?한국전자통신연구원?/?김지은 연구원


 

최근 우리 정부는 데이터 경제 활성화를 목적으로 제도 개선을 시도하고 있으며, 관련하여 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률을 개정하고 공공기관 민간 클라우드 이용 가이드라인을 폐지하여 보다 더 포괄적인 영역에서 클라우드 서비스를 도입하려는 노력을 보이고 있다.1) 개인, 기업, 그리고 정부가 클라우드 서비스 사용의 주체가 되고 있으며 다양한 분야에서 클라우드 서비스가 활용되고 있다. 클라우드 서비스를 포함한 신규 ICT 서비스 시장이 빠르게 성장하면서 관련 시장에 대한 국제적 관심이 높아지고 있으며, 해당 분야에 대한 국제통상법적 질서를 수립해야 한다는 목소리 또한 커지고 있다.

 




 

Ⅰ. 자유로운 정보이전 및 컴퓨팅 설비 위치 제한 금지에 대한 국제통상 내 규범화


미국은 매년 각 산업의 사업자 및 전문가 의견을 수렴하여 국가 무역 보고서(National Trade Estimate Report)를 공개한다. 미국의 무역 상대국을 나열하여 무역 대상 상품 및 서비스에 대해 제한 사항이 있거나 수출 장벽으로 인식되는 상대국의 법 또는 규제내용을 명시하고 이를 근거로 해당 정부에 지속적으로 개선을 요구한다. 클라우드 서비스와 밀접하게 관련이 있는 디지털 무역에 대해서 미국은 국경간 정보 흐름, 인터넷 기반의 서비스 및 디지털 제품에 있어 제한 또는 비차별적인 조치 등을 무역 장벽으로 인식2)하여 해당 규제 철폐를 위한 통상 환경 조성에 적극적이다.

 

유럽연합 또한 정보보호의 중요성을 인식하고 개인정보보호규정(GDPR) 및 프라이버시쉴드(Privacy Shield) 제도 도입을 통해 국경간 정보이전에 대한 허용 범위를 규정하여 개인정보가 활용되는 비즈니스 영역에 대한 자체적인 규칙을 수립해나가고 있다. 정보이전 자유화보다는 정보보호 정책을 선택한 유럽연합이지만 최근 일본과의 무역협정(EPA)에서 협정 발효 후 3년 이내 ‘자유로운 정보이전’ 규범 포함 필요성에 대해서 재평가하기로 약속하는 정보이전 관련 조항을 전자상거래 분야 규범에 포함한바 있다.3)

 

다자간 국제통상협상에서도 빠르게 발전하는 디지털 사회에 대응하기 위해 신규 규범 도입 준비에 분주하다. 세계 무역질서를 수립하고 시장자유화를 목적으로 설립된 세계무역기구(WTO) 내부에서도 전자상거래 분야에 대한 국제적 규칙 수립의 필요성에 대한 목소리가 지속적으로 커지고 있다. 특히 미국은 클라우드 서비스 산업의 성장에 따라 WTO 차원에서 클라우드 서비스를 대상으로 규범화 할 필요성이 있다는 입장을 적극적으로 표명하며, 클라우드 서비스 공급자가 GATS에서 규정하는 통신 망 및 서비스 이용자가 명확하다는 측면에서 충분히 규범화가 가능하다는 입장을 공식적으로 주장한바 있다.4)

 

클라우드 서비스를 포함한 ICT 분야 신규 서비스를 국제통상법 규범의 적용 대상으로 포함시켜야 한다는 필요성에 대해서는 많은 국가들이 공감하고 있다. 다만, 경제수준의 격차가 큰 WTO 특성상 관련 논의가 진행되더라도 구속력 높은 의무 규범 도입에 대한 합의 도출이 어려운 현실이다. 이에 따라 WTO에서 빠른 시일 내에 도입하기 어려운 클라우드 서비스 및 신규 ICT 서비스에 대한 무역에 불필요한 규제철폐 또는 시장개방 관련 규범은 WTO 회원국 중 특정 국가간 체결하는 자유무역협정(FTA)를 통해 이루어지고 있다. 상호 의지가 있는 특정 당사국이 한-미 FTA와 같은 양자 자유무역협정 또는 포괄적·점진적 환태평양경제동반자협정(이하 CPTPP)과 같은 지역 자유무역협정을 통해 WTO에서 다루지 못하는 규칙들을 수립해나가고 있다.

 

물리적인 저장 위치에 제한이 없어야 하며 정보가 자유롭게 이동할 수 있어야 하는 클라우드 서비스의 제공과 관련하여 오늘날 FTA를 통해 크게 주목받고 있는 규범은 “국경간 자유로운 정보이동”과 “컴퓨팅 설비 위치 제한 금지” 조항이라고 볼 수 있다. 특히 국제통상협상의 주체인 정부측에 컴퓨팅 설비 위치 제한 금지에 대해 높은 수준의 의무가 부여되는 규범이 CPTPP를 통해 처음으로 발표되었다는 것에 대해서 눈여겨볼 필요가 있다.

 




 

Ⅱ. 자유로운 정보이전 및 컴퓨팅 설비 위치 제한 금지에 대한 당사국의 약속


국경간 자유로운 정보이동에 대한 국제통상규범은 이전에는 단순히 협상 당사국간 정보의 이동을 제한하지 않도록 노력하자는 정도의 구속력이 없는 규범에서 점차적으로 당사국에게 정보 이동 제한 금지를 의무화하는 높은 수준의 규범으로 발전하고 있다는 것이 특징이다.

 

2012년에 발효된 한-미 FTA의 전자상거래 장에도 국경간 정보 흐름 조항이 포함되어 있다. 해당 조항은 무역을 원활하게 하는 것에 있어 정보의 자유로운 흐름의 중요성과 동시에 개인의 정보보호 중요성을 인정하며, 당사국에게 국경간 전자 정보 흐름에 불필요한 장벽을 부과하거나 유지하는 것을 자제하도록 노력함을 명시하였다.5) 구속력이 있는 조항은 아니지만 정보의 자유로운 흐름이 중요함을 인지하고 국경간 정보 이전에 대한 불필요한 장벽 완화 내용을 규범화 했다는 것에 의미가 있다. 한-미 FTA 발효 약 6년 후 미국의 오바마 행정부가 적극적으로 주도했던 것으로 알려진 TPP는 트럼프 행정부의 탈퇴선언으로 인하여 미국을 제외한 11개국이 CPTPP로 명식을 변경하게 되었지만, 오늘날 체결된 모든 자유무역협정 중 가장 고도화되고 구체적인 “전자상거래” 규범을 탄생시켰으며 높은 수준의 의무를 당사국에게 부여한다.

 

CPTPP 전자상거래 챕터에는 “국경간 정보 이동”6) 및 “컴퓨팅 설비 위치 의무”7)가 포함되어 있다. CPTPP에 가입한 당사국은 국경간 자유로운 정보의 이동을 보장해야하며 나아가 상업용 정보를 처리 또는 저장하는 서버 및 저장기기를 의미하는 컴퓨팅 설비를 현지에 두도록 강제할 수 없다. CPTPP 협정문에 포함되어 있는 국경간 정보 이동 조항은 한-미 FTA 대비 당사국에게 의무를 부여하는 높은 수준의 구속력 있는 규범이라는 점에서 상당한 차이가 있다.

 

전자적 수단을 통한 국경간 정보이전 조항은 당사국의 규제권한 인정으로 시작된다. 제1항에는 각 당사국은 전자적 수단을 통한 정보 이전에 관한 규제요건을 가질 수 있음을 인정함을 명시하였다. 이어 제2항을 통해서 각 당사국은 ‘보호되는 사람(covered person)’8) 의 사업 수행을 위한 목적일 경우 개인정보를 포함하여 전자적 수단에 의한 정보의 국경 간 이전을 허용(shall allow)하도록 명시하여 실질적으로 상업 목적의 국경간 정보이전에 대한 제한을 금지한 것으로 볼 수 있다.

 

정보이동의 자유화에서 한 단계 더 나아가 컴퓨팅 설비 위치 제한을 금지하도록 하는 규범 또한 최초로 CPTPP를 통해 규범화되었다. 컴퓨팅 설비 위치에 대한 제한이 없다는 것은 정보의 저장을 반드시 당사국내 하지 않아도 되는 것으로 이해될 수 있다. CPTPP 전자상거래 장의 컴퓨팅설비 위치 조항 또한 각 당사국이 통신의 보안성 및 기밀성을 보장하기 위한 요구사항을 포함하여 컴퓨팅설비 사용(use)과 관련하여 규제 권한이 있음을 우선적으로 명시하였다. 제1항으로 인하여 오히려 컴퓨팅 설비와 관련하여 당사국의 규제 권한을 자유롭게 인정하는 것 같으나 동 조항 제2항을 통해 컴퓨팅설비 위치 제한을 금지하는 구속력 있는 조항이 명시되어있다. 어떠한 당사국도 ‘보호되는 사람(covered person)’에게 당사국 영역에서 사업 수행을 위한 조건으로 당사국 내 컴퓨팅 설비를 이용하거나 위치하도록 요구할 수 없도록 하였다.

 




 

Ⅲ. 약속한 규범에 대한 적용 배제 - 당사국의 규제 권한


상위 언급한 두 개 조항이 높은 수준의 의무 사항과 구속력을 가지고 있지만 당사국의 정책권한(policy space)이 규범에서 아예 배제된 것은 아니다. 국제통상법의 다양한 영역에서 인정하는 ‘공공 정책 목표 달성(legitimate public policy objective)’을 위한 당사국의 규제 권한이 CPTPP 두 개 조항에도 포함되어 있다. 보다 구체적으로 살펴보면 당사국은 자의적이거나 정당하지 않은 차별의 수단을 구성하거나 무역에 위장된 제한을 구성하는 방법 또는 목적 달성을 위해 요구되는 것보다 과도한 제한을 부과하는 것이 아니라는 전제 하에 공공정책 목적 달성을 위해 ‘전자적 수단에 의한 정보의 국경 간 이전 허용 의무’와 ‘당사국내 컴퓨팅 설비를 이용하거나 위치하도록 요구하는 것을 금지하는 의무’에 부합하지 않는 조치를 채택하거나 유지하는 것을 금지하는 것은 아님을 명시하였다.

 

국제통상법에서 ‘공공 정책 목표’라 함은 일반적으로 국가 안보 보장, 개인정보 보호 및 신용정보 보호를 포함하는 사생활 보호, 공공 도덕 보호, 공공질서 유지 그리고 인간의 건강과 안전을 보호하기 위한 목적으로 정부가 취하는 조치라고 이해할 수 있다. 따라서 금융, 의료, 군사 및 세금 분야의 정보와 같은 같이 민간한 개인정보 및 보안이 요구되는 특정 분야에 대해서는 규범의 적용 배제가 가능하다.

 

공공 정책 목표 달성을 위한 경우 당사국이 규범의 내용과 상충되는 규제 권한을 가질 수 있는 것 이외에도 CPTPP는 전자상거래 규범 전체에서 정부 조달 및 정부가 소유의 정보에 대해서는 규범이 적용되지 않음을 명시하여, 이에 대한 국가의 규제 권한 또한 확보되어 있는 것으로 보인다. 정부조달과 관련된 정보와 국가가 소유한 정보에 대한 민감성에 대해 존중하여, 이를 규범 적용 대상에서 원천적으로 배제한 것이다.

 

우리나라의 경우 금융과 의료와 관련된 정보의 이전 및 정보 저장 위치에 대한 제한이 있는 것으로 파악되며, 금융 분야에서는 전자금융감독규정에 따라 비중요 정보처리시스템을 제외하고 설비를 국내에 위치시켜야 하며 물리적인 망분리 의무 또한 준수해야 한다. 비중요 정보처리시스템이라고 하더라도 클라우드 이용 시 망 분리 의무를 준수하도록 하고 있다. 의료 분야에서도 전자의무기록 관리 및 보존에 필요한 시설·장비 기준 고시에 따라 전자의무기록 설비를 국내에 위치하도록 규정하고 있다. 역시 CPTPP 참여국은 아니지만 독일의 경우에도 연방정부 IT 자문위원회에서 신규 클라우드 컴퓨팅 요건 발표를 통해 데이터 현지화를 명시하였다. 해당 신규 준수 요건에는 핵심 인프라 정보를 포함한 공공 업무의 민감 정보는 반드시 독일에 있는 서버에 저장되어야 함이 포함된다. 마지막으로 클라우드 컴퓨터 서비스 강국 중 하나인 미국의 경우에는 컴퓨팅 설비 위치 제한에 관한 명시적인 법제는 없지만 세금과 같은 특수 분야 또는 일부 정부 조달 계약에서 데이터 저장 위치 요건을 요구하는 것으로 파악된다.9) 이와 같이 국가들은 자국이 중요하다고 판단하는 분야 및 정보에 대해 제한 사항을 두고 있다. CPTPP 규범과 유사한 규범들이 추후 해당 국가에 적용된다고 하더라도 협정문에서 당사국에게 부여하는 정책권한 및 규제권한에 따라 과도하게 불필요한 경우를 제외하고 중요하다고 판단하는 분야에 대한 제한 사항을 유지할 수 있을 것으로 보인다.

 




 

Ⅳ. 규범 확산에 대한 예측 및 기대


현재 진행 되고 있는 다자무역협상에서 가장 주목할 만 한 것이 역내 포괄적 경제동반자협정(RCEP)이다.10) 아세안 10개국에 한국, 일본, 중국, 인도, 호주 그리고 뉴질랜드가 모인 총 16개국이 회원국으로 RCEP에 참여하고 있다. ICT 서비스 분야에서 큰 성장을 보이고 있는 중국과 인도 등을 포함하고 있는 무역협정이라는 점과 CPTPP 참여국인 일본, 호주, 싱가포르 또한 협상 참여국이라는 점에서 신규 ICT 서비스 분야의 시장 자유화 및 규제완화 필요성에 대한 공감대 형성이 가능할 수 있음을 조심스럽게 예측해본다. 클라우드 서비스와 밀접하게 관련된 자유로운 정보 이전” 및 “컴퓨팅 설비 위치 제한”조항이 RCEP 또는 향후 체결하는 다양한 자유무역협정을 통해 정부 주도하에 도입될 경우 협정을 체결한 상대국의 클라우드 서비스 사용 또는 서비스 제공에 대한 제도 및 환경에 대한 개선을 기대해 볼 수 있을 것이다. 나아가 다자협상을 통해 국제무역규범 적용 국가가 점차 확산될 경우 이를 활용하여 다양한 경제 주체들이 클라우드 서비스 적극적으로 활용하고 클라우드 서비스 제공 사업자 또한 사업 영역을 확대를 시도해 볼 수 있을 것으로 기대되어 지속적인 관심을 가지고 관련 규범 확산에 따른 영향력을 지켜볼 필요가 있을 것이다.

 




 

※ 각주


1) 행정안전부 보도자료 (“행안부, 공공부문 클라우드 기본 계획 마련”2018.09.04.) 참조
2) 미국무역대표부(USTR)가 발간한 2018 무역장벽보고서(National Trade Estimate Report on Foreign Trade Barriers) 2 페이지 참조
3) EU-일본 경제동반자협정(Economic Partnership Agreement, EPA) 협정문 제8.81조 참조
4) 2011년 9월 20일 발표한 WTO 문서(Communication from the United States, (S/C/W/339)) 참조
5) 한-미 자유무역협정(Free Trade Agreement, FTA) 협정문 제15.8조 참조
6) 포괄적점진적 환태평양경제동반자협정(CPTPP) 제14.11조 참조
7) 포괄적점진적 환태평양경제동반자협정(CPTPP) 제14.13조 참조
8) 포괄적점진적 환태평양경제동반자협정(CPTPP) 제14.1조 용어정의에서 ‘보호되는 사람이란 CPTPP 투자 챕터에 정의된 보호대상투자, 금융기관의 투자자를 제외한 당사국의 투자자 및 서비스 무역 챕터에 정의된 당사국의 서비스 제공자를 의미하며 금융서비스 챕터에 정의된 금융기관 또는 당사국의 국경 간 금융 서비스 제공하는 포함하지 않는다.‘고 정의한다.
9) 미 국방부(DoD) “DoD Cloud Computing Security Requirements Guide” 내 데이터 현지화 조항 및 미 국세청(IRS) “Tax Information Security Guidelines” 내 데이터 현지화 조항 참조
10) 산업통상자원부 보도자료 (“역내포괄적경제동반자협정(RCEP) 회기간 장관회의 개최” 2018.07.02.) 참조