해외 주요국의 디지털 통상 정책 및 무역 협정 규범 동향

전자적 거래를 원활하게 하고 디지털 무역을 활성화하기 위한 규범으로 종이 없는 무역, 전자거래를 위한 법적 체계, 전자적 수단을 이용하는 인증(Electronic Authentication), 전자서명(Electronic Signature), 전자송장(Electronic Invoicing), 전자결제(Electronic Payment) 등이 있다.

종이 없는 무역, 전자거래를 위한 법적 체계 그리고 전자인증 및 전자서명 조항은 디지털 통상이 본격적으로 논의되기 이전부터 다수의 무역 협정에 포함되었던 규범이다. 전자적 형태의 무역행정문서에 대해 종이 형태의 문서와 법적으로 동등하게 수용하게 하고, 전자거래를 위한 국내 법적 체계를 마련함에 있어 국제 기준을 고려하도록 한다. 또한 전자서명의 법적 효력을 인정하도록 하며, 거래의 당사자 간 전자인증 및 전자서명 방식을 결정할 수 있도록 한다.

전자적 형태라는 이유로 법적 효력이 부인되지 않도록 하는 조항이 최근 체결되는 디지털 통상 협정에서는 송장, 결제, 계약의 영역으로도 확대되어 규범화되고 있다[3].

국경 간 자유로운 정보의 이전 보장, 컴퓨팅 설비의 위치를 제한하는 규제 금지, 전자적 전송물에 대한 무관세 유지, 디지털 제품의 비차별대우 보장 조항은 모두 디지털 통상에서 국경을 제한 없이 자유롭게 이동할 수 있도록 하는 규범을 담고 있다. 공통적으로 이동에 제한을 두지 않도록 하는 것이 규범의 원칙이나 정책 권한 인정 또는 적용 배제를 희망하는 분야에 대해서는 협정별로 상이한 형태를 보인다는 점에서 규범 수립 시 적용대상 및 범위가 협상의 쟁점 사안일 것으로 예상된다(표 1 참고)[4–7].

국경 간 정보의 자유로운 이동을 보장하는 조항은 디지털 통상 분야의 핵심 조항 중 하나로 조항의 대상이 되는 정보의 범위에 대한 국가 간 입장 차이는 존재하지만, 원칙적으로 정보의 국경 간 이동이 자유로운 것이 기업에 다양한 혜택을 줄 수 있다는 것은 인정한다. 개인정보 또는 금융정보에 대한 규범의 적용 여부는 협정별로 상이하다. 미국의 경우 개인정보도 규범의 적용대상이 되는 것을 조항 내 명확히 표현하는 것을 선호한다.

다수의 디지털 통상 협정은 국가 간 정보의 자유로운 이동을 보장하도록 의무화하는 것과 컴퓨팅 설비의 위치를 제한하는 것을 금지하는 의무 모두를 당사국에 부여하는데, 구체적으로 사업 수행을 가능하게 하는 조건으로 자국 내 컴퓨팅 설비를 사용하도록 하거나 자국 내 컴퓨팅 설비를 위치하도록 요구하지 못하도록 한다. 이러한 원칙에 대해 협정별로 당사국의 정책 권한을 인정해주는 범위 또는 조건이 상이하다. 정부가 정당한 공공 정책 목적(Legitimate Public Policy Objective) 달성을 위해 필요하다고 간주되는 조치를 정부 스스로 판단하여 도입할 수 있도록 허용하는 역내포괄적경제동반자협정(RCEP: Regional Comprehensive Economic Partnership)과 같은 규범도 있지만, 미국, 멕시코, 캐나다 간 체결한 무역 협정인 USMCA(U.S.-Mexico-Canada Agreement)에는 별도의 정책 권한 인정에 대한 조항이 포함되지 않았다[4,5].

정보의 자유로운 저장 및 이동에 대한 규범 외에도 전자적 전송물이 관세 없이 국경을 넘을 수 있도록 하는 관세 조항에 대해서도 협정별로 차이를 보인다. 높은 자유화 수준을 추구하는 포괄적·점진적 환태평양경제동반자협정(CPTPP: Comprehensive and Progressive Agreement for Trans-Pacific Partnership), USMCA 및 미-일 디지털무역협정(USJDTA: U.S.-Japan Digital Trade Agreement)과 같이 전자적 전송물에 대해 영구적으로 관세를 부과하지 않도록 의무화하는 협정이 있고, RCEP과 같이 WTO 각료회의 결정에 따라 무관세 관행을 유지할 수 있도록 한 협정이 있다[5–7].

디지털 제품의 비차별대우 조항은 디지털 제품이 다른 당사국에서 창작, 제작, 발행, 계약, 발주 또는 상업적 조건으로 최초로 이용할 수 있게 되었거나 다른 당사국의 제작자, 개발자, 소유자 등의 것이라는 점을 이유로 다른 동종의 디지털 제품보다 불리한 대우를 받지 않도록 보장하는 의무를 당사국에 부여한다. 동종의 디지털 상품이라면 자국의 디지털 상품과 차별적인 대우를 하지 않는 것이 규범의 핵심이나 디지털 상품에 대한 범위 및 의무의 적용 범위는 협정마다 상이하다.

전자적 거래를 원활하게 하고 정보를 자유롭게 이전할 수 있도록 하는 것은 기업들의 거래 비용을 줄이고 효율적인 업무를 수행할 수 있도록 한다[2]. 기업의 효율성 증대와 동등하게 중요성을 가지는 것이 신뢰에 기반한 기업 활동과 개인정보 보호를 포함한 소비자 보호를 보장하는 것이다.

개인정보 보호, 온라인 소비자 보호, 원치 않는 상업적 메시지 규제 조치, 소스코드 및 암호기법을 이용하는 ICT 제품에 대한 보호 조치에 관한 조항들도 다수의 디지털 통상 협정에 포함되고 있다.

개인정보 보호, 온라인 소비자 보호, 원치 않는 상업적 메시지 관련 규범은 공통적으로 인터넷을 이용하는 이용자 또는 소비자를 보호할 수 있는 법적 체계를 마련하거나 적극적인 보호 조치를 도입하도록 한다.

소스코드 규범은 자국 내 소프트웨어를 수입, 유통, 판매하거나 사용하는 것을 조건으로 소스코드에 대한 접근 또는 이전을 요구하지 못하도록 한다. 규범이 처음 소개된 CPTPP에는 소스코드만을 조항의 적용대상으로 명시하지만, CPTPP 이후 체결된 USMCA와 USJDTA의 경우 소스코드와 소스코드에 표현된 알고리즘까지 포함하여 보호 대상을 확대하여 규정하였다.

암호화 기술을 사용하는 상용 ICT 제품에 대해 자국 내 생산, 판매, 유통, 수입 또는 사용을 조건으로 제조자 또는 생산자에게 특정 암호나 알고리즘을 사용하도록 요구하거나 특정 기술과 정보의 이전 등을 강제하는 기술규정(Technical Regulation) 및 적합성 평가 절차(Conformity Assessment Procedure)의 도입을 방지하고자 한 암호기법을 사용하는 ICT 제품(Information and Communication Technology Products that Use Cryptography) 조항은 CPTPP 무역기술장벽(TBT: Technical Barriers to Trade) 협정에 포함된 이후 최근에는 다수의 디지털 통상 협정에 포함되기 시작하였다. 주로 일본, 싱가포르, 호주, 영국이 주도하는 디지털 통상 협정에서 찾아볼 수 있다.

디지털 분야에 대해 국가들의 법 또는 제도 수립은 진행 중에 있거나 도입 예정인 경우가 많다. 이에 따라 디지털 통상 협정은 다수의 협력 관련 규범을 포함한다. 대표적인 분야가 사이버 보안(Cyber-security)이다. 사이버 보안 강화를 위한 협력 규범은 CPTPP, USMCA, USJDTA, RCEP, 디지털경제동반자협정(DEPA: Digital Economy Partnership Agreement) 등 아시아 태평양 지역 내 주요 디지털 협정에 모두 포함되어 있다. 인공지능과 데이터 혁신 조항은 신기술 분야에 속하는데, 미국이 당사국인 협정에는 포함된 바 없지만 DEPA를 포함하여 싱가포르가 주도하는 최근 디지털 통상 협정에는 신규 규범으로 포함되고 있다[8].

가. 디지털 통상 정책 동향

미국은 2003년 싱가포르와 체결한 FTA를 시작으로 호주, 콜롬비아, 페루, 한국 등 다수의 양자 FTA에 전자상거래 장(Chapter)을 포함시키며, 디지털 제품에 대한 비차별대우 및 전자적 전송물에 대한 무관세, 소비자 보호 및 국경 간 정보 이전 등에 대한 무역 규범을 수립 및 확산해왔다.

미국 무역대표부(USTR: United States Trade Representative)는 매년 무역장벽이라 판단되는 교역상대국의 규제, 제도 및 불합리한 관행 등의 내용을 담은 무역장벽보고서(NTE: National Trade Estimate Report on Foreign Trade Barriers)를 발표하는데 디지털 무역 및 전자상거래 분야도 포함하고 있다. 2020년 기준으로 USTR이 디지털 무역 분야의 핵심 장벽으로 발표한 내용에는 국경 간 정보 이전, 클라우드 컴퓨팅 제한 요건, 웹 필터링 및 접속 차단, 디지털 서비스에 대한 과세, 디지털 제품에 대한 관세 부과 등이 있지만, 컴퓨팅 설비 위치 제한에 대한 내용이 가장 빈번하게 언급된다[9].

미국은 무역장벽보고서를 작성하고 이를 공개적으로 발표하는 전략적 방식을 통해 디지털 통상 전략 수립을 위한 기초를 마련하고 최종적으로 규범화에 성공시키는 모습을 보여주고 있다.

나. 무역 협정 내 주요 규범 동향

2020년에 발효된 USMCA 및 USJDTA에는 미국이 추구하는 규범의 수준 및 방향성이 반영되어 있으며, CPTPP 규범을 기반으로 발전시킨 형태인 USMCA 디지털 무역 협정이 현재까지 체결한 협정 중 가장 구속력 있고, 포괄적인 디지털 무역 규범인 것으로 평가된다[10].

특히, 데이터 관련 규범으로 알려진 국경 간 정보 이전 조항 및 컴퓨팅 설비 위치 조항이 CPTPP 대비 강화된 것을 확인할 수 있다. 국경 간 정보 이전 조항의 경우, CPTPP는 개인정보를 포함하여 대상인의 사업 수행을 위한 것이라면 전자적 수단에 의한 정보의 국경 간 이전을 허용할 것을 강제성 있는 의무로 규정하였다. USMCA 및 USJDTA 또한 국경 간 정보 이전을 제한할 수 없도록 하는 의무를 당사국에 부여한다. 다만, 정책 권한을 인정해줌에 있어 CPTPP 대비 요건을 강화하여 당사국의 조치 도입 권한을 보다 더 제한한다.

컴퓨팅설비 위치 조항에 대한 미국의 최근 입장은 명확하다. 디지털 분야의 무역장벽 요인으로 컴퓨팅설비 위치 제한 또는 데이터 현지화 규제 요건이 가장 빈번하게 발생하고 있다는 점을 반영한 듯 USMCA 및 USJDTA 협정에는 공공 정책 달성을 위해 정부가 일부 조치를 취할 수 있는 권한을 제공하는 문안을 배제하였다.

추가로, USMCA 및 USJDTA에는 CPTPP에는 포함되지 않은 양방향 컴퓨터 서비스(Interactive Computer Services) 조항을 포함하며, 소스코드 조항에서는 규범을 통해 보호하고자 하는 대상으로 소스코드만 언급된 CPTPP와 달리 알고리즘을 추가적으로 다룬다. CPTPP 디지털 제품의 비차별대우 조항에서는 방송에 대해서는 규범을 적용하지 않고 있지만, USMCA의 경우에는 방송에 대해 전면적인 배제를 하지 않는다. 따라서 유보를 통해 방송서비스에 대한 시장을 개방했다면 동 조항이 적용될 수 있다. USJDTA는 USMCA와 마찬가지로 방송에 대한 조항이 적용되지 아니함을 명시하지 않았지만, 당사국이 방송을 공급하는 기업의 외국 자본 참여율 제한 조치를 채택하는 것을 금지하는 것이 아님을 명확히 하는 조항은 포함한다. 사이버 보안 조항에서 또한 CPTPP와 USMCA 및 USJDTA 간 차이를 보인다. 컴퓨터 보안 사고 대응을 담당하는 국내 기관의 역량 강화 및 기존 협력 메커니즘 활용의 중요성을 인정하는 CPTPP 조항과 달리 USMCA 및 USJDTA에서는 당사국의 역량 및 협력을 강화하도록 노력해야 하는 조항으로 수정되었다. 나아가 위험 기반 접근법(Risk-based Approach)이 사이버보안 대응에 효과적임을 강조하며, 이러한 방식을 도입하도록 노력할 것을 추가하였다..

미국은 국경을 이동하는 대상에 대해서는 자율성을 최대한 보장하고, 지식재산권과 연관되는 소스코드 및 알고리즘에 대해서는 보호를 강화하는 추세를 보인다.

가. 디지털 통상 정책 동향

유럽연합이 디지털 무역 분야 규범화를 통해 달성하고자 하는 목표는 크게 세 가지로 비즈니스를 위한 예상 가능성 및 법적 명확성 보장, 소비자를 위한 안전한 온라인 환경 보장, 그리고 정당하지 못한 무역장벽을 제거하는 것이다[11].

유럽연합은 무역 협정을 체결함에 있어 국경 간 자유로운 정보의 이동을 제한하는 보호주의적 장벽에 대해서는 관련 조치 도입을 금지하도록 강력하게 대응하면서도 동시에 유럽연합이 법으로 보호하고 있는 기본권인 사생활 및 개인정보 보호가 무역 협정 체결로 인하여 무력화되거나 침해되지 않도록 하는 것을 원칙으로 한다. 따라서 정보의 국경 간 이전을 가능하게 하는 전제조건을 높은 수준의 사생활 및 개인정보 보호 보장으로 여긴다[12].

나. 무역 협정 내 주요 규범 동향

WTO 전자상거래 공동선언문 협상에서 유럽연합은 전자상거래를 가능하게 하는 기반인 통신서비스 규범 강화를 목적으로 하는 통신 참조문서 개정, 컴퓨터 서비스 및 통신 서비스에 대한 시장 개방 의무화, 전자상거래 관련 강제성 의무를 담은 8개의 조항과 개인정보 및 사생활 보호에 관한 조항을 제안하였다(표 2 참고)[13].

정보의 국경 간 이전과 컴퓨팅 설비 현지화 규범에 대한 유럽연합 측 입장은 미국의 접근 방식과 다소 상이하다[14]. 유럽연합이 WTO 전자상거래 협상에 제출한 제안문에 따르면 디지털 통상 활성화를 위한 국경 간 정보 이전을 보장하도록 약속함에 정보의 처리를 위한 자국 내 컴퓨팅 설비 또는 네트워크 요소 이용 요구, 정보의 저장 및 처리를 위한 자국 내 데이터 현지화 요구, 타국에 저장 또는 처리하는 것을 금지, 또는 자국 내 컴퓨팅 설비 또는 네트워크 요소를 사용하는 것에 대한 여부를 기준으로 국경 간 정보 이전이 제한되지 않아야 함을 명시한다. 다만 개인정보 또는 사생활 보호를 보장함에 적합하다고 판단되는 안전조치(Safeguard)를 도입하거나 유지할 수 있도록 하며, 이때 조치는 개인정보의 국경 간 이전에 적용되는 규칙을 포함한다. 개인 정보를 포함하는 국경 간 정보 이전의 보장을 적극 추진하는 미국과의 차이점이다.

유럽연합이 체결한 FTA의 디지털 무역 분야에는 디지털 제품에 대한 관세 철폐, 소스코드에 대한 강제적 공개 금지, 전자인증 및 서명 허용, 기술선택권 보장, 국내 규제에 대한 투명성 및 비차별 보장 의무 등에 대한 규범을 공통적으로 포함한다[14].

가. 디지털 통상 정책 동향

싱가포르는 디지털경제협정(DEA: Digital Economy Agreements) 체결을 추진하며 빠르게 변화하는 디지털 무역 환경에 대응해나가고 있다. 현재까지 싱가포르가 협상을 마무리한 DEA는 총 4개로 칠레 및 뉴질랜드와 함께한 DEPA, 싱가포르-호주 DEA(Digital Economy Agreement), 싱가포르-영국 DEA 그리고 우리나라와 체결한 한국-싱가포르 DPA(Digital Partnership Agreement)가 있다. DEA 협정 체결 상대국은 모두 싱가포르가 이미 양자 또는 다자 형태로 FTA를 체결하고 있는 무역 파트너들과 이루어졌다는 것이 특징이다.

싱가포르 정부가 내세우는 디지털경제협정의 목적에는 디지털 규칙 및 표준을 조정하고, 디지털 시스템 간 상호운용성을 활성화하는 것, 개인정보 및 소비자 보호를 강화하면서 국경 간 데이터 이전을 확대하는 것, 디지털 신분증(Digital Identities), 인공지능, 데이터 혁신 등의 분야에서 싱가포르의 경제 파트너들과 협력을 도모하는 것 등을 포함한다[15].

나. 무역 협정 내 주요 규범 동향

싱가포르가 디지털 통상에 대한 포괄적인 규범을 담은 첫 디지털 분야 협정인 DEPA는 총 16개의 모듈(Module)로 구성되어 있으며, 비즈니스 및 무역 활성화, 데이터의 자유로운 이동, 소비자 보호 및 신뢰, 새로운 기술 등 디지털 무역 전반에 걸친 핵심 이슈들을 다룬다. 이 중에서도 CPTPP 또는 RCEP과 같이 기존에 체결된 협정에서는 다루지 않는 전자상거래 원활화를 위한 조항과 새로운 기술 분야에 관련된 협력 조항 등에 대한 다수의 신규 규범들을 포함한다. 싱가포르는 DEPA 이후 체결하는 양자 무역 협정에 유사 규범을 포함시키는 방식으로 디지털 통상 분야의 신규 규범 확산을 주도하고 있다(표 3 참고)[8,16–18]. 전자 송장(Electronic Invoicing), 디지털 신원, 인공지능, 데이터 혁신 조항은 DEPA 그리고 한국, 호주, 영국과의 양자 디지털 협정에 모두 포함되어 있다.

싱가포르는 전자 송장과 관련된 Peppol framework 및 결제 시장에서의 표준인 EMV 도입 등에 적극적인 모습이다. DEPA 및 싱-영 디지털경제협정은 전자 송장에 대한 조치 도입 시 당사국 간 전자 송장 프레임워크의 상호운용성을 지원하도록 당사국에 보장 의무를 부여하며, 이를 위하여 전자 송장에 관련된 조치가 Peppol과 같은 국제적 프레임워크에 기반하도록 한다.

인공지능에 대해서는 협정 체결국 간 협력이 필요한 분야를 명시하고 국제적으로 인정하는 원칙 또는 가이드라인을 고려하여 신뢰성, 안전성, 책임성에 기반한 윤리적인 인공지능 거버넌스를 도입하도록 한다. 협력의 범위로는 인공지능 기술 및 거버넌스 관련 연구 및 산업 관행에 대한 공유, 정부 또는 비정부 기관을 모두 포함하여 산학연 간 협력 독려, 인공지능 거버넌스의 국제적 상호운용성 촉진 등이 있다.

디지털 경제에서 디지털화 그리고 데이터의 활용이 경제성장을 촉진함을 인정하며, 데이터 혁신 지원을 위해 당사국 간 노력하도록 규정한 것이 데이터 혁신 조항이다. 구체적인 노력 방안으로는 산학연이 참여하는 프로젝트를 포함하여 전자적 수단에 의한 국경 간 정보 이전의 이점을 증명하는 데 요구되는 규제 샌드박스를 활용한 데이터 공유 프로젝트에 대해 협력하거나 데이터 이동에 관한 정책과 표준 개발을 위해 협력하는 것, 그리고 데이터 혁신과 관련된 연구 및 산업 관행에 대해 공유하는 것을 포함한다.

디지털 신원 규범의 핵심은 각 당사국의 디지털 신원 및 그 법적 효과에 대해 상호 인정하거나 디지털 신원 구현에 대한 기술적 상호운용성 또는 공통된 표준을 촉진시키는 체계를 수립하는 방식 등을 통해 국가 간 상호운용성을 증진시키기 위해 노력하는 것이다.

싱가포르가 주도하는 협상의 신규 규범들은 대체로 상호운용성을 강조한다. 기술 또는 표준의 상호운용성이 국제 통상 측면에서 무역장벽을 효과적으로 완화할 수 있다는 싱가포르의 입장을 반영한 것으로 보인다.

가. 디지털 통상 정책 동향

중국은 네트워크안전법, 데이터안전법 및 개인정보 보호법을 제정하며, 중국 내 국가 안보 및 질서 유지에 대한 법 집행을 강화하는 추세에 있다. 중국이 주장하는 사이버 주권(Cyber Sovereignty)에는 네트워크 또는 인터넷 대한 공공 정책 수립 권한은 온전히 개별국가에 있다는 점에서 외부로부터 간섭이 없어야 하며, 국가별 자주적인 네트워크 발전 방식 및 관리 모델을 인정해야 함을 담고 있다[10]. 사이버 보안 능력 강화를 위해서는 데이터의 이동 및 서버의 위치가 제한될 수도 있다. 중국 내 수집, 생산 및 가공된 개인정보와 중요 데이터 그리고 핵심 정보 기반시설에 대해서는 중점적인 보호가 필요하며, 원칙적으로 중국 내 저장 또는 위치해야 한다는 것이 중국 입장이다[19].

나. 무역 협정 내 주요 규범 동향

중국이 최근 무역 협정 체결을 통해 수용한 디지털 통상 분야 규범은 RCEP에 포함된 전자상거래 조항이다. RCEP에도 국경 간 정보 이전 조항, 컴퓨팅 설비 위치 조항 등과 같이 디지털 통상의 핵심 요소는 포함되어 있지만, RCEP의 규범은 당사국에 정책 권한을 부여하는 요소가 다수 포함되어 있다.

RCEP 협정은 국경 간 정보 이전 및 컴퓨팅 설비의 사용 또는 위치에 대해 당사국이 이를 제한하는 조치를 취하는 것을 원칙적으로 금지한다. 다만 두 조항은 모두 당사국이 정당한 공공정책 목적을 달성하기 위해 필요하다고 간주되는 조치와 필수적인 안보 이익의 보호를 위해 필요하다고 간주되는 조치를 채택 또는 유지하는 것을 금지할 수 없음을 함께 명시하여 당사국에 충분한 정책 권한을 부여한다.

정당한 공공 정책 목적을 위해 필요하다고 간주되어 유지 및 도입되는 조치는 자의적이거나 정당화될 수 없는 차별의 수단 또는 무역에 대한 위장된 제한을 구성하는 방식으로 적용되지 않아야 한다는 조건은 있지만, 정당한 공공 정책 도입에 필요성을 당사국이 결정할 수 있고 그 정책 달성에 필요하다고 판단되는 조치 또한 당사국이 스스로 판단할 수 있다는 점에서 CPTPP, USMCA, DEPA 등 다른 무역 협정 대비 공공 정책 목적을 위해 조치를 취할 수 있도록 하는 법적 요건을 충족하기가 보다 수월하다.

또한 당사국이 필수적인 안보 이익의 보호를 위해 필요하다고 판단되는 조치를 취할 수 있음에 있어서도 스스로 도입 조치에 대한 필요성을 판단할 수 있는 것 외, 그 조치가 다른 당사국에 의해 분쟁의 대상이 되지 않음을 명시하여 정책 도입에 대한 충분한 유연성을 부여한다.

RCEP은 소스코드에 관한 규범은 포함하지 않으며, 사이버 보안에 대해서도 관련 기관의 역량을 갖추고 협력 메커니즘을 활용하는 것의 중요성을 인정하는 수준에 그친다. 다수의 조항이 높은 수준의 시장 개방 또는 강제성 있는 보장 의무를 담고 있지 않다.