지난 시리즈에서 자동차 사이버보안의 표준인 ISO 21434를 통해 제품 생애주기 전반의 보안 설계를 살펴보았습니다. 보안이 제품의 안전을 지키는 기술적 방패라면, 오늘 다룰 EU 데이터법(Data Act)은 그 방패 안에서 생성되는 데이터의 주권을 제조사에서 사용자에게 돌려주는 거대한 법적 설계도입니다.
그동안 자동차나 IoT 기기에서 생성되는 데이터는 제조사(OEM)나 플랫폼이 독점해 왔고, 정작 데이터를 만들어낸 사용자는 접근조차 어려운 경우가 많았습니다. EU는 이러한 데이터 독점을 완화하고 경쟁을 촉진하기 위해, 2020년 '유럽 데이터 전략'의 일환으로 Data Governance Act를 제정한 데 이어, 이를 실질적으로 규제하고 보완하는 Data Act를 탄생시켰습니다.
이미 2025년 9월 12일부터 본격적인 적용이 시작된 만큼, 자동차와 IoT 기기에서 발생하는 데이터를 제조사가 독점하던 시대는 지났습니다. 11개 장에 걸친 이 방대한 법안이 우리 산업에 어떤 변화를 가져올지, 핵심 챕터별로 살펴보겠습니다.
1장. 주체 및 용어 정의
법의 적용 범위와 대응 주체들을 정의하는 단계입니다.
- 연결제품(Connected Product): 센서를 통해 주변 환경이나 활동에 대한 데이터를 수집하고 전송하는 제품(스마트카, 스마트 가전 등)입니다.
- 관련 서비스: 제품의 데이터를 활용해 특정 기능을 수행하는 디지털 서비스입니다.
- 사용자(User): 제품을 소유하거나 사용하는 개인 또는 기업입니다.
- 데이터 보유자(Data Holder): 데이터를 관리하고 제공할 의무가 있는 기업입니다.
- 제3자(Data Recipient): 사용자의 승인을 받아 데이터를 전달받는 수신처입니다
2장. B2B 및 B2C 데이터 공유
사용자가 제품 데이터에 직접 접근하고 제3자에게 공유할 수 있는 기본 권리를 다룹니다. 제조사는 제품 설계 단계부터 사용자가 데이터에 기본적으로 접근할 수 있도록 만들어야 하며, 계약 전 데이터 종류와 저장 위치, 접근 방법 등을 투명하게 고지해야 합니다. 사용자는 요청 시 데이터를 무료로, 동일한 품질로 받을 수 있고 제3자에게 전송을 요청할 수도 있습니다. 다만 마이크로 기업이나 소기업 등은 일부 의무에서 제외되며, 데이터를 받은 업체가 제조사의 영업비밀을 훔치거나 경쟁 제품을 만드는 데 악용하는 것은 엄격히 금지됩니다.
3장. 데이터 보유자의 의무
데이터를 제공할 때 제조사가 지켜야 할 법적 의무와 보상 원칙인 FRAND 원칙을 다룹니다. FRAND란 공정하고(Fair), 합리적이며(Reasonable), 비차별적인(Non-Discriminatory) 조건을 의미합니다. 특정 업체에만 비싸게 팔거나 차별하지 말라는 것이죠. 특히 중소기업(SME)이나 비영리 연구기관에는 실제 비용 이상을 청구할 수 없도록 보상 한도를 제한했습니다. 만약 조건에 이견이 있다면 인증된 분쟁조정기구를 통해 문제를 해결할 수 있습니다.
4장. 불공정 계약 조항
대기업과 소기업 간의 계약에서 발생하는 힘의 불균형을 해소합니다. 대기업이 거래 지위를 악용해 소기업에게 일방적으로 불리한 데이터 활용 조항을 강요한다면, 해당 조항은 법적 구속력을 잃고 무효가 됩니다. 예를 들어 데이터 활용 권리를 부당하게 제한하거나 독점하는 조항이 이에 해당합니다. 이는 데이터 시장에서 공정한 경쟁 환경을 조성하기 위한 보호 장치입니다.
5장. 예외적 필요에 따른 데이터 공유
국가적인 예외적 필요(Exceptional Need) 상황에서 공공기관이 데이터를 요구할 수 있는 규칙입니다. 전염병이나 자연재해 같은 공공 비상사태 대응을 위해 데이터를 다른 방법으로 확보할 수 없는 경우, 기업은 데이터를 제공해야 합니다. 비상 상황 대응은 무상 제공이 원칙이며, 그 외의 공익 목적은 합리적인 비용 수준에서 보상받을 수 있습니다. 제공된 데이터는 요청 목적 외 사용이 엄격히 금지되며 사용 후에는 반드시 삭제해야 합니다.
6장. 데이터 처리 서비스 간 전환
클라우드 서비스를 옮길 때 겪는 클라우드 락인(Cloud Lock-in) 문제를 해결합니다. 고객이 클라우드 제공자를 바꿀 때 공급자가 기술적 장벽이나 과도한 비용을 요구하는 행위가 금지됩니다. 공급자는 전환에 필요한 장애물을 제거해야 하며, 2027년부터는 전환 비용 부과가 전면 금지됩니다. 락인이 해제되면 사용자는 더 좋은 성능이나 저렴한 가격의 서비스를 찾아 자유롭게 이동할 수 있게 됩니다.
7장. 국제적 데이터 보호
유럽 내 비개인정보가 역외로 부당하게 유출되는 것을 차단합니다. 비유럽 국가 정부가 EU 법과 충돌하는 방식으로 데이터 접근을 요구할 경우, 서비스 공급자는 이를 차단하기 위한 법적 및 기술적 조치를 취해야 합니다. 이는 유럽 기업의 기술 노하우나 데이터 주권이 해외 정부의 부당한 간섭에 노출되지 않도록 보호하는 안보적 장치입니다.
8장. 데이터 스페이스를 활용한 상호운용성 구현
데이터가 실질적으로 흐르기 위한 기술적 약속입니다. 핵심은 데이터 스페이스(Data Space)입니다. 이는 데이터를 안전하게 공유하기 위해 형식, API 구조 등을 표준화된 규격으로 맞춘 환경을 뜻합니다. 마치 모든 기기가 동일한 USB 단자를 쓰는 것처럼 누구나 데이터를 쉽게 이해하고 활용하게 만드는 것이죠. 또한 조건 충족 시 자동으로 계약이 실행되는 스마트 계약(Smart Contract)의 안전과 신뢰성 기준도 여기서 정의합니다.
9장. 국가 차원에서의 Data Act 운영
법의 실효성을 담보하기 위해 각 국가가 감독기관을 지정하는 단계입니다. 지정된 전문 감독기관은 데이터법 준수 여부를 상시 감시하고 조사를 수행합니다. 만약 법을 위반할 경우, 전 세계 연간 매출액의 최대 4퍼센트라는 강력한 과징금이 부과될 수 있습니다. 단순한 가이드라인을 넘어 실질적인 강제력을 가진 법규임을 시사합니다.
10장. Sui Generis Right과의 관계
기존 제조사의 독점적 권리를 제한하여 공유를 활성화합니다. 그동안 제조사들은 막대한 투자를 통해 구축한 데이터베이스라며 특별권(Sui Generis Right)을 주장하며 외부 접근을 막곤 했습니다. 그러나 데이터법은 연결제품이나 관련 서비스에서 생성된 데이터에 대해 이 권리를 내세워 사용자의 접근을 막는 것을 금지했습니다. 투자의 보호보다 데이터 주권과 공유를 통한 서비스 창출을 우선시한 것입니다.
11장. Data Act 적용 계획
타 법령과의 관계와 향후 로드맵을 정리합니다. 2026년 현재 데이터법은 이미 시행 중이며, 향후 2028년에는 법의 전반적인 성과를 재검토할 예정입니다. 특히 소비자 보호 협력 규정과 대표소송 지침 등이 개정되어, 소비자 단체가 데이터법 위반에 대해 집행이나 소송을 제기할 수 있는 체계가 갖춰졌습니다. 자동차와 같은 전문 분야는 지속적인 모니터링이 필수적입니다.
ISO 21434를 통해 차량의 기술적 보안을 확보했다면, 이제는 그 데이터를 사용자에게 투명하게 개방하고 공정하게 유통하는 것이 기업의 핵심 경쟁력이 되었습니다. 보안을 지키면서도 데이터 주권을 존중하는 조화로운 설계, 2026년 모빌리티 기업이 직면한 가장 중요한 과제입니다.
