EU의 데이터법(Data Act)의 주요 내용과 국내 시사점

1. 개요

2022년 2월 23일 유럽연합 집행위원회(European Commission; 이하 “집행위원회”라 한다 )는 ‘공정한 데이터에 대한 접근과 이용에 관한 통일 규범의 규칙안 (Proposal for a Regulation on harmonised rules on fair access to and use of data: Data Act;¹ 이하 ‘데이터 법’이라 한다)‘을 발표했다. 데이터법은 2020년 2월 집행위원회가 공표한 ‘EU 데이터 전략(European Strategy for data)’에서 제안된 법적 프레임의 하나이다. EU 데이터 전략은 4차 산업 시대의 데이터 경제에서 EU의 주도권 확보를 위해 역내 데이터 단일시장을 형성, 합법적이고 원활한 공유 환경 조성을 목표로 하고 있다. 2021년 11월 발효된 데이터 거버넌스법(Data Governance Act)² 은 기업과 개인, 공공 부문의 데이터 공유를 촉진하는 프로세스와 법적 구조를 마련하는 것이고, 데이터법은 데이터 거버넌스법의 법적 토대를 바탕으로 EU 역내 데이터 단일 시장을 형성하고 데이터 공유를 활성화하기 위한 주체별 접근(공유) 조건을 규정하고 있으며,³ 마지막으로 EU는 산업별로 역내 공동 데이터 공간을 개발해 본격적으로 데이터 공유를 촉진할 계획이다.

데이터법은 제안 설명서, 90개 항의 전문(recital), 10개의 장(Chapter) 및 42개의 조항으로 구성되어 있다. 데이터법의 주요 내용은 B2B(기업간) 및 B2G(기업·정부간) 데이터에 대한 실체적 권리를 확인 또는 도입함으로써 누가 어떤 데이터에 접근하고 관리할 권리가 있는가에 대한 문제의 대응, 데이터법의 이행 및 집행에 관한 것이다. 데이터법은 지침(directive)이 아니라 법률(regulation)로서의 지위에 있기 때문에, 각국이 국내이행을 위한 입법을 할 필요 없이 법안 그대로 EU 역내에서 효력을 가진다. 또한 데이터 법은 GDPR과 마찬가지로 광범위한 역외 적용 규정과 고액의 제재금 구조를 가지고 있으므로 기업의 사업 활동에도 영향을 미칠 것으로 전망된다. 본 글은 데이터법의 입법 목적, 적용범위, 사업자의 의무와 그 제한 등을 간단히 살펴보고, 국내 시사점을 검토하고자 한다.

2. 데이터 법의 입법 목적

데이터법은 데이터 경제에서 관계자간에 데이터의 가치를 공정하게 분배하고 데이터에 대한 접근 및 이용을 촉진하는 것을 목적으로 하고 있으며, 관계자간에 데이터를 공유할 때 장벽을 제거하기 위한 조치를 제안하고 있다. 특히, 데이터법은 사물인터넷에 연결된 제품에서 생성된 데이터에 관해 데이터 경제의 참여자 간에 데이터 가치 배분의 공정성을 보장하고 데이터의 접근 및 이용에 관해 규율하고 있다.⁴

데이터법의 목적은 B2B 및 B2G에서 데이터에 대한 접근과 이용을 확보함으로써 공정한 데이터 경제를 실현하는 점에 있다.⁵ 데이터법은 성능, 사용 또는 환경에 관한 데이터를 획득, 생성 또는 수집하고 전자통신서비스(사물 인터넷 등)를 통해 해당 데이터를 전달할 수 있는 물리적 제품 및 장치에 적용된다.⁶ 데이터법의 목표는 사물 인터넷 (Internet of Thing, IoT) 제품에서 생성되는 산업 데이터에 대한 기존 데이터 시장 약자(제품 사용자와 중소기업)의 접근성을 강화하고 공유를 활성화하는 것이다. 예컨대, 농업용 트랙터나 공작기계 등을 네트워크로 연결하여 주행 거리나 모터의 회전수 등에 관한 데이터를 축적하고, 고장의 조기 발견이나 서비스 개선 등에 도움이 되는 경우가 많아지고 있다. 현재 그러한 데이터의 접근 및 이용권은 농업용 트랙터 등을 제조한 기업에 귀속하는 취지의 계약이 많은 경향을 볼 수 있다. 그러나 농업용 트랙터 등의 사용자(예를 들면 농가 등), 서비스 사업자(예를 들면 농협, 창고 사업자, 운송 사업자, 도매 사업자 등), 다른 제조사 등에 데이터 접근을 개방하면, 보다 공정한 경쟁 환경에서 생산성이 높아질 것으로 기대된다. 또한 데이터법은 정부기관에게도 비상사태 대응과 공공 이익 실현에 데이터를 적극 활용할 수 있도록 하는 등 기업의 데이터 공유 의무를 부과하고 있다. 한편 IoT 제조사는 데이터 제공에 따른 보상의 정당성을 확보해 데이터 공유 활성화에 따라 인센티브를 획득할 수 있다.⁷

3. 데이터 법의 적용범위

데이터법은 이하의 주체에 적용된다.⁸

① EU 역내에 출시된 ‘제품’의 제조자, ‘관련 서비스’의 제공자 및 해당 제품 또는 관련 서비스의 사용자(user) : 여기서 제품 사용자는 제품을 소유, 임대 또는 리스하거나 서비스를 제공받는 기업이나 소비자의 지위에 있는 법인이나 자연인을 말한다.⁹ 사용자가 제품을 사용하는 과정에서 데이터가 생성되므로, 사용자는 데이터를 생성하는 사람이라고 볼 수 있다. 데이터법은 IoT 제품을 사용하고, 데이터 생산에 기여하는 개인 사용자의 접근 권한을 강화하고 있다. 사용자는 제품을 사용할 권리뿐만 아니라 제품이 생성한 데이터에 대해 접근할 권리¹⁰ 와 자신이 생성한 데이터를 제3자에게 이동시킴으로써 데이터로부터 직접적인 이익을 얻을 수 있는 데이터 이동권도 갖는다.¹¹ 따라서 사용자는 자신이 생산에 기여한 데이터에 언제든지 접근할 수 있으며, 원하는 3자 서비스 업체에게 데이터를 무상으로 전송할 수 있다. 여기서 3자 서비스 업체란 제품의 유지, 보수 및 컨설팅과 같은 애프터 마켓 서비스를 제공하는 업체(중소기업)를 말한다. 다만, 이미 시장에서 지배력을 행사하고 있는 게이트 키퍼¹² 기업은 이와 같은 무상 제공 대상에서 제외된다.

② 데이터 보유자(data holder) : EU 역내의 데이터 수신자에게 데이터를 이용가능하게 하는 데이터 보유자는 데이터법의 적용대상이다. 데이터 보유자라 함은 데이터법 등 각종 법규에 의해 특정 데이터를 사용할 권리나 의무를 보유하거나 비개인정보의 경우로서 제품 및 관련 서비스의 기술 설계의 관리를 통해 특정 데이터를 이용할 수 있는 자연인 또는 법인을 말한다.¹³

③ 데이터 수신자(data recipient) : 데이터를 이용 가능한 것으로 간주되는 EU 역내의 ‘데이터 수신자’가 데이터법의 적용대상이다: 데이터 수신자라 함은 제품 또는 서비스의 사용자(user)를 제외하고, 그 사용자의 요청에 따라서 데이터 보유자가 데이터를 제공하여 이용할 수 있게 해주는 상대방으로서 업무를 목적으로 활동하는 자연인 또는 법인을 말하며,¹⁴ 데이터법은 공공기관¹⁵ 과 영세 및 중소기업¹⁶ 을 데이터 수신자 관련하여 특별히 고려하고 있다.¹⁷

④ 데이터처리서비스제공자 : EU 지역 내의 소비자에 대해서 ‘데이터처리서비스’를 제공하는 서비스제공자는 데이터법의 적용대상이다.

⑤ 공공 이익 하에서 수행되는 업무 수행을 위해 데이터에 대한 예외적인 필요성이 있는 경우, 데이터 보유자에게 그 데이터 이용가능을 요구할 수 있는 공공 기관 및 EU의 시설, 기관, 단체와 그 요구에 따라 해당 데이터를 제공하는 데이터 보유자는 데이터법의 적용대상이다.

데이터 법의 적용범위에 대해서는 다음과 같은 내용이 규정되어 있다.

‘데이터(data)’는 행위, 사실 또는 정보의 디지털 표현 및 해당 행위, 사실 또는 정보의 편집물을 말하며, 음성, 영상 또는 시청각 기록의 형식을 포함한다.¹⁸ 즉, EU 데이터법상 데이터라 함은 개인 데이터와 디지털 표현을 넓게 의미하는 이른바 비개인 데이터도 포함된다. 데이터법은 개인정보 보호에 관한 일반 데이터 보호규칙(GDPR)과 달리 개인 데이터뿐만 아니라 IoT 기기와 같은 제품이 생성하거나 수집하는 비개인정보인 데이터를 포함한 데이터를 대상으로 하는 점이 주된 특징이다.¹⁹

‘제품(product)’이라 함은 유형의 동산 또는 부동산에 부착된 물품(item)을 말하며, 그 사용 또는 환경에 관한 데이터를 취득, 생성, 수집하여 공개적으로 이용 가능한 전자통신서비스를 통해 전송할 수 있는 것으로, 다만 주요 기능이 데이터의 저장 및 처리가 아닌 경우에 한한다.²⁰ 전자통신서비스에는 지상파 통신, 텔레비전 케이블망, 위성통신망, 근거리 통신망 등을 말하며, 제품에는 차량, 가전제품, 의료 및 보건 기기 또는 농기계 및 산업용 기기 등이 포함된다. 일반적으로 IoT 제품이 이에 해당한다.²¹

‘관련 서비스”(related service)’라 함은 제품에 내장되어 그 작동에 필수적인 디지털 서비스를 말하며,²² 전형적으로는 IoT 관련 서비스가 해당한다.

4. 데이터 접근 주체별 부과되는 의무와 제한

데이터법은 데이터 접근 주체별로 사용자, 중소기업, 정부 기관으로 나누어 접근 조건을 규정하고 있고, 데이터 공유의 플랫폼을 제공하는 클라우드 서비스 업체에 대한 의무에 대해서도 규정하고 있다.

(1) 제품사용자

제품사용자는 제공받은 데이터를 제공한 데이터 보유자의 출처와 경쟁하는 제품의 개발에 사용해서는 아니 된다.²³ 다만, 제품의 사용자는 소비자의 지위에 있는 경우가 일반적이므로, 이러한 의무는 주로 데이터 수신자에게 영향력이 있을 것이다.²⁴

(2) 사업자

데이터 법에 명시된 다음의 의무 또는 제한은 EU에서 사업 활동을 수행하는 데이터 보유자 및 데이터 수신자, 및 데이터 처리 서비스 제공자에 해당하는 기업에 대해서 영향을 미칠 수 있으므로 간단히 소개한다.

① 제품 등의 사용자에 대한 데이터 접근 및 제공 의무: 제품 또는 관련 서비스는 기본적으로 쉽고 안전하며 사용자가 직접 이용하여 생성된 데이터를 이용할 수 있도록 설계, 제조 및 제공되어야 한다.²⁵

② 제3자에게 데이터를 공유할 의무: 데이터 보유자는 사용자의 요청에 의해 제3자에게 제품 또는 관련 서비스의 이용으로 생성된 데이터를 제공하는 경우에 과도한 지연없이, 사용자에게 제공하는 데이터와 동일한 품질의 데이터를 지속적으로 그리고 실시간으로 이용할 수 있게 해야 한다.²⁶ 또한 데이터 보유자가 데이터 수신자에게 데이터를 제공하는 경우, 데이터 보유자는 공정하고, 합리적이고 비차별적인 조건(FRAND 조건) 및 투명한 방식으로 제공해야 한다.²⁷

③ 불공정한 계약 제한 : 데이터 법은 중소기업이 서비스 개발이나 혁신을 위해 IoT 제품 제조사의 산업 데이터에 접근하는 경우 공정하고 수평적인 계약을 체결할 수 있도록 중소기업을 보호하고자 한다. 현재, IoT 제품을 제조하는 대기업이 산업 데이터를 보유, 독점적으로 활용하고 있기 때문에 언제든지 대기업에 유리한 불공정 계약이 성립할 수 있는 상황이다.²⁸) 중소기업에 대하여 일방적으로 부과된 데이터의 접근, 사용 등에 관한 계약조건은 그것이 불공정한 경우에는 해당 중소기업을 구속하지 않는다.²⁹

④ 공공 기관에 대한 정보제공의무 : 데이터 보유자는 비상사태에 대한 대응 등의 예외적인 필요성이 발생하는 경우에는 공공기관에 대하여 데이터를 이용 가능하게 해야 한다.³⁰

⑤ 데이터 처리 서비스 제공자 간의 전환(switching) 의무：데이터 처리 서비스 제공자는 소비자가 다른 데이터 처리 서비스 (경쟁 사업자 포함)로 전환 할 수 있도록 소비자가 (i) 유사한 서비스를 처리하는 다른 데이터 처리 서비스 제공자 새로운 계약을 체결하거나 (ii) 데이터, 애플리케이션 등의 디지털 자산을 다른 데이터 처리 서비스 제공 업체로 이전하는 것을 방해해서는 아니된다.³¹

⑥ 비개인 데이터의 국제 이전에 대한 제한 : 데이터 처리 서비스 제공자는 EU 법 또는 EU 회원국 법에 저촉되는 경우, EU 역내의 비개인 데이터의 국제적인 이전 또는 그것에 대한 정부의 접근을 방지하기 위해 계약상의 약정을 포함하는 모든 합리적인 기술적, 법적 및 조직적 조치를 취해야 한다.³²

(3) 데이터처리서비스 제공자

‘데이터 처리 서비스’는 EU 규정 2017/1128³³ 제2조 제5호의 온라인콘텐츠제공서비스를 제외한 디지털서비스로 원칙적으로 확장 가능하고 탄력적이고 공유 가능한 컴퓨팅 자원을 소비자가 온 디맨드로 관리하고 광범위한 원격 접근을 가능하게 하는 서비스를 말하며,³⁴ 일반적으로 클라우드 서비스가 이에 해당한다. 따라서 클라우드 서비스제공자는 데이터법의 적용대상이 된다.³⁵

클라우드 서비스제공자는 데이터의 보관, 유지 및 공유에 필요한 기술로 서비스를 제공하는 사업자로, 데이터 공유에는 이와 같은 클라우드 서비스 제공자의 역할이 필수적이다. 따라서 데이터법은 소비자의 자유로운 선택권을 보장하기 위해 클라우드 서비스 제공자는 사용자의 데이터 이동 및 전환을 보장해야 한다.³⁶ 만약 소비자가 서비스 이용 종료 시 데이터 전환을 위해 최소 30일간 데이터 유지 기간을 보장해야 한다.³⁷ 이 경우 클라우드 서비스 제공자는 데이터 전환에 필요한 비용을 사용자에게 청구 할 수 있으나, 점차 즉각적인 전환(switching)이 가능해 지도록 점차 클라우드 기술의 표준을 마련해, 법 발효 후 3년 이후부터는 무상 이동을 보장해야 한다.³⁸

5. 우리나라 법제도에의 시사점

데이터법은 주로 IoT 제품이나 관련 서비스의 제공자에게 제품·서비스의 설계 단계부터 이용자의 데이터에 대한 접근을 가능하게 하는 의무나, 제3자에 대한 데이터 제공 의무 등을 규정하고 있으며, 클라우드 서비스 사업자에게 이용자가 다른 서비스로 전환하는 것을 용이하게 하기 위해서 소정의 조치를 취할 의무 등을 부과하고 있다. 데이터 법은 IoT 제품 등을 EU 영역 내에서 출시하거나 EU 영역 내의 주체에 데이터를 이용 가능하게 하고 있는 한국 기업에도 널리 적용될 가능성이 있다. 예를 들어 IoT 제품을 탑재한 자동차 스마트 가전(또는 그 관련 부품) 등을 EU 역내에 제공하고 있는 기업이나 클라우드 서비스를 제공하고 있는 기업은 데이터법 시행³⁹ 에 대비할 필요가 있다.

또한 데이터법 발효 시 EU로 IoT 제품을 수출하고 EU 역내에서 생산된 데이터를 보유하는 기업들은 사용자 및 3자 서비스 기업과 정부로 부터 데이터 공유 요청이 있을 것으로 예상된다. 따라서 자동차, 미디어 기기를 비롯한 국내 IoT 제품 수출기업은 EU 역내에서 생산된 산업 데이터 공유에 대비가 필요하다. 데이터법은 기존 지식재산권을 준수하고 있으며 또한 데이터법에 제조 경쟁사의 공유 데이터 사용 방지 규정 등이 마련됐지만 영업 비밀 보호를 위한 기업 차원의 대응책이 필요하다.

나아가 EU 데이터법은, 비개인정보의 데이터 이동권을 적극적으로 도입하여 데이터 거래의 활성화를 도모하고 있는 점을 살펴보면 데이터 거래 활성화를 도모하고자 하는 국내 입법 정책에도 상당한 시사점을 주고 있다. 한편, 국내 입법론적으로 볼 때, 기업이 소유하는 데이터에 대한 접근 및 공유와 관련하여 지식재산권, 영업비밀 보호 및 기업이 데이터 관련 비즈니스에 대한 투자 의욕을 훼손함으로써 최종 사용자가 받는 불이익이 없도록 강제적인 접근 보다는 기업의 비즈니스 자유를 담보하고 혁신을 촉진하기 위한 자발적인 임의계약을 기반으로 하는 접근방법을 취하고 인센티브에 의한 데이터 공유의 촉진을 도모할 필요가 있을 것이다.

1. Proposal for a Regulation of the European Parliament and of the Council on harmonised rules on fair access to and use of data, 2022/0047, COM(2022) 68 final. 데이터법에 대한 자세한 분석은, 오병철, “유럽연합 데이터법(EU Data Act) 초안 및 그 시사점”, 국제거래법연구 제31집 제1호(2022), 488-511면. [본문으로]
2. Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), 2020/0340, COM(2020) 767 final. 데이터 거버넌스법에 대한 자세한 분석은, 김경훈⋅이준배⋅윤성욱, EU 데이터거버넌스 법안(Data Governance Act) 주요 내용 및 시사점, KISDI Premium Report 21-01(2021) 참조. [본문으로]
3. 데이터 거버넌스법은 공공기관이 보유한 공공데이터의 활용에 초점을 두고 있는 반면, 데이터법은 민간 부문에서 제품이 생성한 데이터 활용 촉진을 목표로 하고 있다는 점에서 상호 보완적이다. 오병철, 앞의 논문, 487-489면. [본문으로]
4. 오병철, 앞의 논문, 488면. [본문으로]
5. 데이터법 제1조 제1항. [본문으로]
6. 데이터법 제1조 제1항. [본문으로]
7. 또한, B2B 거래를 통한 공유의 경우 데이터법은 데이터 제공 기업에 대한 보상을 명시하고 있다. 따라서 데이터 공유가 활성화될 경우 데이터 제공 기업들이 정당하게 인센티브를 취득할 수 있는 법적 프레임을 제공하고 있다. [본문으로]
8. 데이터법 제1조 제2항. 단, 중소기업은 일정한 의무(공유의무 등)에서 면제된다(데이터법 제7조 제1항, 제14조 제2항). [본문으로]
9. 데이터법 제2조 제5항. [본문으로]
10. 데이터법 제4조. [본문으로]
11. 데이터법 제5조. [본문으로]
12. DMA의 규제 대상은 디지털 시장에서 상당한 영향력을 가진 게이트키퍼로 불리는 핵심 플랫폼 서비스(core platform services: 이하 “CPS”라 한다 ) 사업자들이다. DMA 제3조 참조. [본문으로]
13. 데이터법 제2조 제6호. [본문으로]
14. 데이터법 제2조 제7호. [본문으로]
15. 데이터법 제2조 제9호. [본문으로]
16. 데이터법 제13조. [본문으로]
17. 오병철, 앞의 논문, 493면. [본문으로]
18. 데이터법 제2조 제1호. [본문으로]
19. 다만, 개인정보에 대해서는 GDPR 규정의 적용을 EU데이터법이 배제하고 있지 않으므로, GDPR이 우선적으로 적용된다(데이터법 제1조 제3호). [본문으로]
20. 데이터법 제2조 제2호. [본문으로]
21. 다만, PC, 서버, 태블릿, 스마트폰, 카메라 등, 콘텐츠를 생성하기 위하여 인간의 관여(imput)가 필요한 기기는 데이터법의 적용 대상에서 제외된다(전문 15항). [본문으로]
22. 데이터법 제2조 제3호. [본문으로]
23. 데이터법 제4조 제4항. [본문으로]
24. 오병철, 앞의 논문, 497면. [본문으로]
25. 데이터법 제3조 제1항. 또한 제품 또는 관련 서비스의 사용에 관한 계약을 체결하기 전에 데이터의 생성이나 처리에 관한 제품 또는 관련 서비스의 사용에 의해 생성될 가능성이 있는 데이터의 특성 및 분량(제3조 제2항 제a호) 등과 같은 정보를 사용자에게 제공하여야 한다(데이터법 제3조 제2항 제a호 내지 제h호). [본문으로]
26. 데이터법 제5조 제1항. [본문으로]
27. 데이터법 제8조 제1항. [본문으로]
28. 윤웅희, “EU 데이터법 추진 동향”, 통상·규제 – KOTRA 해외시장 뉴스(https://dream.kotra.or.kr/kotranews/cms/news/actionKotraBoardDetail.do?SITE_NO=3&MENU_ID=90&CONTENTS_NO=1&bbsSn=244&pNttSn=193799, 2022.8.23.최종 방문 [본문으로]
29. 데이터법 제13조 제1항. 또한 집행위원회는 중소기업의 협상 권한을 강화하고, 계약상의 권리와 의무의 균형 도모를 위하여 외공정한 계약 모델을 개발할 예정이다(데이터법 제34조). [본문으로]
30. 데이터 법에 의하면 재난이나 국가 비상사태에서, 정부는 데이터보유자인 기업에 데이터를 요청할 수 있으며, 그 기업은 데이터를 무상으로 제공할 의무가 있다. 다만, 이 밖에 공공 이익을 위한 목적이나, 피해 복구 등을 위한 데이터 활용을 위해서도 정부는 기업에 데이터를 요청 할 수 있는데, 이 경우에는 중소기업과 마찬가지로, 데이터 제공 비용을 보상해야 한다. 데이터법 제14조, 제15조. [본문으로]
31. 데이터법 제23조 제1항. [본문으로]
32. 데이터법 제27조 제1항. [본문으로]
33. Regulation (EU) 2017/1128 of the European Parliament and of the Council of 14 June 2017 on cross-border portability of online content services in the internal marketText with EEA relevance. [본문으로]
34. 데이터법 제2조 제13호. [본문으로]
35. Picht/Richter, EU Digital Regulation 2022: Data Desiderata, GRUR Int. 2022, 395, 402. [본문으로]
36. 데이터법 제23조. [본문으로]
37. 데이터법 제24조 제1항. [본문으로]
38. 데이터법 제25조 제1항. [본문으로]
39. EU 집행위원회는 데이터법이 연내 유럽 의회와 이사회의 승인을 거쳐 2023년부터 발효될 것으로 예상하고 있다. 데이터법의 제한적인 적용범위와 사용자 중심의 데이터 접근과 이용은 혁신목적을 위한 충분한 데이터 활용 방안이 제시되지 못하고 잇다는 한계와 데이터법에 대해서 글로벌 자동차 및 미디어 기기 제조업체들은 데이터법이 제조업 중심의 대기업에 인센티브 보다는 의무를 과도하게 부과하고 있다는 이유로 업계의 강한 반대가 존재한다. Specht-Riemenschneider, Data Act – Auf dem (Holz-)Weg zu mehr Dateninnovation?, ZRP 2022, 137, 138. [본문으로]