데이터 거버넌스법의 제정
김성천 연구소장
2022년 5월 30일 공공단체가 보유한 데이터의 재이용(2차 이용), 데이터 중개 서비스의 틀, 공익을 위한 데이터 제공 등에 대해 규정한 데이터 거버넌스법(Data Governance Act)이 제정되었다.
1. 배경·경과
유럽위원회는 2019년부터 2024년까지의 우선 과제 중 하나로 '디지털 시대에 적합한 유럽(A Europe fir for the Digital Age)'을 내걸고 있으며, 이에 따라 2020년 2월 19일에 「유럽 데이터전략」을 공표했다. 이 전략은 데이터의 단일 시장인 '유럽 데이터 공간' 구축을 목표로 하고, 그 실현을 위해 8개의 과제와 4개의 과제 해결책을 제시하는 것으로, 과제 해결책의 하나로서 유럽 데이터 공간 거버넌스를 위해 법적 틀을 만드는 것을 들었다. 2020년 11월 25일, 유럽 데이터 전략에 근거한 최초의 입법 조치로서, 「유럽의 데이터 거버넌스에 관한 규칙안(COM(2020) 767)」이 제출되었다. 규칙안은 2021년 11월 30일에 유럽 의회와 이사회 간에 비공식적인 합의에 이르렀으며, 2022년 5월 30일 “유럽의 데이터 거버넌스에 관해 규정하고, 규칙 (Regulation (EU) 2018/1724)을 개정하는 유럽 의회 및 이사회 규칙(데이터 거버넌스법)으로 제정되어 같은 해 6월 23일에 시행되었다. 향후 각 회원국이 벌칙규정의 정비(제34조) 등을 실시하여 2023년 9월 24일부터 적용이 개시된다(제38조).
2. 데이터 거버넌스법의 주요 내용
데이터 거버넌스법은 총 9개장 38개조로 이루어졌다. 제1장: 일반규정(제1조, 제2조), 제2장: 공공단체(public sector body)가 보유한 보호데이터의 재이용(제3조~제9조), 제3장: 데이터 중개서비스에 적용되는 요건(제10조~제15조), 제4장: 데이터이타주의(data altruism)(제16조~제25조), 제5장: 소관관청 및 절차규정(제26조~제28조), 제6장: 유럽데이터혁신위원회(제29조, 제30조), 제7장: 국제접근 및 이전(제31조), 제8장: 위임 및 위원회절차(제32조, 제33조), 제9장: 최종규정 및 이행규정(제34조~제38조)으로 구성되어 있다.
(1) 공공단체가 보유한 보호 데이터의 재이용(제2장)
제2장은 데이터의 안전한 재사용에 관하여 「오픈 데이터 및 공공 부문 정보의 재이용에 관한 지침」(Directive (EU) 2019/1024. 「오픈 데이터 지침」)를 보완하는 규정이다. 대상이 되는 데이터는 공공단체가 보유한 데이터 중 ①민간기업의 영업기밀을 포함한 업무상의 기밀사항, ②통계목적의 기밀사항, ③지적재산권, ④오픈데이터지침의 대상외에서 개인정보 보호를 근거로 보호되는 데이터이다. 한편, ①공영기업(public undertaking), ②공공방송사업자, ③문화시설 및 교육시설이 보유한 데이터, ④공공단체가 보유한 데이터 중 국가안보상의 이유로부터 보호되는 것 등은 대상이 되지 않는다(제3조). 대상 데이터의 재사용에 관한 배타적 계약 또는 관행은 금지된다(제4조). 회원국은 개인정보의 익명화 등 재이용을 허가하는 조건(제5조) 및 허가절차에 드는 수수료(제6조)등의 정보에 용이하게 접근할 수 있는 단일 창구를 설치하는 것으로 한다(제8조).
(2) 데이터 중개 서비스에 적용되는 요건(제3장)
제3장은 기업과 개인이 데이터를 공유하기 위한 안전한 환경을 제공하는 새로운 비즈니스 모델의 틀을 규정한다. 데이터 중개 서비스는 "데이터 주체(data subject) 및 데이터 보유자 와 데이터 이용자간의 데이터를 공유하기 위해 기술적, 법적 수단에 의해 상업적 관계를 구축하는 것을 목적으로 하는 서비스”로 정의한다(제2조). 회원국은 데이터중개서비스의 신고절차 및 감시·감독업무를 하는 소관관청을 지정하고 2023년 9월 24일까지 해당 소관관청의 정보를 유럽위원회에 통지하여야 한다(제13조, 제14조). 데이터 중개 서비스를 제공하고자 하는 사업자는 소관 관청에 신고하여야 하며, 소관 관청이 허가한 경우, 「EU 공인 데이터 중개 서비스 제공 사업자」라고 하는 라벨 및 로고를 사용할 수 있다(제11조). 해당 사업자는 ①데이터 이용자에게 제공 이외의 목적으로 데이터 사용 금지 확보, ② EU법 또는 회원국의 국내법에서 불법으로 되는 데이터 이전 또는 액세스를 방지하기 위한 적절한 조치를 강구하는 등의 의무를 부담한다(제12조).
(3) 데이터 이타주의(제4장)
데이터이타주의(Data Altruism)란 공공서비스의 개선, 기후변화와의 싸움 등의 공익을 목적으로 데이터 주체 또는 데이터 보유자가 자발적으로 데이터를 공유하는 것을 말한다(제2조). 비영리조직 등의 요건(제18조)을 충족하는 사업자는 데이터이타주의 조직에 관한 회원국의 공적등록부에 등록신청을 할 수 있다(제19조). 해당 등록부에 등록된 사업자는 「EU 공인 데이터 이타주의 조직」( 「공인 조직」)이라는 라벨 및 로고를 사용할 수 있다(제17조). 공인 조직은 해당 조직의 보유 데이터를 처리할 가능성이 있는 사람, 처리의 목적, 데이터의 사용 등에 대해 완전하고 정확한 기록을 유지해야 하며, 조직의 활동에 관하여 연례 보고서를 작성할 의무를 부담한다(제20조). 공인 조직은 데이터 주체 또는 데이터 보유자에게 데이터 처리 전에 그 목적을 알리고 데이터 주체 또는 데이터 보유자가 처리를 허가한 공익 이외의 목적으로 데이터를 사용해서는 안된다(제21조).
출처 : Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (Text with EEA relevance), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R0868
데이터 거버넌스법의 제정
김성천 연구소장
2022년 5월 30일 공공단체가 보유한 데이터의 재이용(2차 이용), 데이터 중개 서비스의 틀, 공익을 위한 데이터 제공 등에 대해 규정한 데이터 거버넌스법(Data Governance Act)이 제정되었다.
1. 배경·경과
유럽위원회는 2019년부터 2024년까지의 우선 과제 중 하나로 '디지털 시대에 적합한 유럽(A Europe fir for the Digital Age)'을 내걸고 있으며, 이에 따라 2020년 2월 19일에 「유럽 데이터전략」을 공표했다. 이 전략은 데이터의 단일 시장인 '유럽 데이터 공간' 구축을 목표로 하고, 그 실현을 위해 8개의 과제와 4개의 과제 해결책을 제시하는 것으로, 과제 해결책의 하나로서 유럽 데이터 공간 거버넌스를 위해 법적 틀을 만드는 것을 들었다. 2020년 11월 25일, 유럽 데이터 전략에 근거한 최초의 입법 조치로서, 「유럽의 데이터 거버넌스에 관한 규칙안(COM(2020) 767)」이 제출되었다. 규칙안은 2021년 11월 30일에 유럽 의회와 이사회 간에 비공식적인 합의에 이르렀으며, 2022년 5월 30일 “유럽의 데이터 거버넌스에 관해 규정하고, 규칙 (Regulation (EU) 2018/1724)을 개정하는 유럽 의회 및 이사회 규칙(데이터 거버넌스법)으로 제정되어 같은 해 6월 23일에 시행되었다. 향후 각 회원국이 벌칙규정의 정비(제34조) 등을 실시하여 2023년 9월 24일부터 적용이 개시된다(제38조).
2. 데이터 거버넌스법의 주요 내용
데이터 거버넌스법은 총 9개장 38개조로 이루어졌다. 제1장: 일반규정(제1조, 제2조), 제2장: 공공단체(public sector body)가 보유한 보호데이터의 재이용(제3조~제9조), 제3장: 데이터 중개서비스에 적용되는 요건(제10조~제15조), 제4장: 데이터이타주의(data altruism)(제16조~제25조), 제5장: 소관관청 및 절차규정(제26조~제28조), 제6장: 유럽데이터혁신위원회(제29조, 제30조), 제7장: 국제접근 및 이전(제31조), 제8장: 위임 및 위원회절차(제32조, 제33조), 제9장: 최종규정 및 이행규정(제34조~제38조)으로 구성되어 있다.
(1) 공공단체가 보유한 보호 데이터의 재이용(제2장)
제2장은 데이터의 안전한 재사용에 관하여 「오픈 데이터 및 공공 부문 정보의 재이용에 관한 지침」(Directive (EU) 2019/1024. 「오픈 데이터 지침」)를 보완하는 규정이다. 대상이 되는 데이터는 공공단체가 보유한 데이터 중 ①민간기업의 영업기밀을 포함한 업무상의 기밀사항, ②통계목적의 기밀사항, ③지적재산권, ④오픈데이터지침의 대상외에서 개인정보 보호를 근거로 보호되는 데이터이다. 한편, ①공영기업(public undertaking), ②공공방송사업자, ③문화시설 및 교육시설이 보유한 데이터, ④공공단체가 보유한 데이터 중 국가안보상의 이유로부터 보호되는 것 등은 대상이 되지 않는다(제3조). 대상 데이터의 재사용에 관한 배타적 계약 또는 관행은 금지된다(제4조). 회원국은 개인정보의 익명화 등 재이용을 허가하는 조건(제5조) 및 허가절차에 드는 수수료(제6조)등의 정보에 용이하게 접근할 수 있는 단일 창구를 설치하는 것으로 한다(제8조).
(2) 데이터 중개 서비스에 적용되는 요건(제3장)
제3장은 기업과 개인이 데이터를 공유하기 위한 안전한 환경을 제공하는 새로운 비즈니스 모델의 틀을 규정한다. 데이터 중개 서비스는 "데이터 주체(data subject) 및 데이터 보유자 와 데이터 이용자간의 데이터를 공유하기 위해 기술적, 법적 수단에 의해 상업적 관계를 구축하는 것을 목적으로 하는 서비스”로 정의한다(제2조). 회원국은 데이터중개서비스의 신고절차 및 감시·감독업무를 하는 소관관청을 지정하고 2023년 9월 24일까지 해당 소관관청의 정보를 유럽위원회에 통지하여야 한다(제13조, 제14조). 데이터 중개 서비스를 제공하고자 하는 사업자는 소관 관청에 신고하여야 하며, 소관 관청이 허가한 경우, 「EU 공인 데이터 중개 서비스 제공 사업자」라고 하는 라벨 및 로고를 사용할 수 있다(제11조). 해당 사업자는 ①데이터 이용자에게 제공 이외의 목적으로 데이터 사용 금지 확보, ② EU법 또는 회원국의 국내법에서 불법으로 되는 데이터 이전 또는 액세스를 방지하기 위한 적절한 조치를 강구하는 등의 의무를 부담한다(제12조).
(3) 데이터 이타주의(제4장)
데이터이타주의(Data Altruism)란 공공서비스의 개선, 기후변화와의 싸움 등의 공익을 목적으로 데이터 주체 또는 데이터 보유자가 자발적으로 데이터를 공유하는 것을 말한다(제2조). 비영리조직 등의 요건(제18조)을 충족하는 사업자는 데이터이타주의 조직에 관한 회원국의 공적등록부에 등록신청을 할 수 있다(제19조). 해당 등록부에 등록된 사업자는 「EU 공인 데이터 이타주의 조직」( 「공인 조직」)이라는 라벨 및 로고를 사용할 수 있다(제17조). 공인 조직은 해당 조직의 보유 데이터를 처리할 가능성이 있는 사람, 처리의 목적, 데이터의 사용 등에 대해 완전하고 정확한 기록을 유지해야 하며, 조직의 활동에 관하여 연례 보고서를 작성할 의무를 부담한다(제20조). 공인 조직은 데이터 주체 또는 데이터 보유자에게 데이터 처리 전에 그 목적을 알리고 데이터 주체 또는 데이터 보유자가 처리를 허가한 공익 이외의 목적으로 데이터를 사용해서는 안된다(제21조).
출처 : Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (Text with EEA relevance), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R0868