주면 그것도 괜찮다고 되어 있는 것이어서 그렇다면 차라리 정보주체의 수집과 이용에 대한 신탁제도처럼 정부가 모든 정보를 앞에서 다 해결해서 정보주체가 이해하고 동의해야 한다는 이야기인데 이용과 활용하는 것도 그렇고 내 정보가 국외이전되는 것도 그렇습니다. 그것이 실질적으로 정보주체의 도움이 되지 않는 수단이 될 수 있기 때문에 저는 그 정도로 국외이전을 해서 후견적인 예외사유를 통해 할 수 있다면 애초에 동의방식이 아닌 수집과 이용에서도 사전적인 동의방식이 아닌 부분으로 해결해 나갈 수 있도록 연계해서 풀어야 하지 않을까라는 생각이 강합니다.
하나만 더 말씀드리면 데이터가 국제적으로 흘러야 되는 것은 기술적으로도 명확한데 여러 가지 보호조치를 하기는 해야겠지요. 그런데 우리나라로 보면 클라우드 서비스 같은 것이 전 세계적으로 제공되면 데이터는 흐르게 될 수밖에 없는데 저희가 첫 번째 CSAP이라는 제도가 있지 않습니까? 그래서 데이터와 관련해서는 전 세계적으로 흐르는 부분들이 강하게 규제하는 것이 하나 있습니다. 그러니까 전 세계적으로 데이터가 흐르는 것에 대해서 기본적으로 각 나라별로 규제가 있는 부분이 있어서 어느 부분은 져야 하는 것이지요. 그것이 맞다거나 부당하다는 이야기를 하는 것이 아닙니다.
그다음에 산업기준과 관련해서 의미가 있으면 수출에 대한 승인을 받아야 하는, 이 자리에 산업부에서도 나와 계시지만 산업부 관련된 규제도 있습니다. 그래서 데이터 중에 그런 내용이 있으면 안 된다는 것입니다. 그리고 데이터 중 개인정보가 일반적인 정보인 것입니다.
그래서 이렇게 보면 데이터가 흐르는 데 있어서 개인정보 측면이 아니라 데이터의 성격에 따라 규제들이 다 있다는 것입니다. 그래서 저희가 디지털 통상 관점에서 본다면 전 세계적으로 문턱을 낮추고 모두가 이 데이터 같은 것을 충분히 활용하면서 전 세계적으로 기술발전을 이루고 전체적인 소비자의 편익을 늘린다는 관점에서 접근해야 하는 것이 아닐까, 개별주체의 개별적인 이익에 중심을 두면 제도가 개선되고 전체적으로 발전하는 데 저해될 수 있는 우려도 있기 때문에 그런 부분들도 고려해야 할 것 같습니다.“]

의장 윤종수 : [”국외이전에 대한 이슈가 결국은 개인정보 보호법제의 기본적인 이슈와 연결된다는 측면에서 말씀해 주신 것 같습니다.
최성진 위원님은 기업 측면에서 디지털 통상에 대해 어떤 의견이나 제언하실 것이 있으십니까?“]

위원 최성진 : [”제가 늦게 와서 죄송하고 앞에 발제가 정말 좋은 발제였을 것 같은데 제대로 못 들어서 아쉽습니다. 개인정보 이슈 때문은 아니지만 디지털 통상 관련해서는 제가 다른 연구모임에서도 발표를 듣고 이야기할 기회가 있었는데 앞서도 이성엽 위원님도 말씀해 주셨지만 저희가 두 가지 측면이 복합되어 있어서 그런 것을 잘 고려하는 것이 필요하다는 생각이 듭니다.
우리가 세계 경제규모 10위 정도의 선진국이라고 하지만 디지털 경제영역에서는 미국, 중국이 굉장히 독보적이고 스타트업 영역에 있어서도 우리나라가 10위권 안에 들어갑니다. 그런데 전체 경제에서도 G2로 미국, 중국이 독보적이지만 디지털 경제 그리고 스타트업 영역에서는 그 차이가 더 큰 것이 사실입니다.
그럼에도 불구하고 우리나라는 디지털 경제 영역에서 여러 가지 플랫폼을 비롯하여 나름 우리나라 기업이 EU나 이런 데 비해서 굉장히 선방하고 그 영역을 지켜나가고 또 글로벌 시장에도 적극적으로 진출해서 완전히 글로벌 빅테크가 차지하고 있는 영역은 아니더라도 새로운 영역에서 시장을 많이 만들어내고 있습니다.
그런데 개인정보 영역을 가지고 이야기하면 우리나라는 상대적으로 EU의 규범을 따라가려는 경향이 있는데 EU의 규범이 개인정보 영역 외에 디지털 경제 영역은 자국기업들이 영내의, 지금 우리나라처럼 네이버, 카카오 정도 규모의 플랫폼 기업도 잘 없기 때문에 시장을 보호하고 이용자를 보호하는 데 초점을 맞춰서 정책을 취하는 경우가 많고 미국은 상대적으로 빅테크 기업들이 미국인 경우가 많으니까 보다 자유로운 데이터 이동과 기업의 자유를 강조하는데 저희는 두 가지가 다 균형을 이뤄야 하는 부분이 있습니다.
특히 시장으로 보면 우리 기업들도 국내시장에 머물러서는 글로벌 경쟁이 힘들기 때문에 네이버와 카카오 같은 기업도 마찬가지지만 스타트업들도 필연적으로 글로벌 시장에 가서 경쟁을 할 수밖에 없는 환경에 있습니다. 그래서 우리가 정보 보호와 이용자 보호에만 너무 치우치면 우리 서비스 자체가 글로벌화되기 어렵습니다.
그리고 지금 스타트업들은 일반적으로 80% 이상이 클라우드 환경에서 하고 공공 쪽의 공공 클라우드 때문에 공공 클라우드 인증을 통과한 국내 서비스를 쓰는 경우를 제외하고는 대부분, 서비스명을 언급해서 죄송합니다만 AWS를 비롯해서 글로벌 기업의 클라우드 환경으로 전체적인 시스템을 구축합니다.
그런데 데이터의 보호 그리고 국내에서 해외이전, 역외이전을 너무 힘들고 타이트하게 하면 글로벌 사업자들도 그런 부분에 대응해서 국내규범에 맞춰 서비스를 제공하기는 합니다만 아무래도 전략적이고 기민하게 움직이는데 그 속도와 유연성 면에서 한계가 있을 수 있다고 봅니다.
그렇다고 해서 우리가 지켜야 할 규범적인 요소들을 무시하고 진행할 수는 없겠지만 이런 글로벌 환경에 맞춰서 스타트업이나 테크기업들이 유연하게 할 수 있는 부분들은 신경 쓰는 것이, 균형을 맞추는 것이 역시 중요할 텐데 개인정보 분야와 관련해서는 아무래도 미국은 규범적인 요소가 강하지 않아서 EU 시장에 맞춰서 하려다 보니 GDPR 이런 부분들을 따라가는 상황이 바람직하냐는 문제의식은 가지고 있습니다. 이상입니다.“]

의장 윤종수 : [“고맙습니다. 이쪽 분야의 전문가이신 최경진 단장님이 말씀해 주셔야 할 것 같습니다.“]

혁신지원단장 최경진 : [“두 분 발표 너무 잘 들었습니다. 이 분야는 어떤 분야보다 어려운 이슈라서 통상도 이해하기 어렵고 개인정보도 이해하기 어렵고 또 실제로 국제적인 규범이라는 것이 나라 간의 힘에 의해서 외교적인 논리도 필요하고 참 복잡한 것이라서 이해하기 어려운 이슈인데 그럼에도 불구하고 오늘 두 분의 발표를 들으면서 많이 배웠습니다.
질문 하나와 간단한 코멘트가 있는데 질문은 아까 발표하신 내용 중에 보면 DEPA의 데이터 이슈에 관한 모듈을 보면 다른 디지털 통상협정보다 좀 더 구체적인 개인정보와 관련된 처리기준이나 원칙이 설정되어 있습니다. 그런데 그런 것들은 아직 대체로 추상적이기 때문에 국내법에서 수용하거나 우리나라 법과의 조합은 큰 문제는 안 될 것 같은데 제가 주목하는 것 중 하나는 DEPA 같은 경우에 관련 국제기구에서 만들어놓는 국제적인 표준, 기준에 부합하도록 국내법을 정비하는 의무를 두고 있는데 문제는 거기서 말하는 국제기구에서의 관련규범이 어떤 것이냐에 따라 국내법에 굉장히 큰 영향을 미칠 수 있을 것 같습니다.
그래서 통상에서 바라보는 관점에서 만약에 앞으로 DEPA에 가입하면 우리가 법을 제·개정할 때 신경 써야 하는 규제규범은 어떤 것들이 있는지 어떤 정도를 생각해야 하는지, 만약에 OECD 8원칙이라든가 CBPR 같은 정도라면 저는 큰 걱정은 하지 않아도 될 것 같은데 그 수준에 따라서는 상당히 우리나라에 부담이 될 수도 있다는 생각이 들어서 국제적인 규범에 대한 해석 내지는 통상 관점에서의 견해를 듣고 싶습니다.
그리고 비슷한 관점에서 이것은 코멘트인데 아까 개보위와 산업통상부와의 관계와 역할에 대한 말씀을 하셨는데 통상협정을 체결하는 과정에서 통상협정 내에 개인정보와 관련된 이슈를 어느 정도까지 다룰 것이냐를 협상할 때는 당연히 협상의 주체로서는 산업통상부가 하고 그 주무부처로서 개인정보 보호위원회가 역할을 할 텐데 저는 방금 전에 질문드렸던 이슈처럼 오히려 다른 통상 분야보다 개인정보 분야는 국제규범의 정립이 매우 중요해질 것 같습니다.
왜냐하면 실체적인 국제규범 정립을 통해서 그것이 역으로 우리나라에게 영향을 미칠 수도 있고 또 다른 나라에도 영향을 미칠 가능성이 매우 높습니다. 그런데 그 모든 것을 통상협정에 담을 수는 없을 것 같습니다. 그러면 결국 통상협정에서는 어쩔 수 없이 국제적으로 승인되는 국제규범을 지키도록 하거나 국내법에 수용하라는 형태로 압력을 가하는 것이 현실적인데 우리나라같이 개인정보 보호와 관련된 법률이 비교적 잘 정비되고 있는 나라 같은 경우에는 오히려 개인정보 보호위원회가 국제규범의 정립에 좀 더 적극적으로 나서서 실제로 국제규범을 우리나라에 어느 정도 유리한 방향으로 정립시키고 그것을 역으로 우리나라뿐만 아니라 다른 나라에도 우리가 통상압력을 가할 수 있는 형태로 가는 것이 더 바람직하지 않을까라는 생각이 들었습니다.
좀 힘드시기는 하겠지만 개인정보 보호위원회가 그런 역할을 해야 할 것 같습니다. 더 나아가서 우리같이 무역입국 10위권 이내에 드는 무역으로 먹고사는 나라는 앞으로 디지털 분야에서 개인정보의 국가 간 이전을 막는 것은 바람직하지 않은 것 같습니다. 그러면 결국 해외 사업자들, 국내 사업들이 지킬 수 있도록 어떻게 합법적인 이전근거를 갖춰줄 것이냐 그리고 더 나아가서 더 중요한 것은 실제로 정보주체들의 권리를 보장시켜줄 수 있는 집행력을 강화하는 것이 중요합니다.
그러면 개인정보 보호위원회의 역량을 강화하는 것도 중요하고 더 나아가서는 해외 개인정보 감독기구와의 협력을 통해서 국내 정보주체의 권리가 침해되었을 경우에 현지에서 효과적으로 구제받을 수 있는 절차를 통상협상에도 담아야 하고 협정에도 담아야 하고 만약 우리가 주도할 수 있다면 규제규범에도 담아야 할 것 같습니다. 그런 관점이 녹아들어가서 보다 더 실질적이고 현실적으로 무역을 막을 수 없고 정보의 흐름을 막을 수 없으니까 그 뒷단에서 정보주체의 권리를 좀 더 강화시킬 수 있는 방향으로 노력이 필요하지 않을까 싶습니다. 그래서 결론적으로 여기 계신 위원장님이나 개인정보 보호위원회에서 좀 더 적극적으로 임해 주시면 좋겠다는 부탁말씀을 드리겠습니다. 감사합니다.“]

의장 윤종수 : [“고맙습니다. 그러면 아까 DEPA에서 국제규범의 의미가 무엇인지에 대한 질문은 하신 것이지요?”]

혁신지원단장 최경진 : [“예.“]

산업통상자원부 디지털경제통상과장 고장원 : [“솔직히 최경진 위원님이 질문주신 DEPA 모듈내용이 어떤 것인지를 제가 아직 파악하지 못하고 있어서 지금 답변은 곤란할 것 같습니다.“]

의장 윤종수 : [“벌써 시간이 다 되어 갑니다. 5시까지 3분 남았는데 또 추가로 발언하실 분 있으십니까? 없으시면 마지막으로 위원장님 말씀을 들으면 좋겠는데 아까 질문했던 지금 이런 통상문제, 디지털 통상에 있어서 개인정보 보호위원회의 역할이나 포지션을 위원회 입장에서는 어떻게 생각하고 어떻게 진행하고 계신지 가능한 범위 내에서 코멘트를 해 주시면 고맙겠습니다.”]

공동의장 고학수 : [“이번에 법이 개정되고 나서 후속작업하면서 여러 가지로 고민하는 영역이 많은데 그중에 가장 고민이 많은 영역 중 하나가 디지털 통상 내지는 개인정보의 국경 간 이전 관련된 내용입니다.
큰 틀에서 우리나라는 무역이 워낙 중요한 나라이고 그 연장선에서 개인정보가 국제통상 맥락에서 어떻게 새로운 규범체계에 맞춰할 것이냐 또는 한국이 규범체계를 마련하는 데 중요한 축을 해낼 것이냐 이런 관점에서 생각해 볼 거리가 많은데 아주 개략적으로 일반화해서 생각해 보면 개인정보의 국경 간 이전 관련된 규범체계를 글로벌한 차원에서 EU식 방식, GDPR에 있는 방식이 하나 있고 미국이 주창하는 방식이 하나 있는 것 같고 그 외에는 중국은 약간 논외처럼 경제규모가 큰 나라인데 데이터의 localization을 강조하는 의무 법체계가 있습니다.
농담 삼아 이야기하면 제가 국제회의에 가서 EU분들을 만나면 “당신 미국과 이야기를 많이 하고 있냐?”, “미국과 친하냐?” 이런 취지로 물어보는 분들이 많습니다. 미국 분들을 만나면 “당신 EU과 이야기 많이 하냐?” 마치 어렸을 때 ‘엄마가 좋아?’, ‘아빠가 좋아?’ 이렇게 물어보는 것 같은 느낌이 듭니다. 이것은 농담입니다.
그런데 그런 식의 질문이 나오는 배경 중 하나는 이런 것입니다. EU 기준으로 중요한 것이 adequacy 적정성 평가인데 그 적정성 평가는 EU GDPR이 2018년에 시행되고 2018년 시행 이후 적정성 평가를 받은 나라가 전 세계에 딱 세 나라가 있습니다. 일본이 받았고 영국이 브렉시트(Brexit)하면서 EU 탈퇴하면서 작년에 약간 급하게 받았고 우리나라가 받았습니다.
그러니까 영국은 예외이고 그 이외에는 일본과 우리나라인 상황입니다. 또 미국의 관점에서는 미국이 실질적으로 주도해서 CBPR 시스템을 구축했고 APEC-CBPR에서부터 시작해서 작년에 글로벌 CBPR로 새로운 이야기가 진행 중인데 APEC-CBPR이 10년 남짓 되었습니다. 2011년에 시작했으니까 12년 이렇게 되는데 APEC-CBPR 시스템에 가입한 나라가 9개국인데 그 9개국 중 실제로 CBPR은 기업 차원의 인증방식인 것이지요.
그래서 실제로 인증을 받은 기업이 있는 나라, 말하자면 실질적인 실적이 있는 나라 이런 차원에서 접근해 보면 가장 실적이 많은 나라는 미국이고 그다음 실적이 많은 나라가 싱가포르 그다음 실적이 많은 나라가 일본이고 그다음 실적이 많은 나라가 한국이고 그다음에는 실적이 제로입니다. 그러니까 APEC-CBPR 언급은 많이 되지만 실제로 실적이 있는 나라는 APEC 국가 중 4개 나라밖에 없는 것이 현실입니다.
그러면 EU GDPR을 통한 적정성 평가도 받고 CBPR을 통한 실적도 있는 교집합에 해당하는 나라가 어느 나라인지 보면 우리나라와 일본밖에 없는 상황입니다. 그런 상황에서 굉장히 부담도 되고 다른 한편 우리가 제3의 또는 미국이나 EU와는 독자적인 레버리지를 발휘할 수 있는 기회가 잘하면 생길 수도 있겠다는 부담과 함께 희망을 느끼기도 합니다.
또 굳이 일본과 우리나라를 비교하자면 일본은 우리나라보다 디지털 전환이랄까 이런 것들이 훨씬 뒤늦게 이루어지는 편이어서 우리나라가 변화에 굉장히 익숙하고 early adoptor가 많은 나라이고 개인정보 보호법 체계나 독립된 중앙행정기관으로서의 체계를 만들어간 것은 오히려 우리나라가 더 일찍 시작한 형국이라서 그런 맥락에서는 일본보다 우리나라가 더 앞서가는 상황입니다.
그런 상황에서 이번에 법이 개정되고 나서 개인정보의 국경 간 이전에 관한 조항들이 상당히 큰 폭으로 잠재적으로는 굉장히 큰 변화의 가능성을 내포하는 상황인데 이 바뀐 조항들이 세계적으로 전례가 없는 내용들이 꽤 담겨 있습니다. 그러니까 과거에는 우리가 다른 선진국은 어떻게 하고 있나 참조할 거리를 찾아보고 우리나라 입장을 어떻게 정할지 이렇게 해 왔다면 지금은 참조할 선례 자체가 거의 없는 영역들이 있고, 또 우리나라 법을 떠나서 오늘 언급된 글로벌 디지털 통상 맥락에서의 조약들을 보면 지금 글로벌한 차원에서 상당한 전환기인 동시에 혼란, 변화모색 이런 과정인 것 같습니다.
그래서 발표내용에 언급된 것 같이 예컨대 USMCA에 있는 조항이 다르고 RCEP에 있는 조항이 다르고 DEPA, DPA 조항들이 아주 약간씩 다릅니다. 그리고 지금 논의 중인데 IPEF 초안에 있는 조항이 또 다릅니다. 거기에서 우리나라의 입장을 어떻게 가져갈지 하는 것이 개인적으로 엄청난 고민이 되는 그리고 위원회 안에서도 고민을 많이 하는 영역입니다.
그래서 고민을 많이 하고 있다는 말씀을 드릴 수 있겠는데 굳이 제가 전문가 여러분 또 학계에 계신 분들에게 가능하다면 부탁드리고 싶은 것은 국내 연구된 것이 정말 없습니다. 예를 들면 schrems1, schrems2 그래서 미국과 EU 사이에 있었던 것에 관해서는 오히려 논문들이 있는데 한국 입장에서 어떻게 할지, 한국에 있는 한국법 기준으로 무슨 문제가 있고 그것을 어떻게 바라볼지에 대한 관점이 녹아들어가 있는 논문은 많지 않은 것 같습니다.
특히 법이 바뀐 지 얼마 되지 않아서 더 그렇겠습니다만 이번 법이 바뀌면서 법제28조의8, 9, 10 거기에 있는 내용들을 어떻게 바라볼 것이냐 그런 것에 관한, 제가 찾아보고 아니면 부탁드리고 이야기를 들을 수 있는 분들이 굉장히 제한된 상황이기 때문에 그런 점에서는 학계에서 연구가 좀 더 되면 좋겠다는 아쉬움이 있습니다.
산업통상부와의 역할을 어떻게 하느냐 협업관계를 어떻게 만드느냐에 대한 질문 관련해서는 이미 답을 주신 것과 같이 실제로 초안이 어디선가 만들어지면 외국에서 제시하거나 우리나라에서 만들거나 하는 과정에서 당연히 개인정보 관련된 조항에 대해서는 저희 위원회의 의견을 묻는 과정이 있습니다. 현실에서는 그런 개인정보 관련된 조항에 대해서 우리 위원회의 입장이 얼마나 강한지 우리 위원회가 가지고 있는 백업이 되는 논리가 어떤지 또 넓게 국익이 어떤지 이런 것들이 고려됩니다. 그것이 어떻게 보면 교과서적인 대답이 되겠습니다.
다른 현실적인 차원에서는 이미 국제규범에 영향을 미칠 수 있는 요소가 보이는 것들에 대해서는 굉장히 다양한 형태로 간접적인 메시지가 우리 위원회에 계속 오고 있고, 아니면 저에게 이미 계속 오는 중입니다. 그것이 추상적인 의미의 국가 내지 정부라면 다른 정부부처를 통해서 오는 경우도 있고 또는 다른 이익집단을 통해서 오는 경우도 있고 또는 행정부처가 아닌 국회를 통해서 오기도 하고 여론을 통해서 오기도 하고 하이레벨에서 오기도 하고 실무레벨에서 오기도 하고 굉장히 다양하고 다기한 형태로 메시지가 옵니다. 아주 구체적인 요구가 오기도 하고 추상적인 분위기 조성이 오기도 합니다.
그것이 다 맞물리고 총합이 되어서 협상이 이루어지는 것 같습니다. 그런 의미에서는 이 디지털 통상이라는 것이 넓게 보면 종합예술이 되는 것 같고 아니면 국력을 총체적으로 반영하는 과정이 되기도 하는 것 같습니다. 그래서 우리가 실체적인 법리라든가 논리를 구축하는 것도 당연히 필요하고 그런 논리에 기초해서 상대방에게 한국의 입장을 어떻게 설명하고 설득하고 소통할 것인지 이런 것도 필요하고, 또 국내적으로는 다양한 목소리를 내는 시각이 있을 텐데 그것을 어떻게 종합할 것인지 이런 것들이 굉장히 큰 과제입니다.
특히 이 조항은 이번 9월에 시행되는 조항에 들어가 있습니다. 그래서 마음 같아서는 유예기간을 훨씬 더 많이 두고 스터디하고 준비할 시간을 많이 가지면 좋겠다 싶은데 9월에 시행되는 조항이라서 더더욱 위원회 내부적으로 부담감을 많이 느끼는 영역이기도 합니다. 그래서 전문가 여러분이 많은 도움을 주시면 좋겠습니다. 이상입니다.“]

의장 윤종수 : [“여기 계신 분들이 많이 연구해 주시고 논문 좀 써주십시오.
좋은 말씀 고맙습니다. 아까 정영진 변호사님이 그 말을 하셨는데 통상은 누가 주도하느냐, 어떻게 보면 그것이 가장 핵심이라는 말씀을 해 주셨는데 다른 통상도 그렇지만 지금 저희 포지션이 아까 기업 입장에서도 말씀해 주셨고 최경진 교수님도 말씀해 주셨고 여러 가지 어려움도 있지만 어느 정도 주도해서 나설만한 환경도 있지 않느냐, 그리고 국가 단위에서 누가 주도하느냐는 것도 있고, 또 국내에서도 이런 논의를 부처 간 누가 주도하느냐 이런 것보다는 어떤 역할을 어디가 하느냐도 상당히 고민이 되어야 할 것 같습니다.
그래서 기본적인 개인정보에 대한 프레임을 가지고 있는 위원회가 역할을 적극적으로 하는 것이 아까 말한 오병일 위원님 입장에서도 우려하는 통상 진행과정에서의 문제 이런 부분도 덜어질 것이 있지 않은가 하는 생각이 듭니다.
그런데 미래포럼에서는 꼭 결론을 내면 위원회가 할 일이 매우 많다. 어깨가 무겁다는 결론으로 가는데 그만큼 위원회의 역할이 점점 커지고 또 중요한 임무를 가지는 것 같습니다.
오늘도 어려운 주제인데 좋은 토론해 주셔서 많이 감사하고 바쁜데도 나와 주신 고장원 과장님 그리고 절대로 발표를 하지 않는다는데 오늘 특별히 발표를 해 주신 정영진 변호사님께 다시 한번 감사의 말씀을 드립니다.
오늘 제10차 미래포럼은 이것으로 마무리하고 다음 회의는 세 번째 수요일인 5월 17일 15시에 ‘글로벌 플랫폼과 개인정보’라는 주제로 진행이 되겠습니다. 발제자는 거의 선정된 것 같은데 상당히 재미있는 논의가 될 것으로 기대됩니다. 그래서 그날 뵙도록 하겠습니다.
이상으로 「2022-2023 개인정보 미래포럼」 제10차 포럼은 이것으로 마치겠습니다. 좋은 말씀 고맙습니다.“]