논평: 미국 인터넷 대기업, GDPR 시행 중에도 환태평양 지역 개인정보보호 규제기관에 CBPR 각인

27 July 2018 9:34am

2018년 07월 20일 | 22:29 GMT 마이크 스위프트(Mike Swift)

구글, 애플, 마이크로소프트, 시스코 시스템의 개인정보보호 관련 최고 변호사들이 모두 50명 이하의 청중 앞에서 말하게 된 이유는 무엇일까?

청중은 한국, 홍콩, 일본, 싱가포르, 필리핀, 뉴질랜드, 호주의 정보보호 규제기관이며, 이들은 유럽과 미국의 정보보호체제 중 하나를 택하고자 하는 환태평양 지역 국가들이다.

이는 최근 샌프란시스코에서 열린 포럼*에서 있었던 일로, EU가 전 세계의 표준 개인정보 규제기관이 되었다고 판단하여 세계 최대 기술 회사 네 곳의 개인정보보호 관련 고위 인사들이 이를 막아 나섰다.

호주가 국경 간 프라이버시 규칙(CBPR)에 가입하기 위해 곧 공식 절차를 밟을 준비를 하고 있다며 미국 관계자가 자신감을 내비친 가운데, 미국의 인터넷 기업은 환태평양 지역 국가를 위한 미국의 국제 개인정보 전송체계가 아시아와 남미 국가에 국가 개인정보 방침으로 EU의 새 개인정보보호규정(GDPR)을 채택하는 것에 대한 의미 있는 대안으로 남아있다고 전했다.

GDPR은 진행 중이다. 이번 주에 발표된 EU와 일본 간의 새 개인정보 전송 합의로 인해 일본의 개인정보보호체계는 GDPR 에 따른 EU의 엄격한 새 규칙과 “동일 선상”에 오르게 되었다. 이들의 합의는 GDPR을 세계적인 개인정보보호 표준으로 확산시키는 역할을 할 것이다.

한편, 7월 20일(오늘)에 한국 관계자가 본사에 전한 정보에 따르면 한국은 유사한 적정성 협정을 체결할 목적을 갖고 올해 말까지 EU와 협상을 진행할 것으로 기대하고 있다.

그러나 금지적 성격이 상대적으로 약한 미국의 CBPR 체제를 지지하는 측에서는 올해 말까지 약 10개국이 CBPR에 서명할 것이라고 밝혔으며, 필리핀과 베트남 또한 신청 과정을 앞둔 것으로 알려져 있다.

조시 해리스(Josh Harris) 트러스트아크 국제 규제 담당 이사는 지난 6월 26일에 샌프란시스코에서 열린 APPA 포럼에서 “저희는 현재 CBPR을 인정받아, 변화를 만들 국가를 충분히 모으는 중입니다”라고 말했다. 해리스는 이전에 미국 상무부에서 일하며 아시아태평양경제협력체(APEC) 내 CBPR 체제 구축을 도운 바 있다.

—규제 방향 전환—

키스 엔라이트(Keith Enright) 구글 개인정보보호 법무 담당 이사, 제인 호바스(Jane Horvath) 애플 글로벌 개인정보보호 담당 이사, 전 미 연방통상위원회(FTC) 위원인 줄리 브릴(Julie Brill) 마이크로소프트 글로벌 개인정보보호 법률 자문위원 대리, 하비 장(Harvey Jang) 시스코 글로벌 정보보호 담당 이사가 레이문드 리보로(Raymund Liboro) 필리핀 국가정보보호위원회(NPC) 의장 등 APPA 참석자에게 말을 전하는 과정에서 분명 규제 방향을 전환하려는 움직임이 드러났다.

엔라이트 이사는 국경을 넘은 디지털 서비스가 자유롭게 이동하려면 “공통성과 공유되는 원칙이 필요하다”고 언급하며 CBPR의 전망에 대해 “아주 낙관적인 태도를 유지하고 있다”고 밝혔다.

이어서 “저는 GDPR 체제하에서 적정성을 위해 공격적으로 나아가고자 APEC 국가의 가속화가 나타나는 곳에 멈춰있습니다. 저는 GDPR이 엄청난 양의 법무라는 사실을 사람들에게 알리려 노력 중입니다. 유럽 문화의 가치를 반영한 법적 체제를 구축하는 데 유럽 변호사들이 수십만 시간을 투자해야 했습니다.”라고 말했다.

그러나 엔라이트는 유럽 문화가 “나머지 국가에 완전히 수출해야 하는 것은 아닐 수도 있다”고 덧붙였다.

그는 금지적 성격이 더 강한 개인정보보호 규정을 택하는 국가가 덜 엄격한 규제 사법권 내의 경쟁사와 대조적으로 자국 기업에 타격을 주는 규제 “역풍”을 만들지도 모른다고 전했다.

또한 엔라이트는 “세계적인 기업은 그러한 상황을 이겨낼 수 있습니다. 그러나 중소기업에서는 그런 문제가 당장 눈앞의 현실로 다가옵니다. 차기 구글 또는 마이크로소프트가 될 기업이라 하더라도 여전히 더 까다로운 규제 규칙이 존재하는 사법권 내에서 움직이는 소기업이라면 아마 세계적인 기업과 경쟁할 수 있는 역량에 절대 갖추지 못할 겁니다.”라고 말했다.

동시에 브릴 법률 자문위원 대리는 더 제한적인 유럽의 규제 체제가 인공지능 기술에 제재를 가하여 시각장애인에게 도움이 되는 마이크로소프트 앱과 같은 중요한 제품을 차단할지도 모른다고 경고했다.

브릴은 “전 세계인이 더 많은 일을 할 수 있도록 AI 도구를 개발해야 한다는 점에서GDPR이 이러한 종류의 AI 도구 개발을 허용할지 의문이다”라고 밝혔다.

ー여전히 시행 가능한 CBPRー

미국 관계자는 호주가 이르면 8월에 CBPR 체제 가입 신청을 공식 발표할 것이라며 낙관적인 입장을 보였다.

본사가 입수한 정보에 의하면 칠레, 페루, 뉴질랜드, 말레이시아는 모두 각기 다른 단계에서 가입을 고려하고 있다. 또한 갈수록 CBPR 지지자들은 CBPR 체제가 어떻게 APEC 국경을 넘어 인도 및 브라질과 같은 거대 인터넷 시장을 통합할 수 있을지 논의하고 있다고 전했다.

인터넷 대기업의 네트워크 효과처럼 더 많은 국가와 기업이 CBPR 가입을 택하면서 이외 국가와 기업에 서명할 수 있는 강력한 인센티브가 있다는 사실이 오랫동안 알려졌다. 현재까지 CBPR 체제에 가입하거나 가입을 신청한 국가는 미국, 캐나다, 대만, 일본, 멕시코, 한국, 싱가폴 7개국뿐이다.

해리스는 7월 20일(오늘), “항상 닭이 먼저냐 달걀이 먼저냐 하는 문제지만 저희는 닭을 택하기로 했습니다. 10개국이 참여하고 있어 업계의 관심이 뒤따를 단계에 이미 도달했습니다.”라고 본사에 전했다.

*49회 아시아·태평양 개인정보보호 감독기구 (APPA) 포럼 2018년 06월 26일, 미 연방통상위원회 주최.

본 기사는 MLex의 고유 콘텐츠입니다. 본 서비스는 영문으로 제공됨을 알려드립니다.

Andrea Jelinek