유럽 디지털 단일시장 구축 논의에 대한 의미와 전망 – EU 개인정보보호정책을 중심으로

1. 들어가며

IMF가 2014년도에 발표한 자료에 의하면, 유럽연합(EU)은 GDP 기준으로 약 18조 달러로서. 약 17조 달러인 미국을 앞서며, 세계 1위 경제 규모를 유지하고 있다. 전세계 GDP가 약 77조 달러임을 감안하면, EU와 미국 양대 진영이 전세계 경제 규모의 약 절반을 책임지고 있는 형국이다. 이러한 막대한 경제규모와 시장의 크기에도 불구하고, IT 산업과 관련해서는 미국에게 선수를 빼앗긴지 오래고, 샤오미, 알리바바 등 글로벌 IT 기업을 앞세워 무섭게 치고 나오는 중국과 비교해보더라도, EU의 존재감은 확연하게 떨어지는 것이 사실이다. 또한 최근 불거진 그리스의 재정 위기로 인해 유럽연합(EU)의 존속 가능성 내지 그 실효성에 의문이 제기되는 등, 안팎의 도전과 위협에 직면해 있다.

이러한 배경 하에, 올해 6월, EU의 집행기구인 유럽집행위원회(European Commission)는 IT시대에 있어서 EU의 글로벌 리더십을 확보하고, 이를 통한 EU 경제권의 도약과 번영을 위해 “유럽을 위한 디지털 싱글 마켓 전략”¹이라는 명칭의 보고서를 발표하기에 이르렀다. 특히, 동 위원회는 디지털 싱글 마켓 구축을 위한 전략의 일환으로서 개인정보보호법 개혁의 중요성을 강조하는데, 이는 공식 화폐인 유로(Euro)와 더불어, 개인정보를 유럽 경제 대동맥을 흐르는 양대 유동성으로 간주하겠다는 것을 시사한 것으로 볼 수 있다.

이하에서는 동 보고서의 내용과 이에 따른 EU의 개인정보보호 정책의 방향을 살펴보고, 우리나라 정부와 기업이 참고할만한 점 및 대응 방향에 대해 논의해보고자 한다.

2. EU의 야심, Digital Single Market의 의의와 실현 방안

EU는 경제적인 측면에서 볼 때, 유럽중앙은행이 발행하는 유로에 의해 통합된 경제공동체라 할 수 있다. 한편, 경제적으로 이미 통합된 단일 권역임에도 디지털 시장에서의 통합을 시도한다는 것은 어떠한 의미일까? 이는 회원국들의 기존의 규제와 정부정책이 새로운 디지털 시대의 특성을 반영하지 못한 채로 파편화(fragmented)되어 있다는 것을 의미한다. 파편화는 필연적으로 정보의 흐름을 방해하고, 서비스와 상품의 유통에 장애가 됨으로써 온라인 경제의 효율성을 떨어뜨리게 되는데, 유럽집행위원회 보고서에 의하면 EU소비자들이 지역에 구애 받지 않고, 유럽 전역으로부터 온라인상 상품 및 서비스 구매가 가능할 경우, 연간 약 12조 유로의 비용을 절약할 수 있다고 파악하고 있다. 결국, EU는 이러한 파편화에 따른 회원국간의 장벽과 비효율을 제거하는 것이야 말로, 디지털 단일 시장 구축의 핵심이라고 파악하고, 나아가 EU가 디지털 경제시대에서 글로벌 리더십을 확보할 수 있는 방안으로 판단한다. 이를 위해 크게 세 가지의 원칙과 이에 입각한 16가지 세부전략을 제시한다.

세 가지 대원칙을 살펴보면 다음과 같다. 첫째, 유럽 전역에 걸쳐서, 소비자와 기업이 디지털 상품과 서비스에 대해 잘 접근하게 하자, 둘째, 디지털 네트워크와 혁신적 서비스의 번성을 위하여 공정한 경쟁환경을 조성하자, 셋째, 디지털 경제의 성장 잠재력을 최대화하자는 것이다. 세 가지 원칙들이 다소 추상적으로 들릴 수 있으나, 그 핵심은 디지털 경제 부문에 합리적인 시장경제원리를 작동시켜서, EU의 국부를 확대하는 동시에 유럽인들의 일자리를 창출하고, 나아가 IT 산업부문에서의 EU의 글로벌 리더십을 확대하자는 것으로 볼 수 있다.

이러한 세 가지 원칙에 따른 16가지 세부적 과제들은 크게 규제개혁안과 산업지원안으로 나눌 수 있는데, 이를 요약해서 살펴보면 다음과 같다.

우선 규제 개혁안과 관련해서 보면, 첫째, 회원국간의 상품과 서비스의 흐름이 자유롭게 하자는 것이다. 이를 위해서는 각국마다 다른 개인정보보호체계를 점검하고 조율하여 법체계를 단일화하자는 것이고, 부가가치세제 개혁을 정비함으로써 세제상의 부담을 덜어 줄 것을 제시한다. 둘째, 디지털 경제에 대한 경쟁법적 검토를 다각적으로 수행함으로써, 공정한 경쟁환경을 조성하자는 것이다. 특히 이 전략의 경우는 인터넷 검색엔진과 SNS등을 구체적으로 제시하고 있는데, 이는 구글, 페이스북 등 미국 기업의 독주를 견제하기 위한 포석으로 보여진다. 셋째, 방송통신 융합 환경에 걸맞는 통신법을 재정비함으로써 기존의 통신회사와 뉴미디어 회사가 공존발전할 수 있는 토대를 마련하자는 것이다.

다음으로, 산업지원안에 관해 살펴보면, 첫째, 상품의 배달이 회원국간 효율적으로 이뤄질 수 있는 시스템을 마련하자는 것이다. 둘째, 빅데이터를 경제성장의 핵심으로 간주하고 지원방안을 마련하자는 것인데, EU 개인정보체계의 개혁도 바로 이러한 산업활성화 측면에서 진행되고 있다는 점을 주목할 필요가 있다. 셋째, 5G 무선통신, 클라우드컴퓨팅, 헬스케어, 신에너지산업 발전을 위하여 기술호환성 및 표준화를 진행하자는 것이다. 넷째, 효율적인 전자정부를 구축하여 민간부문에 대한 서비스를 강화하자는 것이다.

3. Digital Single Market 구축을 위한 EU의 개인정보보호 전략

1)EU 개인정보 규제 개혁의 배경

디지털 단일 시장 구축과 관련하여 눈여겨 볼만한 것은 EU가 개인정보체계의 개혁을 그 중요한 수단으로 삼고 있다는 점이다. 특히 개인정보를 비록 EU역내이긴 하지만 자유롭게 흘러야 할 대상으로, 그리고 빅데이터 활성화에서 보듯이 산업활성화의 수단으로 보면서 보호와 활용의 조화를 꾀하고 있다는 점을 주목할 필요가 있다.

이러한 경향은 1995년도에 마련된 EU의 개인정보에 관한 일반법인 Directive 95/46/EC의 기초가 된, OECD의 ‘프라이버시 보호와 개인정보의 국경간 흐름에 관한 가이드라인’²과 그 맥락을 같이 하고 있는데, 동 가이드라인의 제목에서도 알 수 있듯이 기본적으로 정보는 자유롭게 유통되어야 한다는 점이 강조된다. 한편, 동 지침과 동 지침이 전기통신영역에 반영된 Directive 2002/58/EC는 말 그대로 ‘지침’에 불과하여, 회원국에 대해 법적 구속력을 갖는 것은 아니다. 다만, 대부분의 회원국들은 동 지침들의 원칙을 각국의 개인정보보호법에 반영하고 있는데, 각 회권국의 사정에 따라 조금씩 다른 규제 내용들을 포함하고 있다.

이러한 규제의 차이와 비효율성으로 인하여, 디지털 경제의 핵심인 개인정보의 원활한 흐름이 방해받고 있다는 점에 착안하여, 2012년도에 유럽집행위원회는 모든 회원국에 법적 구속력을 갖는 개정안을 유럽의회(European Parliament)와 각료회의(Council of Ministers)에 제안을 한 바 있다.³동 제안은 유럽의회의 결의는 통과하였으나 각료회의의 이견으로 3자간의 협의가 진행 중이며, 이르면 올해 말에 법으로 확정될 예정이다.

2) EU 개인정보 보호체계 개정 방향

EU는 개인정보를 단순히 보호하기 위한 대상으로 보기 보다는 디지털 단일 시장을 구축하기 위한 수단으로 인식하는 바, 새로운 개정 법률안은 개인정보의 보호에 그치지 않고, 개인정보에 기반한 단일 디지털 시장을 기업이 최대한 활용할 수 있는 방안에 많은 관심을 기울이고 있다. 2014년도 영국 정보보호위원회(Information Commissioner’s Office)가 발간한 보고서 ‘빅데이터와 정보보호’(Big Data and Data Protection)도 이러한 관심을 반영한 것이다. 물론 정보의 원활한 흐름과 활용을 위해서는 정보주체의 법체계에 대한 신뢰 제고와 자기 정보결정권 보장 또한 중요하게 고려한다. 즉, 개인정보의 보호와 활용의 조화야 말로 새로운 개정 법률안의 핵심이라고 할 수 있다. 이러한 관점에서 유럽 집행위원회는 다음과 같은 개정 원칙을 제시한다.

첫째, One Continent, One Law 정책이다.

즉, 하나의 대륙에 하나의 법을 적용하자는 것이다. 기업들의 규제 예측가능성을 높이고 불필요한 중복 규제를 제거함으로써 비지니스 활성화를 도모한다.

둘째, EU역내에는 EU법을 적용하자는 것이다.

EU 회원국 들은 물론이고, EU역외에 존재하는 다른 국가의 기업이라고 하더라도, 유럽인의 정보를 수집하고 유럽인에게 서비스를 제공할 경우, EU법을 적용하게 된다. 특히, EU의 개인정보보호법을 위반하게 될 경우, 위반 기업의 전세계 매출액의 2%까지 벌금형 부과가 가능해진다.

셋째, One-Stop-Shop 원칙이다.

기업이나 정보주체는 여러 국가의 감독당국을 상대할 필요가 없고, 자신들의 국적 감독 당국 한군데만 응대하도록 하여, 법집행 내지 행정효율성을 증대하겠다는 것이다.

넷째, 정보주체의 권리 강화이다.

잊혀질 권리를 강화하여, 정보처리자에 대한 자기정보 결정권을 강화하고자 한다. 또한, 자신의 정보가 해킹될 경우, 정보처리자로 하여금 해킹에 대한 통지의무를 강화하고 특히 당국에 24시간 내 신고할 의무도 규정한다.

4. 맺음말: 우리 정부, 기업의 대응 방향

우선 정부 정책과 관련하여 본다면, EU가 합리적 개인정보체계를 산업활성화의 중요한 수단으로 인식하면서 개인정보의 보호와 활용의 조화를 도모한다는 점을 참고할 필요가 있다. 주지하다시피, 우리나라의 개인정보보호법은 폭넓은 개인정보 정의조항, 엄격한 동의의 원칙, 세분화된 기술적 관리적 조치사항, 강한 형사 처벌 규정 등, 비교법적으로 보더라도 대단히 엄격한 내용을 가지고 있는 바, 이는 디지털 경제 시대의 빅데이터 활성화에 걸림돌로 작용하고 있다. 개인정보의 정의 조항을 보다 구체적으로 하여 열거적으로 규정하고, 엄격한 동의절차를 완화하되, 형사처벌 대신 감독당국의 사후 점검과 시정명령을 강화하는 방향으로 개혁이 이뤄져야 한다고 본다.

글로벌 기업의 경우는 EU의 개인정보 개정 동향을 면밀히 살펴서 글로벌 전략을 세우는 것이 필요하다. 특히, EU의 개정법안에 의할 경우 설사 한국에 서버를 운영하더라도 EU시민의 정보를 수집할 경우 EU법의 적용을 받게 되는데, 법 위반시 전세계 매출액의 2%에 해당하는 과징금을 부과받을 수 있기 때문이다. 페이스북, 애플 등 글로벌 IT기업의 경우는 EU 회원국 중 비교적 개인정보규제가 약한 아일랜드에 별도 법인을 설립해서 유럽인의 정보 수집에 대해서는 아일랜드 법인이 개인정보처리자(Controller)가 되게 하는 전략을 취해왔으나, 단일한 규제가 도입될 경우, 이러한 전략은 유효하지 않게 된다. 한편, EU는 빅데이터 산업의 전략적 육성에 관심이 많고, 특히 비식별화 방안을 통한 빅데이터 활용에 적극적이니 만큼, EU 사업을 고려하는 우리 기업의 경우 비식별화 방안을 연구할 필요성이 크다고 보인다.

유럽은 사상과 제도는 물론이고 과학 기술에 있어서도 세계를 선도해왔고, 앞으로도 그럴 가능성이 높다. 특히 대륙법체계를 승계하고 EU모델에 입각한 개인정보보호 법제를 도입한 우리나라의 경우, EU의 정책은 여전히 참고할만한 가치가 있다. IT강국 코리아의 디지털 리더십을 강화하기 위해 지혜를 모아야 할 시점이다.

——————————————————————————————————————–

1. COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE OF THE REGIONS; A Digital Single Market Strategy for Europe, 6.5.2015 [본문으로]
2. Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data [본문으로]
3. EU의 입법은 유럽집행위원회가 입법제안을 하게 되는데, 동 법안이 유럽의회를 통과한 후, 각료회의가 이견이 없으면, 회원국 정상들이 서명함으로써 법으로 확정된다. 한편, 유럽의회를 통과하더라도 각료회의가 이견이 있으면, 다시 집행위원회를 통하여 3자간의 협의가 진행된다. 즉, 입법이 확정되려면, 3자간의 합의가 완성되야 한다. [본문으로]