TTIP 둘러싼 갈등(2): 정보보호법

- 유럽, 정보의 국외 이전 엄격 제한…미국, 규제 완화 주장 -

- 정보보호규제 통합 위한 “원-스톱-숍(one-stop-shop)” 설립 제안 -

 

 

 

□ 정보보호법(Data protection law)에 대한 미국과 EU의 입장차

 

 ○ 유럽은 정보의 국외 이전 엄격히 제한 vs. 미국은 규제 완화 주장

  - 미국과 유럽연합은 서로 처한 상황이 다르기 때문에 개인정보의 국외 이전에 상이한 태도를 취함.

  - 미국은 인터넷 종주국으로 민간 주도의 경쟁체제를 통해 산업을 육성해왔고, 자국 기업이 세계에 진출할 수 있도록 개인 정보의 국외 이전에 대한 규제 완화를 주장

  - 유럽은 미국보다 늦게 발전한 IT산업을 보호하고 미국 기업에 의한 시장 지배를 방지하기 위해 개인 정보의 국외 이전을 엄격히 제한함.

 

 ○ EU 개인정보보호지침*

  - EU 개인정보보호지침은 개인의 권리와 자유, 프라이버시 보호를 위해 회원국 사이의 보호 수준 차이를 조정해 국경 간 정보 이동이 방해받지 않도록 하는 데 취지가 있음.

  - 하지만 기저에는 역내 시장을 통일시키고 미국 기업에 의한 시장 장악을 방지하는 목적도 깔려 있음.

  - EU 지침 제25조 2항에 따르면 일정한 조건 하에서 역외 국가 또는 지역으로 개인정보를 이전하는 것을 허용하는데, 그 판단 기준 중 하나가 바로 ‘적합성’(adequacy)

  - 개인정보의 성격, 처리 목적과 기간, 개인정보의 최초이전국과 최종도착국, 제3국에서 시행되는 법률규범․직무규정 및 보안조치 등 정보 이전을 둘러싼 모든 환경을 고려함.

   * Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

 

□ 미국의 허술한 개인정보보호

 

 ○ 민간부문에서 개인정보보호는 기업 자율에 맡기기 때문에 개인정보보호 허술

  - 미국은 개인정보보호를 위한 포괄적인 입법은 하지 않고 규제가 필요한 분야별로 개인 정보에 관한 법률을 제정해 규율

  - 이처럼 영역별로 규범 제정이 이뤄진 부문을 제외하고 민간부문의 개인정보보호는 기업이 자율적으로 만든 정보보호지침에 따라 보호함.

  - 해당 기업의 관련 개인정보 보호단체로의 가입은 강제성이 없고 탈퇴도 자유롭기 때문에 민간부문에서의 개인정보보호는 그만큼 허술하게 이뤄짐.

  - 민간부문 개인신용정보업체의 심한 경쟁으로 정보의 오남용으로 인한 부작용이 심각한 실정

 

 ○ 미국 감사원(Government Accountability Office)은 개인정보보호 약화를 지적

  - 미국 감사원은 ‘미국정부의 개인정보 거래행위에 대한 감사결과 보고서’에서 개인정보의 보호의식이 현저히 약화됐고, 이로 인해 규범의 통제력이 악화됐다고 지적

  - 감사원 지적은 공공부문의 개인정보 보호에 있어 허술한 보호정책을 지적한 것으로 이를 극복하기 위해 법률 제정을 통한 정부 개입의 필요성을 역설

 

 ○ EU는 미국이 개인정보를 ‘적정한 수준’으로 보호하지 못하고 있다고 판단

  - EU는 미국이 개인정보보호와 관련해 통일된 법제 없이 개별 분야에 있어서 연방법과 주법만 마련하고 있고 기본적으로는 업계 자율적 통제를 지향하고 있는 점 등이 근거

  - 따라서 미국은 EU와 세이프 하버 협정을 체결해 문제를 해결하고자 함(EU 개인정보보호지침 제 25, 26조).

   * 세이프 하버 협정(Safe Harbor Agreement): 미국과 유럽 연합(EU) 간에 맺은 개인 신상 정보(PII)의 전송에 관한 협정. 공정 정보 규정(FIP)에 근거한 협정으로 미국 상무부의 세이프 하버에 등록하고 이를 준수하는 기업은 EU에서 미국으로 전송되는 PII를 위한 적절한 보호 조치를 취한 것으로 간주된다. 협정 내용에는 고지, 선택, 접근, 제3자 전송, 보안, 데이터 무결성 및 법률 시행 등 7개항의 원칙이 있다.

 

 ○ 미국 기업, EU 세이프 하버 협정 철회 우려

  - 미국의 사생활 보호법 중 유럽 법에서 요구하는 기준에 부합하는 경우에 한해, 세이프 하버 협정에 참여하는 기업은 27개의 유럽 밖으로 정보를 이전할 수 있음.

  - 하지만 미국 기업은 유럽이 세이프 하버 협정을 철회할 수 있는 가능성에 대해 항상 경계하고 TTIP 협정을 통해 철회를 불가능하게 만들기 원함.

  - 미국 기업 관계자는 KOTRA 워싱턴 무역관과의 인터뷰에서 “유럽은 TTIP에서 정보를 유럽 밖으로 전송하는 메커니즘에 일단 협약을 하면, 그것을 철회하기가 매우 어려워질 것”이라고 강조

 

□ 미국 경영계는 유럽의 까다로운 정보보호 규제를 완화하기 위해 로비 중

 

 ○ 정보보호법(Data protection law) 관련 경영계 입장

  - 미국 경영단체는 미국 측 협상단이 EU의 까다로운 정보보호법을 수락할까봐 크게 우려함.

  - 데이비드 스니더 미국 손해보험협회(Property Casualty Insurers Association of America) 국제정책을 담당 부회장은 “정보보험업의 가장 중요한 요소인 ‘정보 흐름’을 방해할지도 모르는 행위에 대해서 염려하고 있다”고 말함.

  - 증권업과 금융시장협회의 회장인 켄 벤슨은 금융서비스에서의 규제조화를 위한 협력을 미국과 EU가 하지 않을까봐 우려

  - 화장품기업도 미국과 EU 간 상표 붙이기와 테스트 요건에 대한 규제 조화를 이루도록 압력을 넣고 있음.

 

 ○ 미국 경영단체, TTIP에서 국경 간 정보 흐름을 우선 협상하도록 USTR에 압력

  - 미국 기업이 경영활동을 더 쉽게 할 수 있도록 미국의 사생활 보호제도가 정보 보호에 ‘적절(adequate)’한 것으로 EU가 인정해 줄 것을 요구함.

  - 디지털 무역연합(Digital Trade Coalition)은 “TTIP가 ‘미국의 사생활 보호 제도가 다른 국가에 비해 상대적으로 훨씬 적절하다는 것을 유럽이 인정하도록 만드는 사례가 돼야 한다”고 주장

  - 소프트웨어 정보산업협회(Softward &Information Industry Association, SIIA) 관계자는 “국경 간 정보가 원활하게 흐를 수 있도록, TTIP가 기업이 사생활 보호 규제를 준수하고 있다는 것을 증명하는 방법을 고안하고 제공해야 한다”고 언급

  - 국경 간 정보 흐름 규제를 완화하는 방향으로 유럽이 사생활 보호법(Privacy law)을 변경할 것을 촉구

 

□ 정보처리의 상호 운영(Interoperability)

 

 ○ 미국은 정보처리의 상호 운영(Interoperability)이 TTIP 협상에서 다뤄지기를 희망

  - 미국의 경영계는 KOTRA 워싱턴 무역관과의 인터뷰에서 “유럽은 미국의 제도가 사생활 보호의 최소 요건을 충족하지 않다고 생각하기 때문에 USTR이 TTIP 협상에서 이 문제에 대해 유럽을 압박해도 문제가 쉽게 해결되지 않을 것”이라고 인정

  - 그럼에도 미국 경영계는 정보처리의 상호 운영(interoperability)이 협상에서 집중적으로 다뤄지기를 원하기 때문에 국경 간 정보 흐름을 TTIP에서 우선 협상하기를 원함.

  - 인터넷협회(internet association)는 “TTIP 문맥에서 볼 때 현존하는 유럽과 미국 제도 사이에서 ‘정보의 상호운영’에 대한 실행력을 강화할 필요가 있다”고 언급

  - TTIP 협상은 “정보처리의 상호 운영(interoperability)”을 증진시키는 메커니즘을 만드는 선례가 될 것

  - 미국과 유럽은 정보 교환에서 표본 및 글로벌 기준이 되기 위해 정보 규제에 대한 입장차로 다투지 말고 모든 이해관계자들이 협력해서 합의에 도달하는 것이 중요

 

□ 개인정보보호에서 유럽의 문제점과 해결방법

 

 ○ EU, 개별 정보보호기관들의 제각각 법집행

  - EU는 정보보호규정 및 지침(Overarching Data Protection Directive)이 있지만, 회원국 사이에서 다른 정보보호 기관이 제각각 법 집행을 하고 있어서 문제

  - 회원국의 정보보호 기관이 정보보호지침을 다르게 해석할 수 있기 때문에 기업이 경영활동을 하는데 불확실성을 높임.

  - EU의 기업 규칙(Corporate rules) 하에서, 기업은 개별 EU 회원국의 정보보호기관과 협정을 맺은 후 특정 정보를 회원국에서 이전할 수 있음.

  - 프랑스 정보보호기구와의 협정을 통해 미국 기업은 프랑스에서 미국으로 정보를 이전할 수 있지만, 다른 EU 회원국에서 미국으로 정보를 이전할 수는 없음.

  - 일부 회사들은 27개국 정보보호기구와 협정을 개별적으로 맺어 이 문제를 해결했지만, 이는 굉장히 번거롭고 비용이 많이 들기 때문에 규모가 큰 회사만 할 수 있음.

 

 ○ 규제 통합 위한 “원-스톱-숍” 규제기관 설립 제안

  - 유럽위원회는 “원-스톱-숍(one-stop-shop)”, 문제를 한 곳에서 해결할 수 있는 선도 규제기관(lead regulator) 설립 제안

  - 제안된 새로운 규제에 따르면, 선도 규제기관이 모든 회원국에서의 데이터 이전을 허용

  - 이는 세이프 하버 협정의 대안 역할을 할 수 있을 뿐만 아니라, 모든 27개 유럽연합 회원국에서 미국 회사들이 정보를 전송할 수 있게 함.

 

□ 시사점 및 전망

 

 ○ 규제 일관성 통한 디지털 상업의 효율성 증진

  - 만약 TTIP 협상에서 미국이 유럽한테 “원-스톱-숍” 규제기관 설립에 대한 약속을 얻어내면, 규제의 일관성을 통해 무역과 디지털 상업의 효율성을 높이고 협력을 도모할 수 있을 전망

  - 따라서 이런 개혁안이 TTIP에 포함되면 이는 IT 기업의 경영 활동에 큰 도움이 될 것

 

 

자료원: 미국 감사원 (www.gao.gvo), 파이낸셜 타임스, Inside U.S. Trade, Official Journal of the European Union, 워싱턴 무역관 인터뷰 및 기타 보유자료