넷플렉스의 한국 내에서의 서비스 약관이 이번에 바뀌었다. 그 준거법을 네덜란드법에서 한국법으로 변경한 것이다. 이는 구글과 페이스북에 이은 조치이다. 그간 인터넷 전문기업은 글로벌시장에서 법적 예측 가능성을 높이고 불확실한 리스크를 줄여 왔다. 그 일환으로 준거법을 자신들이 소재한 국가의 법으로 일방적으로 정했다. 그런데 개별국가에서 더 이상 이와 같은 불공정성을 허용하지 않았다. 한국에서도 이와 같은 조항의 문제점을 지적하여 왔다.
특히 인터넷 전문기업의 경우 서버를 조세 회피지역에 두고 있다. 그 상태에서 서비스는 온라인으로 전 세계에 제공한다. 이런 방법으로 개별국가의 규제와 세금 등을 회피하여 온것이다. 이에 각국은 이 문제점을 해결하려고 노력해왔다. 그 대표적인 예가 바로 자국 국내법의 역외적용(Extra-territorial Application)이다.
과거에는 미국과 같은 극히 일부 국가에서 역외적용이 행하여졌다. 즉 자신들의 국내 산업에 영향을 미치는 국외에서의 기업활동에 대하여 국내법을 적용하였다. 그나마 이는 극히 예외적인 경우였다. 해당 법 역시 공정거래법 등에 한정될 정도였다. 과거 30년 전에는 이와 같이 국내법의 국외적용 즉 역외적용은 상당히 예외적이었다. 그 당시 법률가로 겨우 시작단계였던 필자로서는 그저 신기하였다. 그래서 그때 부터 평소 역외적용을 주목하여 왔었다.
그런데 이제는 역외적용이 일반화(?) 되었다.기업활동의 상당수가 온라인으로 이루지기 때문이다. 즉 국경의 구분이 그리 의미가 없어졌다. 따라서 기업의 물리적인 조직은 국외에 있으나 국내 기업과 거의 동일한 서비스를 국내에 제공하는 기업이 증가하였다. 이런 경우에 기존의 규제는 실효성을 잃게 되는 한계를 그대로 드러내었다. 해당 기업이 국외에 소재한다는 이유로 방치될 수 없었다. 자국의 국민이나 기업을 보호하기 위한 조치가 필요하게 되었다. 이런 맥락에서 국내법의 국외에서의 역외적용개념이 점차 확대된 것이다.
그 대표적인 예가 바로 EU의 GDPR( General Data Protection Regulation)이다. 이는 1년 전에 시행되었다. GDPR은 EU의 기업 뿐만이 아니라 EU 내 국민을 타겟으로 하는 외국기업에게도 해당 법 규정이 적용된다. 즉 EU 법의 역외적용을 명시한 것이다. 따라서 EU 내에서 영업활동을 하기 위하여서는 GDPR의 내용을 정확하게 이해하여야 한다.
간단한 예를 들어 보자. 기본적으로 개인정보는 EU국가 이외로 이동할 수 없다. 물론 개인정보 주체의 명시적인 동의가 있으면 가능하다. 그 이외에 개인정보의 국외로의 이동이 가능한 방법은 2개의 경우이다. 먼저 개인정보가 이전되는 국가가 EU 집행위원회로부터 적정성 평가를 받아 승인된 국가이면 달리 문제가 없다. 아니면 EU 국민과의 서비스 약관상 EU의 GDPR과 동일하게 개인정보를 보장하면 가능하다. 그 이외에 개인정보의 국외 이동은 GDPR 규정 위반이다. 이에 따른 제재는 2,000만 유로 또는 전체 매출액의 4% 중 높은 금액이다. 따라서 EU에서 온라인 상으로 활동하는 기업은 GDPR을 준수해야 한다. 이의 위반은 회사의 생존까지 위협할 정도로 그 제재가 가혹하다.
GDPR의 역외적용은 다소 충격적이다. 한국에서도 인터넷전문 업체들에 대한 규제 필요성이 제기되었다. 이에 작년말에 전기통신사업법과 정보통신망법을 개정하였다. 그리고 올해초 부터 이들 법의 역외적용이 시행되고 있다. 즉 국외에 소재하나 온라인 등으로 국내에 활동을 하는 인터넷 전문기업 등의 경우에 국내법이 적용된다. 그리고 이들 기업은 국내에 대리인을 두어야 한다. 이 법의 실효성을 보장하기 위해서다. 이는 GDPR의 규정과 거의 동일하다. 이와 같은 국내법의 역외적용이 인터넷 기업에 큰 영향을 미쳤다. 이런 규제 환경하에서 구글, 페이스 북 그리고 넷플렉스 서비스 이용 약관등에 변화가 생긴 것이다. 그 예중 하나가 한국법으로 준거법이 바뀐 것이다.
이러한 세계적인 역외적용 물결은 인터넷 기업의 비즈니스 모델을 위협하게 되었다. 따라서 페이스북의 저커버그는 종전의 입장에서 선회하였다. 최근에 생뚱맞게 “미래는 프라이버시다(The future is private.)”라는 말을 할 정도였다. 이제 종전의 디지털 공개광장(Digital Square)이 아니라 새로이 디지털 거실(Digital Living Roon)을 표방한 것이다. 페이스 북의 비즈니스 모델이 변경된 것이다.
이와 같은 물결은 각국의 개별 국내법에 큰 변혁이 이루어졌다. 각 국의 국내법은 더 이상 독립적이지 않다. 각국의 국내법은 세계 다른 나라의 법과 서로 얽히고 나아가 상호 경쟁하게 되었다. 이에 따라 경쟁에서 진 개별법은 극단적으로 그 존재 의미의 상실로 이어졌다.
다시 말하면 해당 개별국가의 법(Local Law)이 있더라도 현실적으로 그 실효성을 잃게 된 것이다. 그 이유는 바로 ‘법의 역외적용’ 때문이다. 예를 들면 세계적으로 모범적인 EU의 법인 GDPR보다 느슨한 국내법은 사실상 큰 의미가 없게 된 것이다. 모든 기업이 글로벌시장에서 엄격한 EU의 GDPR의 준수에 촛점을 두기 때문이다. 그 보다 느슨한 개별국가의 국내법에 대하여는 그 어느 누구도 신경을 쓰지 않게 된 것이다. 이제 문자 그대로 법률영역에서도 ‘승자독식’의 시대가 된 것이다.
각 개별국가는 이러한 시대 상황에 맞추어 발빠른 행보를 보이고 있다. 자신들의 국내기업이 국제 시장에서 활동을 하는 데에 장애가 없도록 필요한 조치를 다하기 시작했다. 즉 관련 국내 법을 재정비하였다. 그리고 타국가의 법이 역외 적용 시에 달리 문제가 발생되지 않는지에 대하여 검토하기 시작하였다.
그런 측면에서 한국 정부는 자신의 본연의 역할을 제대로 못하고 있어 안타까움이 있다. 비근한 예를 들어보자. EU의 GDPR의 역외적용에 대한 대응에서 잘 나타난다. 이에 대한 범국가적 대응은 바로 ‘적정성 승인 국가’로의 지위확보이다. 만일 EU 집행부로부터 ‘적정성 승인국가’로 승인을 받지 못하면 그 파장은 엄청나다. 쉽게 말하여 국내 기업의 EU지사가 가지는 개인 정보가 한국의 본사로 이동할 수가 없다. 만일 이를 어기게 되면 최악의 경우 총매출액의 4%에 해당되는 과징금을 부담하게 된다.
현재 한국이 EU로 부터 우선협상대상국으로 지정된 지가 수년이 지났다. 그런데 이의 진척이 너무 미진하다. 반면에 같이 우선협상대상국으로 지정을 받은 일본은 이미 승인을 받았다. 한국이 미승인된 이유는 불완전한 개인정보보호 제도 등에 기인하다. 개인정보위원회의 기관 성격이 독립성이 약하고, 개인정보 관련 법의 정비 미비 때문이다. 현재 관련 개정 법안이 국회에 상정이 되어 있다. 그러나 정쟁 때문에 논의조차 제대로 안되고 있다. 이는 실로 한심할 노릇이 아닐 수 없다.
그나마 일부 대기업의 경우는 이에 대한 대안이 정립되어 있다. 즉 약관 등에 EU의 GDPR규정의 준수를 명시한 것이다. 이를 통하여 그 돌파구를 찾고 있다. 정작 문제는 중소기업이다. 이러한 규제 리스크를 제대로 알지 못하고 있는 것이 더 큰 문제이다. EU에서의 활동 자체가 큰 리스크이다. 즉 전체매출의 4%에 해당하는 과징금 등 불이익을 받게 될 위험성에 노출되어 있기 때문이다. 그 경우 해당 회사는 거의 파산하게 될 것이다. 그만큼 사태는 심각하다. 그럼에도 정부는 태무심하다. 중소기업은 이와 같은 사태의 심각성에 대한 이해가 부족하다. 당연한 결과로 이에 대한 대비가 전혀 없는 상태이다. 조속한 범정부 차원의 대책이 시급하다.
이 난관을 극복하기 위하여 GDPR에 대한 정확한 이해가 선결되어야 한다. 흥미로운 점은 GDPR규정들이 개인정보보호에 관하여는 전세계적으로 가장 선진화되어 있고 모범적이라는 사실이다. 가장 기본적인 특성은 넓은 영토 적용과 강력한 제재이다. 나아가 개인정보 개념을 확대하였다. 즉 기존의 일반적 개인정보에 IP 정보, 위치 정보, 유전정보, 바이오 정보까지 개인정보로 본 것이다. 그리고 개인정보의 원칙도 새로이 정립하였다. 적법성, 공정성, 투명성, 목적제한의 원칙, 정확성, 보관 기간 제한 등이다. 정보 주체의 권리확대도 흥미롭다. 정보제공을 받을 권리, 처리에 관한 제한, 열람권, 개인정보 이동권, 정정권 및 삭제권 등으로 좀더 구체화한 것이다.
무엇보다도 기업이 유의할 점은 바로 ‘개인정보의 국외 이동’이다. 앞에서 언급한 바와 같이 적정성 승인국가가 되거나 아니면 기업 차원에서 GDPR을 준수한다는 이용약관의 채택만이 그 대책이 될 것이다.
EU의 GDPR에서 특히 주목할 사항이 있다. 한국정부가 제대로 이해할 사항이다. 그리고 관련법의 입법과정에서 반드시 반영하여야 할 점이기도 하다. 이는 다름 아닌 '가명 처리 내지 암호화 등의 방법으로 목적 외 처리의 허용'이다. 이는 곧 빅데이터 산업의 활성화 방안이다. 그 중에서도 가장 핵심적인 사항이다. 이 점에 관하여 일본 등에서는 이미 입법화가 완료된 상태이다. 그런데 한국 정부 차원의 대책은 전혀 없었다. 이의 영향으로 한국의 빅데이터 산업의 발전에 큰 장애가 되고 있다.
따라서 GDPR의 정확한 이해는 기업 입장에서는 거의 생존전략의 일환으로 보인다. 그 정도로 심각하고 중차대하다. 그리고 정부에서도 국내기업의 EU 등 세계진출에의 장애가 되고 있는 '적정성' 승인 등 현안을 조속하게 해결하여야 한다. 그리고 세계 흐름에 맞게 개인정보 관련 법 등을 재정비할 필요가 있다.
현실은 개인정보보호법, 신용정보 보호법 그리고 통신망 법으로 혼재되어 있다. 또한 그 규제기관 역시 다르고 다양하다. 이와 같이 산만하고 혼란스러움을 조속히 해소하여야 한다. EU의 GDPR을 능가하는 전 세계의 표준이 될 '모범 개인정보보호법'과 제도로 새롭게 변신하기를 감히 기대해 본다.