이창범 ([email protected])

동국대학교 국제정보보호대학원 객원교수

Ⅰ. 데이터 거버넌스 법안의 제안 배경

유럽연합 집행위원회(European Commission)는 2020년 11월 25일 「데이터 거버넌스 규정안(Proposal for a Regulation of on European Data Governance)」을 발표했다. 「데이터 거버넌스법(Data Governance Act)」이라는 별칭이 붙은 이 법안은 2020년 2월 채택된 ‘유럽 데이터 전략’의 일부이다. ‘유럽 데이터 전략(European Strategy for Data)’은 유럽연합이 방대한 양의 데이터를 활용할 수 있도록 하여 EU에 경쟁 우위를 제공하기 위해 고안된 정책과 투자에 대해 규정하고 있다.

「데이터 거버넌스법안」에 이어 2020년 12월에는 「디지털 서비스법안(Digital Services Act)」⁽¹⁾과 「디지털 시장법안(Digital Markets Act)」이 발표되었다. ⁽²⁾

「데이터 거버넌스법안」(이하 “DGA”라 한다)은 데이터 중개자에 대한 신뢰를 높이고 EU 전체에 걸쳐 다양한 데이터 공유 메커니즘을 강화함으로써 데이터의 더 많은 재이용을 촉진하는 프레임워크를 제공하는 것을 목적으로 한다. 법안은 에너지, 모빌리티, 보건 등과 같은 전략적 분야에서 EU 전역에 걸쳐 상호운용이 가능한 공통의 데이터 공간(data spaces)의 생성을 가능하게 하고, 이를 통해 유럽 그린 딜(European Green Deal) 계획의 실현, 새로운 모빌리티 서비스의 개발, 개인화된 의료서비스의 제공 등을 통해 시민들에게 더 많은 이익을 가져다주고자 하는 것이다.

이를 위해 DGA는 다음과 같은 4대 이슈에 대해서 규정하고 있다.

첫째, 영업비밀보호법, 지식재산권법, 개인정보보호법 등에 의해서 보호를 받고 있는 공공기관이 보유하고 있는 “공공데이터의 재이용 조건(reuse of public sector data)“에 대해서 규정한다.

둘째, 다양한 유형의 데이터 중개 서비스를 제공하고 있는 “데이터 공유 서비스 제공자(providers of data sharing services)”의 신고 및 감독 체계에 대해서 규정한다.

셋째, “데이터 이타주의(data altruism)” 개념을 도입하고 조직이 “인정 데이터 이타주의 기관(Recognised Data Altruism Organization)”으로 자발적으로 등록하기 위한 등록요건에 대해서 규정한다.

넷째, 유럽 집행위원회가 주재하는 새로운 공식 전문가 그룹인 “유럽 데이터 혁신 위원회(European Data Innovation Board)”의 설치에 대해서 규정한다.

업계는 그동안 개인정보, 영업비밀 및 지식재산권 침해 리스크와 함께, 자신이 창출할 수 없는 가치를 다른 기업이 창출할 수 있다는 우려 때문에 데이터 공유를 많이 꺼려 왔는데 DGA가 이 같은 장벽을 허물어버림으로써 조직 간의 데이터 공유를 촉진해 기업과 사회 모두에 이익을 가져다 줄 잠재력이 있고 데이터 중심의 혁신을 이끌 수 있을 것이라고 긍정적인 평가를 하고 있다. ⁽³⁾

Ⅱ. 데이터 거버넌스 법안의 주요 내용

1. DGA의 적용 범위 및 대상

가. 물적 적용 범위

DGA는 데이터의 재이용, 공유 및 이타적 제공에 대해서 규율하고 있다. ‘데이터’란 소리, 시각, 시청각을 포함하여 행위, 사실 및 정보 또는 그와 같은 행위, 사실 및 정보의 모음을 디지털 방식으로 표현한 것을 의미한다. ⁽⁴⁾.)) 데이터에는 개인정보 이외에 영업비밀, 저작물 등의 비개인정보도 포함된다. 부수적으로 서비스 이용자의 활동 일시, 위치, 기간 및 이용자가 설정한 다른 사람과의 관계에 관한 정보를 포함하여 데이터 공유 서비스를 제공할 목적으로 자연인 또는 법인의 활동에 대해 수집된 정보를 의미하는 ‘메타데이터’도 DGA의 적용 대상이다.

나. 인적 적용 범위

DGA는 ‘데이터 보유자’ 및 ‘데이터 이용자’에게 적용된다. ‘데이터 보유자(data holder)’란 유럽연합 법률이나 회원국의 국내법에 따라 자신의 통제 아래 있는 특정 개인정보 또는 비개인정보에 대하여 접근 권한을 부여하거나 공유를 결정할 수 있는 권한을 보유하고 있는 법인 또는 정보주체를 의미하고, ‘데이터 이용자’란 특정한 개인정보 또는 비개인정보에 합법적으로 접근할 수 있고 상업적 또는 비상업적 목적으로 해당 정보를 사용할 수 있는 권한이 있는 자연인 또는 법인을 의미한다. “데이터 소유자(data ower)”라고 하지 않고 “데이터 보유자”라고 한 것에 유의할 필요가 있다.

다. 공간적 적용 범위

DGA는 유럽연합 내에서 발생하는 데이터의 재이용, 공유 및 이타적 제공에 대해서 적용된다. 다만, EU에 설립지를 두지 않고 EU 내에서 서비스를 제공하고 있는 데이터 공유 서비스 제공자나 데이터 이타주의 기관에게도 적용된다. 이 경우 데이터 공유 서비스 제공자와 데이터 이타주의 기관은 유럽에 주소를 두고 있는 자연인이나 법인을 자신을 대신해서 감독당국과 연락을 주고받고 필요한 조치를 취할 수 있는 대리인(representative)으로 지정해야 한다. 그 밖에 DGA는 데이터 재이용 목적의 국외이전 제한에 관한 규정을 두고 있다.

2. DGA와 다른 법률과의 관계

가. GDPR 등 개인정보보호법과의 관계

DGA는 개인정보와 비개인정보를 포함한 다양한 유형의 데이터 중개, 공유, 이타적 제공에 대해서 다룬다. 따라서 개인정보보호 관련법률과의 상호작용이 매우 중요하다. DGA는 개인정보보호 관련법률의 내용이나 효력에 대해 어떤 영향도 미치지 아니함을 명확히 하고 있다. 따라서 일반개인정보보호규정(GDPR)과 e프라이버시지침(e-Privacy Directive)은 물론, 자동차 산업⁽⁵⁾, 결제서비스⁽⁶⁾, 스마트 미터링⁽⁷⁾, 지능형 전력망⁽⁸⁾, 지능형 교통 시스템⁽⁹⁾, 환경 정보⁽¹⁰⁾, 공간 정보⁽¹¹⁾, 보건의료⁽¹²⁾ 등의 분야에서 부문별로 데이터 처리와 관련해 제정되거나 제정중인 법률에 대해서도 영향을 미치지 아니한다. DGA는 이들 법률을 변경하거나 새로운 의무를 부여하지 않으며 기존의 법률에 따라 사용 가능한 데이터의 재이용을 지원할 뿐이다. ⁽¹³⁾ 또한, DGA는 「오픈 데이터 및 공공 데이터의 재이용에 관한 지침」⁽¹⁴⁾을 보충한다.

나. 저작권법 등 다른 법률과의 관계

DGA는 저작권보호, 영업비밀보호 등에 관한 유럽연합 법률 또는 회원국의 국내법에 어떤 영향도 미치지 아니한다. 그 밖에 비개인정보의 처리와 관련된 개별법 상의 어떤 요건도 침해하지 않는다. 마찬가지로, DGA는 유럽연합 경쟁법(competition law)을 침해하지 않으며, 「유럽연합 기능에 관한 조약(TFEU)」 ⁽¹⁵⁾제101조 및 제102조를 준수한다. 「인터넷시장에서의 정보사회서비스의 법적 측면에 관한 지침」⁽¹⁶⁾의 내용도 침해하지 않는다. 또한, 유럽연합 집행위원회는 부문별 입법을 통해 승인 또는 인증 제도를 도입함으로써 공공기관, 데이터 공유 서비스 제공자 및 데이터 이타주의 기관이 추가적인 기술적, 관리적 및 조직적 요건을 준수하도록 할 수 있다.

3. 공공기관 보유 데이터(공공데이터)의 재이용

가. 재이용 가능 공공데이터의 범위

DGA는 공공기관이 보유하고 있는 데이터의 재이용 촉진을 위하여 재이용에 관한 일련의 조건(기준), 의무 및 제한에 대해서 규정하고 있다. “공공기관”이란 국가, 지자체, 공법인 및 국가·지자체·공법인이 설립한 협회를 의미한다. DGA는 공공데이터의 재이용을 촉진하기 위한 것으로, 2019년 제정된 「오픈데이터 및 공공정보의 재이용에 관한 지침」을 보완하지만 해당 지침을 대체하거나 변경하지 않는다. 특히 DGA는 공공기관에게 데이터 재이용을 허용해야 하는 의무를 발생시키거나 공공기관의 비밀유지 의무를 면제하지 않으며 GDPR 등 관련법률에 따른 공공기관의 법적 의무를 면제하지 않는다(§3(3)).

재이용이 허용되는 공공데이터는 (a) 영업비밀보호, (b) 통계적 비밀(statistical confidentiality) 보호, (c) 제3자의 지식재산권보호, (d) 개인정보보호의 사유로 보호되고 있는 공공기관이 보유한 데이터로 한정된다. 다만, (a) 공공 사업자⁽¹⁷⁾가 보유한 데이터, (b) 공영 방송사 및 그 자회사가 보유한 데이터, 공영 방송 송출을 이행하기 위한 기타 기관 및 그 자회사가 보유한 데이터, (c) 문화시설 및 교육시설이 보유한 데이터, (d) 국가안보, 국방 또는 공공 안녕을 이유로 보호되는 데이터, (e) 회원국의 법률이나 기타 구속력 있는 규칙 또는 이러한 규칙이 없는 경우에는 회원국의 일반적인 행정관행에 따라 정의된 해당 공공기관의 업무 범위를 벗어난 활동과 관련해서 제공된 데이터는 재이용이 허용되지 않는다(§3(1), (2)).

나. 공공데이터의 독점적 이용계약 금지

공공기관이 보유하고 있는 데이터의 재이용에 대하여 특정인에게 독점적인 권리를 부여하거나 특정 당사자가 아니면 데이터의 재이용을 제한하는 것을 내용으로 하는 약정이나 관행은 금지된다. 다만, 공공기관은 공공의 이익(general interest)을 위해 서비스나 제품을 제공하는 데 필요한 범위 내에서 독점적 이용권을 부여할 수 있다. 독점권은 비례성, 투명성, 공평성(평등성), 비차별성의 원칙에 따라 3년의 범위 내에서 부여되어야 하고 그 사실이 온라인에 투명하게 공개되어야 한다(§4).

다. 공공데이터의 재이용 조건

(1) 공공데이터의 국내 재이용

국내법 상 공공데이터에 대한 접근 권한을 부여하거나 거부할 수 있는 권한이 있는 공공기관은 재이용을 위한 조건을 공개해야 한다. 재이용 조건 설계 등을 위해 필요한 경우 공공기관은 지정된 지원기관의 도움을 받을 수 있다. 재이용 조건은 재이용 목적, 데이터의 범주, 데이터의 성격 등을 고려하여 비차별적이고 비례적이며 객관적으로 정당해야 한다. 경쟁을 제한하려는 목적으로 재이용 조건을 악용해서는 안 된다(§5(1), (2)).

공공기관은 개인정보를 익명화·가명화하거나 영업비밀을 포함한 상업적 비밀정보를 삭제하기 위한 선(先) 처리 작업이 완료된 데이터만을 재이용해야 한다는 의무를 데이터 이용자에게 부과할 수 있다. 또한, 공공기관은 공공부문이 제공·통제하는 “안전한 처리 환경” 내에서 데이터에 접근하고 이용하게 하거나 제3자의 권리와 이익을 위태롭게 하지 않고서는 원격 접근이 어려운 경우에는 “안전한 처리 환경”이 갖추어진 물리적 장소 내에서 데이터에 접근하고 이용할 의무를 부과할 수 있다(§5(3), (4)).

공공기관은 데이터 이용자가 사용하는 “안전한 처리 환경”의 기능상 무결성을 보장하기 위한 조건을 부과해야 하고, 재이용자가 수행하는 데이터 처리 결과를 검증할 수 있어야 하며, 제3자의 권리와 이익을 위태롭게 하는 정보를 포함하고 있는 결과의 사용을 금지할 수 있는 권한을 보유해야 한다(§5(5)).

공공데이터 재이용자가 이상의 의무를 충족하지 못하거나 GDPR에 재이용을 위한 데이터 전송의 법적 근거가 존재하지 않은 경우, 공공기관은 과도한 비용지출 없이 가능한 경우라면, 해당 데이터 재이용자가 정보주체의 동의를 받거나 재이용으로 권리와 이익에 영향을 받게 될 법인의 허가를 구할 수 있도록 지원해야 한다. 이 경우 공공기관은 지정 지원기관의 도움을 받을 수 있다(§5(6)).

데이터 재이용은 지식재산권법을 준수하는 범위 내에서만 허용된다. 공공기관은 DGA에 명시된 제한을 초과해서 데이터가 재이용되는 것을 막거나 제한하기 위하여 1996년 채택된 「유럽연합 데이터베이스 보호지침」 제7조제1항에 규정된 데이터베이스 작성자의 권리를 행사해서는 안 된다. ⁽¹⁸⁾또한, 요청을 받은 데이터가 상업적 비밀유지에 관한 유럽연합 또는 국내법상 비밀로 간주되는 경우, 공공기관은 해당 비밀정보가 재이용으로 인해 공개되지 않도록 해야 한다(§5(7), (8)).

(2) 공공데이터의 국외 재이용

유럽 집행위원회는 이행입법을 통해 제3국의 법률, 감독 및 집행 체계가 유럽연합 법률이 보장하는 보호와 동등한 방법으로 지식재산 및 영업비밀의 보호를 보장하고 있고, 관련 법률이 효과적으로 적용·집행되고 있으며, 효과적인 사법적 구제수단을 제공하고 있다고 선언할 수 있다(§5(9)). 공공기관은 제9항에 따라 EU와 동등한 보호를 보장하고 있는 것으로 인정받은 국가 이외의 제3국으로 공공데이터를 전송하고자 하는 재이용자에게 비밀정보 또는 지식재산권법에 의해 보호받는 정보를 전송할 때에는 공공데이터가 제3국으로 이전된 이후에도 제7항 및 제8항에 의해서 부과된 의무를 준수하고 의무 준수와 관련한 분쟁에 대해서는 공공기관이 속한 회원국의 법원 관할권에 따르겠다는 확인을 받아야 한다(§5(10)).

유럽연합 법률이 공공기관이 보유하고 있는 특정의 비개인정보가 매우 민감한 정보로 간주되어야 한다고 규정한 경우(공공의료기관이 보유하고 있는 보건의료정보 등), 유럽 집행위원회는 위임입법으로 해당 데이터의 제3국으로의 이전에 적용되는 특수한 조건을 규정할 수 있다(§5(11)). 비개인정보를 재이용할 수 있는 권리를 인정받는 자연인이나 법인은 제9항부터 제11항까지에서 규정한 국외이전 요건을 충족하는 제3국으로만 데이터를 이전할 수 있고, 재이용자가 비개인정보를 제3국가로 이전하려고 할(§5(12), (13)) 경우 공공기관은 해당 제3국으로의 데이터 이전에 대해서 데이터 보유자에게 알려야 한다.

라. 공공데이터 이용 수수료의 징수

공공기관은 데이터 재이용에 대해서 수수료를 청구할 수 있다. 수수료는 비차별적이고 비례적이며 객관적으로 정당해야 하며 경쟁을 제한해서는 안 된다. 공공기관이 수수료를 적용하는 경우, 국가 지원 정책에 따라, 중소기업이 비상업적 목적으로 데이터를 재이용하는 것을 장려하기 위한 조치를 취해야 한다. 수수료는 데이터 재이용 요청을 처리하는 것과 관련된 비용에서 나오는 것이어야 하고, 수수료의 산정 방법은 사전에 공개되어야 한다. 또한 공공기관은 주요 비용 항목과 비용 할당 원칙에 대한 설명을 공개해야 한다(§6).

마. 공공데이터 재이용 지원기관의 지정

회원국은 공공데이터 재이용에 대한 권한을 부여하는 공공기관의 업무를 지원하기 위하여 하나 이상의 지원기관을 지정해야 하며 지원기관을 부문별로 지정할 수 있다. 지원기관은 공공기관에게 다음의 업무를 지원한다. : 데이터 재이용을 위한 “안전한 처리 환경”의 제공, 가명화·익명화·일반화·압축화·무작위화 등을 포함하여 개인정보를 보호하기 위한 검증된 기술의 제공, 재이용자가 데이터 보유자의 의사에 따라 이타적 목적 등을 위해 재이용 동의나 허락을 받을 수 있도록 지원, 재이용자가 수행하는 업무의 적절성에 대한 지원(§7).

또한, 지원기관은 유럽연합 법률 또는 회원국의 국내법에 따라 공공기관으로부터 공공데이터의 재이용을 위한 접근권한 부여 업무를 위임받을 수 있다. 재이용을 위한 접근권한을 부여하거나 거부하기 위한 업무를 수행하는 지원기관에 대하여는 공공기관에 대한 규정이 준용된다.

바. 공공데이터 재이용 신청 단일창구의 지정

회원국은 공공데이터의 재이용 조건 및 수수료에 관한 모든 정보가 통합된 단일의 창구를 통해서 제공될 수 있도록 보장해야 한다. 단일창구는 공공데이터 재이용에 대한 요청을 접수받아 해당 공공기관 또는 지원기관에 전달해야 한다. 단일창구는 이용가능한 공공데이터의 자원 목록을 전자적 수단을 통해 제공해야 한다. 공공기관 또는 지원기관은 합리적 기간 내에 공공데이터의 재이용 요청을 승인하거나 거절해야 하며, 모든 승인 및 거절은 요청일로부터 2개월 내에 이루어져야 한다. 공공기관 또는 지원기관의 결정에 의해 영향을 받는 자연인이나 법인은 관련 기관이 속한 회원국 법원으로부터 해당 결정에 대한 효과적인 사법적 구제를 받을 수 있어야 한다(§8).

4. 데이터 공유 서비스의 유형과 감시·감독

가. 데이터 공유 서비스의 유형

‘데이터 공유’란 데이터 보유자와 데이터 이용자가 직접 또는 중개자를 통한 자발적 합의를 바탕으로 공동 이용이나 단독 이용을 목적으로 데이터 보유자가 해당 데이터를 데이터 이용자에게 제공하는 것을 말한다(§2(7)). 따라서 데이터 공유에는 데이터의 가공 또는 결합은 포함되지 않는다. ⁽¹⁹⁾. ))데이터 공유의 유형에는 아래와 같은 세 가지 유형이 존재한다.

(1) 데이터 보유자와 데이터 이용자 간의 중개 서비스

법인인 데이터 보유자와 잠재적 데이터 이용자 사이를 중개하는 서비스이다. 이러한 서비스에는 중개 서비스를 가능하게 하는 기술적 수단 등을 제공하는 것 즉 데이터 보유자와 데이터 이용자의 상호 연결을 위한 특정 인프라의 구축 및 양자간 또는 다자간 데이터의 교환 또는 공동 이용을 가능하게 하는 플랫폼이나 데이터베이스의 구축도 포함된다(§9(1)(a)).

(2) 개인정보 주체와 잠재적 이용자 간 중개 서비스

GDPR에 의해서 보호를 받고 있는 개인정보주체와 잠재적 데이터 이용자 사이를 중개하는 서비스이다. 이러한 서비스에는 해당 중개 서비스를 가능하게 하는 기술적 수단 등을 제공하는 것을 포함한다(§9(1)(b)).

(3) 데이터 협동조합형 중개 서비스

정보주체 또는 중소기업이 데이터 처리에 대한 조건을 협상할 수 있도록 지원하는 데이터 협동조합 서비스이다. 즉, 데이터 처리에 대해 동의를 하기 전에 당사자 간에 충분한 정보를 교환한 후 이를 바탕으로 선택을 하고 데이터 처리의 목적과 조건에 대한 서로의 의견을 교환하기 위한 메커니즘을 제공함으로써, 협동조합의 구성원이거나 데이터 처리의 조건에 관한 협상 권한을 협동조합에 이전한 정보주체, 1인 회사, 중소기업 등을 지원하는 중개 서비스이다(§9(1)(c)).

나. 데이터 공유 서비스 제공자 신고

앞의 세 가지 유형에 해당하는 데이터 공유 서비스를 제공하려는 자는 주된 설립지가 위치한 회원국의 관계기관에 “데이터 공유 서비스 제공” 신고를 해야 한다. 주된 설립지가 위치한 회원국에 신고를 하면 모든 회원국에서 데이터 공유 서비스를 제공할 수 있다. 데이터 공유 서비스를 신고할 때에는 공유 서비스 제공자의 이름, 주된 설립지의 주소, 관련 웹사이트 주소, 연락 담당자 및 연락처의 상세내역, 제공하려고 하는 서비스에 대한 설명 등을 제출해야 한다. 관계기관은 신고 수수료를 부과할 수 있다(§10). 공유 서비스 제공자가 유럽연합 내에 설립되지 않은 경우에는 회원국 중 하나에서 법적 대리인을 지정해야 한다. 다만, 데이터 이타주의에 따라 자연인이나 법인이 제공한 데이터를 공공의 이익만을 위해 수집하는 비영리 기관에는 데이터 공유 서비스에 관한 규제가 적용되지 않는다(§14).

다. 데이터 공유 서비스의 제공 조건

데이터 공유 서비스 제공자는 데이터 이용자가 이용할 수 있도록 하기 위한 목적 이외의 목적으로 데이터를 이용할 수 없고, 데이터 공유 서비스는 별도의 법인으로 분리해서 제공해야 한다(§11(1)). 데이터 공유 서비스 제공 과정에서 수집된 메타데이터는 해당 서비스의 개발을 위한 목적으로만 이용할 수 있다(§11(2)). 서비스 제공자는 원칙적으로 데이터 보유자로부터 제공받은 형식 그대로 데이터를 교환해야 하고, 부문 내 또는 부문 간 상호운용성을 개선하기 위한 목적 또는 데이터 이용자가 요구하거나 유럽연합 법률이 의무화하고 있는 경우 또는 국제 데이터 표준이나 유럽 데이터 표준과의 조화를 보장하기 위한 목적 내에서만 해당 데이터를 특정 형식으로 변환해야 한다(§11(4)). 따라서 데이터를 임의로 가공 또는 결합해서는 안 된다.

서비스 제공자는 공유 서비스를 통해서 데이터에 접근하려는 자들로부터 데이터 접근과 관련하여 기만적이거나 남용적인 행위를 방지하기 위한 절차를 마련해야 하고(§11(5)), 공유 서비스 제공의 연속성을 보장해야 하며, 데이터 보관을 보장하는 서비스의 경우에는 파산 시에도 데이터 보유자와 데이터 이용자가 자신의 데이터에 접근할 수 있도록 충분한 보장 장치를 마련해야 한다(§11(6)).

서비스 제공자는 유럽연합 법률 상 비개인정보의 불법적인 이전 또는 접근을 방지하기 위하여 적절한 기술적, 법률적, 조직적 조치를 마련해야 하고, 비개인정보의 보관 및 전송을 위한 높은 수준의 보안을 보장하기 위한 조치를 취해야 한다(§11(7), (8)).

서비스 제공자는 경쟁에 관한 유럽연합 규칙과 국내 규칙을 준수하기 위한 절차를 마련해야 하고, 정보주체로부터 동의를 받거나 법인이 제공한 데이터의 처리에 필요한 승락을 받기 위한 수단을 제공하는 경우 해당 데이터가 이용될 관할을 명시해야 한다. 정보주체에게 서비스를 제공하는 공유 서비스 제공자는 정보주체의 권리 행사시 특히 데이터의 이용과 표준약관에 대해서 정보주체에게 조언을 할 때는 최대한 정보주체의 이익을 위해 행동해야 한다(§11(9)~(11)).

라. 공유 서비스 제공에 대한 감시·감독

(1) 관계기관의 지정

회원국은 유럽연합 집행위원회의 통지 프레임워크와 관련된 업무를 수행하고 공유 서비스 제공자에 대한 관리·감독 업무를 수행할 하나 이상의 관계기관을 지정해야 한다(§12).

(2) 관계기관의 감시·감독

관계기관은 데이터 공유 서비스 신고 의무, 데이터 공유 서비스 제공 조건 등의 준수 여부에 대해 감시 및 감독을 해야 한다. 관계기관은 위반행위의 중단을 요구할 수 있고, 법 준수를 보장하기 위한 적절하고 비례적인 조치를 강구해야 한다. 이와 같은 조치에는 과태료의 부과, 서비스 제공 중단 또는 연기 명령 등이 포함될 수 있다(§13).

5. 이타주의적 데이터 제공의 촉진 및 장려

가. 데이터 이타주의 기관의 등록

(1) 등록 요건

이타주의적 데이터 서비스를 제공하려는 기관은 일정한 등록 요건을 갖춘 경우 관계기관에 “데이터 이타주의 기관”으로 등록할 수 있다. ‘데이터 이타주의(data altruism)’란 과학적 연구 목적이나 공공서비스(public services) 개선 목적과 같이 공익(general interest)을 위하여 정보주체가 아무런 보상도 요구하지 않고 자신과 관련된 개인정보의 처리에 동의하거나 다른 데이터 보유자로 하여금 자신의 비개인정보를 이용할 수 있도록 허락하는 것을 의미한다(§2(10)). 데이터 이타주의 기관으로 등록하기 위해서는 아래의 요건을 모두 충족해야 한다(§16).

첫째, 공익(general interest)을 목적으로 설립된 법인이어야 한다.

둘째, 비영리 목적으로 운영되어야 하고 영리를 목적으로 운영되는 조직으로부터 독립되어야 한다. 즉 이타주의 기관은 독립성 확보를 위해 법적으로 독립적인 구조로 운영되어야 하고 다른 활동과 분리되어야 한다.

셋째, 데이터 이타주의와 관련된 활동이 법적으로 독립된 구조를 통해 수행되도록 해야 하고 해당 기관이 수행하는 다른 활동과 구별되어야 한다.

유럽연합에 설립지가 없지만 등록 요건을 갖춘 법인이 데이터 이타주의에 기초하여 데이터를 수집하고자 하는 회원국 중 한 곳에 법적 대리인을 선임해야 한다(§17(3)).

(2) 등록 신청

데이터 이타주의 기관으로서의 등록 요건을 갖춘 자는 관계기관에 “인정 데이터 이타주의 기관 등록부”에 등록해 줄 것을 요청할 수 있다. 등록 신청서에는 기관의 이름, 정관, 주된 수입원, 주소, 웹사이트 주소, 연락 담당자 및 연락처의 상세내역, 추구하고자 하는 공익목적 등을 포함해야 한다(§17).

나. 투명성 요건과 기록 보관 등 의무

“인정 데이터 이타주의 기관”은 데이터 처리에 대한 투명성을 확보하기 위해 해당 기관이 보유하고 있는 데이터를 처리할 수 있는 자연인과 법인의 범위, 데이터 처리 날짜 또는 기간, 데이터를 처리할 수 있는 자연인 또는 법인이 선언한 처리 목적, 자연인 또는 법인이 지급한 수수료가 있다면 그 수수료를 정확히 기록·관리해야 한다(§18(1)).

또한, “인정 데이터 이타주의 기관”은 매년 최소한 기관의 활동 정보, 데이터의 공익 목적활용 촉진 방법, 데이터를 이용한 자연인 및 법인의 목록(이용목적 및 데이터 보호를 위해 사용된 기술내역 포함), 데이터 이용의 결과, 수입·지출 내역(데이터 이용에 따른 수입을 포함) 등이 포함된 연간 활동 보고서를 관계당국에 제출해야 한다(§18(2)).

다. 정보주체 등 데이터 보유자의 권리 보호

“인정 데이터 이타주의 기관”은 데이터 보유자(정보주체 및 법인)에게 그들의 데이터가 이용된 공익 목적을 이해하기 쉬운 방법으로 알려야 하고, 유럽연합 이외의 장소에서 데이터가 처리된 경우에는 그 사실을 알려야 한다. 또한, 당초 허용한 공익 목적 이외의 목적으로 데이터가 이용되지 않도록 해야 한다(§19).

라. 이타주의 기관에 대한 감시·감독

관계기관은 “인정 데이터 이타주의 기관”이 법령을 준수하고 있는지 여부를 감시하고 감독해야 한다. 관계기관은 이타주의 기관이 법위반 사실을 통지받고도 이를 시정하지 않으면 “인정 데이터 이타주의 기관”의 자격을 박탈하고 더 이상 “인정 데이터 이타주의 기관”이라는 명칭을 사용할 수 없게 할 수 있다(§21).

6. 유럽 데이터 혁신 위원회의 설치

가. 데이터 혁신 위원회의 설치

유럽 집행위원회는 이 법에 따라 지정된 회원국의 관계기관, 유럽데이터보호이사회, 집행위원회, 분야별 관계기관, 데이터 공간 등의 대표로 구성된 전문가 그룹 형태의 “유럽 데이터 혁신 위원회(European Data Innovation Board)”를 설치해야 한다. 혁신위원회는 EU 전역에 걸쳐서 이 법을 일관되게 적용하고, 부문 간 데이터 공유를 지원하며, 회원국의 관계기관 간 협력을 촉진하는 임무를 맡게 된다(§26).

나. 데이터 혁신 위원회의 업무

혁신위원회는 공공 데이터의 재이용, 데이터 공유 서비스 제공 등에 있어서 일관된 제도 운영을 위하여 회원국의 관계기관들에게 조언과 지원을 하고, 부문 간 데이터 공유 활성화를 위한 표준 개발의 우선순위 등에 대해서 집행위원회에게 조언을 하며, 기존의 유럽표준, 국제표준 및 국가표준을 기반으로 서로 다른 부문 및 영역 간 데이터 공유 서비스를 촉진하고 데이터의 상호 운용성을 향상시키도록 집행위원회를 지원한다. 또한, 데이터 공유 서비스 제공자의 신고 절차, 데이터 이타주의 기관의 등록 및 감시 등과 관련한 정보의 효율적 교환 방법을 마련하는 등 이 법에 따라 지정된 회원국의 관계기관들 간 협력과 정보교환을 촉진하는 업무를 수행한다(§27).

Ⅲ. 결언 : 국내법에 대한 시사점 및 함의

DGA는 아직 제안(Proposal) 상태로 법률로 채택되기 위해서는 유럽의회와 유럽각료회의에서 논의가 이루어져야 하고 협상이 진행되어야 한다. 하지만 향후 전개될 유럽 데이터 전략 및 데이터 정책의 방향에 대한 유럽 집행위원회의 의지가 반영된 것으로 우리나라의 개인정보 보호 및 데이터 활용 정책에도 참고가 될 것이다.

1. 공공데이터의 재이용과 「공공데이터법」

DGA는 재이용이 허용되는 공공데이터를 개인정보로 한정하지 않고 영업비밀, 통계적 비밀, 지식재산권으로까지 확대하고 있다. 다만, 공영 방송사 및 그 자회사가 보유한 데이터, 문화·교육 시설이 보유한 데이터, 국가안보 및 국방·공공 안녕 목적으로 보호되는 데이터 등은 재이용 대상에서 제외하고 있다. 또한, 공공데이터의 공개 장려를 위해 공공기관의 데이터 공개업무에 대한 조언과 지원을 담당할 기관을 하나 이상 지정하도록 하고, 공공데이터 재이용자의 편의를 위해 공공데이터 재이용 신청 창구를 단일화 하도록 하고 있다.

우리나라 「공공데이터법」도 공공데이터의 범위를 개인정보와 비개인정보를 포괄하고 있고(제2조제2호), 공공데이터의 효율적인 제공 및 이용 활성화 지원을 위하여 한국지능정보사회진흥원에 공공데이터활용지원센터를 설치ㆍ운영하도록 하고 있으며(제13조), 공공데이터의 효율적 제공을 위해 통합제공시스템(공공데이터 포털)을 구축ㆍ운영하도록 하고 있는 점(제21조)에서 DGA와 유사하다. 다만, DGA는 사생활이나 영업비밀 침해 우려가 있다는 것만으로는 재이용 대상에서 제외하지 않고 공영방송, 국가안보 등 관련 데이터만 제외하고 있다.

한편, DGA에 따르면 공공기관은 개인정보를 익명화·가명화하거나 영업비밀을 포함한 상업적 비밀정보를 삭제하기 위해 선 처리 작업이 완료된 데이터만을 재이용해야 한다는 의무를 부과할 수 있고, 공공부문이 제공·통제하는 “안전한 처리 환경” 내에서 데이터를 이용하게 하거나 제3자의 권리와 이익을 위태롭게 하지 않고서는 원격 접근이 어려운 경우에는 안전한 처리 환경이 갖추어진 “물리적 장소 내”에서 데이터를 이용하도록 의무를 부과할 수 있다.

이 조항이 법령의 규정이나 정보주체 또는 저작권자의 동의 또는 허락에 의하여 이미 재이용이 가능한 공공데이터의 보다 안전한 재이용을 위한 것인지, “안전한 처리 환경”에서 공공데이터를 재이용할 때에는 사전에 가명화·익명화를 해서 제공(공개)하지 않고 가명화·익명화를 조건으로 해서 재이용을 허용할 수 있다는 것인지 여부가 분명하지 않다. 후자의 방법을 터놓은 것이라면 공공데이터의 재이용에 큰 전환점이 될 수 있을 것이다. 더 나아가 DGA는 공공데이터를 이용할 수 있는 방법이 없을 때에는 과도한 비용이 소요되지 않는 범위 내에서 데이터 재이용 신청자가 정보주체 또는 저작권자의 동의를 받을 수 있도록 지원할 수 있게 하고 있다.

2. 데이터 공유 서비스와 「데이터 기본법안」

DGA는 기본적으로 데이터 공유 서비스 제공자, 데이터 이타주의 기관 등에 대한 신고·등록 제도 및 감시·감독 시스템을 도입함으로써 데이터 공유에 대한 시장의 신뢰를 높여 데이터 보유자와 데이터 이용자가 개인정보권 침해, 저작권 침해, 영업비밀 침해 등과 같은 법적 리스크를 걱정하지 않고 데이터를 재이용할 수 있는 환경을 제공한다는 것을 목적으로 한다. 이에 따라 DGA는 데이터 공유 서비스 제공자의 역할과 지위를 중개자로 정의하고 있다. 즉, 공유 서비스 제공자는 데이터 보유자와 데이터 이용자를 중개해주고 데이터의 이용 조건에 대해서 협상할 수 있도록 지원하는 역할만 수행한다. 데이터 이용자는 데이터 공유 업무 이외에 다른 업무를 수행할 수 없고, 자신의 목적을 위해 데이터를 이용할 수 없으며, 데이터를 가공 또는 결합하는 것도 허용되지 않는다. 가명화·익명화와 같은 업무도 수행할 수 없다. 따라서 데이터 공유 서비스 제공자는 미국의 데이터 브로커나 일본의 정보은행과도 다르다.

우리나라에는 “데이터 공유 서비스 제공자”의 개념 및 역할에 상당하는 사업자나 공공기관은 없다. 다만, 「신용정보법」에 정보주체의 정보전송권을 기반으로 한 “본인신용정보관리업”이 도입되어 있으나(제2조제9의2호), 본인신용정보관리업은 자신의 사업을 위한 목적으로 정보주체의 신용정보를 이용할 수 있고 신용정보 보유자의 의사에 반하여 신용정보가 제공된다는 점에서 데이터 공유 서비스와는 다르다. ⁽²⁰⁾“정보전송권”은 GDPR에서 유래한 것이나 「신용정보법」 상 정보전송권의 도입 목적은 GDPR의 그것과 본질적으로 다르다. 영국의 기업규제개혁법(Enterprise and Regulatory Reform Act)이 「신용정보법」과 유사한 정보이동권을 도입하고 있는데 이 법은 정보제공자의 범위를 에너지, 통신, 금융 등 공공사업자로 제한하고 있고 정보이용자 역시 벤쳐 등 중소기업으로 제한하고 있으며 적절한 비용을 청구할 수 있게 하고 있다(§89~§91).⁽²¹⁾

한편, 2020년 12월 8일 국회에 발의된 「데이터 기본법안」은 데이터 산업의 진흥을 위하여 대통령령으로 정하는 데이터거래사업자에게 기술인력 및 사업 수행실적 등을 과학기술정보통신부장관에게 신고하게 할 수 있다고 규정하고 있는데(안 제22조), 이 경우 “데이터거래사업자”란 데이터를 직접 판매하거나 데이터를 판매하고자 하는 자와 구매하고자 하는 자 사이의 거래를 알선하는 것을 업으로 하는 자를 말한다고 규정하고 있다(안 제2조제8호). “데이터거래사업자”는 “데이터 공유 서비스 제공자”와 유사하지만 데이터거래 업무와 다른 업무가 법적으로 구분이 되어 있지 않고 데이터거래사업자의 자격 요건과 관리·감독체계가 명시되어 있지 않다는 점에서 차이가 있다.

3. 데이터 이타주의와 데이터 기증의 장려

“데이터 이타주의 기관”은 데이터 보유자로부터 무상으로 데이터를 기증받아 과학적 연구, 공공서비스 개선 등과 같은 공익 목적으로 데이터가 이용될 수 있도록 주선하는 것을 주된 업무로 하는 비영리 조직이다. 이처럼 데이터 이타주의는 데이터 보유자(개인, 법인)의 자발적 의사에 따른 데이터의 기증 행위에 기반을 두고 있다. 「신용정보법」에 따른 정보전송권제도도 데이터 이타주의로 활용될 가능성이 없지 아니하나, 정보전송권제도에서는 개인신용정보가 주로 본인신용정보관리업자 자신의 이익을 위해 이용되고, 과학적 연구, 공공서비스 개선 등과 같은 공익을 목적으로 이용될 것을 전제로 하고 있지 않다.

신용정보주체의 권리를 강화하기 위한 것이라는 명분을 내세우고 있으나, 정보전송권은 이른바 “데이터 공개념”에 입각하여 개인신용정보 보유자(금융회사, 상거래기업 등)의 의사에 반해 사실상 개인신용정보의 징발을 허용하고 있다는 점에서 사회적 갈등을 유발할 수 있다. 데이터 기증문화가 정착될 수 있도록 “데이터 이타주의 기관”을 법제화하거나 정보전송권에 따른 데이터의 이용주체를 개인 연구자, 벤쳐, 중소기업 등으로 제한할 필요가 있다.

4. 연구용 데이터의 생산 및 활용 문화 조성

DGA는 그 서문(EXPLANATORY MEMORANDUM)에서 이 법안을 작성하는데 있어서 연구용 데이터(research data)를 위해 개발된 “FAIRE 데이터 원칙(FAIR data principles)”에서 많은 영감을 받았다고 밝히면서 부문간 데이터의 상호 호환가능성을 강조하고 있다. “FAIRE 데이터 원칙(FAIR data principles)”은 2014년 네덜란드 로렌츠 센터가 주최한 로렌츠 워크숍에서 개발된 연구용 데이터(research data)의 관리 및 재이용에 관한 원칙으로, 연구용 데이터는 첫째, 해당 데이터를 찾을 수 있어야 하고(Findable), 둘째, 접근할 수 있어야 하며(Accessible), 셋째, 상호운용이 가능해야 하고(Interoperable), 마지막으로, 재이용(RE-usable)할 수 있어야 한다는 원칙으로 구성되어 있다.

우리나라도 사회 전반적으로 대량의 데이터를 실명으로 수집·보관하거나 획일적으로 삭제·파기하는 것에 집중하기보다는 데이터의 안전한 활용성에 초점을 두고 연구용 데이터를 생산, 관리 및 활용하는 문화를 정착시켜 갈 수 있는 법제적 환경이 필요하다. “FAIRE 데이터 원칙”의 구체적인 내용은 아래와 같다.

FAIRE 데이터 원칙(FAIR data principles)

전 문 데이터 집약형 과학(data-intensive science)의 큰 도전 중 하나는 인간과 기계가 과제 해결에 적합한 과학 데이터 및 그 데이터와 관련된 알고리즘과 워크플로우를 발견하고 그들에 접속하여 통합과 분석을 할 수 있도록 지원함으로써 지식의 발견을 촉진하는 것이다. 우리는 여기서 데이터를 ‘Findable’, ‘Accessible’, ‘Interoperable’, ‘Reusable’하게 하기 위한 일련의 원칙인 FAIR 원칙에 대해 설명한다. ‘FAIR’라는 단어는 2014년 로렌츠 워크숍에서 처음 사용되기 시작하여 2016년에 ‘FAIR 원칙’으로 공개되었다.   To be Findable (발견이 가능하게 할 것)F1. (메타) 데이터에는 전 세계적으로 유일하고 영속적인 식별자(ID)가 할당될 것F2. 데이터는 메타데이터에 의해서 충분히 설명되고 있을 것F3. (메타) 데이터는 검색 가능한 리소스(resource)에 등록되거나 인덱스싱될 것F4. 메타데이터는 데이터의 식별자(ID)를 명기하고 있을 것   To be Accessible (접근이 가능하게 할 것)A1. (메타) 데이터는 표준화된 통신 프로토콜을 사용하여 식별자(ID)에 의해 검색할 수 있을 것A1.1 해당 프로토콜은 공개적이고, 무료이며, 보편적으로 구현 가능할 것A1.2 해당 프로토콜은 필요한 경우 인증 절차와 권한 부여 절차를 제공할 것A2. 데이터를 더 이상 이용할 수 없게 된 경우에도 메타데이터에는 액세스 할 수 있을 것   To be Interoperable (상호운용이 가능하게 할 것)I1. (메타) 데이터는 지식을 표현하기 위해 공식적이고 접근 가능하며 공유되고 광범위하게 적용 가능한 언어를 사용할 것I2. (메타) 데이터는 FAIR 원칙에 따른 어휘를 사용할 것I3. (메타) 데이터는 다른 (메타) 데이터에 대한 검증된 참조 정보를 포함하고 있을 것   To be Re-usable (재이용이 가능하게 할 것)R1. (메타) 데이터는 정확하고 관련성이 높은 복수의 속성을 가질 것R1.1 (메타) 데이터는 액세스 가능하고 명확한 데이터 이용 라이센스와 함께 공개될 것R1.2 (메타) 데이터는 그 출처와 연결되어 있을 것R1.3 (메타) 데이터는 관련 영역의 커뮤니티 표준을 충족할 것

[참고문헌]

이창범/조성은 외, 개인주도 데이터 유통 활성화를 위한 제도 연구, 정보통신정책연구원, 2019.10

EUROPEAN COMMISSION, A European strategy for data, 19.2.2020

EUROPEAN COMMISSION, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance (Data Governance Act), 25.11.2020

EUROPEAN COMMISSION, Proposal for a Regulation on a Single Market For Digital Services (Digital Services Act), 15 December 2020

EUROPEAN COMMISSION, Proposal for a Regulation on Digital markets act(Digital Markets Act), 15 December 2020

EUROPEAN COMMISSION, DIRECTIVE (EU) 2019/1024 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on open data and the re-use of public sector information, 20 June 2019

Nils Rauer, MJI & Michele Voznick & Sarah Cameron, The EU’s Data Governance Act just part of data sharing puzzle, Out-Law Analysis, 16 Dec 2020, Pinsent Masons.

Jetty Tielemans & Sam Jungyun Choi, Proposal for an EU Data Governance Act — a first analysis, Dec 10, 2020, iapp.

Hunton, European Commission Publishes Draft Data Governance Act, Privacy & Information Security Law Blog December 2, 2020

Dan Cooper & Lisa Peets & Mark Young, The European Commission publishes a proposal for a Regulation on European Data Governance (the Data Governance Act), Covington, December 3, 2020

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.