- 국가 간 디지털 통상 문제 증가... 협정 체결 통한 규율 확대 추세
- 갈수록 높아지는 데이터 자유화 요구, 각자도생 속 이해관계 합치 쉽지 않아
- 데이터 규제 강한 한국, 상대 국가의 데이터 확보·기술 수준에 따른 ‘이중 전략’으로 디지털 통상 접근 필요

21세기에 들어와 더욱 가속화되고 있던 디지털 기술의 발전과 기존 오프라인 산업들의 디지털 전환(Digital Transformation)은 2020년에 발생한 코로나 팬데믹으로 폭발적인 성장을 이루었다. 비대면으로 대부분의 회의와 업무가 이루어지는 것은 물론, 중앙화된 서버 중심의 컴퓨팅 설비들이 국내외의 데이터센터를 이용한 클라우드 서비스로 급속히 전환되고 있으며, 전세계적인 이커머스의 발전은 상품과 서비스의 매매에 있어 국경이라는 전통적인 경계를 갈수록 무의미하게 만들고 있다. 이에 따라 어느 한 국가에서의 상업활동으로 생성된 데이터가 클라우드 이용 등의 여러 이유로 다른 국가들로 이동하거나, 여러 국가에서 서비스되고 있는 글로벌 서비스에서 개인정보가 유출되어 전세계적인 피해를 발생시키는 등 디지털화로 인한 새로운 현상들이 발생하고 있기도 하다. 이는 전통적인 국경의 개념을 기본으로 형성된 국가들 사이의 통상 문제에서 해결이 시급한 새로운 이슈로 부각되었다.

디지털 통상은 2018년 미국무역대표부(USTR)가 “전자적 수단에 의한 통상의 모든 무역 관련 측면(all trade-related aspects of commerce by electronic means)”이라는 정의로 제시한 것으로, 당시 글로벌로 확장되고 있던 전통적인 전자상거래 개념과 국경 간 데이터 이동을 모두 포섭하는 개념으로 사용되었다.

디지털 통상 문제,
양자 / 3자 간 또는 다자 간 협정서 규율 노력

국가 간 디지털 통상 문제가 쟁점이 되기 시작하면서 여러 나라들은 2018년부터 양자 / 3자 간 협정 또는 다자 간 협정을 통해 디지털 통상 문제를 규율하기 위한 합종연횡의 노력을 기울여 왔다.

양자 / 3자 간 협정은 상호 간의 무역이 빈번하거나 상업적인 신뢰가 비교적 두터운 국가들 사이에서 체결되었는데, (i) 미국, 멕시코, 캐나다 사이에 2018년 11월 30일 체결된 USMCA(United States-Mexico-Canada Agreement) (ii) 미국과 일본 사이에 2019년 12월 체결된 미-일 디지털 무역협정 (iii) 싱가포르, 뉴질랜드 및 칠레 사이에 2020년 6월 12일 체결된 DEPA(The Digital Economy Partnership Agreement) 그리고 (iv) 싱가포르와 호주 사이에 2020년 8월 6일 체결된 SADEA(Singapore-Australia Digital Economy Agreement)가 이에 해당한다. 현재 우리나라와 싱가포르 사이에서 협상 진행 중인 디지털 통상 협정도 이 범주에 들어간다고 할 수 있다.

CPTPP와 RCEP (출처: 좌 - AFP / 우 - 청와대 홈페이지)

디지털 통상에 관한 다자 간 협정에는 (i) 일본, 캐나다, 호주, 싱가포르 등 태평양 연안의 11개국이 참여, 2018년 1월 23일 체결된 CPTPP(Comprehensive and Progressive Agreement for the Trans-Pacific Partnership)가 디지털 통상협정의 효시이자 중요한 협정으로 받아들여지고 있고 (ii) 중국이 주도하고 한국, 일본, 호주, 싱가포르, 뉴질랜드, 베트남 등 15개국이 참여해 2020년 11월 15일 체결된 RCEP(Regional Comprehensive Economic Partnership)가 또 하나의 축으로 이해되고 있다.

개인 정보 보호부터 데이터 개방성 문제까지,
협정 별 의제 다양

지금까지 디지털 통상에 관한 다양한 협정들이 체결되었지만 그 협정들의 주요 의제들은 대동소이한데, (i) 개인 정보 보호, (ii) 전자인증 및 전자서명, (iii) 국경 간 데이터 이동, (iv) 데이터 현지화 금지, (iii) 공공데이터 개방, (iv) 소스코드 공개 금지 등이 그에 해당한다.

첫째, 개인정보보호(Personal Information Protection)와 관련해 대부분의 협정들은 국제 기준 등을 감안, 전자상거래 사용자들의 개인 정보 보호를 보장하는 법률적 프레임워크를 채택∙유지해야 할 의무와 같은 선언적인 규정을 두고 있으며, 협정에 따라 좀 더 구체적인 규정을 두는 경우가 있다.

둘째, 전자인증 및 전자서명(Electronic Authentication and Electronic Signature)의 경우, 법령에서 규정하는 경우를 예외로 하고 당사국들은 어떠한 서명이 전자적 형식으로 이루어졌다는 이유만으로 그 서명의 법률 효력을 부인해서는 안 된다고 규정한다. 이와 함께 전자인증에 관한 국제적인 기준을 고려해 전자상거래 참여자들이 적절한 전자인증기술을 결정할 수 있도록 허용해야 한다는 의무를 규정하는 경우가 많다. 이에 대해서는 특정한 범주의 거래에 대해서는 어떠한 성능 기준을 충족하도록 하거나 법령에 따라 당국이 공인하는 인증수단을 요구할 수 있는 예외를 규정하는 경우가 있는데, 우리나라를 포함해 각국이 특유의 공인인증수단을 요구하는 경우 이러한 공인인증수단이 이 규정에서의 예외에 해당하는지가 문제 되는 경우가 많다.

셋째, 국경 간 데이터 이동(Cross-border Transfer of Information by Electronic Means)의 경우, 당사국들은 영업활동에 따른 전자적 수단에 의한 정보의 국경 간 이동을 금지해서는 안 된다는 원칙을 규정한다. 다자 간 협정에서는 정당한 공공정책 목적(Legitimate Public Policy Objectives)이 있는 경우 등의 예외를 규정하고 있다. CPTPP의 경우 국경 간 데이터 이동을 의무규정으로 격상시키는 등 국경 간 데이터 이동에 대해 비교적 단호한 입장을 채택하고 있다.

넷째, 데이터 현지화 금지(Location of Computing Facilities)는 어떠한 당사국도 그 국가에서 영업활동을 하는 조건으로 그 국가의 컴퓨팅 시설을 이용하거나 그 국가에 컴퓨팅 시설을 둘 것을 요구할 수 없다는 금지 조항인데, 국경 간 데이터 이동과 같이 다자 간 협정에서는 정당한 공공정책 목적이 있는 경우 등의 예외를 규정하고 있다. 미-일 디지털 무역협정 및 SADEA에서는 금융 서비스에서의 데이터 현지화 조항을 별도로 규정하고 있는데, 어느 당사국의 금융 감독 당국이 해외에 소재한 컴퓨터 설비에 저장된 정보에 접근 권한을 가질 것을 조건으로 데이터 현지화를 금지하는 등 다소 타협적인 입장을 취하고 있다. 국경 간 데이터 이동과 데이터 현지화 금지는 동전의 양면으로 유사한 예외를 규정하고 있는 경우가 많은데, 중국이 주도한 RCEP의 경우 정당한 공공정책 목적 등 일반적 예외 이외에도 “본질적인 안보이익의 보호를 위하여 필요한 조치”를 예외로 규정하고 “그러한 조치는 다른 당사자들에 의해 이의 제기의 대상이 되어서는 안된다”고 규정하고 있는 점이 특이하다. 결국 RCEP의 경우 안보를 목적으로 국경 간 데이터 이동을 금지하거나 데이터 현지화를 요구할 수 있는 광범위한 예외가 인정되어 사실상 규정의 취지가 무색해질 가능성을 배제할 수 없을 것으로 보인다.

정부에서 운영 중인 공공데이터포털 (출처: 공공데이터포털 홈페이지)

다섯째, 공공데이터 개방(Open Government Data)은 어떠한 당사자가 데이터를 포함하여 정부가 보유한 정보를 공공에 개방하는 경우, 그 당사자는 그 정보가 기계가 읽을 수 있는 오픈된 포맷으로 검색, 회수, 사용, 재사용, 재분배가 될 수 있도록 보장해야 한다는 규정이다. 이에 당사국들은 공공에 개방한 데이터를 포함한 정부가 보유한 정보에 대한 접근 및 사용을 확대할 수 있는 방안을 찾기 위한 협력을 위해 노력하여야 한다는 추상적인 의무 규정을 함께 두고 있다. 주로 양자 / 3자 간 협정에서 이를 많이 규정하고 있으며, 대표적인 다자간 협정인 CPTPP와 RECP에서는 이를 규정하고 있지 않다.

여섯째, 소스코드 공개 금지는 어떠한 당사국도 소프트웨어의 수입, 배급, 판매 또는 이용의 조건으로 어느 당사자가 보유한 소프트웨어의 소스코드에 대한 이전이나 접근을 요구할 수 없다는 규정이다. 다만 이것이 어떤 당사국의 규제 기관이나 사법 당국이 특정한 수사, 조사, 검사, 집행행위 또는 사법절차에서 어느 개인에게 소프트웨어의 소스코드를 보존 또는 이용 가능하게 하는 것을 금지하는 것은 아닌 것으로 해석된다. USMCA와 미-일 디지털 무역협정은 소스코드의 공개 금지 범위에 “소스코드에 대한 알고리듬”까지 포함하여, 당사국들의 소스코드뿐만 아니라 알고리듬을 요구하는 것까지도 금지하는 강력한 태도를 취하고 있는 반면, 중국이 참여한 RCEP에서는 아예 이에 대한 규정을 두고 있지 않아 매우 상반된 입장을 보이고 있다.

높은 수준의 데이터 자유화 요구하는 미국,
안보 이익 이유로 예외 요구하는 중국

이와 같은 현재까지의 디지털 통상 협정의 구체적인 내용 및 그 추이를 살펴보면, 다음과 같은 경향성을 느낄 수 있다.

첫째, 참여 당사국의 숫자가 적은 협정일수록, 최근에 체결된 협정일수록(RCEP는 제외), 또한 미국이 당사국인 협정일수록 데이터의 이동을 보다 자유롭게 보장하거나 이를 제약하는 당사국의 조치(데이터 현지화, 소스코드 공개 요구) 등을 제한하는 등 데이터 조항에 대한 자유화 수준을 높이고 있다. 이는 아마도 이미 전 세계에서 엄청난 양의 데이터를 수집한 글로벌 빅테크 기업들을 보유한 미국의 입장이 협정에 반영된 것으로 추측된다. 이에 비추어 볼 때 미국은 앞으로 우리나라와의 양자 간 협정 등에서도 데이터 현지화 금지, 알고리듬을 포함한 소스코드의 공개 금지 등 높은 수준의 데이터 자유화를 요구할 가능성이 높을 것으로 보인다.

둘째, 미-일 디지털 무역협정에서 합의된 금융 서비스에서의 데이터 현지화 금지 조항이 SADEA에 반영된 경우나, 알고리듬을 포함한 소스코드의 공개를 금지하는 USMCA의 내용이 미-일 디지털 무역협정에 반영된 것처럼, 이전에 체결된 디지털 협정이 그 이후에 체결되는 디지털 통상협정의 구체적인 내용에 상당한 영향을 미치고 있다.

셋째, 공공데이터 개방, 소스코드 공개 금지는 다자 간 협정보다 양자 간 협정에서 합의되는 경우가 많은데, 이러한 의제들이 다른 의제들에 비해 당사자들의 이해관계가 합치되는 것이 보다 쉽지 않은 의제라는 것을 알 수 있다.

넷째, RCEP에서 보이는 것처럼, 향후 중국이 참여하는 협정의 경우 중국은 “본질적인 안보이익”을 이유로 한 광범위한 예외를 계속 요구할 가능성이 있다.

위와 같은 디지털 통상 협정의 전 세계적인 경향 속에서 우리나라는 이에 어떻게 대응해야 할 것인가.

상대국의 데이터 확보 및 기술 수준따라
‘이중전략’ 취해야

우리나라의 대응 전략을 세우기 위해서는 먼저 우리나라 테크 기업들이 이미 확보한 데이터 및 앞으로 데이터를 확보할 수 있는 기술적 능력이 어느 정도인지, 우리가 디지털 통상 협정 체결을 협상할 국가의 기업들이 우리나라의 기업들과 비교하여 어느 정도의 역량을 가지고 있는지, 그리고 우리나라에 현재 존재하는 데이터에 대한 규제가 높은 수준의 자유화를 요구하는 디지털 통상 협정을 소화할 수 있는 상황인지에 대해 냉정한 현실 인식을 할 필요가 있다.

네이버, 카카오 등 우리나라 테크 기업들의 역량은 이미 세계적인 수준으로 올라와 있지만, 일본과 동남아시아에서 서비스되는 네이버의 라인 이외에는 글로벌 서비스를 제공하는 경우가 많지 않고, 이미 확보한 데이터의 경우에도 우리나라에 한정되어 있는 경우가 많은 상황이다. 게다가 우리나라의 개인 정보를 비롯한 데이터에 대한 규제는 상당히 강력한 편에 속한다. 인증서 제도 등 우리나라에 특유한 제도들도 유지되고 있으며, 공정거래위원회 / 방송통신위원회 / 금융위원회 / 개인정보보호위원회 등 데이터의 종류와 산업, 규제 기관 별로 다종다양한 규제들이 거미줄처럼 얽혀 있는 상황이다.

이러한 상황에서 미국과 같이 많은 글로벌 빅테크 기업들을 보유한 국가와 전면적인 데이터 이동을 보장하는 수준의 디지털 통상 협정이 체결되는 경우, 우리나라의 기업들이 글로벌 경쟁력에서 위와 같은 국가들의 빅테크 기업들에게 일방적으로 밀려 버리고, 그와 같은 데이터 확보의 격차가 쉽게 해소되지 않는 결과를 초래할 우려가 있다. 아울러 그러한 높은 수준의 데이터 자유화가 강력한 국내 규제와 충돌하면 내국인에게는 강력한 규제가 적용되고 외국인에게는 보다 가벼운 규제가 적용되는 불합리한 결과가 발생할 수 있고, 그러한 규제의 부정합성으로 인한 산업 현장의 혼란이 가중될 수 있다. 그러므로 우리나라로서는 우리나라 테크 기업들의 글로벌 경쟁력이 보다 확보될 때까지, 그리고 국내의 데이터에 대한 규제 수준이 국제적 수준과 비슷하게, 또는 그보다 더 자유화를 보장할 수 있을 정도로 정비될 때까지 미국과 같이 우리나라보다 데이터 확보나 기술적 측면에서 우위에 있는 국가와의 디지털 통상 협정에 대해서는 상당히 신중하게 접근할 필요가 있을 것으로 생각된다.

그렇다면, 우리나라보다 데이터 확보나 기술적 측면에서 열위에 있거나 비슷한 수준의 국가와는 어떨까. 미국과 같은 국가의 경우와는 반대로 적극적인 데이터 통상 협정 체결을 통해 우리나라의 테크 기업들이 해당 국가들에서 보다 경쟁력을 가지고 적극적으로 진출하고, 해당 국가에서의 사업을 통해 데이터를 확보할 수 있도록 해야 할 것이다. 특히 여러 국가가 참여해 전체적인 데이터 자유화 수준이 비교적 낮은 다자 간 협정보다, 산업의 교류가 많고 우리나라에 보다 이익이 될 수 있는 국가를 선택적으로 선별, 양자 / 3자 간 협정을 통해 높은 수준의 데이터 자유화를 요구하는 협정을 체결해 우리나라 기업들이 해당 국가에 진출할 수 있는 교두보를 마련할 필요가 있다.

그리고 무엇보다 중요한 것은 이러한 상대 국가의 데이터 확보 및 기술적 수준에 따른 이중 전략의 전제는 결국 국내의 데이터 관련 규제가 글로벌한 데이터 자유화 수준과 비슷한 수준으로 정비되어야 한다는 것을 명확하게 인식하는 것이다. 여기에서 규제를 총괄하고 조정하는 정부의 역할이 강조될 수밖에 없는데, 정부는 머지않은 장래에 각국과 여러 의제를 사이에 둔 데이터 통상 협정이 진행될 것을 염두에 두고 국내 데이터 관련 규제들을 정합성 있게 정비하고 이에 대비할 책임이 있다. 특히 우리나라에 특유한 규제들을 글로벌 스탠다드에 맞게 정비하고, 우리나라의 규제들이 디지털 통상 협정에서 규정하는 여러 예외에 해당할 수 있도록 미리 준비해야 할 필요성이 있다.

아울러 국내 여러 기업들도 위와 같은 전 세계적 움직임을 면밀히 주시하고, 정부와 다양한 채널을 통해 대화와 소통을 계속하면서 디지털 통상 협정의 체결로 어떤 국가에 어떤 방식으로 진출하여 데이터를 확보할 것인지, 그러한 협정을 이용해 글로벌 경쟁력을 어떻게 확보할 수 있을 것인지를 끊임없이 고민해야 할 것이다.

디지털 세계에서 갈수록 국경은 의미가 없어지고 있지만 각국은 오히려 자국의 데이터에 대한 규제를 21세기의 새로운 무역 장벽으로 적극 이용하고 있다. 반면 19세기 서양의 배들이 아시아 국가들을 힘으로 위협하면서 개항을 요구한 것처럼, 이미 디지털 환경과 데이터에 있어 절대적 우위를 가진 국가들은 높은 협상력을 기초로 자국에게 유리하도록 다른 국가에 데이터 자유화를 강력하게 요구하는 경향도 명확해지고 있다.

21세기, 데이터 개항의 시대가 다시 찾아왔다. 과거의 실수를 되풀이하지 않기 위해 우리나라는 냉정한 현실 인식과 우리 스스로에 대한 성찰을 바탕으로 한 유연성 있는 전략을 바탕으로 목전에 다가온 디지털 통상 협정에 슬기롭게 대처하여 다가올 미래를 대비해야 할 것이다.