본문 내용으로 건더뛰기

KDI 경제교육·정보센터

ENG
  • 경제배움
  • Economic

    Information

    and Education

    Center

세계는 지금
데이터 규범을 둘러싼 글로벌 경쟁과 EU의 전략
홍성준 주벨기에·유럽연합대사관 서기관 2021년 06월호

 

“오늘의 승자가 반드시 내일의 승자라는 법은 없다(The winners of today will not necessarily be the winners of tomorrow).” EU집행위가 데이터경제를 활성화하기 위해 지난해 2월 발표한 ‘EU 데이터 전략(European strategy for data)’의 한 대목이다. 이 짧은 문장은 두 가지를 시사한다. 첫째, 데이터는 국제사회의 ‘승자’를 판가름할 수 있는 국력의 주요 척도가 됐다. 둘째, EU가 지금은 데이터 부문에서 승자가 아니지만 미래에는 주도권을 잡을 수 있도록 노력할 것이다.
국제사회의 주요 정치·경제 권역인 EU가 데이터를 핵심 자원으로 인식하고 경쟁에 본격적으로 뛰어든 이유는 무엇일까? 지난 3월 우리나라는 EU집행위로부터 EU 일반개인정보보호법(GDPR; General Data Protection Regulation) 적정성 초기 결정(draft adequacy decision)을 받았다. 국제사회의 데이터 규범 경쟁 속에서 이는 무엇을 의미하며, 앞으로 우리가 나아가야 할 방향은 무엇일까?

데이터 규범 논의의 양대축은
자유로운 정보 이동과 데이터 주권

오늘날 데이터는 전통적인 3대 생산요소(노동, 자본, 토지) 못지않은 핵심 자원으로 부상했다. 이는 여타 생산요소와 같이 데이터가 국가안보에 직결됨을 의미한다. 정부와 기업은 공공·민간 데이터를 활용해 국민과 소비자에게 가장 적합하고 경쟁력 있는 재화와 서비스를 제공·생산할 수 있다. 또한 데이터는 인공지능(AI), 우주, 사이버, 자율무기시스템 등 최첨단 산업에서도 기초 자원이 된다. 데이터의 보유량과 활용 능력이 경제안보와 군사안보의 확보에 있어 중요하게 된 것이다.
이러한 맥락에서 자연스럽게 ‘데이터 주권(data sovereignty)’ 개념이 등장했다. 간단히 말해 자국 영토에서 생산되는 데이터에 영토 관할권(속지주의)을 적용하는 것이다. 이에 기초해 자국 내 데이터(제3국 기업이 생산한 데이터 포함)의 제3국 이전을 제한하고 그 데이터를 자국 내 설치된 서버에 저장하는 것을 강제화하는 행위를 ‘데이터 현지화(data localization)’라고 한다. 한편 데이터 주권은 국가의 관점이 아닌 개인의 관점에서도 정의할 수 있다. 개인정보 침해에 대한 보호와 개인정보 사용에 대한 자기결정권을 의미한다. 데이터 주권의 긍정적 측면은 국가 차원에서는 데이터 유출 방지를 통한 산업 경쟁력 제고, 개인 차원에서는 개인정보 침해 방지 등을 꼽을 수 있다.
하지만 국가 차원이든 개인 차원이든 데이터 주권을 과도하게 강조할 경우 데이터의 자유로운 이전이 가져오는 이익을 누릴 수 없다. 서로 다른 데이터가 결합될 경우 단순 합 이상의 가치를 갖는 데이터가 창출되는 시너지 효과가 가능하다. 예를 들어 A국의 외식 기업은 B국의 배달 기업과 합작해 그간 A국에서 수집한 소비자(B국 국민 등) 기호, 소비 패턴 등을 B국으로 이전해 B국의 배달 기업에 제공함으로써 성공적인 B국 진출을 모색할 수 있다. 또한 개인 차원, 즉 한 국가 내에서 기업·산업 간 자유로운 정보 이전 역시 소비자 본인의 이득을 가져올 수 있다. 예를 들어 건강, 생활습관, 기호식품 등 관련 데이터가 결합될 경우 기업은 개인 맞춤형 의약품을 생산할 수 있다.
오늘날 각 국가가 채택하고 있는 데이터 규범은 ‘자유로운 정보 이동’과 ‘데이터 주권’을 양끝으로 하는 스펙트럼 위에 놓여 있다. 특히 국가 차원에서 볼 때 미국은 구글, 아마존, 페이스북 등 자국의 거대 IT 기업이 전 세계 사용자들의 막대한 데이터를 보유하고 있기 때문에 제3국에서 활동하는 이들 기업의 이익을 보장하기 위해 자유로운 정보 이동에 방점을 두고 데이터 현지화 조치를 반대하고 있다. 반면 중국은 IT 후발국으로서 산업 육성과 미국 기업 견제 등을 목적으로 데이터의 해외 반출을 엄격하게 제한하고 있다.

EU 데이터 전략, 유럽식 가치 더해 균형 모색
그렇다면 EU의 데이터 규범은 앞서 소개한 스펙트럼 중 어디에 위치해 있을까? EU집행위가 지난해 2월 발표한 EU 데이터 전략을 보면 EU는 데이터의 자유로운 이동을 기본적으로 지지하되 전통적으로 중시해 온 개인정보 보호 가치를 더함으로써 데이터산업 활성화와 사생활 보호를 동시에 추구하고 있다. 즉 스펙트럼의 중간에서 균형을 모색하고 있다. EU는 이를 ‘자유롭고 안전한 데이터 이전(free and safe data flows)’이라고 표현한다.
EU 데이터 전략은 2019년에 출범한 현 EU집행위의 6대 정책 목표 중 ‘디지털 시대에 부합하는 유럽(a Europe fit for the digital age)’을 실현하기 위한 3개의 구체 전략 중 하나로 제시됐다. 3대 구체 전략은 ‘유럽의 디지털 미래’, ‘AI 백서’, ‘EU 데이터 전략’으로 구성된다. ‘유럽의 디지털 미래’는 전반적인 청사진이고, 데이터와 AI가 향후 EU 디지털 정책의 쌍두마차가 된다. 이를 통해 EU가 데이터에 부여하는 중요성을 짐작할 수 있다. 데이터 전략을 통해 EU는 소수의 미국 IT 기업이 EU 국민들의 데이터는 물론 전 세계 사용자들의 데이터를 사실상 독과점하고 있는 현실 속에서 EU 내 데이터산업을 육성해 EU 기업들의 경쟁력을 확보하고자 한다.
이를 위해 우선 역내 차원(EU를 하나의 국가로 볼 때 앞서 설명한 개인 차원에 해당)에서 27개 회원국 간의 분절된 데이터 규범·정책 간 조화를 추구해 ‘유럽 단일 데이터 공간(single European data space)’을 구축한다. 이는 회원국 간, 기업 간, 공공-민간 간 데이터를 자유롭게 공유해 시너지 효과를 창출한다는 구상이다. 오늘날 EU 통합의 힘이 단일시장에서 나온다는 점을 미뤄볼 때, 단일 데이터 공간의 구축에 EU가 거는 기대가 얼마나 큰지 짐작할 수 있다. 특히 EU는 경제적으로 파급효과가 크거나 공익에 기여할 수 있는 9개 부문(제조업, 환경, 모빌리티, 보건, 금융, 에너지, 농업, 행정, 인력양성)에서의 단일 데이터 공간을 적극 지원한다는 계획이다. 그리고 데이터 공유·이용의 활성화를 뒷받침하기 위한 인프라 구축 등을 위해 40억~60억 유로(약 5조4천억~8조2천억 원)를 조성할 예정이다.
한편 정보 주체가 자신의 데이터를 자유롭고 지속적으로 공유하려면 개인정보 보호가 전제돼야 한다. 전통적으로 개인정보 보호를 중시해 온 EU는 이미 1995년에 회원국에 대한 가이드라인 형태로 개인정보 보호를 법제화했다. 그리고 2018년 이를 보다 강화한 GDPR을 발효했다. GDPR은 정보 주체의 권리, 개인정보 처리 주체의 의무 등을 상세히 규정하고 있으며 이를 위반할 경우 높은 과징금을 부과한다. GDPR은 EU의 단일 데이터 공간 구축이 신뢰 속에서 이뤄질 수 있도록 보장하는 안전판 역할을 하는 것이다.
역외 차원(앞서 설명한 국가 차원에 해당)에서 EU 데이터 전략은 EU의 개인정보 보호 가치·기준이 준수되는 제3국과의 개인정보 이동을 촉진해 나갈 것이라고 밝히고 있다. 즉 EU에서 제3국으로 자유로운 정보 이전을 허용하되, 제3국의 개인정보 보호 수준이 EU와 유사한 경우로 제한한다. EU는 제3국의 개인정보 보호 수준을 판단하기 위해 GDPR상 적정성 결정(adequacy decision) 제도를 활용한다. EU집행위는 제3국의 개인정보 보호 법제를 심도 있게 평가해 EU 법제와 본질적으로 동등(essentially equivalent)하다고 판단되면 적정성 결정을 내리며, 이 경우 개별 기업은 별도의 조치 없이 EU 내 개인정보를 제3국으로 이전할 수 있다. 역외 차원에서도 자유로운 정보 이전과 데이터 주권 사이에서 개인정보 보호라는 가치를 중심으로 균형을 모색한 것이다.
앞서 살펴본 것처럼 오늘날 국가들은 자유로운 정보 이동과 데이터 주권 사이에서 국익에 부합하는 데이터 규범을 마련하고 있다. 그리고 더 나아가 국제사회의 데이터 규범 논의가 자국의 규범과 부합하는 방향으로 이뤄지도록 지역 및 다자 차원의 논의에 적극 참여하고 있다. 미국은 아시아태평양경제협력체(APEC) 차원에서 기업의 개인정보 보호 수준 자율인증제도인 ‘국경 간 프라이버시 규칙(CBPR; Cross Border Privacy Rule)’ 이니셔티브를 주도하고 있다. 트럼프 행정부는 미국·캐나다·멕시코 무역협정과 미일 디지털 통상협정에 데이터 현지화 금지 조항을 규정했었다. 미국과 유사한 입장을 갖고 있는 일본은 2019년 G20 정상회의에서 ‘신뢰 가능한 데이터의 자유로운 이동’을 보장하는 국제규범 마련을 위한 이니셔티브를 제안했다. 한편 중국은 기업의 모국으로의 데이터 이전 의무화 금지 등 데이터 주권에 방점을 두는 ‘글로벌 데이터 안보 구상’을 발표했고, 러시아는 이에 대해 지지를 표명했다.

국제사회의 데이터 규범 형성 속에서
EU GDPR 적정성 초기 결정이 갖는 의미

EU집행위는 지난 3월 한국에 대한 GDPR 적정성 초기 결정을 발표했다. 지난 4년간 이어온 실무협의가 결실을 맺은 것이다. 향후 최종 결정이 내려지면 EU에 진출한 한국 기업들은 별도의 조치 없이 EU에서 수집한 개인정보를 한국으로 이전할 수 있게 된다. 이는 기업들의 정보 이전 비용을 대폭 낮추는 것은 물론 GDPR 위반에 따른 과징금 우려도 완화하는 등 한국 기업의 EU시장 진출 확대에 기여할 것으로 기대된다.
한국에 대한 GDPR 적정성 초기 결정은 비단 경제적 이익 외에도 국제사회의 데이터 규범 경쟁 맥락에서 함의를 갖는다. EU의 정치·경제적 위상과 국제규범 제정 능력 등을 고려할 때, 국제사회의 데이터 규범 논의에 있어 EU의 정책이 갖는 영향력은 무시하기 어렵다. 이번 적정성 결정은 우리의 데이터 정책이 자유로운 정보 이동과 데이터 주권 사이에서 개인정보 보호 가치를 중시하면서 데이터산업 활성화와 사생활 보호 간의 균형을 추구해 나가고 있는 EU의 데이터 전략과 큰 틀에서 궤를 같이한다는 점을 보여준다. 2018년 GDPR 발효 이후 적정성 최종 결정을 받은 국가는 일본뿐이며 GDPR 발효 이전에 결정을 받은 국가도 11개국에 불과하다. 한편 지난해 7월 미국과 EU 간 개인정보 이전 협정이 미국으로 이전된 EU 국민의 개인정보가 효과적으로 보호되지 못한다는 이유로 유럽사법재판소에 의해 파기됐다. 이처럼 EU는 엄격한 기준에 근거해 역외 정보 이전을 허용하고 있다. 최근 우리 정부는 「개인정보 보호법」을 개정해 ‘가명정보’ 개념을 도입하며 데이터 이용·공유를 활성화하면서도 개인정보보호위원회를 중앙행정기관으로 격상하고 개인정보 보호 기능을 위원회로 일원화해 개인정보 보호를 강화했다. 「개인정보 보호법」 개정이 보여주는 방향성은 EU가 추진하는 정책과 유사하며 한국과 EU 간 GDPR 적정성 결정 협의에서도 긍정적 요인으로 작용했다.
세계 5위 데이터 생산국인 한국에도 국제사회의 데이터 규범 형성은 중요한 이슈다. 가령 데이터 현지화가 일반화돼 일종의 디지털 무역 장벽으로 기능할 경우 해외에 진출해 있는 많은 우리 기업은 한국 본사로의 데이터 이전에 제약을 받게 된다. 따라서 우리는 데이터 규범과 관련된 국제사회의 논의를 면밀히 관찰하면서 국익에 부합하는 규범이 형성될 수 있도록 논의에 참여해 나가야 할 것이다. 이 과정에서 최근 「개인정보 보호법」 개정, 한·EU GDPR 적정성 결정 등의 사례를 우리 국익에 부합하는 규범의 방향성을 잡는 길잡이로 삼을 수 있을 것이다.
보기 과월호 보기
나라경제 인기 콘텐츠 많이 본 자료
확대이미지