데이터 주권을 사용자에게 되돌려주는 유럽의 거대한 실험
데이터 경제의 패러다임을 전환하는 거대한 흐름이 유럽에서 시작되었다. 2024년 초 발효되어 단계적 시행을 앞둔 EU 데이터법(Data Act)은 단순한 기술적 규제를 넘어 데이터에 대한 소유와 분배의 철학을 전면적으로 재정의한다. 과거의 데이터 생태계가 데이터를 생성하는 장치나 플랫폼을 보유한 기업이 그 결실을 독점하는 ‘수집의 시대’였다면, 이제는 데이터를 공동으로 생성한 사용자가 그 가치를 누리고 통제할 수 있는 ‘공유의 시대’로의 이행을 선언한 것이다. 이 법의 궁극적인 지향점은 데이터 독점을 해소하여 시장의 공정한 경쟁을 유도하고, 인공지능과 사물인터넷(IoT) 기술이 창출하는 경제적 부가가치를 사회 전반으로 확산시키는 데 있다.
많은 이들이 데이터법을 기존의 GDPR(일반 데이터 보호법)과 혼동하곤 하지만, 두 법은 목적과 대상에서 확연한 차이를 보인다. GDPR이 개인의 사생활과 권리를 지키기 위한 방패로서 ‘개인정보 보호’에 집중한다면, 데이터법은 경제적 자산으로서의 데이터가 원활하게 흐르도록 길을 터주는 통로와 같다. GDPR의 적용 대상이 개인을 식별할 수 있는 정보에 국한되는 반면, 데이터법은 스마트 기기나 산업용 장비에서 발생하는 비개인적 데이터(non-personal data)까지 폭넓게 포괄한다. 즉, GDPR이 '하지 말아야 할 것'을 규정하며 데이터 오남용을 막는다면, 데이터법은 '해야 할 것'을 명시하며 데이터의 활용도를 극대화하는 보완적 관계를 형성한다.
데이터법이 부과하는 핵심 의무 사항 중 가장 파괴적인 것은 ‘설계에 의한 데이터 접근권(access by design)’이다. 앞으로 제조사는 커넥티드 기기를 설계할 때부터 사용자가 생성되는 데이터에 쉽고 안전하게, 가급적 실시간으로 접근할 수 있도록 하드웨어와 소프트웨어를 구성해야 한다. 사용자는 이렇게 확보한 데이터를 자신이 원하는 제3의 서비스 업체에 제공할 수 있으며, 제조사는 이를 기술적으로 방해해서는 안 된다. 이는 특정 제조사의 서비스에 종속되는 이른바 ‘록인(lock-in) 효과’를 원천적으로 차단하겠다는 의지다. 또한, 클라우드 서비스 제공자 간의 전환 수수료를 단계적으로 폐지하고 기술적 상호운용성을 강제함으로써, 거대 빅테크가 구축한 데이터 장벽을 허무는 데 주력하고 있다.
법안의 이행 타임라인은 이미 구체적으로 가동 중이다. 2024년 1월 발효된 이후, 2025년 9월부터 대부분의 핵심 조항이 본격적으로 적용되기 시작했다. 특히 주목해야 할 지점은 2026년 9월이다. 이때부터는 EU 시장에 출시되는 모든 연결 기기에 ‘설계 단계에서의 데이터 접근성 보장’ 의무가 소급 적용되지 않는 신규 제품군을 중심으로 강제된다. 이어 2027년에는 클라우드 전환 수수료가 전면 금지되는 등 데이터 주권을 사용자에게 되돌려주기 위한 단계적 로드맵이 완성된다. 유럽 시장에 진출한 기업들에 이 타임라인은 단순한 일정이 아니라, 제품 기획과 생산 공정 전체를 뒤바꿔야 하는 실존적인 과제로 다가오고 있다.
유럽발 데이터 민주화 바람은 한국의 온라인 플랫폼 규제 논의에도 묵직한 시사점을 던진다. 우리나라는 그간 플랫폼 자율규제와 강력한 사전 규제 사이에서 정책적 갈등을 겪어왔으며, 최근에는 시장 지배적 사업자를 지정해 관리하려는 움직임이 가속화되고 있다. EU 데이터법은 우리에게 규제의 초점을 단순히 ‘행위의 금지’에 맞출 것이 아니라, ‘데이터 이동성’과 ‘상호운용성’이라는 기술적 기반을 강화하는 방향으로 옮겨야 함을 시사한다. 플랫폼의 독점력을 억제하는 가장 세련된 방법은 인위적인 분할이 아니라, 사용자가 자신의 데이터를 들고 언제든 다른 플랫폼으로 떠날 수 있는 실질적인 자유를 보장하는 것이기 때문이다.
결국 EU 데이터법은 데이터가 특정 기업의 사유물을 넘어 공공재적 성격을 지닌 국가적 인프라로 기능해야 함을 역설하고 있다. 이는 혁신을 저해하는 규제가 아니라, 데이터라는 원료가 시장에 원활하게 공급되게 함으로써 스타트업과 중소기업이 거대 기업과 대등하게 경쟁할 수 있는 토양을 만드는 작업이다. 현재 우리나라도 금융과 공공 분야를 중심으로 '마이데이터'를 시행하며 데이터 이동권의 첫발을 떼었으나, 이는 여전히 개인정보 보호라는 틀에 국한되어 있다는 한계가 있다. 이제 우리에게 필요한 논의는 개인정보를 넘어 산업 데이터 전반의 주권을 어떻게 재정의할 것인가로 확장되어야 한다. 유럽의 이 거대한 실험이 성공적으로 안착한다면 전 세계 데이터 거버넌스의 표준은 다시 한번 재편될 것이며, 우리 역시 글로벌 기준에 발맞추면서도 국내 산업의 경쟁력을 극대화할 수 있는 한국형 데이터 전략을 치열하게 고민해야 한다. 데이터는 소유의 굴레를 벗어나 흐름의 자유를 얻을 때 비로소 진정한 가치를 발휘하기 때문이다.