I. 서론
빅데이터 시대, AI 시대를 살고 있는 오늘, 데이터의 중요성은 점점 커지고 있다. 이에 데이터 확보의 문제는 개인과 개인 그리고 기업과 기업의 수준을 넘어 국가와 국가의 수준으로 대립이 심화되고 있다. 특히 클라우드 서비스가 도입하면서 더 이상 데이터는 국경에 속박되지 않게 되었다. 예컨대 영화계에서는 해외촬영시 종래 하드디스크에 촬영물을 저장하여 귀국하곤 했는데 이과정에서 관세가 적용되었다. 그러나 최근에는 클라우드 서비스에 촬영물을 저장하고 귀국하므로써 관세 문제를 피할 수 있게 되었다. 이처럼 클라우드 서비스 등으로 인해 데이터의 국경이 사라지고 있어, 각국에서는 데이터 접근과 관련하여 국경을 상관 없이 접근할 수 있게 하는 방향성과 이를 거부하는 방향으로 입법이 추진하고 있다.
전자의 경우 미국의 CLOUD Act이며, 후자는 중국과 EU의 입법방식이다. 본 서에서는 이를 비교해본다.
II. 미국의 CLOUD Act
1. 도입 배경
2010년대 글로벌 클라우드 인프라가 형성되어 다국적 서버에 데이터를 분산 저장하게 되었고 이로써 데이터의 국경 개념은 붕괴되었다. 특히 미국 대 마이크로소프트 사건(United States vs. Microsoft Corp.829 F.3d 197(2d Cir. 2016))에서 미 정부가 데이터제출을 요구하였음에도 법원이 이를 거부하여 정부 수사에 큰 장애가 되었던 사건이 있었다. 이에 미국은 데이터에 대한 역외적용을 명문화하는 CLOUD Act를 도입하게 되었다.
2. 주요 내용
(1) 역외적용 명문화
미국 전자통신 서지스 제공자는 데이터가 해외에 저장되어 있더라도 합법적 영장에 따라 제출하여야 하게 되었다.
(2) 국제협정신설
미국과 외국 정부 간 ‘executive agreement’가 체결 되었다.
3. 법적 충돌시
기업이 미국 영장과 외국 데이터 보호법 사이에서 충돌할 경우 법원에 이의제기가 가능하고, 이 경우 법원은 국제적 이해관계, 당사자 국저, 법죄의 중대성 등을 고려하여 판단한다.
4. 평가
미국 정부는 미국 IT 기업이 보유 및 관리하고 있는 데이터를 미국 정부가 강제로 열람할 수 있게 규정하였으므로 국가 안보 및 수사 편의에 있어 자국 중심의 글로벌 데이터 접근권을 할 수 있게 되었다.
반면 다른 국가의 경우 데이터 주권을 침해받을 수 있어 ‘미국 중심주의’라는 비판을 받고 있다.
III. EU와 유럽의 경우
1. EU의 경우
EU의 GDPR(일반개인정보보호법) 등에서는 개인정보 보호와 시민 및 기업의 데이터 주권 확립을 최우선으로 하고 있다. EU의 입법방향성은 데이터의 소유권은 국가나 기업이 아닌 개인에게 있음 유럽 시민의 데이터는 어디로 이동하든 유럽 법의 보호를 받아야함을 주요 내용으로 하고 있다.
따라서 미국 기업이 수사기관의 요구에 따라 유럽에 저장된 시민데이터를 넘겨주게 되면, GDPR에 의해 과징금처분을 받을 수 있어 미국의 CLOUD Act와 충돌하는 부분이 있다.
한편 EU Data Act에서는 스마트 기기 등엣 발생하는 비개인 데이터에 대한 사용자의 권리를 강화하고 클라우드 서비스를 쉽게 전환할수록 강제하고 있는데 특히 제7장에서는 미국 등 제3국 정부가 비개인 데이터에 접근하거나 제출요구를 하는 경우 이를 차단하고 거부할 수 있는 방어 조항을 도입하였다.
2. 중국의 경우
중국의 경우 데이터보안법, 개인정보보호법, 네트워크 안전법으로 3대 법률로 미국 CLOUD Act와 대조되는 입법을 하였다.
데이터보안법은 중국 내의 모든 데이터를 중요도에 따라 분류, 중요 데이터의 국외 반출을 엄격히 통제하는 법이며, 개인정보보호법은 중국 시민의 개인정보가 국외 이전 될 때 CAC의 평가와 승인을 받도록 의무화하는 법이다.
마지막으로 네트워크 안전법은 인프라 운영자가 중국에서 수집한 데이터는 반드시 중국 영토 내에 저장해야한다는 데이터 현지화를 규정하고 있는 법이다.
IV. 결론
데이터의 국경이 사라진 지금 각 국가들은 다른 방향의 법들을 제정하고 있고 이들 서로가 충돌하고 있다. 기업이 해외 진출과 해외 데이터 수집, 해외에 데이터 저장 등 기업의 활동 반경이 확대되고 데이터의 국경도 사라지고 있는 만큼 범죄에 활용되는 데이터들 역시 국경을 초월하여 사용되고 있다.
따라서 미국의 CLOUD Act의 입법 취지도 공감이 되나, 제한 없이 해외 데이터의 제공요청이 가능하다면, 이는 타국가의 주권침해나 무역분쟁을 야기할 수도 있는 문제이다. 한편 EU와 중국의 법률도 국가 또는 국민의 데이터를 보호하지만, 국제적인 범죄 등에 있어서는 어느정도 데이터를 개방해야할 필요성도 있다. 따라서 데이터 개방에 대한 국제적 합의가 필요하며, 데이터의 국경 문제에 있어 한 국가의 입법적인 문제가 아닌 국제적인 합의로 접근해야할 필요가 있다고 생각한다.
과거 특허법의 입법에 있어서도 각 국가마다 청구범위 확대주의와 축소주의가 대립하였지만 양자는 수렴하여 확대주의 및 축소주의는 비슷한 청구범위의 해석기준이 자리 잡을 수 있었다. 데이터 국경 문제 역시 국제적인 합의를 통해 절충적인 입법이 가능하다고 생각한다.
참고문헌
[1] 강의안
[2] “미국 클라우드와 결별” 클라우드 주권을 향한 유럽연합의 도전과 현실
[3] 중국데이터 법제와 정책 방향에 관한 고찰, 이상우, 법과정책, 2023.
[4] 미국 CLOUD Act의 주요 내용과 시사점, 김나정, 국회입법 조사처, 2020.
'변호사 > AIㆍITㆍSW법' 카테고리의 다른 글
| AI시대에 있어 동의 중심 개인정보보호 체계의 한계 (0) | 2026.06.02 |
|---|---|
| 전화와 이메일 매체 차이가 Do-Not-Call Act와 CAN-SPAM Act 규제 설계에 미친 영향 (0) | 2026.05.25 |
| 사이버 보안에 대하여 기업 경영진의 책임을 강화하는 입법은 타당한가? (0) | 2026.05.11 |
| AI 법에 있어 미국과 중국의 접근 차이 (0) | 2026.05.04 |
| AI의 특성은 무엇일까? (0) | 2026.05.03 |