[ 개요 ]

데이터법은 EU 내 데이터 활용에 따른 도전 과제를 해결하고 기회를 극대화하기 위해 마련된 포괄적인 정책으로, 공정한 접근과 사용자 권리를 강조하며 개인 데이터 보호를 보장

동 법안 제안은 ‘20년 2월 발표된 ’유럽 데이터 전략(European Strategy for Data)’의 두 번째 주요 입법 이니셔티브로, 데이터 및 기술의 경제적·사회적 잠재력을 최대한 활용하는 것으로 목표로 함

데이터 거버넌스법(Data Governance Act, DGA)과의 비교

데이터법은 데이터 거버넌스법을 보완하는 역할

데이터 거버넌스법이 데이터 공유를 위한 절차와 구조를 마련한 것이라면, 데이터법은 누가 데이터를 통해 가치를 창출할 수 있는지와 조건을 명확히 함

두 법안은 주요 경제 및 공공 이익 분야에서 신뢰할 수 있는 데이터 접근 및 사용을 촉진하며, EU 데이터 단일 시장 형성에 기여

[ 규제 적용 대상 및 범위 ]

적용 대상 제품 및 서비스

데이터법의 규제 범위는 스마트 연결 제품*과 이와 연관된 디지털 서비스를 중심으로 구성

* 사용 패턴이나 주변 환경에 대한 정보를 수집하고 생성할 수 있으며, 동시에 제품 관련 정보를 전송할 수 있는 기기

('포함'되는 데이터 유형) ① 사용자 인터페이스를 통해 생성되는 원시 데이터(raw data), ② 기기 자체에서 직접 생성되는 데이터, ③ IoT 기기 및 사물에서 생성된 모든 데이터

('제외'되는 데이터 유형) ① 원시 데이터로부터 추론하거나 파생된 2차 정보, ② 콘텐츠 기록·전송·표시·재생 과정에서 센서가 수집하는 데이터, ③ 데이터 공유와 직접적으로 연관된 콘텐츠

지역적 적용 범위

동 법률은 EU 역외에서도 적용될 수 있는 확장된 관할권을 가지며, 다음과 같은 주체들이 규제 대상에 포함:

제조업체 및 서비스 공급업체: EU 시장에 제품을 출시하거나 관련 서비스를 제공하는 기업

최종 사용자: EU 역내에서 제품이나 서비스를 통해 데이터를 생성하는 개인 또는 법인

데이터 수령자: EU 역내에서 데이터를 제공받는 제3자

데이터 관리자: EU 역내 수령자에게 데이터를 제공하는 주체 (소재지 무관)

데이터 처리 서비스 업체: EU 역내 고객에게 서비스를 제공하는 업체 (사업장 위치 무관)

[ 주체별 의무와 권리 ]

제조업체 및 서비스 제공업체의 의무

(➊ 데이터 접근성 중심 설계 원칙) 제품 제조업체와 관련 서비스 제공업체는 데이터 접근성을 우선시하는 설계 철학을 채택해야 함

연결된 기기 사용자가 기기에서 생산된 데이터에 쉽게 접근할 수 제품 및 서비스를 설계·제조·제공해야 하며, 이를 통해 제조업체가 독점적으로 수집해온 데이터를 사용자에게 개방해야 함

데이터 형식은 포괄적이고 체계적인 구조로, 표준화된 포맷으로 무료 제공되어야 하며 기계가 읽을 수 있는 형태여야 함

(➋ 사전 정보 제공 의무) 제품 구매·대여·임대 계약 체결 이전에 제조업체는 사용자에게 명확하고 이해하기 쉬운 방식으로 특정 정보를 제공해야 함

특정 정보란, 제품이 생성 가능한 데이터의 종류·구조·규모, 제품의 지속적 실시간 데이터 생성 가능 여부, 데이터 저장 방식(기기 내부 또는 원격) 및 보관 기간, 사용자의 데이터 접근·검색·삭제 방법을 의미

사용자 권리 및 데이터 관리자 의무

(➊ 데이터 접근권 보장) 사용자가 직접적으로 데이터에 접근할 수 없는 상황에서, 데이터 관리자는 사용자의 요청에 따라 즉시 제품 또는 관련 서비스의 데이터에 대한 접근 권한을 제공해야 함

단, 데이터 보유자는 보안 목적 및 영업비밀 보호 등의 특정 조건 하에서 사용자의 데이터 접근을 제한할 수 있음

(➋ 제3자 데이터 공유권) 사용자는 데이터 관리자에게 제3자(데이터 수령자)와의 즉각적인 데이터 공유를 요청할 수 있는 권리를 보유하며, 이를 통해 애프터마켓 서비스나 데이터 기반 혁신 서비스를 제공받을 수 있음

다만, 아직 시장에 출시되지 않은 신제품과 연관된 즉시 사용 가능한 데이터의 공유, 디지털시장법(DMA)에서 규정한 게이트키퍼와의 데이터 공유는 제한

(➌ 공공부문과의 데이터 공유) 자연재해와 같이 공익에 영향을 미치는 예외적 상황의 경우, 민간 대이터 보유자는 EU의 요청에 따라 데이터를 제공해야 함

[ 클라우드 전환 ]

클라우드 서비스 부문의 경쟁 제한을 방지하기 위해 데이터법은 사용자의 서비스 전환을 용이하게 하는 포괄적 규정을 다음과 같이 마련:

데이터 처리 서비스 계약시 전환 절차 개시를 위한 최대 통지 기간 명시 (2개월 한도)

통지 기간 이후 30일 이내 모든 데이터, 애플리케이션, 디지털 자산의 새로운 서비스 제공자로의 이전 보장

사용자 서비스 이용 종료 시 최소 30일간 데이터 유지 보장

클라우드 전환 비용은 데이터법 시행일로부터 3년간의 유예기간에만 청구할 수 있으며, 유예기간 종료 후에는 전환 비용 청구 전면 금지

[ 감독 체계 및 제재 조치 ]

EU회원국은 데이터법의 이행과 집행을 보장하기 위해 하나 이상의 관할 감독기관을 지정해야 하며, 복수의 감독기관을 지정한 경우 대표 연락 창구 역할을 할 데이터 코디네이터를 임명해야 함

감독기관의 주요 담당 업무는 위반 혐의에 대한 민원 조사 및 타 기관과의 협력, 과징금 등 금전적 제재 조치 부과, 데이터 제공 및 활용 기술 개발 모니터링을 포함

제재 조치

각 회원국은 데이터법 위반자의 직전 회계연도 EU 역내 연간 매출액을 고려하여 과징금을 결정할 책임을 짐

일반적 위반: 관련 요소들을 종합적으로 고려한 과징금

개인정보 공유 관련 위반: GDPR 과징금 조항에 근거하여 최대 2,000만 유로 또는 전 세계 연간 매출액의 4% 중 큰 금액

[ 출처 ]

* Data Act, European Commission

* Data Act explained, European Commission

* A European strategy for data, European Commission

* Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (Text with EEA relevance), European Parliament & Council