데이터 주권과 데이터 보호에 관한 새로운 접근 - 미국과 유럽에서의 논의를 중심으로 -

김종호 사단법인 한국법이론실무학회 2023 법률실무연구 Vol.11 No.1

국가 또는 플랫폼에 무언가를 요구하는 데이터 주체(사람)의 법적 지위를 어떻게 개념정의 해야 할까? 근자에 ‘데이터 주권’이라는 용어가 자주 쓰이고 있으나 통일된 올바른 용어법이 없는 상태에서 주장자들마다 자기 생각대로 이 용어를 사용하고 있다. 통신에서 국가 주권의 측면과 대비하여 검토가 필요하다. 어떤 사람들은 데이터의 통제 측면에서 ‘데이터 주권’을 사용하지만 유럽에서는 그렇게 사용되지 않으므로 조심하여야 한다. 이 연구에서는 “디지털 주권의 문제는 새로운 인터넷 거버넌스 시스템을 향한 단계”라고 생각한다. 여기에서 디지털 주권의 개념은 탄생한다. 현재 세계는 실시간 정보가 유통되는 상황이고 외국에서의 데이터 처리에 관한 문제는 국제법의 쟁점에 관한 사건으로 주목을 끌고 있다. 이와 같은 쟁점은 데이터 주권의 관점에서 논의되어야 하지 않을까 라고 생각한다. 그런데 이 쟁점을 논문으로 구성하고자 요약했을 때 놀랍게도 개인정보보호 문제는 충분한 검토와 논의가 있다. 하지만 ‘데이터 주권’이라는 용어가 우리나라에서 진지하게 논의되고 있지 않다는 것을 깨달았다. 개인이 자신의 데이터를 통제할 권리를 검색하는 경우 ‘데이터 주권과 진정한 정보 거버넌스로 가는 길,’ ‘소셜 미디어 데이터는 누가 소유하며,’ 유럽에서 시작된 데이터 주권에 대한 새로운 규칙은 무엇인가? 여러 가지 쟁점들이 꼬리를 물고 등장하고 있다. 전자는 데이터 주권은 바이너리 디지털 형식으로 변환되고 이와 같은 정보가 저장된 국가의 법률의 적용을 받는다는 개념이다. 데이터 주권에 대한 현재 우려의 대부분은 개인정보보호 규정을 시행하고 해외에 저장된 데이터에 대한 생산주문을 우회하는 것과 관련이 있다. 후자는 데이터에 대한 공급자의 권리 즉, 데이터 주권이다. 그러나 데이터 제어 권한과 어떻게 다른지 이해하지 못하면 비판을 받을 것이라고 생각한다. 그러나 이러한 고려는 이러한 정의에 기반을 두고 있으며 국가의 관점에서 ‘자국 데이터의 주권을 보호하는 것’으로 간주되기 때문에 혼란스럽다는 비판을 받는다. 이러한 접근방식이 한국인으로서 데이터 주권을 보호하여야 한다는 문제에 합당한지 검토해 봐야 한다. “디지털 주권은 우리의 현재와 운명을 통제하기 위해 기술과 컴퓨터 네트워크를 사용하는 것이다.” 이러한 관점에서 데이터 주권을 둘러싼 법적 쟁점에 대한 담론을 전개하였다.

데이터 경제에서 소비자주권의 확장 방향성과 소비자 데이터권리 연구

윤수영 ( Yun Sue Young ),여정성 ( Yeo Jungsung ) 한국소비자학회 2021 소비자학연구 Vol.32 No.5

전통적인 시장경제 및 산업경제와는 달리 데이터 경제에서 소비자는 단순히 재화와 서비스의 소비 주체가 아닌 가치창출의 핵심자원인 데이터를 생산하고 공급하는 자원의 생산자이자 공급자로서의 역할을 수행한다. 따라서 소비자주권의 개념 또한 기존의 사회내 한정된 자원의 배분을 결정하는 역할에서 데이터 자원을 통해 창출된 가치의 공유를 적극적으로 요구하고 경제적 권리를 주장하는 소비자 정체성을 포함하여 확장되어야 한다. 데이터 경제에서 확장된 소비자주권은 데이터 경제에서 소비자가 데이터의 생산주체이며 데이터의 공급 및 가치 사슬 체계는 소비자들의 주체적 선택에 의해 결정되어야 한다는 것을 의미한다. 한편, 소비자 데이터의 유형은 데이터 처리에 대한 소비자 관여도 및 발생 맥락을 고려하여 신상정보, 콘텐츠데이터, 행태데이터, 추론데이터로 구분되며 데이터유형에 따라 소비자 편익과 위험 또한 상이하다. 데이터 경제에서 확장된 소비자주권은 소비자 측면에서는 소비자 데이터 리터리시와 소비자 데이터 편익 및 위험선호도로, 시장 측면에서는 데이터 처리에 대한 소비자 주체성 보장과 데이터 플랫폼에 대한 기업의 투명성과 책임성으로 구성된다. 시장 측면의 구성요소는 소비자 데이터 10대 권리로 구체화되며 데이터 처리에 대한 소비자 주체성 측면에서는 데이터 이동권, 데이터 배당권, 자동화 의사결정으로부터 차별받지 않을 권리, 데이터를 흐릴 권리, 데이터 처리 제한권이 있으며 데이터 플랫폼에 대한 기업의 투명성과 책임성 측면의 소비자권리는 데이터 접근권, 데이터 정정권, 데이터 삭제권, 데이터 활용에 관한 정보를 제공받을 권리, 데이터 보호에 관한 정보를 제공받을 권리가 해당된다. 특히, 소비자 주체성 보장을 위한 소비자 데이터권리는 데이터 경제의 도래와 함께 비교적 최근에 그 논의가 시작되어 정부, 기업, 소비자 전문가 그룹간 권리 보장의 필요성에 대한 인식 수준이 상이하므로 소비자 데이터권리의 제도화에 대한 사회적 합의의 중요성이 높다. 또한, 소비자 데이터권리 보장을 위해 기업은 소비자 친화적 데이터권리 보장 방안을 선도적으로 고려하여야 한다. 정부는 소비자 데이터 유형별 실질적인 편익과 위험에 기반한 규제 정책을 마련하고 기업의 적극적인 소비자 친화적 데이터권리 보장을 위한 보호 중심의 경직된 개인정보보호 규제 정책보다는 기업의 자율적 활동을 장려하여야 한다. 소비자 또한 데이터 처리와 알고리즘의 작동방식에 대한 이해를 향상하는 등 데이터 리터러시 강화를 위한 노력을 기울여야 하며 이를 위해 정부의 중장기적 계획 수립과 정보화 취약계층에 대한 배려가 필수적이다. In the data economy, consumers are not simply subject of consumption of goods and services in the traditional market economy or industrial economy, but rather take the role of producers and suppliers of resources of data which is a core resource for value creation. Therefore the concept of consumer sovereignty should also embrace consumers’ identities claiming to share the value created through data resources and economic rights. The expanded consumer sovereignty in the data economy means that in the data economy, consumers are the producers of data, and the data supply and value chain system should be determined by the subjective choices of consumers. On the other hand, consumer data types are classified into Personal Information, Consuemr Generated Content Data, Behavior Data and Inference Data in consideration of consumer involvement in data processing and the context of occurrence, and consumer benefits and risks are also different depending on the data type. Expanded consumer sovereignty in the data economy consists of consumer data literacy and consumer data benefits/risk preferences on the consumer side, and ensurance of consumer subjectivity in data processing and businesses’ transparency/ accountability for data platforms on the market side. In terms of consumer subjectivity in data processing. The components on the market side are embodied in the consumer 10 data rights. The things from consumer subjectivity for data processing are right to data portability, right to data dividend, right not to be discrimiated against automated decision-making, right to blur and right to restrain. The other data rights from business’s transparency and accountability for data platforms are right to access, rignt to rectification, right to erasure. right to be informed on data usage, right to be informed on data protection. In particular, considering the aspect of utilization rather than the aspect of personal information protection, such as the right to data dividen and the right to blur, the discussion of consumer data rights to ensure consumer identity has been started relatively recently with the advent of the data economy. The importance of social consensus on the institutionalization of data rights is high because the level of awareness of the necessity of guaranteeing rights is different among expert groups. In addition, business should take the lead in considering consumer-friendly data rights guarantee methods in order to guarantee consumer data rights, The government should prepare regulatory policies based on the practical benefits and risks of each type of consumer data and encourage companies to engage in autonomous activities rather than a rigid protection-oriented privacy policy to ensure business's active consumer-friendly data rights. Consumers also need to strengthen data literacy based on an understanding of how data processing and algorithms work.

데이터의 탈영토성과 사이버공간 주권

박주희 대한국제법학회 2022 國際法學會論叢 Vol.67 No.2

Currently, there is no common understanding among countries as to how existing international law applies in cyberspace. This is especially true of the issue of sovereignty applied to cyberspace. One of the main challenges in applying the concept of sovereignty in cyberspace stems from the nature of data. With the pervasive use of cloud computing services today, intangible data is crossing borders at a rapid pace, and its path of movement is arbitrary and unpredictable. In addition, data may be divided and replicated in various locations. This unique nature of data makes it difficult to determine how to apply the concept of territorial sovereignty, which has been applied to physical domains such as land, sea, and air. At the heart of the problem is the unterritoriality of data. This article takes note of the unterritoriality of data and seeks to suggest its implications for applying in cyberspace sovereignty and its derivative international rules. Thus, this article first examines the arguments over the unterritoriality of the data, through pointing outs the inherent nature of data. Second, this article concludes that data is unterritorial, by elucidating recent national legislations and other state practices. Finally, this paper suggests implications of data unterritoriality for applying in cyberspace not only sovereignty but also other international rues deriving from sovereignty, such as jurisdiction, the principle of non-interference, or the prohibition of the use of force. 사이버공간에 기존 국제법이 ‘어떻게’ 적용되는지에 관하여 국가들 사이의 공통된 이해가 마련되고 있지 못하다. 특히 사이버공간에 적용되는 주권을 규명하는 문제는 더욱 그러하다. 그 요인 중 하나는 사이버공간을 구성하는 요소인 데이터의 특성에서 기인하다. 오늘날 클라우드 컴퓨팅 서비스의 확대로 무형의 데이터는 국경을 빠른 속도로 넘나들며, 그 이동 경로 역시 예측이 불가능하다. 또한, 데이터는 분할되어 다양한 장소에 복제될 수 있다. 이러한 데이터의 고유한 특성은 육지, 바다, 공역과 같은 기존의 물리적 영역에 적용되어온 국가 주권의 개념을 데이터에 적용하는 것이 가능한지 더 나아가 어떻게 적용되는지 여부의 판단을 어렵게 만든다. 이 문제의 핵심에는 데이터의 탈영토성이 있다. 데이터의 영토성을 규명하는 문제, 즉 데이터의 영토상 위치를 확인하는 문제는 데이터에 대한 주권을 넘어 주권에서 파생되는 불간섭 원칙, 무력사용 금지의 원칙을 적용하는 문제와 관련되며, 데이터에 대한 관할권 행사의 문제와도 밀접하게 연관된다. 본 연구는 사이버공간에 대한 국가의 주권을 규명함에 있어서 나타나는 어려움이 데이터의 탈영토성에서 기인한다고 주장한다. 즉, 데이터의 고유한 특성으로 인해 데이터가 한 국가의 영토상에 고정적으로 존재하는 지를 파악하는 것이 어렵거나 무의미해지고 있어 데이터의 영토성에 기반한 국가의 주권 행사가 어려워지고 있다. 본 연구는 이 문제를 데이터의 탈영토성 논쟁을 통하여 조명하고자 하며, 데이터의 탈영토성이 주권 및 주권에서 파생하는 국제법 규범을 사이버공간의 이용에 적용하는 문제에 대하여 가지는 시사점을 제시하고자 한다.

국제안보 차원의 데이터 주권 논의의 이중성과 시사점

유준구 세종연구소 2021 국가전략 Vol.27 No.2

As major leading technologies countries around the world are competing for digital hegemony in the era of the 4th Industrial Revolution, the importance of data has been underscored more than ever. In particular, they are approaching the issue of data from a national and global security perspectives; the data policies formulated and implemented by the world’s major economies with technological prowess are not only about strengthening industrial competitiveness, but also about bolstering national security – a seemingly global lurch towards the ‘securitization of data.’ Just as the issue of setting global standards and norms lies at the core of the discussions surrounding emerging technologies security and the ongoing race for technological superiority, the key issue regarding data security is to set a global standard on data management system focusing on the data sovereignty issues. This paper will examine the importance of discussing data security and data sovereignty from a security perspectives, and shed light on the key issues as well as the positions and policies adopted by leading technologies States to give insights on future prospects and understand policy implications. 최근 4차 산업혁명의 주도권을 둘러싸고 디지털 패권 경쟁을 전개되고 있는 가운데 데이터는 더 이상 단순 정보가 아닌 핵심 자원으로 인식되고 있다. 데이터의 사회경제적 중요성이 증대되는 상황에서 데이터 역시 신기술과 같이 국가 및 국제안보 차원의 새로운 도전요인으로 작용하고 있다. 데이터 안보 이슈는 결국 데이터의 총체적인 관리체제를 구축하는 즉, 데이터 주권 및 관할권 문제이고 데이터 개발・축적・이전・유통 및 데이터 현지화 문제로 구체화되고 있다. 이러한 상황에서 주요 디지털 강국들은 데이터에 관한 포괄적인 전략․정책 수립은 물론 이를 지역화・다자화하기 위한 데이터 안보 이니셔티브를 경쟁적으로 추진하고 있다. 데이터의 국제안보적 함의는 디지털 패권을 둘러싼 미・중 경쟁의 새로운 전선으로 전이・확장될 가능성이 높다는 사실이다. 또한 기술패권 경쟁 차원에서 데이터 주권 논의는 미중 경쟁은 물론 미국, 일본, EU 간에도 마찰이 상존하고 있는 바, 경쟁 구도 역시 다층적이고 복잡화 될 것이다. 한편, 데이터 주권을 둘러싼 복합적인 갈등 구도는 2차 대전 후 독자적으로 형성되고 확대해온 자유무역레짐과 국가안보에 기한 무역규제레짐간 충돌 현상을 가속화할 것이다. 이러한 배경에서 본 연구는 데이터 주권 경쟁의 안보적 함의, 주요국 전략・정책을 분석하여 향후 전망과 정책적 시사점을 제시해 본다.

데이터 속성과 국지화 규범의 법적 쟁점에 대한 고찰

김현경(Kim, Hyun-Kyung) 한국토지공법학회 2017 土地公法硏究 Vol.78 No.-

최근 각국의 정부는 디지털 주권(digital sovereignty)을 주장하기 위한 광범위한 노력의 일환으로 데이터국지화 규범을 추진하고 있다. 데이터의 속성은 탈영토성(un-territoriality) 을 기반으로 한다. 그러나 주권은 영토를 기반으로 하는 국민국가를 단위로 하여 절대성과 항구성을 특질로 하는 권력이다. 데이터가 생성 유통되는 공간으로서 인터넷을 기반으로 하는 공간은 주권이 미치는 영역이다. 따라서 인터넷 공간의 데이터에 대하여 주권의 실행 으로서 관할권을 행사하기 위해서는 우선 데이터에 대하여 관리/지배가능성이 있어야 한다. 이러한 데이터의 속성을 영토주의 원칙에 부합하게 제약 하려는 규범적 시도가 바로 데이터의 위치를 제한하는 ‘데이터 국지화(Data Localization)’ 조치라고 할 수 있다. 데이 터국지화 규범 자체는 사실상 데이터의 기술적 속성에 위배되는 것이다. 따라서 규범설정 만으로 기술적 효과를 완전히 막기에는 분명히 한계가 존재한다. 그러나 규범이 반드시 기술적 속성에 종속되어 기술적 속성을 따라야 하는 것은 아니며, 오히려 기술적 속성이 인간의 삶에 유익하게 작동할 수 있도록 제도가 구축되는 것이 바람직하다. 모든 데이터에 대한 국지화 정책은 데이터의 기술적 속성에 완전히 위배되며 현실적으로 가능할지도 의문이다. 그러나 국민의 프라이버시, 국가안보, 공공기록물 등 국가주권 보장에 불가결한 일정한 데이터에 대하여는 국지화 정책이 일정부분 추구되어야 한다. 그 이외의 데이터에 대한 국지화 규범은 경제적 파급효과, 데이터 협력필요성 등에 비추어 볼 때 모든 국가를 상대로 일률적으로 정할 수 있는 것은 아니다. 대외적 주권실현의 가장 기본원칙인 상호주 의에 입각한 데이터 국지화 규범이 타당하다. 또한 데이터 국지화 규범설정은 오히려 정부 감시 및 통제의 수단으로 활용하기 용이하고 이는 국민주권을 기본원리로 하는 민주주의의 발전에도 저해된다. 따라서 데이터국지화 규범 설정 시 자의적 공권력에 의한 부당한 결과가 초래되지 않도록 하는 수단이 반드시 함께 마련되어야 할 것이다. Governments in recent years are making efforts to legislate data localization as part of a broader effort to advocate digital sovereignty. The attributes of the data are based on un-territoriality. However, sovereignty is the power that characterizes the absoluteness and permanence of a nation based on territory. The Internet-based space as a space where data is generated and circulated is the domain of sovereignty. Therefore, in order to exercise jurisdiction as the exercise of sovereignty over data in the Internet space, it must first be possible to manage and control data. The normative attempt to constrain the attributes of such data in accordance with the principle of territoriality is called ‘data localization’, which restricts the location of data. The data localization norm itself is in fact contrary to the technical nature of the data. Therefore, there is a limit to completely prevent the technical effect only by setting the norm. However, norms are not necessarily dependent on technical attributes and does not necessarily conform to the technical attributes, rather, it is desirable that institutions be designed so that technical attributes can work in a way that is beneficial to human life. Localization of all data is completely contrary to the technical nature of the data and is realistically questionable. However, localization should be pursued for specific data indispensable for national sovereignty, such as the privacy of citizens, national security, and public records. The localization norms for other data are not uniformly set for all countries in view of the economic ripple effects, the necessity of data cooperation, and so on. The principle of localization based on reciprocity, which is the most basic principle for the realization of external sovereignty, is reasonable. In addition, data localization is rather easy to utilize as a means of govern monitoring and control, which also hinders the development of democracy, which is the institutional guarantee of national sovereignty. In addition, data localization can be exploited as a means for the government to monitor and control the people. This is also detrimental to the development of democracy to institutionalize popular sovereignty. Therefore, when setting the data localization norm, a means for not causing the improper result by the arbitrary public power will have to be necessarily provided with.

인터넷저작물의 주권 행사에 관한 연구 - 데이터 생애주기별 위험대응을 중심으로

Hye Jung Moon,Hyun Suk Cho 위기관리 이론과 실천 2015 Crisisonomy Vol.11 No.3

빅데이터 시대가 본격화가 되어 개인정보의 오남용, 인터넷저작권의 침해 등 이슈가 확산되고 있다. 현재 인터넷 상의 데이터주권은 인터넷거대기업과 기업이 속한 국가의 규제에 국한되어 있는 형편이다. 이에 거버넌스 차원에서 인터넷의 데이터주권에 관한 사례를 분석하였다. 사례분석 결과는 다음과 같다. 첫째, 인터넷저작물은 생성, 저장, 사용, 폐기 네 단계의 생애주기에 따라 각각 저작권, 소유권, 사용권, 망각권 등 주요 권리와 위험을 가지고 있다. 둘째, 인터넷저작물의 데이터주권에 대한 거버넌스는 공공, 시장, 민간 영역에서 계층제, 시장제, 자율제 형태로 행사되고 있다. 셋째, 계층제는 법적 강제성, 시장제는 기술적 통제성, 자율제는 사회운동 실천의 장점을 갖추었으나 세 가지 모두 실효성은 미흡하다. 따라서 인터넷저작물에 대한 데이터주권의 정당성을 부여하고 실효성을 높이기 위해서는 디지털시민의 권리보장을 기본으로 공공기구와 인터넷기업의 협력적인 거버넌스 실현이 선행되어야 할 것으로 본다. As big data has been utilized braodly, the issues has been increasing such as abuse of internet contents, privacy invasion and theft of copyright. Data sovereignty is mainly exercised by global internet companies based on each national regulation. This paper carried out the case study on data sovereignty of internet contents from governance perspective. First, there are major rights over Internet contents such as the copyright, the ownership, the use and the right of oblivion according to the life cycle through four steps to create, save, use and discard. Second, the governance of data sovereignty over internet contents has been conducted in three types: hierarchy in public sector, market in business sector, and network in civic area. Third, each governance has major strength like legal compulsion in hierarchy governance, technical control in market governance, and social movement in network governance. Each type of governance is weak in both effectiveness and legitimacy separately. Therefore this paper argues that public organizations and internet companies need to establish cooperative governance for enhancing rights of digital citizen

디지털 전환 시대의 데이터 정책과 이용자 권리 보호: 데이터 독점과 데이터 주권을 중심으로

유승현 한국방송학회 2022 방송통신연구 Vol.2022 No.S

이 연구는 데이터 관련 정책과 법·제도를 검토하고, 데이터 관련 정책이 추진되는 과정에서 쟁점화하고 있는 플랫폼의 데이터 독점 현상과 문제점, 데이터 주권과 이용자 권리 보호에 대해 심층적으로 논의하여, 데이터 정책의 방향성과 이용자 데이터 주권의 제도화 등을 제언하고자 하였다. 디지털 전환기 핵심 원천으로서의 데이터 중요성이 강조되면서 데이터 경제가 부상함에 따라 국내외적으로 데이터 관련 정책 및 법제화가 활발히 추진되고 있다. 국내외 데이터 관련 정책과 법제화가 추진되는 과정에서의 주요 쟁점은 플랫폼의 데이터 독점 문제이며, 이러한 데이터 독점은 데이터를 통한 시장 지배력 확대, 플랫폼의 기업 결합으로 인한 경쟁 제한과 진입 장벽 형성, 데이터 접근 등의 문제뿐만 아니라 개인 정보 등 이용자 권리 침해의 결과를 초래한다. 따라서 플랫폼의 데이터 독점으로 인한 이용자 권리 침해가 고착화되기 전에 이용자 권리를 보호할 수 있는 데이터 주권의 제도화가 필요하다. 데이터의 권리주체는 이용자이며, 이용자의 데이터 권리가 가장 우선시되어야 한다는 인식의 전환이 필요하다. 이를 위해 이용자 데이터 주권을 제도화하는 정책과 플랫폼의 자율적 방안이 필요한 시점이다.

4차 산업 혁명 시대의 소비자 데이터 주권에 대한 고찰: EU GDPR을 중심으로

윤수영 ( Yun Sue Young ) 한국소비자학회 2018 소비자학연구 Vol.29 No.5

4차 산업혁명 시대는 각종 IoT 및 센서 등을 통해 사람과 사물, 사물과 사물이 연결되는 초연결 사회로 소비자가 재화와 서비스를 이용하는 과정에서 막대한 규모의 데이터가 생성된다. 또한 빅데이터, 인공지능, 데이터마이닝 등 고도화된 ICT 기술이 동 데이터를 기반으로 새로운 가치 창출의 촉매 역할을 하는 ‘데이터 경제(Data Economy)’의 시대이다. 이와 같은 사회적 변화는 소비자의 역할과 권리에도 많은 영향을 미치므로 본 연구에서는 선행 연구를 기반으로 데이터를 중심으로 소비자의 역할과 권리를 접근하는 소비자 데이터 주권(consumer data sovereignty)의 개념을 도출하고자 한다. 또한 EU GDPR에 규정된 주요 신규 제도들을 중심으로 소비자 데이터 주권 강화를 위한 제도적 보완점을 도출하고자 한다. 소비자 데이터 주권이란 소비자 자신에 관한 데이터의 생성, 저장, 유통 및 활용에 대한 정보 주체인 소비자의 배타적 권리로 소비자 이익을 위해 데이터의 흐름, 공개·비공개 여부, 사용 등을 소비자 스스로 통제할 수 있는 권리를 의미한다. 개인정보 자기 결정권과는 권리 행사의 주체가 소비자이고 객체가 개인정보보다 상세한 수준의 데이터라는 측면에서 차이가 있다. 4차 산업혁명시대에 소비자는 가치 창출자로써의 보다 능동적 역할을 수행할 것으로 예상되나 소비자 데이터 주권 또한 취약해질 우려가 있다. 이를테면, ICT 서비스 독과점 심화에 따른 소비자 선택권 제한 및 데이터 독과점 문제, 기업 및 소비자간 기술 격차 심화에 따른 소비자 데이터 주체성의 상실, 초연결 사회로 인한 데이터 확장성으로 인한 통제권의 상실 문제, 데이터 가치 보상에서의 소비자 소외 등에 대한 우려가 있다. EU의 일반 개인정보보호법인 GDPR은 EU 회원국과 소비자의 데이터 주권 보호를 위해 데이터 이동권, 프로파일링 기반 자동화된 의사 결정의 대상이 되지 않을 권리, 잊힐 권리 등 신규 제도 도입을 명문화하였다. 동 제도들은 첫째, 데이터 이동권 보장을 통해 데이터로 인해 소비자가 특정 재화나 서비스에 귀속되지 않도록 하여 소비자 선택권 제한의 문제를 해소하였고. 둘째, 데이터 가공 및 처리에 대한 기술 격차 해소를 위해 데이터 수집·활용에 대한 투명성 확보를 통한 소비자의 알 권리를 보장하였으며 셋째, 폭발적인 데이터 전파력과 확정성을 고려하여 소비자의 데이터 통제권의 행사 범위를 계약 중심에서 데이터 중심으로 확대하였다. 반면, 국내 개인정보보호 법제 및 관련 연구들은 데이터에 대한 활용보다는 개인정보의 보호 중심으로 수행되어 온 측면이 있다. GDPR의 신규 제도들의 특징을 고려하여 데이터의 보호와 활용이 균형을 이루는 소비자 데이터 주권 강화를 위한 제도적 보완 방안 모색이 필요하다. The 4th Industrial Revolution era is a hyper-connected society in which people, things, objects and objects are connected through various IoTs and sensors, and massive data is generated during consumption of goods and services. In addition, it is also the era of ‘Data Economy’, which advanced ICT technology such as big data, artificial intelligence, and data mining serves as a catalyst for new value creation based on this data. Social change has a great impact on the role and rights of consumers. Therefore the concept of consumer data sovereignty, which approaches consumers' roles and rights based on data, is derived in this study, because such social changes have a great influence on the roles and rights of consumers. In addition, it is also another purpose of this study to draw up a systematic complementary point for strengthening the sovereignty of consumer data centered on major new institutions defined in the EU GDPR. Consumer Data Sovereignty is the exclusive right of consumers, who are the data subject, about the creation, storage, circulation and utilization of data and to control the flow of data, whether it is disclosed or not. The personal information self-determination right differs in that the subject of the exercise of rights is not a data subject but a consumer and the object is more detailed data than the personal information. Consumers are expected to play a more active role as value creators in the era of the Fourth Industrial Revolution, but consumer rights may also become weakened. For example, There is a concern about consumers' choice restrictions and data monopoly problems may arise due to intensification of ICT service monopolies, loss of consumers' data subjecthood due to technological gap between firms and consumers, loss of control due to data expansion due to a hyper-connected society and consumer alienation in compensation system for data utilization. The GDPR, the general privacy protection law of the EU, introduced the new consumer data protection institutions such as data movement rights, rights not to be subject to automated decision-making based on profiling, and the right to be forgotten, in order to protect consumer data sovereignty of EU Member States and consumers. First, it guarantees that consumers do not belong to certain goods or services because of the data movement. Second, to ensure the transparency of data collection and utilization, the right of knowing the consumers is secured in order to resolve the technology gap in data processing and processing. Third, the scope of data control right of consumers is moved from contract to data in consideration of explosive data propagation power and determinacy. On the other hand, domestic personal information protection legislation and related studies have been carried out mainly on the protection of personal information, rather than utilization of data. Considering the characteristics of the new systems of GDPR, it is necessary to seek institutional complementary measures to strengthen the sovereignty of consumer data, which balances data protection and utilization.

데이터의 소유권과 현지화에 관한 연구

김신언,구성권 서울시립대학교 서울시립대학교 법학연구소 2021 서울법학 Vol.29 No.2

With the development of the Internet, it became possible to collect and use personal information freely, and governments began to strengthen privacy laws. However, as the global economy has become digitalized and various platform businesses using personal information have grown, data have been recognized as a resource, and the privacy law is being revised again to enable economic use. In particular, as governments foster the My Data industry, where individuals can directly control and utilize their own information, the legal principles for individual data sovereignty are also developing. On the other hand, interest in the national data sovereignty is also growing as the government implements policies to localize data to protect domestic resources and secure competitiveness of domestic companies. However, Data Localization should be developed in a way that does not store data in the country but is appropriately utilized in terms of economic revitalization. On the other hand, tax law focuses on data as a new tax source in the digital economy. However, the arguments presented by socialist and economists as the source of basic income are insufficient to be used as legal arguments for data tax levies. Therefore, this paper sought to review domestic and international laws on ownership of data and to find an interface that could be linked to data localization as a way to address international taxation issues, especially with regard to cross-border movement of data. Data taxe not only has the advantage that of allowing and limiting multinational IT companies such as Google to transfer data to overseas servers in an economical way, but also complement existing tax-oriented international taxation systems by taxing almost free data. Data tax is aimed at taxation on unidentified data in the blind spot of individual data ownership, so it also has the function of complementing each other without conflict with the MyData industry being pushed by the government. This article presents the need for the introduction of a data fundamental law that grants government control to complete the legal mechanisms necessary for the initial settlement of data taxes that can let data economically be localized. 인터넷이 발달하면서 자유롭게 개인의 정보를 수집하고 이용하는 것이 가능해지자 각국 정부는 개인의 프라이버시권을 강화하기 위해 개인정보보호 법률을 강화하기 시작하였다. 그러나 세계 경제가 디지털화되면서 개인정보를 이용한 각종 플랫폼비즈니스가 성장하게 되자 데이터를 자원으로 인식하게 되었고, 경제적 활용이 가능하도록 개인정보보호법을 다시 수정하고 있는 추세이다. 특히 개인이 자신의 정보를 직접 통제하고 활용할 수 있는 마이데이터 산업을 각국 정부가 육성하면서 개인의 데이터 주권에 대한 법리도 발전하고 있다. 한편, 기본소득을 연구한 경제학자들은 데이터를 정부가 과세하자는 논리적 근거를 데이터가 공유자산이라는 점에서 찾고 있다. 그러나 이러한 주장은 법률적으로 데이터소유권에 대한 통찰의 부족에서 나온 오류이다. 자국에서 발생한 데이터의 해외이전에는 국내자원 보호와 국내기업의 경쟁력 확보를 위해 데이터 현지화 정책을 시행하면서 국가의 데이터 주권에도 관심이 커지고 있다. 그러나 데이터의 현지화는 데이터를 국내에 쌓아두는 것이 아니라 경제 활성화 측면에서 적절히 활용하는 방향으로 전개되어야 한다. 본 논문에서는 데이터의 소유권과 관련한 국내외 법률을 검토하고 특히 데이터의 역외이동과 관련하여 경제적 제재를 통해 데이터 현지화와 연결할 접점을 찾고자 하였다. 즉, 데이터를 역외로 이전할 때 조세를 징수하면 구글 등과 같은 다국적 IT기업들이 해외 서버로 데이터를 이전할 때 경제적으로 그 허용과 제한을 절충시킬 수 있다는 이점이 있다. 또한, 마이데이터 산업에서 개인의 데이터소유권 사각지대에 있는 비식별 조치된 데이터의 해외이전도 국가가 통제할 수 있게 된다. 다만, 경제적인 데이터 현지화를 위해서는 정부의 데이터 주권의 근거를 만들 수 있는 데이터 기본법을 도입하여 법적 메커니즘을 완성하여야 할 것이다.

‘데이터 주권’과 ‘개인정보 국외이전’ 규범 합리화 방안 연구

김현경 성균관대학교 법학연구원 2019 성균관법학 Vol.31 No.4

This study examined the rationalization of the transfer of personal information overseas to secure data sovereignty. To secure data sovereignty, it is necessary to acquire international competitiveness in the data market by acquiring and utilizing high-quality and large-scale data. In addition, enforcement of national data must be supported. To this end, it is very important to establish reasonable norms for the international transfer of personal information. However, on such important matters, the current legislation prescribes the transfer of personal information overseas based solely on the consent of the data subject. However, as a means of respecting the actual intention of the information subject, 'pre-consent' has already been formalized·deformed and many questions are raised about its effectiveness. In particular, a “consent” dependent model of the data subject can make data trade with the European market difficult. Therefore, the transfer of personal information overseas is appropriately governed by the mutual adequacy model in terms of 'data sovereignty' and 'revival of data economy'. The following legislative tasks need to be resolved in order to implement this model of mutual adequacy. First, the establishment of offshore application regulations on the protection of personal information should be established, but the effectiveness of the offshore application regulations should be secured through the agreement between countries, which is mutually appropriate. Second, overseas transfer of personal information should be allowed only in the following cases : countries or personal data controller or processor approved by the government that the level of personal information protection is equivalent to that of Korea. The only exception to this is the transfer of personal information overseas with the consent of the data subject only if the following matters are clearly notified in advance: i) The lack of adequacy approval or the lack of appropriate safety measures; and ii) risks to the data subject due to the lack of such adequacy and appropriate safety measures. 본 연구는 데이터 주권 확보를 위한 개인정보 국외이전 규범의 합리화 방안에 대하여 검토하였다. 데이터 주권의 확보를 위해서는 데이터 시장에서 국제 경쟁력을 득해야 한다. 뿐만 아니라 자국민 데이터에 대한 집행력이 뒷받침되어야 한다. 이를 위해서 자국민 개인정보의 국외이전에 대한 합리적 규범을 설정하는 것은 매우 중요하다. 그러나 이렇듯 중요한 사안에 대하여 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 국외이전을 규정하고 있다. 현재 국회에서 추진중인 개정안 역시 마찬가지다. 즉 우리나라는 개인정보의 국외이전을 오로지 당사자의 자유로운 의사에만 근거하며 국가가 사전적 통제를 하지 아니하고 있다. 그러나 정보주체의 실질적 의사를 존중하는 수단으로서 ‘사전 동의’는 이미 형식화·형해화 되어 그 실효성에 많은 의문이 제기되고 있다. 특히 개인정보의 국외이전을 정보주체의 ‘동의’에만 의존하는 현행의 규범체계는 유럽시장과의 데이터 교역을 곤란하게 할 수 있다. 따라서 개인정보 국외이전은 ‘데이터 주권 확보’와 ‘데이터 경제 부흥’ 측면에서 볼 때 상호적정성 모델에 따라 규율되는 것이 타당하다. 이러한 상호적정성 모델이 구현되기 위해서는 다음과 같은 입법과제가 해결되어야 한다. 첫째, 개인정보 보호에 대한 역외적용 규정을 신설하되, 상호적정성승인이라는 국가 간 협약을 통해 역외적용 규정의 실효성을 확보하여야 한다. 둘째, 개인정보 국외이전은 개인정보보호의 수준이 우리나라와 동등한 것으로 정부가 승인한 국가 또는 국외 개인정보처리자로의 이전만을 허용하는 것을 원칙으로 하여야 한다. 다만 예외적으로 개인정보가 이전되는 국가 또는 개인정보처리자가 우리 「개인정보 보호법」에 의한 적정성 승인을 득하지 못하였거나 적절한 안전조치를 승인받지 못하였다는 사실 및 이러한 적정성 결정 및 적절한 안전조치의 부재로 인해 정보주체에게 발생할 수 있는 위험이 사전에 명확히 고지된 경우에만 정보주체의 동의에 의한 국외이전을 허용하여야 한다. 한편 상호적정성 모델이 적용될 경우 그 이전대상 국가가 우리나라와 국가차원의 적정성 승인을 득한 경우이거나 이전 기업이 우리정부가 정하는 적절한 안전조치를 취하였다고 인정된 경우 국내에서의 제3자 제공과 동일하게 취급되어야 할 것이다. 그러나 그렇지 못한 국가나 개인정보처리자에게 이전되는 경우 ‘강한’ 동의 규정이 적용되어야 할 것이다. 따라서 「정보통신망법」은 처리위탁ㆍ보관에 의한 국외이전의 경우 ‘사전고지+이용자의 동의’를 득해야 함이 원칙이나, 적정성 결정을 득한 국가 혹은 개인정보처리자로의 이전에 대하여는 별도의 동의 없이 ‘사전고지’만으로 가능하도록 현행 규정은 수정되어야 할 것이다.