데이터이동권 도입을 위한 비교법적 연구

• Published in: 과학기술법연구 Vol. 26; no. 2; pp. 3 - 58
• Main Authors: 고수윤, Go Su-yun, 이수안, Suan Lee, 손경호, Son Kyung-ho
• Format: Journal Article
• Language: Korean
• Published: 한남대학교 과학기술법연구원 31.05.2020; 과학기술법연구원
• Subjects: Data Portability; Digital Republic Act; Enterprise and Regulatory Reform Act; GDPR; MyData; 기업 및 규제개혁법; 데이터이동권; 디지털공화국법; 마이데이터; 법학
• ISSN: 1226-4148; 2671-5295
• DOI: 10.32430/ilst.2020.26.2.3

우리나라는 해외 주요국과 같이 개인정보에 대한 정보주체의 권리를 보 장하고자 마이데이터 정책을 점차 확장하고 있다. 마이데이터는 정보주체 중심의 데이터 생태계를 형성하는 것을 목적으로 하고 있으며 데이터 이동 에 대한 통제권을 정보주체에게 보장함으로써 이를 달성하고자 하였다. 데이터 이동권을 처음으로 규정한 EU　GDPR은 공정한 시장경쟁을 위한 것을 목적으로 하고 있으며 특히 데이터 이동권은 정보주체가 특정 서비스에 락인(lock-in)되는 현상을 방지하여 다른 서비스로 이전할 수 있도록 보장 하고자 한 권리이다. 실제 거대 IT기업들이 정보유통시장을 과점하는 것을 방지하려는 목적이 있었다. 동일한 이유로, 단일화되고 있는 디지털 시장에 서 우리나라 기업의 유효경쟁을 보장하고 정보주체의 서비스 선택에 자율 성을 보장하기 위해 데이터 이동권을 보장하는 것이 필요하다. 우리나라에서 데이터 이동권은 데이터 이동에 대한 정보주체의 통제권을 의미한다는 점에서 데이터를 받을 수 있는 권리, 동의를 결정할 권리, 데이터 제공을 요청할 권리라는 모든 경우에 해당될 수 있다. 하지만 데이터 이동권을 처음으로 명시한 EU GDPR의 규정에 따르면 데이터 이동권은 정보 주체가 개인정보를 기계판독이 가능한 포맷으로 제공받을 권리이다. 기계 판독이 가능한 포맷 또는 상호운용성 있는 포맷의 보장은 해당 데이터가 이전받은 컨트롤러에 의한 이용가능성을 보장하고자 하는 의도가 있다. 우리나라 데이터 이동권의 권리범위도 데이터 활용을 보장하며 정보주체가 데이터의 제공을 적극적으로 요청할 수 있는 권리로 보는 것이 타당할 것 이다. 개인정보 일반에 대하여는 해당 규정이 존재하지 않으므로 이를 보 장하기 위해서는 규정의 신설이 필요하다. 구체적으로 데이터 이동권 규정을 도입하기 위하여 권리제한사유, 데이터 제공자, 제공자의 의무, 대상 데이터의 범위, 정보제공방법, 데이터 이동 요청에 따른 처리기간, 처리비용 에 대하여 해외 주요국의 규정과 비교검토해 본다. Korea is gradually expanding its MyData policy to ensure the right of the data subject to personal data like major foreign countries. My Data aims to form a data ecosystem centered on the data subject, and aims to achieve this by ensuring control over data portability by the data subject. The EU GDPR, which first stipulated the right to data portability, aims to promote fair market competition. In particular, the right to data portability is intended to prevent data subjects from being locked in to a specific service and to be able to transfer to another service. Indeed, it generated to prevent IT giants from dominating the information distribution market. For the same reason, it is necessary to guarantee the right to data portability in order to ensure the effective competition of Korean companies in a single digital market and to ensure the autonomy in the choice of services by data subjects. In Korea, the right to data portability can refer to all cases of the right to receive data, the right to decide consent, and the right to request data in that it means the right to control the data subject. However, according to the EU GDPR, the right to data portability is the right of the data subject to receive personal data in a machine-readable format. The guarantee of a machine-readable format or an interoperable format is intended to guarantee the availability of the transferred data by a controller. It would be appropriate to view the right scope of data portability in Korea as the right to guarantee the utilization of data and to actively request the controller to provide the personal data. In Korea, there is no provision for the right to data portability, it is necessary to establish a new provision to ensure this. Specifically, this paper compares the reasons for restriction of the right, the data provider, the obligations of the providers, the scope of the target data, the method of providing data, and the processing period and the processing cost according to the request for data porting with the regulations of foreign countries to introduce the provision for the right to data portability.