데이터 속성과 국지화 규범의 법적 쟁점에 대한 고찰

김현경(Kim, Hyun-Kyung) 한국토지공법학회 2017 土地公法硏究 Vol.78 No.-

최근 각국의 정부는 디지털 주권(digital sovereignty)을 주장하기 위한 광범위한 노력의 일환으로 데이터국지화 규범을 추진하고 있다. 데이터의 속성은 탈영토성(un-territoriality) 을 기반으로 한다. 그러나 주권은 영토를 기반으로 하는 국민국가를 단위로 하여 절대성과 항구성을 특질로 하는 권력이다. 데이터가 생성 유통되는 공간으로서 인터넷을 기반으로 하는 공간은 주권이 미치는 영역이다. 따라서 인터넷 공간의 데이터에 대하여 주권의 실행 으로서 관할권을 행사하기 위해서는 우선 데이터에 대하여 관리/지배가능성이 있어야 한다. 이러한 데이터의 속성을 영토주의 원칙에 부합하게 제약 하려는 규범적 시도가 바로 데이터의 위치를 제한하는 ‘데이터 국지화(Data Localization)’ 조치라고 할 수 있다. 데이 터국지화 규범 자체는 사실상 데이터의 기술적 속성에 위배되는 것이다. 따라서 규범설정 만으로 기술적 효과를 완전히 막기에는 분명히 한계가 존재한다. 그러나 규범이 반드시 기술적 속성에 종속되어 기술적 속성을 따라야 하는 것은 아니며, 오히려 기술적 속성이 인간의 삶에 유익하게 작동할 수 있도록 제도가 구축되는 것이 바람직하다. 모든 데이터에 대한 국지화 정책은 데이터의 기술적 속성에 완전히 위배되며 현실적으로 가능할지도 의문이다. 그러나 국민의 프라이버시, 국가안보, 공공기록물 등 국가주권 보장에 불가결한 일정한 데이터에 대하여는 국지화 정책이 일정부분 추구되어야 한다. 그 이외의 데이터에 대한 국지화 규범은 경제적 파급효과, 데이터 협력필요성 등에 비추어 볼 때 모든 국가를 상대로 일률적으로 정할 수 있는 것은 아니다. 대외적 주권실현의 가장 기본원칙인 상호주 의에 입각한 데이터 국지화 규범이 타당하다. 또한 데이터 국지화 규범설정은 오히려 정부 감시 및 통제의 수단으로 활용하기 용이하고 이는 국민주권을 기본원리로 하는 민주주의의 발전에도 저해된다. 따라서 데이터국지화 규범 설정 시 자의적 공권력에 의한 부당한 결과가 초래되지 않도록 하는 수단이 반드시 함께 마련되어야 할 것이다. Governments in recent years are making efforts to legislate data localization as part of a broader effort to advocate digital sovereignty. The attributes of the data are based on un-territoriality. However, sovereignty is the power that characterizes the absoluteness and permanence of a nation based on territory. The Internet-based space as a space where data is generated and circulated is the domain of sovereignty. Therefore, in order to exercise jurisdiction as the exercise of sovereignty over data in the Internet space, it must first be possible to manage and control data. The normative attempt to constrain the attributes of such data in accordance with the principle of territoriality is called ‘data localization’, which restricts the location of data. The data localization norm itself is in fact contrary to the technical nature of the data. Therefore, there is a limit to completely prevent the technical effect only by setting the norm. However, norms are not necessarily dependent on technical attributes and does not necessarily conform to the technical attributes, rather, it is desirable that institutions be designed so that technical attributes can work in a way that is beneficial to human life. Localization of all data is completely contrary to the technical nature of the data and is realistically questionable. However, localization should be pursued for specific data indispensable for national sovereignty, such as the privacy of citizens, national security, and public records. The localization norms for other data are not uniformly set for all countries in view of the economic ripple effects, the necessity of data cooperation, and so on. The principle of localization based on reciprocity, which is the most basic principle for the realization of external sovereignty, is reasonable. In addition, data localization is rather easy to utilize as a means of govern monitoring and control, which also hinders the development of democracy, which is the institutional guarantee of national sovereignty. In addition, data localization can be exploited as a means for the government to monitor and control the people. This is also detrimental to the development of democracy to institutionalize popular sovereignty. Therefore, when setting the data localization norm, a means for not causing the improper result by the arbitrary public power will have to be necessarily provided with.

‘데이터 주권’과 ‘개인정보 국외이전’ 규범 합리화 방안 연구

김현경 성균관대학교 법학연구원 2019 성균관법학 Vol.31 No.4

This study examined the rationalization of the transfer of personal information overseas to secure data sovereignty. To secure data sovereignty, it is necessary to acquire international competitiveness in the data market by acquiring and utilizing high-quality and large-scale data. In addition, enforcement of national data must be supported. To this end, it is very important to establish reasonable norms for the international transfer of personal information. However, on such important matters, the current legislation prescribes the transfer of personal information overseas based solely on the consent of the data subject. However, as a means of respecting the actual intention of the information subject, 'pre-consent' has already been formalized·deformed and many questions are raised about its effectiveness. In particular, a “consent” dependent model of the data subject can make data trade with the European market difficult. Therefore, the transfer of personal information overseas is appropriately governed by the mutual adequacy model in terms of 'data sovereignty' and 'revival of data economy'. The following legislative tasks need to be resolved in order to implement this model of mutual adequacy. First, the establishment of offshore application regulations on the protection of personal information should be established, but the effectiveness of the offshore application regulations should be secured through the agreement between countries, which is mutually appropriate. Second, overseas transfer of personal information should be allowed only in the following cases : countries or personal data controller or processor approved by the government that the level of personal information protection is equivalent to that of Korea. The only exception to this is the transfer of personal information overseas with the consent of the data subject only if the following matters are clearly notified in advance: i) The lack of adequacy approval or the lack of appropriate safety measures; and ii) risks to the data subject due to the lack of such adequacy and appropriate safety measures. 본 연구는 데이터 주권 확보를 위한 개인정보 국외이전 규범의 합리화 방안에 대하여 검토하였다. 데이터 주권의 확보를 위해서는 데이터 시장에서 국제 경쟁력을 득해야 한다. 뿐만 아니라 자국민 데이터에 대한 집행력이 뒷받침되어야 한다. 이를 위해서 자국민 개인정보의 국외이전에 대한 합리적 규범을 설정하는 것은 매우 중요하다. 그러나 이렇듯 중요한 사안에 대하여 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 국외이전을 규정하고 있다. 현재 국회에서 추진중인 개정안 역시 마찬가지다. 즉 우리나라는 개인정보의 국외이전을 오로지 당사자의 자유로운 의사에만 근거하며 국가가 사전적 통제를 하지 아니하고 있다. 그러나 정보주체의 실질적 의사를 존중하는 수단으로서 ‘사전 동의’는 이미 형식화·형해화 되어 그 실효성에 많은 의문이 제기되고 있다. 특히 개인정보의 국외이전을 정보주체의 ‘동의’에만 의존하는 현행의 규범체계는 유럽시장과의 데이터 교역을 곤란하게 할 수 있다. 따라서 개인정보 국외이전은 ‘데이터 주권 확보’와 ‘데이터 경제 부흥’ 측면에서 볼 때 상호적정성 모델에 따라 규율되는 것이 타당하다. 이러한 상호적정성 모델이 구현되기 위해서는 다음과 같은 입법과제가 해결되어야 한다. 첫째, 개인정보 보호에 대한 역외적용 규정을 신설하되, 상호적정성승인이라는 국가 간 협약을 통해 역외적용 규정의 실효성을 확보하여야 한다. 둘째, 개인정보 국외이전은 개인정보보호의 수준이 우리나라와 동등한 것으로 정부가 승인한 국가 또는 국외 개인정보처리자로의 이전만을 허용하는 것을 원칙으로 하여야 한다. 다만 예외적으로 개인정보가 이전되는 국가 또는 개인정보처리자가 우리 「개인정보 보호법」에 의한 적정성 승인을 득하지 못하였거나 적절한 안전조치를 승인받지 못하였다는 사실 및 이러한 적정성 결정 및 적절한 안전조치의 부재로 인해 정보주체에게 발생할 수 있는 위험이 사전에 명확히 고지된 경우에만 정보주체의 동의에 의한 국외이전을 허용하여야 한다. 한편 상호적정성 모델이 적용될 경우 그 이전대상 국가가 우리나라와 국가차원의 적정성 승인을 득한 경우이거나 이전 기업이 우리정부가 정하는 적절한 안전조치를 취하였다고 인정된 경우 국내에서의 제3자 제공과 동일하게 취급되어야 할 것이다. 그러나 그렇지 못한 국가나 개인정보처리자에게 이전되는 경우 ‘강한’ 동의 규정이 적용되어야 할 것이다. 따라서 「정보통신망법」은 처리위탁ㆍ보관에 의한 국외이전의 경우 ‘사전고지+이용자의 동의’를 득해야 함이 원칙이나, 적정성 결정을 득한 국가 혹은 개인정보처리자로의 이전에 대하여는 별도의 동의 없이 ‘사전고지’만으로 가능하도록 현행 규정은 수정되어야 할 것이다.

개정 데이터 3법 시대의 데이터 주권에 관한 소고 - GDPR과의 비교를 중심으로 -

이주희 ( Lee Joo Hee ) 서울지방변호사회 2021 변호사 Vol.53 No.0

The corona virus has changed our daily lives. In particular, the discussions have been very active on the scope of allowing information processor or controller to use, collect, and provide data, as this topic relates to data sovereignty, including self determination of sensitive information, and information rights. In the post-corona era, the importance of 'data sovereignty' will be more important than before. The discussion is still ongoing as the National Assembly passed revised versions (as of January 9th, 2019) of three data bills - the Personal Information Protection Act, Information and Communications Network Act and Protection of Credit Information Act - which relaxing regulations on the use of personal data including credit ratings. However, there have been on-going criticisms from civil organizations about revised versions of 'three data bills' as people feel anxious about breach of confidentiality of their identification data. Therefore, in order to prepare for the post-corona era and to minimize the infringement of personal information from 'three data act', a concept of 'data sovereignty' must be defined accurately. This paper seeks to define the idea of 'data sovereignty' by finding legal grounds for it and analyzes by using comparative law perspectives. The paper argues that individual data sovereignty is a core value in the era of the 4th Industrial Revolution, and the data sovereignty should be guaranteed by constitution, the constitutional reform is necessary.

데이터의 탈영토성과 사이버공간 주권

박주희 대한국제법학회 2022 國際法學會論叢 Vol.67 No.2

Currently, there is no common understanding among countries as to how existing international law applies in cyberspace. This is especially true of the issue of sovereignty applied to cyberspace. One of the main challenges in applying the concept of sovereignty in cyberspace stems from the nature of data. With the pervasive use of cloud computing services today, intangible data is crossing borders at a rapid pace, and its path of movement is arbitrary and unpredictable. In addition, data may be divided and replicated in various locations. This unique nature of data makes it difficult to determine how to apply the concept of territorial sovereignty, which has been applied to physical domains such as land, sea, and air. At the heart of the problem is the unterritoriality of data. This article takes note of the unterritoriality of data and seeks to suggest its implications for applying in cyberspace sovereignty and its derivative international rules. Thus, this article first examines the arguments over the unterritoriality of the data, through pointing outs the inherent nature of data. Second, this article concludes that data is unterritorial, by elucidating recent national legislations and other state practices. Finally, this paper suggests implications of data unterritoriality for applying in cyberspace not only sovereignty but also other international rues deriving from sovereignty, such as jurisdiction, the principle of non-interference, or the prohibition of the use of force. 사이버공간에 기존 국제법이 ‘어떻게’ 적용되는지에 관하여 국가들 사이의 공통된 이해가 마련되고 있지 못하다. 특히 사이버공간에 적용되는 주권을 규명하는 문제는 더욱 그러하다. 그 요인 중 하나는 사이버공간을 구성하는 요소인 데이터의 특성에서 기인하다. 오늘날 클라우드 컴퓨팅 서비스의 확대로 무형의 데이터는 국경을 빠른 속도로 넘나들며, 그 이동 경로 역시 예측이 불가능하다. 또한, 데이터는 분할되어 다양한 장소에 복제될 수 있다. 이러한 데이터의 고유한 특성은 육지, 바다, 공역과 같은 기존의 물리적 영역에 적용되어온 국가 주권의 개념을 데이터에 적용하는 것이 가능한지 더 나아가 어떻게 적용되는지 여부의 판단을 어렵게 만든다. 이 문제의 핵심에는 데이터의 탈영토성이 있다. 데이터의 영토성을 규명하는 문제, 즉 데이터의 영토상 위치를 확인하는 문제는 데이터에 대한 주권을 넘어 주권에서 파생되는 불간섭 원칙, 무력사용 금지의 원칙을 적용하는 문제와 관련되며, 데이터에 대한 관할권 행사의 문제와도 밀접하게 연관된다. 본 연구는 사이버공간에 대한 국가의 주권을 규명함에 있어서 나타나는 어려움이 데이터의 탈영토성에서 기인한다고 주장한다. 즉, 데이터의 고유한 특성으로 인해 데이터가 한 국가의 영토상에 고정적으로 존재하는 지를 파악하는 것이 어렵거나 무의미해지고 있어 데이터의 영토성에 기반한 국가의 주권 행사가 어려워지고 있다. 본 연구는 이 문제를 데이터의 탈영토성 논쟁을 통하여 조명하고자 하며, 데이터의 탈영토성이 주권 및 주권에서 파생하는 국제법 규범을 사이버공간의 이용에 적용하는 문제에 대하여 가지는 시사점을 제시하고자 한다.

4차 산업 혁명 시대의 소비자 데이터 주권에 대한 고찰: EU GDPR을 중심으로

윤수영 ( Yun Sue Young ) 한국소비자학회 2018 소비자학연구 Vol.29 No.5

The 4th Industrial Revolution era is a hyper-connected society in which people, things, objects and objects are connected through various IoTs and sensors, and massive data is generated during consumption of goods and services. In addition, it is also the era of ‘Data Economy’, which advanced ICT technology such as big data, artificial intelligence, and data mining serves as a catalyst for new value creation based on this data. Social change has a great impact on the role and rights of consumers. Therefore the concept of consumer data sovereignty, which approaches consumers' roles and rights based on data, is derived in this study, because such social changes have a great influence on the roles and rights of consumers. In addition, it is also another purpose of this study to draw up a systematic complementary point for strengthening the sovereignty of consumer data centered on major new institutions defined in the EU GDPR. Consumer Data Sovereignty is the exclusive right of consumers, who are the data subject, about the creation, storage, circulation and utilization of data and to control the flow of data, whether it is disclosed or not. The personal information self-determination right differs in that the subject of the exercise of rights is not a data subject but a consumer and the object is more detailed data than the personal information. Consumers are expected to play a more active role as value creators in the era of the Fourth Industrial Revolution, but consumer rights may also become weakened. For example, There is a concern about consumers' choice restrictions and data monopoly problems may arise due to intensification of ICT service monopolies, loss of consumers' data subjecthood due to technological gap between firms and consumers, loss of control due to data expansion due to a hyper-connected society and consumer alienation in compensation system for data utilization. The GDPR, the general privacy protection law of the EU, introduced the new consumer data protection institutions such as data movement rights, rights not to be subject to automated decision-making based on profiling, and the right to be forgotten, in order to protect consumer data sovereignty of EU Member States and consumers. First, it guarantees that consumers do not belong to certain goods or services because of the data movement. Second, to ensure the transparency of data collection and utilization, the right of knowing the consumers is secured in order to resolve the technology gap in data processing and processing. Third, the scope of data control right of consumers is moved from contract to data in consideration of explosive data propagation power and determinacy. On the other hand, domestic personal information protection legislation and related studies have been carried out mainly on the protection of personal information, rather than utilization of data. Considering the characteristics of the new systems of GDPR, it is necessary to seek institutional complementary measures to strengthen the sovereignty of consumer data, which balances data protection and utilization.

마이데이터 정책의 관점에서 데이터 대여 체계의 도입에 관한 탐색적 연구

권찬우,송석현 한국정책과학학회 2024 한국정책과학학회보 Vol.28 No.4

오늘날 한국을 비롯한 선진국들은 공공데이터의 개방을 통해 ICT 산업 인프라를 육성하고 있다. 공공데이터 및 전자정부의 기능이 제대로 활용되기 위해서는 민간 개발자와 기업의 적극적인 참여가 필요하다. 이러한 참여를 독려하는 정부의 정책적 기조와 데이터 중심 산업으로의 전환에 맞물려 공공 및 민간데이터를 활용하는 기업들이 늘어나는 추세이다. 그러나 기업이 데이터를 활용하는 과정에서 야기되는 데이터 주권의 문제가 대두되며, 마이데이터 정책의 중요성이 드러나고 있다. 본 연구에서는 마이데이터의 개념과 데이터 거래 체계의 동향을 살펴보고, 현행 데이터 거래 체계가 마이데이터 정책 기조 내에서 갖는 한계점을 분석한다. 아울러, GDPR에서 제시한 정보주체의 권리가 어떻게 현행 데이터 거래 체계와 상충하는지를 탐색적으로 논의하고자 한다. 이러한 논의를 바탕으로 마이데이터 거래에 활용될 수 있는 GDPR 기반의 대여 체계를 고안하여 그 효용성과 필요성을 도출한다. 대여 체계는 개인정보와 연관이 깊은 개인의 원천 데이터 거래를 위주로 활용될 것이며, 그 복잡한 구조상 모든 데이터 거래에 폭넓게 활용되기는 어려울 것으로 판단된다. In today's advanced nations, including South Korea, the development of ICT industry infrastructure is being propelled through the opening of public data. For the effective utilization of open data and e-government functions, it is imperative that private developers and corporations engage actively. This aligns with governmental policies promoting such involvement and the transition towards a data-centric industry. Consequently, there's a noticeable increase in the number of entities leveraging both public and private data. However, as the issue of data sovereignty arises in the process of companies utilizing data, the importance of the MyData policy is becoming increasingly evident. This study aims the concept of MyData and trends in data exchange systems, and analyzes the limitations of current data exchange systems within the framework of the MyData policy. In addition, we exploratively discusses how the rights of data subjects under the GDPR conflict with the current data transaction system. Based on these discussions, we devise a GDPR-based lending system that can be utilized for MyData transactions, and derive its utility and necessity. The lending system is expected to be utilized primarily for raw data transactions with deep connections to personal information, and is unlikely to be widely used for all data transactions due to its complexity.

MyData Cloud: 개인 정보 통제 강화를 위한 안전한 클라우드 아키텍쳐 설계

허승민,권용희,김범중,전기석,이중희 한국정보보호학회 2024 정보보호학회논문지 Vol.34 No.4

마이데이터는 개인데이터 활용 체계의 새로운 패러다임으로, 데이터 주체가 자신의 데이터를 어떻게 사용하고 어디에 제공할 것인지 결정할 수 있다. 데이터 주체의 동의 하에 서비스 제공자는 여러 서비스에 걸쳐 흩어져있는 고객의 데이터를 수집하고 이를 바탕으로 고객 맞춤화된 서비스를 제공한다. 기존의 마이데이터 서비스 모델들에서, 데이터 주체는 데이터 스토리지에 저장된 자신의 개인 정보를 서비스 제공자 또는 제3자의 데이터 프로세서에게 판매할 수 있다. 하지만 개인정보가 한 번 제3자의 프로세서에게 판매되어 그들의 프로세서에 의해 처리될 경우 그 순간부터 데이터를 추적하고 통제할 수 없다는 문제가 발생한다. 따라서 본 논문에서는 기존 마이데이터 운영 모델들의 문제점들을 개선하여 데이터 주체에게 더 높은 통제권을 부여하는 클라우드 모델을 제시한다. 동시에, 클라우드 모델과 같이 데이터 스토리지, 컨트롤러, 프로세서가 모두 한 곳에 모여있는 경우 클라우드가 침해될 시 모든 데이터가 한 번에 침해될 수 있다는 점을 고려하여, 이러한 위험을 줄일 수 있도록 클라우드-디바이스 간 협력적 암호화와 클라우드 컴포넌트들 간 격리 기술을 적용한 클라우드 모델 아키텍쳐를 함께 제시한다. MyData is an approach of personal data management, which grants data subjects the right to decide how to use and where to provide their data. With the explicit consent of the subjects, service providers can collect scattered data from data sources and offer personalized services based on the collected data. In existing service models, personal data saved in data storage can be shared with data processors of service providers or third parties. However, once personal data are transferred to third-party processors, it is difficult for data subjects to trace and control their personal data. Therefore, in this paper, we propose a cloud model where both data storage and processor are located within a single cloud, ensuring that data do not leave the cloud.

중국의 데이터 국외 이전 규제에 대한 연구- 주요 국가와의 비교를 중심으로 -

서의경,김현수 한국외국어대학교 중국연구소 2024 중국연구 Vol.101 No.-

데이터의 중요성이 부각되면서 세계 각국은 데이터의 국외 이전을 규제하여 데이터 주권을 지키려는 움직임을 보이고 있다. 이러한 움직임은 필연적으로 데이터와 관련하여 국가 간 또는 글로벌 기업 간 이해관계의 충돌을 일으킬 수 있다. 기존에는 자유로운 데이터의 이동을 지지했던 미국·영국 등도 최근 국민 개인정보가 중국으로 흘러 들어가는 것을 막겠다며 정부 차원에서 ‘틱톡’ 등 중국 온라인 서비스 이용을 금지하는 등 태도의 변화를 보이고 있다. 그동안 중국은 데이터의 국외 이전에 대하여 다른 국가에 비하여 강력하게 또는 방어적으로 규제하고 있다는 것이 일반적인 평가였다. 본 논문에서 중국의 데이터 국외 이전 규제를 전체적으로 분석해 본 결과, 일정한 부분에 안전평가를 필수적으로 요구하는 점을 제외하면 규제수준이 EU, 일본, 한국 등과 큰 차이가 있지는 않다고 생각된다. 그러나 안전평가와 관련하여 중요데이터에 해당하는지 여부, 국가 안전, 공공 이익, 개인 또는 조직의 합법적 권익에 미칠 수 있는 위험의 존재 여부 등에 대한 명확한 기준이 부재하고, 법규상 관련 행정부서의 판단에 따라 안전평가 신고대상과 평가항목이 추가될 수 있다는 점을 고려하면 결국 중국 행정기관의 적극적인 개입 여부에 따라 규제 수준이 결정될 수 있음을 알 수 있었다. 최근의 디디추싱의 행정처벌 사건, 데이터의 수집 및 이전과 관련한 반간첩법 위반 사건을 돌이켜보면 중국 정부는 국내 데이터의 국외 이전을 강력히 규제하는 태도를 취하고 있는 것으로 보인다. 이는 국가 안보와 경제적 이익을 보호하고, 자국 내 디지털 산업의 발전을 도모하려는 의도를 반영한다. 이를 통해 중국은 데이터 주권을 강화하고, 자국 중심의 데이터 생태계를 구축하고자 하고 있다. 이러한 규제는 글로벌 기업들로 하여금 데이터 운영 전략을 재검토하도록 만들며, 글로벌 디지털 경제에 상당한 변화를 초래할 가능성이 있다. 특히 중국과의 무역 및 데이터 협력이 필요한 경우나 중국 내에서 활동하는 기업들은 이러한 규제를 준수하기 위한 체계를 반드시 마련해야 한다. As the importance of data becomes increasingly prominent, countries around the world are moving to regulate the cross-border transfer of data to safeguard their data sovereignty. Such measures inevitably lead to conflicts of interest among nations or between global corporations in matters related to data. Countries like the United States and the United Kingdom, which traditionally supported the free flow of data, have recently shifted their stance by imposing restrictions on Chinese online services, such as TikTok, to prevent the outflow of their citizens' personal data to China. China, for its part, has often been perceived as imposing stronger and more defensive regulations on data transfer compared to other nations. However, a comprehensive analysis of China's data transfer regulations in this study suggests that, apart from the mandatory requirement for a security assessment in certain cases, the overall level of regulation is not significantly different from that of the EU, Japan, or South Korea. Nonetheless, the absence of clear criteria for determining whether data qualifies as critical, assessing risks to national security, public interests, or the legitimate rights and interests of individuals or organizations, highlights the potential for significant administrative discretion. The scope of security assessment requirements and evaluation criteria may be expanded based on decisions by relevant administrative bodies. Consequently, the degree of regulatory enforcement may depend heavily on the active involvement of Chinese authorities. Incidents such as the recent administrative penalties against Didi Chuxing and violations of anti-espionage laws related to data collection and transfer indicate that the Chinese government maintains a firm stance on regulating cross-border data transfers. This approach reflects its intent to protect national security and economic interests while fostering the development of its domestic digital industries. By doing so, China seeks to reinforce its data sovereignty and establish a data ecosystem centered around its national interests. These stringent regulations compel global corporations to reevaluate their data management strategies, potentially inducing significant changes in the global digital economy. Companies engaged in trade or data collaboration with China, or those operating within the country, must establish robust compliance frameworks to adhere to these regulations.

데이터의 소유권과 현지화에 관한 연구

김신언,구성권 서울시립대학교 서울시립대학교 법학연구소 2021 서울법학 Vol.29 No.2

With the development of the Internet, it became possible to collect and use personal information freely, and governments began to strengthen privacy laws. However, as the global economy has become digitalized and various platform businesses using personal information have grown, data have been recognized as a resource, and the privacy law is being revised again to enable economic use. In particular, as governments foster the My Data industry, where individuals can directly control and utilize their own information, the legal principles for individual data sovereignty are also developing. On the other hand, interest in the national data sovereignty is also growing as the government implements policies to localize data to protect domestic resources and secure competitiveness of domestic companies. However, Data Localization should be developed in a way that does not store data in the country but is appropriately utilized in terms of economic revitalization. On the other hand, tax law focuses on data as a new tax source in the digital economy. However, the arguments presented by socialist and economists as the source of basic income are insufficient to be used as legal arguments for data tax levies. Therefore, this paper sought to review domestic and international laws on ownership of data and to find an interface that could be linked to data localization as a way to address international taxation issues, especially with regard to cross-border movement of data. Data taxe not only has the advantage that of allowing and limiting multinational IT companies such as Google to transfer data to overseas servers in an economical way, but also complement existing tax-oriented international taxation systems by taxing almost free data. Data tax is aimed at taxation on unidentified data in the blind spot of individual data ownership, so it also has the function of complementing each other without conflict with the MyData industry being pushed by the government. This article presents the need for the introduction of a data fundamental law that grants government control to complete the legal mechanisms necessary for the initial settlement of data taxes that can let data economically be localized. 인터넷이 발달하면서 자유롭게 개인의 정보를 수집하고 이용하는 것이 가능해지자 각국 정부는 개인의 프라이버시권을 강화하기 위해 개인정보보호 법률을 강화하기 시작하였다. 그러나 세계 경제가 디지털화되면서 개인정보를 이용한 각종 플랫폼비즈니스가 성장하게 되자 데이터를 자원으로 인식하게 되었고, 경제적 활용이 가능하도록 개인정보보호법을 다시 수정하고 있는 추세이다. 특히 개인이 자신의 정보를 직접 통제하고 활용할 수 있는 마이데이터 산업을 각국 정부가 육성하면서 개인의 데이터 주권에 대한 법리도 발전하고 있다. 한편, 기본소득을 연구한 경제학자들은 데이터를 정부가 과세하자는 논리적 근거를 데이터가 공유자산이라는 점에서 찾고 있다. 그러나 이러한 주장은 법률적으로 데이터소유권에 대한 통찰의 부족에서 나온 오류이다. 자국에서 발생한 데이터의 해외이전에는 국내자원 보호와 국내기업의 경쟁력 확보를 위해 데이터 현지화 정책을 시행하면서 국가의 데이터 주권에도 관심이 커지고 있다. 그러나 데이터의 현지화는 데이터를 국내에 쌓아두는 것이 아니라 경제 활성화 측면에서 적절히 활용하는 방향으로 전개되어야 한다. 본 논문에서는 데이터의 소유권과 관련한 국내외 법률을 검토하고 특히 데이터의 역외이동과 관련하여 경제적 제재를 통해 데이터 현지화와 연결할 접점을 찾고자 하였다. 즉, 데이터를 역외로 이전할 때 조세를 징수하면 구글 등과 같은 다국적 IT기업들이 해외 서버로 데이터를 이전할 때 경제적으로 그 허용과 제한을 절충시킬 수 있다는 이점이 있다. 또한, 마이데이터 산업에서 개인의 데이터소유권 사각지대에 있는 비식별 조치된 데이터의 해외이전도 국가가 통제할 수 있게 된다. 다만, 경제적인 데이터 현지화를 위해서는 정부의 데이터 주권의 근거를 만들 수 있는 데이터 기본법을 도입하여 법적 메커니즘을 완성하여야 할 것이다.

Taxation Logic and Specific Legislative Measures for Data Tax

김신언 국민대학교 법학연구소 2025 법학논총 Vol.37 No.3

As the Internet developed and personal information could be freely collected and used, governments around the world began to strengthen personal information protection laws to strengthen individuals’ right to privacy. However, as various platform businesses using personal information grew, data came to be recognized as a resource with economic value, and there is a trend of revising personal information protection laws so that information subjects can utilize them. In particular, as governments around the world foster the MyData industry, where individuals can directly control and utilize their own information, the legal theory of individual data sovereignty is also developing. Meanwhile, countries also need to protect domestic resources and secure the competitiveness of domestic companies by appropriately controlling overseas transfers from the perspective that they have sovereignty over data generated in their own country. Data tax is a concept that collects excess profits generated when IT companies that use big data processing as their core technology do not pay a reasonable price while providing necessary services using data as raw materials. However, it is also meaningful in that it can supplement blind spots in the MyData industry along with economic data localization. Data tax in the form of consumption tax basically plays a role in securing additional tax revenue, but it can complement the lack of income-centered international tax system in preventing tax evasion by multinational corporations. This article presents specific legislative measures for taxation of data. In addition, I also proposed effective methods to utilize the information security management system certification related to data movement necessary to effectively capture taxable objects.