을지대학교 / 최영진 교수
1. 서론
우리나라 정보서비스는 지난해에 비해 전반적으로 감소할 것으로 예상되고 있다. 그러나 클라우드는 도입 가속화되고 있는데 특히 클라우드 규제 완화나 촉진 정책 등에 따라 클라우드에 대한 수요가 증가할 것이다. 이러한 추세속에 정보서비스는 5년간 연평균성장률 2.1%를 기록하면서 2023년 9조 7,019억 원의 시장 규모를 달성할 것으로 예상된다(IDC, 2019).
우리나라 클라우드 시장에서 또 다른 현상 중의 하나는 국내업체의 입지가 좁아지고 있다는 것이다. 지난해 해외업체의 우리나라 클라우드 시장 점유율이 67%에 달하는 것으로 파악되었다. 지난 해에 우리나라 클라우드 시장규모는 1조145억원으로 추정되는데 IaaS, PaaS, SaaS 등 모든 분야에서 외국 기업의 점유율이 압도적이었다(NIPA, 인공지능 확산의 핵심 인프라, 클라우드산업 동향 분석과 시사점, 2019).
클라우드가 확산되고 있지만 위험 또한 상존하고 있다. 특히 데이터와 개인정보 등 프라이버시 보호의 문제로 데이터가 미국에 있는 클라우드 제공자의 서버에 저장되어 있을 경우 정부의 소환명령이나 수색에 의해 정보가 누출될 수도 있다(Janine, 2011). 클라우드 서비스를 이용하게 되면, 모든 소프트웨어와 어플리케이션 등이 클라우드를 제공하는 회사의 통제와 관리하에 있게 되는데, 제공업체들이 고객정보의 철저한 보호를 표방하지만 정부의 요구 등에 대한 이용자 정보를 제출하는 사례가 있다. 특히 해외 클라우드를 이용하는 경우에는 데이터 주권에 대한 통제가 느슨해진다.
2. 클라우드 데이터 국외 이전 이슈
경제협력개발기구의 개인정보보호가이드라인은 회원국의 법과 정책이 상이할 수 있지만, 프라이버시 보호와 개인의 자유에 대한 공통된 이해를 가지고 있다는 점에서 OECD가 제시하는 프라이버 보호에 관한 원칙을 국내법에 반영하고 개인정보의 국경 간 유통을 부당하게 제한하지 않도록 권고하고 있다.
OECD 가이드라인에서는 개인정보보호에 대한 국가 차원의 기본원칙과 국제적 차원의 기본원칙으로 자유로운 유통과 합법적 제한을 OECD 8원칙으로 제시하고 있다.
① 수집제한의 원칙(Collection Limitation Principle) : 합법적이고 공정한 수단에 의해 개인정보를 획득하는 등 그 수집이 제한되어야 한다
② 정보의 질 원칙(Data Quality Principle) : 개인정보는 이용목적에 적합해야 하며 정확하고 최신의 정보여야 한다
③ 특정성의 원칙(Purpose Specification Principle) : 개인정보 수집목적이 특정되어야 한다
④ 이용제한의 원칙(Use Limitation Principle) : 정보주체의 동의나 법적 권한이 있는 경우를 제외하고 개인정보가 특정된 목적이 아닌 다른 목적으로 공개, 사용되어서는 안된다
⑤ 안전성의 원칙(Security Safeguards Principle) : 개인정보의 침해, 비인가접근, 오용 등의 위험을 방지하기 위해 개인정보에 대한 합리적 보안조치를 취해야 한다
⑥ 공개의 원칙(Openness Principle) : 개인정보 처리에 관한 정책을 공개하고 개인정보 관리자의 신원이나 사용목적 등을 쉽게 알 수 있도록 한다
⑦ 개인 참가의 원칙(Individual Participation Principle) : 합리적 시간과 방법에 의해 정보에 접근하고 정보주체의 개인정보 삭제, 정정 등의 권리를 보장한다
⑧ 책임의 원칙(Accountability Principle) : 개인정보관리자(data controller)에게 이상의 원칙에 대한 이행과 책임을 부과한다
유럽연합 정보보호지침 제4장에서는 제3국으로의 개인정보 이전을 규율하고 있는데, 그 이전의 조건으로 개인정보에 대한 적절한 보호수준을 보장하는 제3국으로의 이전을 요구하고 있다(지침 제25조 제1항). 나아가 적절한 보호수준인지에 대해서도 이전되는 정보의 속성, 정보처리의 목적 및 기간, 정보 발신 국가 및 최종 목적지 국가, 법적 구속력 등 개인정보 이전을 둘러싼 모든 환경을 평가하도록 요구하고 있다. (지침 제25조 제2항).
다만, 지침 제26조에서는 개인정보 국외이전에 관한 일정한 예외도 허용하고 있는데, 설사 문제된 제3국이 전술한 적절한 보호수준을 보장하는데 미흡한 경우라도 다음의 경우 개인정보의 국외이전이 가능하다 (지침 제26조 제1항)
① 정보주체가 개인정보 이전에 동의한 경우
② 정보이전이 정보주체와 정보관리자와의 계약의 수행을 위해 또는 정보주체의 요청에 따른 사전계약의 이행을 위해 필요한 경우
③ 정보주체에게 이익이 있는 계약을 수행하는데 필요한 경우
④ 정보이전이 중요한 공익적 근거에서 필요하거나 법적으로 요구되는 경우
⑤ 정보주체의 중요한 이익을 보호하기 위해 필요한 경우
⑥ 법이나 규정에 의해 공중에게 정보를 제공하도록 한 경우
나아가 지침 제26조 제1항의 예외사항에 반하지 않는 범위 내에서 각 회원국은 정보관리자가 개인의 프라이버시 및 기본적 권리와 자유에 관하여 그리고 그러한 권리의 실행에 관하여 적절한 보호장치를 제시한 경우에도 이전을 승인할 수 있다 (지침 제26조 제2항).
일본의 개인 정보보호에 관한 법률에서는 종래의 개인정보취급사업자 외에 ‘익명가공정보’와 ‘익명가공정보취급사업자’ 개념을 도입하였고, 특히 기존에 명시적 규정이 없었던 개인정보 국외이전(제3자 제공)에 관한 내용을 2015.년 법 개정을 통해 반영하였다. 즉 개정법 제24조에서는 ‘외국에 있는 제3자에 대한 제공의 제한’을 규율하면서 개인정보취급사업자가 외국(일본의 역외에 있는 국가 또는 지역)에 있는 제3자에게 개인데이터 를 제공하는 경우에 원칙적으로 미리 외국에 있는 제3자에 대한 제공을 인정하는 취지의 본인 동의를 얻도록 의무화하고 있다.
이외의 다른 국가에서도 데이터의 타입에 따라 자국내 보유 원칙을 요구하는 국가들이 많다. 특히 유럽연합 내 국가들 중에서도 일부 국가에서는 주요한 데이터는 자국내 보유하거나 언제라도 접근이 가능하도록 요구하고 있다.
국가별 데이터 관리 요건
국가 | 데이터 타입 | 요건 |
아르헨티나 | 개인데이터 | - 아르헨티나의 데이터 보호법은 적절한 수준의 보호가 이루어지지 않은 국가로 개인 데이터를 전송하는 것을 금지하고 있지만 현재까지 아르헨티나 정부는이 범주에 속하는 국가를 결정하지 않았음 - 단 데이터 주체가 데이터 전송에 명시 적으로 동의 한 경우 금지를 적용 할 수 없다고 명시 - 아르헨티나 개인 정보 보호국 (National Directorate of Personal Data Protection)은 No.18/2015을 제정하여 클라우드 스토리지는 국제 데이터 전송으로 간주되므로 데이터를 해외로 보내는 소프트웨어 응용 프로그램은 데이터 보호법을 준수할 것을 요구 |
호주 | 개인데이터 | - 2012년에 호주는 개인 건강 기록을 호주에만 저장해야하는 개인 관리 전자 건강 기록법을 제정 |
캐나다 | 공공데이터 | - 브리티시 컬럼비아와 노바 스코샤의 두 캐나다 지방은 특정 조건이 충족되지 않는 한 학교, 병원 및 공공 기관과 같은 공공 기관이 보유한 개인 데이터를 캐나다에서만 저장 및 액세스해야한다는 법률을 시행 - 63개의 공공기관에 있는 이메일을 포함한 연방 정부의 ICT 서비스는 데이터를 캐나다에 저장 |
덴마크 | 금융데이터 개인데이터 | - 2011년 이래로 덴마크 데이터 보호 당국은 표준 계약 조항을 사용하지 않고 제 3 국 (유럽 연합이 아닌)에서 현지 당국의 데이터를 처리하는 것을 금지 - 2011년 덴마크 데이터 보호국은 보안 문제를 지적하면서 '건강, 심각한 사회적 문제 및 기타 순수한 사적인 문제에 관한 데이터'를 Google Apps로 이전 할 수있는 Odense시의 허가를 거부 - 덴마크의 회계법 (Bookkeeping Act)에 따라 기업은 5 년 동안 덴마크에 회계 데이터를 저장해야 하야 하는데 특별한 상황에서 덴마크 상공인과 회사 기관은 회사에 해외 회계 기록을 보존 할 권한을 부여 할 수 있음 |
독일 | 금융데이터 개인데이터 통신데이터 | - 독일은 프랑스와 함께 회사가 독일의“번들 클라우드 (Bundescloud)”(정부용 클라우드)를 통해 유럽이나 국가에만 데이터를 저장 - 데이터 요구 사항은 독일의 주마다 다른데 독일의 브란덴부르크 주에서는 거주자에 대한 데이터는 해당 주에 위치한 클라우드 컴퓨팅 서비스에만 저장 - 보안 목적으로 통신의 메타 데이터 (누가, 언제, 어디서, 어떻게, 무엇을, 내용이 아닌)를 생성하고 보유하는 것을 목표로 하며, 여기에는 시민의 통화 기록, 전화 번호, 위치 정보, 인터넷 프로토콜 주소, 인터넷 사용 시간 및 데이터 및 청구 정보가 포함될 수 있음 - 독일의 상법에 따라 회사는 회계 데이터와 문서를 로컬에 저장 - 또한 독일의 세금 코드에 따라 모든 개인과 회사는 독일에서 세금을 납부해야 독일에서 회계 기록을 유지(다국적 기업의 경우 제외) |
타이완 | 개인데이터 | - 대만 개인 정보 보호법 제 21 조는 정부 기관이 정보가 주요 국가 이익을 포함하는 경우, 조약 또는 합의, 부적절한 보호 또는 외국 송금시와 같이 특정 조건에서 규제하는 산업에서의 국제 송금을 제한 |
영국 | 금융데이터 | - 영국 기업법 2006에 따르면, "회계 기록이 영국 이외의 장소에 보관된 경우 영국의 특정 장소에서 보관되어야하며 언제라도 감사가 가능하도록 제공되어여 함 |
터키 | 금융데이터 개인데이터 | - 2013년 터키는 PayPal과 같은 인터넷 기반 지불 서비스가 10 년 동안 터키에 모든 데이터를 저장하도록 강제하는 법률 (결제 및 보안 결제 시스템, 지불 서비스 및 전자 화폐 기관에 관한 법률)을 제정 - 2016년 터키에서 개인 데이터의 전송을 제한하고 회사가 터키 국민에 대한 데이터를 국가에 저장해야 함. - 개인 정보를 다른 국가로 이전하기 위해 개인의 “명확한 동의”를 요구 - "데이터 보호위원회"(기술 직원이 아닌 정치 담당자와 직원)는 다른 국가가 "적절한"수준의 개인 정보 보호를 제공하는지 평가하며, 법에 따라 터키에서 데이터를 수신하는 국가가 "적절한"보호 기능을 제공하지 않으면 데이터 보호위원회는 각 전송에 대한 권한을 제공해야 함 |
핀란드 | 금융데이터 | - 핀란드의 회계법(1997)에 따르면 회사의 회계 기록 사본을 핀란드에 저장 - 다만 데이터에 대한 실시간 연결이 보장되는 경우 레코드를 다른 EU 국가에 저장 가능 |
참고문헌
- Janine Anthony Bowen, Overview of Clouding, in Cloud Computing 2011: Cut Through the Fluff & Tackle the Critical Stuff 45, 51 (2011), available at 1055 PLI/Pat 45 (Westlaw).