• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    연구논단

    디지털통상협정상 금융데이터현지화금지 규정과 국내 관련 법령 검토

    양찬석 변호사(금융위원회 사무관) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 180169.jpg

    Ⅰ. 들어가며

    우리나라는 2003년 2월 칠레와의 자유무역협정(FTA : Free Trade Agreement, 이하 'FTA')에 서명한 이후로 2022년 6월 현재 총 18개의 양·다자 FTA를 발효시켰다. 그 중 금융서비스에 대해 별도의 장(Chapter) 또는 부속서(Annex)를 두고 있는 FTA는 총 15개이다.

     

    최근에는 시장 개방의무와 그 범위를 나누어 규정하는 전형적인 형태의 FTA에서 벗어나서, 디지털경제·전자상거래 분야에 한정한 협정(이하 '디지털통상협정'이라 함)을 추진하는 기류가 나타나고 있다. 우리나라와 싱가포르가 서명한 한싱가포르디지털동반자협정(DPA), 싱가포르·뉴질랜드·칠레가 체결하고 현재 우리가 가입 협상 중인 디지털경제동반자협정(DEPA), 그리고 WTO에서 논의 중인 전자상거래협정이 그 대표적인 예이다.

     

    이러한 디지털통상협정들은 디지털 경제의 필수적인 요소라 할 수 있는 데이터의 이전, 즉 정보의 자유로운 이동을 강조하고 있다. 그리고 이러한 기조는 정보를 역외로 이전하는 것을 금지하는 조치를 금지하는 규정들, 이른바 데이터 현지화 금지 규정들로 구체화 되고 있다.

     

    이 조항들은 자국에서 영업활동을 하는 금융회사들이 영업활동 과정에서 수집한 개인의 금융정보(우리 법률상 '금융정보' 대신 '신용정보의 이용 및 보호에 관한 법률'상 '신용정보'라는 용어로 정의되어 있으나 편의상 금융정보로 표현함)를 직간접적인 방식으로 자국내에 머물도록 하여 역외로 이전을 제한하는 것을 금지토록 하는 조항들을 일컫는다. 이는 필연적으로 개인의 신용정보를 처리하는 금융회사의 영업활동과 밀접하게 연관될 수밖에 없다. 따라서 우리나라가 체결하였거나 체결을 추진 중인 디지털통상협정에 데이터 현지화 금지 규정이 포함된다면 금융회사의 정보처리와 관련된 국내 규정과의 충돌 가능성이 있으므로 규정간의 비교 등을 통해 수용 여부를 판단할 필요성이 있다. 이 글에서는 이른바 디지털통상협정상 금융분야에 적용되는 데이터 현지화 금지 규정들을 살펴보고, 우리나라에서 금융회사들이 적용받는 데이터의 역외 이동과 관련 규정들과의 관계에 대해 살펴본다.


    Ⅱ. 디지털통상협정상 금융데이터현지화금지 규정 내용

    현재 우리나라가 체결하였거나 협상 중인 디지털통상협정은 2022년 6월 현재 한국싱가포르디지털동반자협정(DPA), 싱가포르·뉴질랜드·칠레가 체결하고 현재 우리가 가입 협상 중인 디지털경제동반자협정(DEPA), 그리고 WTO에서 논의 중인 전자상거래협정(협정문안은 비공개)이 있다.

     

    한편, 디지털통상협정상 데이터현지화금지 규정이라고 불리는 조항들로는 ⅰ. 데이터의 이전, ⅱ. 컴퓨팅 설비 위치와 관련된 조항이 있다.

     

    ⅰ)의 데이터의 이전에 대한 조항의 내용을 구체적으로 살펴보면, 금융회사 또는 금융서비스 공급자들(이하 '금융회사 등')이 일상적인 영업과정에서 필요한 경우 역외로 개인의 금융정보를 이전할 것을 보장하는 내용을 기본으로 하고 있다. 다만, 각 국 데이터 관련 법제를 상호 인정할 것과 공공의 목적에서는 데이터 이전을 제한할 권한을 당국에 유보하는 내용을 담고 있다. 이러한 조항은 앞서 살펴본 디지털통상협정뿐만 아니라 한미FTA, 한EU FTA 금융서비스 챕터에도 이미 포함되어 있는 조항들이다.

     

    ⅱ)의 컴퓨팅 설비 위치와 관련된 조항은 금융회사 등이 컴퓨팅 설비를 설치하거나 이용함에 있어 국내에 설치된 설비만을 이용하도록 강제하는 것을 금하는 내용을 담고 있다. 금융회사 등으로 하여금 자국내에 위치한 컴퓨팅 설비만을 쓰도록 할 경우 금융회사 등은 정보의 저장과 처리에 국내에 위치한 설비만을 사용함으로써 정보를 역외로 이전할 수 없게 되어 결과적으로 데이터 현지화를 이루는 효과가 있다. 다만, 컴퓨팅 설비의 위치와 관련된 조항은 현재까지 우리나라가 체결한 FTA와 디지털 통상 협정에 포함된 적이 없는 조항이다. 최근 체결한 한싱가포르 DPA에 '금융서비스를 위한 컴퓨팅 설비의 위치'라는 표제의 조항이 포함되었으나 앞서 살펴본 내용과 달리, 양국 간 정책 노하우의 공유 및 협조 등의 내용만을 포함하여 본래적 의미의 데이터 현지화 금지 조항이라고는 보기 어렵다. 타국간의 디지털 통상 협정으로 범위를 넓히더라도 이러한 내용을 정면으로 규정한 조항을 포함한 협정은 미국과 일본이 체결한 미일디지털통상협정과 미국·캐나다·멕시코 간의 협정인 USMCA 정도만이 있을 뿐이다. 이는 이러한 조항에 대해 국가 간 이해관계가 다르고 각국의 금융회사 등에 대한 감독체계가 상이한 점 등에 기인한다고 볼 수 있다.

     


    Ⅲ. 국내 관련 법령과의 관계
    1. 국내 관련 법령 현황
    (1) 금융정보의 역외이전

    먼저, 정보의 이전과 관련된 국내 법령 체계를 살펴보면, 개인의 금융정보도 개인정보의 일종이므로 정보의 이전과 관련하여 특별법으로서 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’)이 적용되고, 신용정보법이 적용되지 않는 경우에는 일반법으로서 개인정보보호법이 적용된다. 다만, 타법령에서 신용정보의 이전에 대해 특별히 정할 경우 그 법령을 따른다(신용정보법 제3조의2). 결론적으로 금융정보의 이전에 대해서 개별 법령 > 신용정보법 > 개인정보보호법 순으로 적용된다고 볼 수 있다.

     

    또한 국내 법령은 정보이전의 방식으로 정보의 ‘제공’과 정보처리의 ‘위탁’으로 구분하여 각 규율하고 있다. ‘제공’의 경우 정보의 수령자가 자신의 이익을 위해 정보를 사용하는 것을 의미하는 반면, 위탁의 경우 정보처리를 위탁받은 수탁자가 단순히 처리 행위만을 할 뿐, 위탁자가 본인의 이익을 위해 그 정보를 이용하는 것을 의미한다. 그리고 정보의 제공은 정보 주체의 동의를 전제로 이루어지는 반면, 정보처리의 위탁은 정보 주체의 동의 없이 이루어진다.


    현재 국내법상, 금융정보의 ‘제공’에 따른 역외 이전의 경우, 개별법령 및 신용정보법상 특별한 규정이 없으므로 개인정보보호법이 적용된다고 볼 수 있다. 이에 따라, 개인정보보호법에서는 개인정보를 국외의 제3자에게 제공할 때는 정보주체의 동의를 받아야 함은 물론, 개인정보보호법의 내용에 반하는 내용으로 정보이전 계약을 체결하지 못하도록 정하고 있다(개인정보보호법 제17조 제3항).


    한편, 정보처리의 위탁에 따른 금융정보의 이전의 경우, 일반적으로 정보주체의 동의 없이 가능하다고 볼 수 있다(신용정보법 제32조 제6항 제2호). 신용정보법 외에도 특별히 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 금융회사는 제3자에게 정보처리를 위탁할 수 있으나, 개인의 고유식별정보(주민등록번호, 운전면허번호, 여권번호, 외국인등록번호)는 국외로 이전하는 것을 금하고 있다(규정 제4조 제1항, 제5조 제1항).


    (2) 컴퓨팅 설비의 위치

    금융회사 등의 컴퓨팅 설비의 위치를 정한 규정으로는 '전자금융감독규정'이 있다. 해당 규정에서 국내에 본점을 둔 금융회사는 전산실을 국내에 두도록 정하고 있다(규정 제11조 제11호). 전산실의 위치 관련 규정 외 살펴보아야 할 것은 금융회사가 제3자가 공급하는 클라우드서비스를 사용하여 정보를 처리하는 경우 적용되는 규정이다. 디지털통상협정상의 ‘금융서비스를 위한 컴퓨팅 설비의 위치’ 조항은 대체로 금융회사 등이 ‘이용’하는 컴퓨팅 설비의 위치에 대해서도 적용되기 때문이다.


    기본적으로 금융회사 등이 제3자가 제공하는 클라우드 서비스를 이용하여 정보를 저장하는 등의 처리를 하는 경우, 그 법적인 형태는 정보처리의 위탁으로 보아 앞서 보았던 ‘위탁’과 관련된 규정들이 적용된다. 이에 더해 「전자금융감독규정」에서는 금융회사가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통해 처리하는 경우 국내에 설치된 시스템을 사용하도록 정하고 있다(규정 제14조의2 제8항). 따라서 국내 금융회사는 자체 전산실을 국내에 두어야 함은 물론이고, 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통해 처리할 경우 그 클라우드 컴퓨팅 서비스 설비가 국내에 설치된 경우에만 이를 사용할 수 있다. 결론적으로 국내 금융회사 는 고유식별정보 또는 개인신용정보를 위탁의 방식으로는 국외로 이전할 수 없게 된다.


    2. 충돌 여부 검토

    금융정보의 이전과 관련된 국내 규정 중 ‘제공’의 경우 정보주체의 ‘동의’를 전제로 국외로 이전할 수 있다는 점에서 디지털통상협정상의 규정과 충돌 가능성은 높지 않다. 그러나, 디지털통상협정상 데이터 이전 조항의 문구가 ‘일상적인 영업 활동’에서의 정보이전을 자유로이 할 것을 보장한다는 점에서 정보주체의 동의 없는 정보의 이전, 즉 위탁 방식의 정보이전을 자유로이 할 것을 보장한다고 볼 여지가 큰 것이 문제이다. 즉, 일상적인 영업활동에서 자유로운 정보 이전을 보장하겠다는 것이 정보의 이전 시마다 정보주체의 동의를 받는 절차를 거치지 않고, 금융회사 등이 정보의 이전을 할 수 있는 것으로 보장했다고 해석될 가능성이 있다. 따라서 금융회사가 고유식별정보 또는 개인신용정보를 위탁의 방식으로 국외로 이전하지 못하도록 한 국내 규정은 일상적인 영업활동이라 하더라도 고유식별정보 등은 위탁 방식의 이전은 금지하고 있다는 점에서 디지털통상협정상의 데이터 이전 규정과 충돌 가능성이 있다. 특히, 디지털통상협정에서는 정보의 종류를 고유식별정보, 개인신용정보 등으로 구분하고 있지 않으므로 국내 규정으로 위와 같은 정보들의 이전을 막고 있는 경우 더욱 그러하다고 볼 수 있다. 또한 컴퓨팅 설비 위치와 관련된 규정이 디지털통상협정에 포함될 경우 현재의 '전자금융감독규정'상 전산실의 국내 설치에 관한 규정과 개인신용정보등의 처리에 국내 클라우드 서비스만을 이용할 수 있도록 한 규정은 협정상의 조항과 배치될 가능성이 있을 것으로 판단된다.


    물론 국내의 그 같은 규정들이 각국 데이터 관련 법제를 상호 인정할 것, 공공의 목적에서 데이터 이전 제한에 대한 권한을 당국에 유보할 것 등의 내용에 원칙적으로 부합한다고 할 수도 있다. 그러나 디지털통상협정에 나서는 국가들의 경우 데이터 이전에 대해 상대적으로 자유로운 규정 체계를 가지고 있다는 점에서 상호주의 차원에서 우리나라의 규정 완화를 요구할 가능성은 여전히 존재한다.



    Ⅳ. 나가며

    디지털경제의 발달은 물리적 장소에 구애받지 않는 서비스의 출현을 가속화시켰고, 이러한 추세는 앞으로도 더 커질 전망이다. 금융서비스 분야도 이러한 추세에 예외는 아닐 것으로 보인다. 또한 이러한 추세에 따라 향후 활발히 진행될 디지털통상협정을 도외시하는 것도 국가적으로 바람직하지 않을 것으로 판단된다.


    다만, 금융회사들은 민감정보라 할 수 있는 개인의 신용정보를 취급한다는 점, 금융회사들의 정보보안에 대한 감독체계가 국가별로 다르다는 점, 그리고 우리나라의 경우 정보보안에 대한 시민들의 민감도가 크다는 점 등에서 현재의 규정체계를 전면적으로 수정하는 것은 쉽지 않을 것으로 보인다. 이러한 제반사정을 감안하여 국가적 차원에서 디지털통상협정에 참여하더라도, 국내 규정체계와의 부합하는 방식의 참여가 필요할 것으로 보인다. 특히 현재 수준에서 수용하기 힘든 디지털통상협정상 의무에 대해서는 한국싱가포르DPA의 컴퓨팅설비 위치 규정과 같이 협력 및 노력 조항의 수준에서 추진을 하거나, 의무의 적용대상 및 유예기간을 차등적으로 두는 등의 방안을 고려할 필요가 있다.

    ※ 이 글은 필자의 개인적인 의견으로서 정부의 공식 입장과 무관함을 밝힙니다.

     

    양찬석 변호사(금융위원회 사무관)

     


    최근 많이 본 기사