데이터 거버넌스법(Data Governance Act, DGA)은 데이터 공유에 대한 신뢰를 높이고, 사회와 경제에 이익이 되는 안전한 데이터 공유 환경을 조성하기 위해 제정된 법안
[ 주요 일정 ]
'22.06.23 발효
'23.09.24 전면 시행
[ DGA의 적용 범위 및 대상 ]
적용 대상 데이터의 범위
동 법령은 데이터의 재사용·공유·이타적 활용에 관한 사항을 규정하고 있음
'데이터'의 개념은 음성·영상·멀티미디어 등을 포함한 행위·사실·정보를 디지털 방식으로 변환한 것을 지칭하며, 개인정보 뿐만 아니라 기업 기밀정보, 저작권 보호 대상 등 비개인정보까지 포괄
서비스 사용자의 활동 시간·장소·지속기간, 사용자가 설정한 타인과의 연관관계에 관한 정보를 포함하여, 데이터 공유 서비스를 제공을 위해 개인 또는 기업의 활동 과정에서 수집된 ‘메타데이터(Meta Data)’역시 동 법률의 규율 범위에 포함
적용 대상자의 범위
동 법률은 ‘데이터 소유자’ 및 ‘데이터 사용자’를 대상으로 함
(데이터 보유자(Data Holder)) EU 법률 또는 회원국 국내법에 근거하여 개인정보 및 비개인정보에 대한 접근 허가권 또는 공유 결정권을 보유한 기업체 또는 정보 당사자
(데이터 사용자(Data User)) 특정 개인정보 또는 비개인정보에 적법하게 접근하여, 이를 영리·비영리적 목적으로 활용할 수 있는 권한을 가진 개인 또는 기업
공간적 적용 범위
동 법률은 EU 역내에서 이루어지는 데이터의 재사용·공유·이타적 활용 행위에 대해 적용됨
단, EU에 본사를 두지 않은 채 EU 역내에서 서비스를 운영하고 있는 데이터 공유 서비스 제공업체나 데이터 이타주의 기관에게도 해당됨. 이러한 상황에서 데이터 공유 서비스 제공업체와 데이터 이타주의 기관은 EU에 거점을 가진 개인 또는 기업체를 대표자로 선임해야 함.
[ ❶ 공공 기관 보유 특정 범주 데이터의 재사용 조건 설정 ]
주요 원칙
공공기관은 개인정보 및 지적재산권 등으로 보호되는 데이터를 특정 규정에 따라 재사용할 수 있음
이 경우 재사용을 위한 조건은 반드시 비례성·투명성·공평성·비차별성의 원칙을 준수하여야 하며, 모든 정보는 공개되어야 함
EU회원국은 데이터 재사용 조건과 비용 정보를 하나의 통합 플랫폼에서 제공해야 하며, EU집행위는 동 정보를 data.europa.eu에 수집
재사용 가능한 공공데이터의 범위
재사용이 허용되는 공공데이터는 ➀ 영업비밀보호, ➁ 통계적 비밀 보호, ➂ 제3자의 지식재산권 보호, ➃ 개인정보보호를 사유로 보호되고 있는 공공기관이 보유한 데이터로 제한
재사용이 금지된 데이터
➀ 공공 사업자가 보유한 데이터, ➁ 공영 방송사 및 그 자회사가 보유한 데이터, ➂ 문화시설 및 교육시설이 보유한 데이터, ➃ 국가안보 및 국방을 이유로 보호되는 데이터, ➄ 회원국의 법률이나 기타 구속력 있는 규칙에 따라 정의된 해당 공공기관의 업무 범위를 벗어난 활동과 관련된 데이터는 재사용 대상에서 배제됨
공공데이터의 독점적 활용약정 제한
공공기관이 보유하고 있는 데이터의 재사용에 대하여 특정인에게 독점적인 권리를 부여하거나 특정 당사자가 아니면 데이터의 재사용을 제한하는 것을 내용으로 하는 약정이나 관행은 금지됨
단, 공공기관은 공공의 이익을 위해 서비스나 제품을 제공하는데 필요한 범위 내에서 독점적 사용권을 부여할 수 있으며, 독점권은 비례성·투명성·공평성·비차별성의 원칙에 따라 3년의 범위 내에서 부여되어야 하고 그 사실이 온라인에 투명하게 공개되어야 함
[ ❷ 데이터 중개 서비스(Data Intermediation services)* 제공 기업에 대한 규칙 설정 ]
* 데이터를 가진 개인이나 기업과 데이터를 필요로 하는 사람을 연결하는 중립적인 제3자 역할의 서비스 제공자
데이터 공유 서비스의 3가지 형태
❶ 데이터 보유자와 데이터 사용자 간의 중개 서비스 – 법인인 데이터 보유자와 잠재적 데이터 사용자 사이를 중개하는 서비스(중개 서비스를 가능하게 하는 기술적 수단 등을 제공하는 것 포함)
❷ 개인정보 주체와 잠재적 사용자 간 중개 서비스 – GDPR에 의해서 보호를 받고 있는 개인정보주체와 잠재적 데이터 사용자 사이를 중개하는 서비스
❸ 데이터 협동조합형 중개 서비스 – 정보주체 또는 중소기업이 데이터 처리에 대한 조건을 협상할 수 있도록 지원하는 데이터 협동조합 서비스
데이터 공유 서비스의 제공자의 의무
중립성과 공정성 유지: 공정성을 유지하고 이해가 상충하는 것을 방지하기 위해 엄격하게 규칙을 준수
관할 당국 등록: 서비스는 관할 당국에 등록·신고되어야 하며, 제공된 다른 부가가치 서비스와 구조적으로 분리되어야 있어야 함
차별 없는 요금 정책: 데이터 제공자·사용자가 다른 서비스를 이용하더라도 서비스 요금이 차별적으로 부과되지 않아야 함
구조적 분리: 데이터 공유 서비스는 별도의 법인으로 분리해서 제공해야 함
데이터 가공 제한: 원칙적으로 데이터 보유자로부터 제공받은 형식 그대로 데이터를 중개해야 하고, 이를 임의로 가공 또는 결합하는 행위 제한
[ ❸ 데이터 이타주의(Data Altruism)*를 위한 프레임워크 설정 ]
* 개인과 기업이 자신이 생성한 데이터를 공익적 목적으로 자발적으로 제공하고, 보상 없이 이를 사용하는 데 동의하거나 허용하는 것을 의미
데이터 이타주의 기관의 등록 요건
이타주의적 데이터 서비스를 제공하려는 기관은 일정한 등록 요건을 갖춘 경우 관계기관에 '데이터 이타주의 기관'으로 등록할 수 있으며, 충족해야 하는 요건은 다음과 같음:
(❶ 공익 목적) 공익을 목적으로 설립된 법인이어야 함
(❷ 비영리 운영) 비영리 목적으로 운영되어야 하고, 영리를 목적으로 운영되는 조직으로부터 독립되어야 함
(❸ 구조적 독립성) 데이터 이타주의와 관련된 활동이 법적으로 독립된 구조를 통해 수행되도록 해야 하고, 해당 기관이 수행하는 다른 활동과 구별되어야 함
데이터 이타주의 기관의 이행 의무
(투명성 확보) 보유하고 있는 데이터를 처리할 수 있는 개인·법인의 범위, 데이터 처리 날짜 또는 기간, 데이터를 처리할 수 있는 개인·법인이 신고한 처리 목적 및 수수료 등을 정확히 기록·관리해야 함
(연간 활동 보고서 제출) 매년 활동 정보, 데이터 공익 목적 활용 촉진 방법, 데이터를 이용한 개인 및 법인의 목록, 수입·지출 내역 등이 포함된 연간 활동 보고서를 관계당국에 제출해야 함
[ ❹ 유럽데이터혁신이사회(European Data Innovation Board, EDIB) 프레임워크 설정 ]
EU집행위는 동 규정에 따라 국가 당국, 유럽데이터보호이사회, 유럽데이터보호감독관, 유럽연합사이버보안청,EU 중소기업 특사 및 특정 부문과 기관의 전문가들로 구성된 유럽데이터혁신이사회(EDIB)를 설립하였으며, EDIB의 주요 역할은 다음과 같음:
공공 데이터의 재사용, 데이터 공유 서비스 제공 등에 있어서 일관된 제도 운영을 위하여 회원국의 관계기관들에게 조언과 지원을 함
부문 간 데이터 공유 활성화를 위한 표준 개발의 우선순위 등에 대해서 집행위에 조언을 함
기존의 유럽표준, 국제표준 및 국가표준을 기반으로 서로 다른 부문 및 영역 간 데이터 공유 서비스를 촉진하고 데이터의 상호 운용성을 향상시키도록 집행위를 지원
또한, 데이터 공유 서비스 제공자의 신고 절차, 데이터 이타주의 기관의 등록 및 감시 등과 관련한 정보의 효율적 교환 방법을 마련하는 등 이 법에 따라 지정된 회원국의 관계기관들간 협력과 정보교환을 촉진하는 업무를 수행
[ ❺ EU 외부의 비개인정보 데이터의 안전한 흐름을 허용하는 조치 설정 ]
비개인정보 데이터 또한 상당한 경제적 가치를 지닐 수 있으므로 동 법안은 비EU 국가 당국의 불법적인 접근으로부터 비개인정보 데이터를 보호하기 위한 보호장치를 도입
공공기관은 제3국으로 공공 데이터를 전송하고자 하는 재사용자에게 비밀정보 또는 지식재산권법에 의해 보호받는 정보를 전송할 때에는 공공데이터가 제3국으로 이전된 이후에도 관련 의무를 준수하고 의무 준수와 관련한 분쟁에 대해서는 공공기관이 속한 회원국의 법원 관할권에 따르겠다는 확인을 받아야 함
[ 제재 조치 ]
동 법률을 위반할 경우, DGA 제34조에 의거해 각 EU회원국은 위반 시 적절하고 효과적이며 억제력이 있는 처벌 규정을 마련해야 함
각 회원국은 위반 행위에 다라 벌금. 사업 활동 제한, 데이터 중개 서비스 면허 박탈 등 다양한 행정적 처분을 규정할 수 있음
회원국들은 마련된 처벌 규정을 EU집행위에 통보해야 하며, 위반 상황에 따라 이를 엄격히 집행해야 함
