"개인정보보호법, 데이터 주권 보호 내용 빠졌다"

데이터 3법 중 하나인 개인정보보호법 개정안이 오는 29일 본회의를 통과할 것으로 점쳐진다. 그러나 개정안에 '데이터 주권'을 보호하는 내용이 없어 보완해야 한다는 전문가 비판이 제기됐다.

데이터 주권은 국가 내에서 발생한 데이터에 대한 집행관할권을 뜻한다. 어려운 점은 우리나라로선 타국과의 데이터 교역이 필수적이라는 데 있다. 구글, 아마존 등 해외 기업이 주요 데이터 플랫폼을 운영하는 상황에서 되도록 많은 데이터를 확보해야 하기 때문에 그렇다. 데이터를 상호 공유하면서도, 주권은 잃지 말아야 하는 입장인 것이다.

이런 점을 고려해 현재 정보 주체의 동의에 의존하는 개인정보 국외 이전 규범을 재정비해야 한다는 의견이다.

28일 국회에서 열린 '데이터 3법 개정과 구체적 개선 방향' 토론회에서 발제자로 나선 김현경 서울과학기술대학교 IT정책전문대학원 교수는 개인정보 국외 이전에 대한 국내외 규정 현황과 입법 과제에 대해 발표하면서 이같이 주장했다.

김현경 서울과기대 교수는 "4차 산업혁명이라 불리는 경제에서 데이터의 양적·질적 확보는 필수적이지만 우리는 자국 내 데이터만으론 양적 한계가 존재한다"며 "미국은 이미 공룡 데이터 플랫폼이 자리 잡고 있으며, 중국은 자국의 인구 규모를 기반으로 데이터 국지화 정책을 실시하고 있어 이들의 데이터를 우리 플랫폼으로 끌어오는 것은 쉽지 않다"고 진단했다.

따라서 한국이 데이터 강국이 되기 위해서는 유럽, 아프리카, 인도 등 다른 국가의 데이터를 이전해올 수 있어야 한다고 봤다. 이를 위해 데이터 주권을 고려한 기준을 세우고, 이를 충족하는 경우에 한해 국외 이전을 허용하는 '상호적정성 모델' 도입을 제안했다.

김현경 교수는 개인정보 국외 이전 규범 유형을 크게 ▲자유주의 모델 ▲상호적정성 모델 ▲국가통제 모델 세 가지로 분류했다.

자유주의 모델의 대표적인 예가 미국이다. 미국은 아동 프라이버시, 건강보험, 전자통신 등 영역별 법제에서 개인정보 보호 내용을 갖추고는 있다. 그러나 민간 영역을 포괄적으로 규율하는 연방 차원의 개인정보보호법은 없다.

미국은 자국민의 개인정보 국외 이전을 제한하기보다, 국외 정보에도 접근할 수 있는 법적 근거를 마련하려는 모양새다. 지난해 3월 시행된 '합법적 해외 데이터 사용법(CLOUD Act)이 일례다. 이 법은 미국 정부기관이 서비스제공자가 실제 데이터를 어디에 저장하든 관계없이 제공 요청을 할 수 있도록 하고 있다. 개인정보의 국외 이전을 허용하면서 정부가 역외 정보에 접근할 수 있게 해 데이터 경제의 부흥과 데이터 보안의 조화를 추구하고자 한 사례다.

국가통제 모델은 중국, 러시아 등이 취하고 있다. 정보의 국내 유입과 국외 유출을 강력하게 통제하는 경우다.

김 교수가 제안한 상호 적정성 모델은 적절한 정보보호 수준을 취하고 있는 국가에 대해 개인정보 국외 이전을 허용하는 모델이다.

이는 유럽 일반 개인정보보호법(GDPR)에도 적용돼 있다. GDPR은 EU 역내에 있는 정보 주체의 개인정보를 역외 지역에 설립된 개인정보처리자 또는 수탁처리자가 처리하는 경우에도 규제 적용을 받는다고 명시하고 있다. 동시에 개인정보를 제3국으로 이전하기 위해서는 해당 국가가 적정성 결정을 받거나, 개별 기업이 GDPR 준수를 위해 적절한 안전 조치를 취하고 있는 것으로 인정받거나, 개인정보 주체로부터 명시적 동의를 받아야 한다고 규정하고 있다.