1. 데이터 전략과
데이터법(안) 발표
가. EU는 2020년에 ‘EU 데이터 전략’을 발표하였다. 데이터 경제에 있어서 EU의 주도권 확보를 위해 단일 시장 내 데이터 규범 수립에 관한 내용을 다루며, ① EU의 데이터 주권 수립과 자유롭고 ․ 안전한 정보 이동을 담보하기 위한 법적 기반 마련, ② EU 단일 데이터 시장 및 공통 데이터 영역 개발, ③
데이터 공유 촉진을 내용으로 한다.
(1)
EU 데이터 전략을 기반으로 2022년 2월 23일 EU 집행위는 ‘데이터의 공정한 접근 및 사용에 관한 통일 규정’, 이른바 「데이터법(Regulation on harmonized rules on fair
access to and use of data :Data Act)」 초안을 발표하였다. 데이터 법안은 GDPR과 몇 가지 차이점이 있는데, GDPR은 ‘기업 간 개인정보 이동 시 데이터 보호를 위한 보안에 중심을 두고 있으며 개인정보에 대한 정부 기관의 불법적인 접근 차단이 주된 목적’이라면, 데이터 법안은 ‘다양한 주체 간의 산업데이터 이동에 중점을 두고 있으며 합법적인 범위 내에서의 데이터 공유 활성화를 강조’하고 있다는 특징이 있다. 이 법안은 향후 EU 회원국과 유럽의회 승인을 거쳐 발효될 것으로 예상한다.
2. 데이터법안의 주요
내용
가. 이 법안은 IoT와 관련된 기기에서 수집되는 산업데이터 공유 활성화를 위해 ‘데이터 약자’의 권한 및 접근성을 강화하는 것을 목표로 한다.
(1)
IoT로 수집된 데이터의 법적 소유권은 불분명한 경우가 많으므로 제조사의 데이터 독점을 방지함과 아울러 역내 공유를 촉진하고자 하는 것이다.
(2)
여기서 데이터 약자는 개인과 중소기업을 의미하며, IoT 산업데이터에 대한 접근이 제한되어있는 사용자 개인을 데이터 생산 기여 주체로 설정하고 사용자의 데이터 접근성을 보장하고 있다는 점에서 의미가 있다.
(3)
또한, 이 법안은 중소기업의 데이터 활용 협상 권한을 강화하여 대기업 IoT 중심의 데이터 활용 흐름을 개선하여 수집 데이터를 중소기업에 제공하도록 한다.
(4)
이 법안의 적용 범위는 IoT 서비스, 제품 제조사 및 클라우드 서비스업체이며 중소기업은 제외된다.
(5)
따라서
EU에 수출하는 국내 IoT 기업은 EU 역내에서 생산한 산업데이터의 공유를 요청받을 수 있으며 이에 대비하여 기업의 영업비밀 보호 등 대응책을 마련할 필요가 있다.
나. 데이터 공유를 위해서는 데이터의 보관, 유지 및 공유 서비스를 제공하는 클라우드 서비스 업체의 역할이 필수적이다.
(1)
클라우드 업체는 산업데이터에 대한 불법적인 접근을 차단하기 위한 보안 의무를 지며, 사용자의 데이터 이동 및 전환을 보장해야 한다.
(2)
이는 소비자의 자유로운 선택을 보장하려는 조치이다. 서비스 업체는 서비스 이용 종료 시 사용자가 데이터 전환을 위해 최소 30일 간의 데이터 유지 기간을 보장해야 한다.
(3)
이 경우 데이터 전환에 필요한 비용을 사용자에게 청구할 수 있으나, 법 발효 3년 후부터는 무상이 된다. 자동차, 미디어기기를 포함한 국내 IoT 제조 수출기업은 EU 역내에서 생산된 산업데이터 공유 요청에 이 같은 대응조치를 해야 한다.
(4)
한편, 동법은 이미 실행 중인 GDPR에 기반하고 있어 EU 역내에서 생산된 산업데이터에도 GDPR과 유사한 보안 수준이 요구될 것으로 판단된다.
3. GDPR과 데이터
국외이전
가. 개인정보를 포함하고 있는 데이터의 경우 GDPR의 적용을 받게 된다. EU는 GDPR을 제정하여 역내 개인정보보호를 강화하면서 개인 관련 데이터의 국외이전을 제한하고 있다.
(1)
특히
EU는 기존 미국과 체결한 세이프하버(Safe harbor) ․ 프라이버시 실드(Privacy Shield) 등 개인정보 국외이전 협정을 무효화하면서 개인정보의 역외이전에 대해 미국과 다른 입장을 취하게 되었다.
나. 이 같은 점에서 개인정보를 EU 역외로 이전하려는 경우에는 해당 국가가 EU집행위원회의 ‘적정성 결정(adequacy decision)’을 통하여 개인정보보호 관련 법제가 EU가 요구하는 적절한 수준의 보호를 보장하고 있다고 인정받거나, 또는 기업 등이 ‘적정한 안전조치(appropriate safeguards)’를 제공한 경우에는 가능하다.
(1)
이때 적정한 안전조치는 구속력 있는 기업규칙(binding corporate
rules), 집행위원회가 채택한 표준 정보보호 조항 등이 있다.
(2)
그러나 적정성 결정이나 적정한 안전조치가 없는 경우라도 ①
개인정보 주체에게 개인정보의 이전으로 인해 초래할 수 있는 위험을 명시적으로 알리고, 이에 대한 동의를 받은 경우, ②
계약의 이행 또는 정보주체의 요청으로 필요한 경우, ③
중요한 공익상의 이유로 필요한 경우, ④
법적 권리의 확립 ․ 행사 ․방어를 위해 정보이전이 필요한 경우에는 역외이전이 가능하다.
(3)
이처럼
EU는 데이터의 역외이전을 원칙적으로 금지하면서도, 다른 한편으로 데이터의 활용을 높이기 위하여 적정성 평가, 적정한 안전조치 등 통로를 열어두고 있다.
다. 우리나라는 2021년 12월에 EU집행위로부터 적정성 결정을 받았다. 한국은 EU와 동등한 수준의 개인정보 보호를 제공하는 국가의 지위를 부여받게 됨으로써 한국기업들은 표준계약조항(Standard
Contractual Clauses)* 등 기존의 까다로운 절차가 면제되고 EU시민의 개인정보를 추가적인 인증이나 절차 없이도 국내로 이전할 수 있게 되었다.
*
2021년 6월 4일 유럽 집행위원회(European
Commission)는
GDPR에 따른 개인정보의 EU 역외이전을 위한 개정 ‘표준계약조항(SCC)’을 발표
(1)
다만, 국내 기업이 적정성 결정의 적용을 받지 않는 분야(예, 금융신용정보)의 정보를 역외이전하거나, 국내에 이전한 EU 시민정보를 적정성 결정을 받지 않은 제3국으로 이전하는 경우에는 표준계약조항(SCC) 체결 등이 필요하다.
라. EU는 GDPR과 같은 엄격한 법제를 보유하면서도 GAIA-X와 같은 글로벌 디지털 경제를 선도하기 위한 지역 내 데이터 기반 정책을 수립하고 있다.
(1)
GAIA-X는 독일이 주도하는 산업별 개방형 데이터 인프라를 EU 수준에서 구축하는 프로젝트로, 유럽의 데이터 자주권 확보, 글로벌 데이터 플랫폼 기업에 대한 의존성 축소, EU 전용 클라우드 구축, 그리고 데이터 혁신 생태계 조성을 목표로 추진되고 있다.
마. EU는 GDPR에 의해 데이터의 역외이전을 제한하고 있으나 원천적 금지가 아닌 EU당국이 조사권, 과세권 등 관할권을 가지는 범위 내에서 비교적 자유로운 기업활동을 보호하려는 사상을 가진 것으로 보인다.
(1)
개인정보주체는 다양한 권리를 가지는바, 정보제공권, 접근권, 정정권, 삭제권(잊힐 권리), 개인정보이동권, 반대할 권리, 프로파일링을 포함한 자동화된 처리에 대한 선택권 등이 존재하며, 정보주체의 각 권리를 보장하기 위하여 컨트롤러(controller)가 취해야 할 조치도 규정하고 있다.
(2)
또한,
GDPR은 개인정보를 처리할 때 준수해야 할 원칙을 규정하고 있으며, 개인정보처리는 고객 정보를 수집, 변경, 공개하는 등의 일련의 행위를 의미한다.
(3)
개인정보 처리원칙에는 ‘적법성, 공정성, 투명성의 원칙(Lawfulness, fairness and
transparency)’, ‘목적 제한의 원칙(Purpose limitation)’, ‘개인정보처리의 최소화(Data
minimisation)’, ‘정확성의 원칙(Accuracy)’, ‘보관기간 제한의 원칙(Storage limitation)’, ‘무결성 및 기밀성의 원칙(Integrity and
confidentiality)’, ‘책임성의 원칙(Accountability)’ 등이 존재한다.
정회목 변호사
댓글 없음:
댓글 쓰기