추진 배경

EU가 데이터법을 제안하는 배경은 두 가지로 정리할 수 있다. 먼저 산업 데이터의 법적 소유권이 불분명해 사용 권한이 IoT 제품 제조사에 독점적으로 귀속된 상황이다. EU는 제조사의 데이터 독점 등 업계 관행의 고착화를 방지하기 위해 데이터 공유 조건을 규정하고 제조사에 데이터 공유 의무를 부과할 계획이다. 둘째는, 공유 활성화를 통해 역내 데이터 경제를 육성하고 EU가 주도권을 확보하겠다는 것이다. 법안 발표에서 티에리 브르통 EU 내부 시장 위원은 “데이터는 많은 사람이 사용할 수 있으며, 공유로 인해 품질에 영향을 미치거나 고갈되지 않는 비경쟁제(non-rival goods)”임을 강조했다. 또한 "현재 공유가 제한된 80% 이상의 산업 데이터가 활용될 경우 2028년까지 2700억 유로의 추가 GDP를 창출할 수 있을 것"이라고 전망함에 따라 데이터 공유를 통해 관련 서비스 및 기술을 개발, EU의 데이터 경제 주도권을 확보하고자 하는 것이다.

EU 데이터 전략

데이터법은 데이터 경제 육성을 위해 2020년 수립된 EU 데이터 전략에 기반하고 있다. EU 데이터 전략은 4차산업의 핵심산업인 데이터 산업에서 EU의 주도권 확보를 위해 역내 데이터 단일시장을 형성, 합법적이고 원활한 공유 환경 조성을 목표로 하고 있다.

데이터 전략이 추진 중인 주요 법안은 총 3가지이다. 먼저 2021년 11월 발효된 데이터 거버넌스법은 EU 내 데이터 주권을 수립하고, 데이터가 자유롭고 안전하게 이동할 수 있도록 법적 프레임을 마련하는 것이다. 두 번째 법안인 데이터법은 거버넌스법의 법적 토대를 바탕으로 구체적인 데이터의 주체와 공유 조건을 규정하고 있다. 마지막으로 EU는 산업별로 역내 공동 데이터 공간을 개발해 본격적으로 데이터 공유를 촉진할 계획이다. 현재 개발이 예정된 10개 핵심 분야는 △건강, △농업, △제조, △에너지, △운송, △금융, △공공 행정, △기술, △연구 데이터, △그린딜이다. 이 중 가장 먼저 건강 분야의 공동 데이터 공간에 대한 입법이 준비 중이며, 곧 자동차에서 발생하는 산업 데이터의 공유 규칙을 다루는 운송분야 데이터 공간도 발표될 예정이다.

<EU 데이터 전략 추진 현황>

[자료: EU집행위 데이터법 Factsheet(2.23.)]

데이터법 주요 내용

EU 데이터법의 목표는 IoT 기기에서 생성되는 산업 데이터에 대한 기존 데이터 시장 약자(개인과 중소기업)의 접근성을 강화해 공유를 활성화하는 것이다. 한편 IoT 제조사는 데이터 제공에 따른 보상의 정당성을 확보해 데이터 공유 활성화에 따라 인센티브를 획득할 수 있다. 즉, 데이터법은 누가 어떻게 데이터에 접근할 수 있는지와 어떻게 가치를 창출할지에 대한 조건을 규정하고 있는 것이다. 또한 공유의 안전성과 합법성을 확보하기 위해 보안 규정을 강조하고 있다.

데이터법의 적용 대상은 IoT 제품 제조사 및 서비스 업체와 클라우드 업체로 기존 산업 데이터를 보유·제공할 수 있는 기업이다. 단, 중소기업은 공유 의무에서 제외됐다.

구체적인 법안 내용을 살펴보면, 데이터 접근 주체별로 사용자, 중소기업, 정부 기관으로 나누어 접근 조건을 규정하고 있다. 이와 같은 데이터 공유의 플랫폼을 제공하는 클라우드 서비스 업체에 대한 의무 규정들이 있다.

1) 사용자

데이터법은 IoT 제품을 사용하고, 산업 데이터 생산에 기여하는 개인 사용자의 접근 권한을 강화하고 있다. 따라서 사용자는 자신이 생산에 기여한 데이터에 언제든지 접근할 수 있으며, 원하는 3자 서비스 업체에 데이터를 무상으로 전송할 수 있다. 여기서 3자 서비스 업체란 제품의 유지, 보수 및 컨설팅과 같은 애프터 마켓 서비스를 제공하는 업체를 말한다. 주로 중소기업 대상으로 이미 시장에서 지배력을 행사하고 있는 게이트 키퍼 기업*은 이와 같은 무상 제공 대상에서 제외된다.

2) 중소기업

데이터 법은 중소기업이 서비스 개발이나 혁신을 위해 IoT 제품 제조사의 산업 데이터에 접근하는 경우 공정하고 수평적인 계약을 체결할 수 있도록 중소기업을 보호하고자 한다. 현재, IoT 제품을 제조하는 대기업이 산업 데이터를 보유, 독점적으로 활용하고 있기 때문에 언제든지 대기업에 유리한 불공정 계약이 성립할 수 있는 상황이다. 따라서 집행위는 중소기업의 협상 권한을 강화하고, 공정한 계약 모델을 개발할 예정이다. 또한 불공정 계약에 대한 규제 및, 불공정 조건 판단 및 법적 구속력 상실 등의 조항을 명시하고 있다. 또한, 기업과 기업의 거래를 통한 공유의 경우 데이터법은 데이터 제공 기업에 대한 보상을 명시하고 있다. 따라서 데이터 공유가 활성화될 경우 데이터 제공 기업들이 정당하게 인센티브를 취득할 수 있는 법적 프레임을 제공하고 있다.

3) 정부

데이터 법에 의하면 산업 데이터에 대한 정부의 접근 조건은 두 가지로 정의할 수 있다. 먼저 재난이나 국가 비상사태에서, 정부는 기업에 데이터를 요청할 수 있으며, 기업은 데이터를 무상으로 제공할 의무가 있다. 이 밖에 공공 이익을 위한 목적이나, 피해 복구 등을 위한 데이터 활용을 위해서도 정부는 기업에 데이터를 요청 할 수 있는데, 이 경우에는 중소기업과 마찬가지로, 데이터 제공 비용을 보상해야 한다.

4) 클라우드 서비스 업체

클라우드 서비스 업체는 데이터의 보관, 유지 및 공유에 필요한 기술로 서비스를 제공하는 업체로, 데이터 공유에는 이와 같은 클라우드 서비스 업체의 역할이 필수적이다. 따라서 데이터법은 산업 데이터에 대한 불법적인 접근을 방지하기 위한 클라우드 업체에 보안에 대한 의무를 부과하고 있다. 또한 소비자의 자유로운 선택권을 보장하기 위해 클라우드 서비스는 사용자의 데이터 이동 및 전환을 보장해야 한다. 만약 소비자가 서비스 이용 종료 시 데이터 전환을 위해 최소 30일간 데이터 유지 기간을 보장해야 한다. 이 경우 클라우드 기업은 데이터 전환에 필요한 비용을 사용자에게 청구 할 수 있으나, 점차 즉각적인 스위치 전환이 가능해 지도록 점차 클라우드 기술의 표준을 마련해, 법 발효 후 3년 이후부터는 무상 이동을 보장해야 한다.

업계 반응 및 향후 일정

업계는 데이터법 발표에 IoT 제품 제조사를 중심으로 거센 반대 의견을 표명 하고 있다. 글로벌 자동차 및 미디어 기기 제조업체들은 데이터법이 제조업 중심의 대기업에 인센티브 보다는 의무를 부과하고 있으며, 지나치게 중소기업·스타트업 친화적이라고 비판하고 있다. 또한 정부 및 공공 기관의 접근 규정 역시 이미 공공 부문과 데이터 공유가 자발적으로 이루어지고 있음을 강조하며 기업의 의무 사항이 지나치다는 의견이다. 한편 공공기관의 데이터 보안 취약을 지적하며 데이터 공유 활성화를 위한 보안 인프라가 아직 구축되지 않았다는 비판도 있다.

집행위는 데이터법이 연내 유럽 의회와 이사회의 승인을 거쳐 2023년부터 발효될 것으로 예상하고 있으나, 업계의 강한 반대 및 로비가 이어지고 있어 승인 과정에서 난항이 있을 것으로 전망된다.

시사점

코로나 19의 영향으로 온라인 쇼핑과 재택근무가 확산되며 빅데이터, 원격 업무, 인공지능 등 관련 데이터 기술에도 급격한 혁신이 이루어지고 있다. 이로 인해 4차 산업 시대가 본격적으로 가속화 되며 데이터 경제 역시 급성장할 것으로 전망된다. EU 역시 데이터의 경제성과 그 중요성을 인식, 데이터 및 클라우드 서비스를 전략 분야로 지정해 이를 본격적으로 육성하고자 데이터법을 비롯해 다양한 디지털 법안을 추진 중이다.

<EU와 영국 내 데이터 경제성장률>

[자료: Statista(2022)]

EU 데이터 전략과 관련 추진 입법의 가장 중요한 두 축은 바로 보안과 공유이다. 데이터에 대한 불법적인 접근은 차단하고 합법적인 틀 안에서의 공유는 활성화하겠다는 것이다. 2022년 3월 25일 미국 바이든 대통령의 EU 방문 성과 중 하나인 미국-EU 간 개인정보 이전 협정 합의도 이와 같은 EU의 기본 방침을 재확인하고 있다. 2020년 유럽 사법재판소는 미국 정보기관의 불법 개인정보 수집 가능성에 의해 미국과 EU 간 데이터 전송 협정을 무효화 판결했고, 현재까지 EU에서 생성된 개인 데이터에 대한 미국 전송은 불법인 상황이다. 하지만 이번 합의로 인해 양측 간 데이터 교환 가능성에 파란불이 켜지게 됐다. 아직 미국 정보기관의 접근 억제책 마련 등 기술적 협의가 남았지만 데이터에 대한 불법적인 접근을 차단하는 한에서 공유를 활성화하겠다는 EU의 데이터 전략을 확인할 수 있다.

이번에 발표한 데이터법 역시 이미 실행 중인 GDPR(General Data Protection Regulation)*에 기반하고 있어, EU 역내 생산된 산업 데이터에도 GDPR과 유사한 보안수준 요구가 예상된다. 한국은 현재 GDPR의 적정성 평가 결정*을 받아 EU와 개인 데이터 전송이 이루어지고 있다. 만약 데이터법에도 GDPR의 적정성 평가와 유사한 매커니즘이 도입된다면, 한국 기업이 EU 데이터를 활용할 수 있는 기회가 될 수 있다. 따라서 데이터 활용 기업들은 데이터법의 법제화 과정 및 보안 요건 등에 대한 주시가 필요하다.

 * 적정성 평가결정(Adequacy decisions): EU와 비슷한 수준의 데이터 보호를 시행하고 있는지에 대한 평가 후 추가 보호장치없이 개인 데이터 이동을 허용하는 방식

또한 데이터법 발효 시 유럽으로 IoT 제품을 수출하고 역내에서 생산된 데이터를 보유하는 기업들은 사용자 및 3자 서비스 기업과 정부로 부터 데이터 공유 요청이 있을 것으로 예상된다. 따라서 자동차, 미디어 기기를 비롯한 국내 IoT 제조 수출기업은 EU 역내에서 생산된 산업 데이터 공유에 대비가 필요하다. 데이터법은 기존 지적재산권을 준수하고 있으며 또한 법안에 제조 경쟁사의 공유 데이터 사용 방지 규정 등이 마련됐지만 영업 비밀 보호를 위한 기업 차원의 대응책이 필요하다.