1. 법 적용 배경 및 타임라인

EU는 급증하는 사물인터넷(IoT) 데이터와 클라우드 서비스의 확산 속에서 데이터 활용을 둘러싼 권리와 책임을 명확히 하기 위해 「데이터법(Data Act)」을 제정했다. 데이터법은 산업·기업·소비자 간 데이터 경제 활성화를 위해 EU 내 데이터의 공정한 접근·이용·공유를 보장하는 내용을 담은 포괄적 규제 법률로, 2023년 12월 22일 EU 관보에 게재, 2024년 1월 11일 발효, 그리고 2025년 9월 12일부터 본격 시작됐다. 특히 클라우드 서비스 제공자 간 전환(switching) 및 데이터 이그레스 요금(Egress fee)이 전면 금지되는 시점은 2027년 1월 12일로 예정돼 있어, 기업들은 단계적 대응 전략이 요구될 것으로 보인다.

*이그레스 요금 : 클라우드 서비스에서 데이터를 외부로 꺼낼 때 부과되는 전송 비용

2. 주요 내용

적용 대상 및 의무사항

데이터법의 적용 범위는 커넥티드 제품을 만드는 제조업체와 이에 관련된 서비스를 제공하는 기업들에 해당된다. 해당 기업들은 사용자가 해당 제품과 서비스에 생성되는 데이터 안전하고 손쉽게, 비용 부담 없이 접근할 수 있도록 제품을 설계·제작하고 서비스를 제공해야 한다. 또한 제품이나 서비스를 판매하거나 임대하기 전, 기업은 이용자에게 해당 제품이나 서비스가 어떤 유형의 데이터를 생성하는지, 데이터가 얼마나 오래 보관되는지, 사용자가 데이터를 어떻게 열람·검색·삭제할 수 있는지 등 명확하고 이해하기 쉬운 방식으로 사전에 고지해야 한다. 

사용자 권리 강화와 불공정 계약 방지

데이터법의 핵심은 연결 제품과 관련 서비스를 사용하는 소비자와 기업이 자신이 공동 생성한 데이터를 직접 열람·활용·공유할 수 있도록 권리를 보장하는 것이다. 예를 들어, 자동차, 스마트 가전, 농업·산업 기계에서 발생하는 센서 데이터는 사용자가 무상으로 접근할 수 있으며, 필요할 경우 제3자에게 공유할 수도 있다. 다만, 이러한 데이터는 경쟁 제품 개발에는 활용할 수 없으며, 영업비밀이나 안전성 침해 우려가 있는 경우 제공이 제한될 수 있다. 또한 데이터법은 협상력이 큰 기업이 일방적으로 불공정한 계약 조건을 강요하는 관행을 막기 위해 ‘불공정 계약조항(unfair contractual terms)’을 규제한다. 즉, 데이터법은 기업이 계약을 체결할 때 일방적으로 불리한 조건을 강제하거나 선택의 여지를 주지 않는 방식의 조항을 부과하는 것을 금지한다. 특히 협상력이 약한 중소기업의 경우, 대기업이 제시하는 불공정한 데이터 관련 계약에 종속되지 않도록 법적 보호 장치가 강화되었다. 따라서 중소기업은 데이터 활용 과정에서 보다 투명하고 공정한 계약 환경 속에서 사업을 운영할 수 있게 된 것이다. 

산업·공공 부문 데이터 활용 확대

산업 데이터 활용은 제조, 농업, 건설 등 다양한 분야에서 효율성 증대와 운영 최적화의 기회를 제공한다. 예를 들어 정밀농업에서는 IoT 센서를 통해 날씨, 토양, 시장 가격 데이터를 수집·분석함으로써 자원 배분을 최적화하고 수확량을 높일 수 있다. 공공 부문에서도 데이터법은 중요한 역할을 한다. 공공기관은 재난, 팬데믹, 사이버 보안사고 등 공익 목적의 비상 상황에서 민간이 보유한 데이터에 접근할 수 있다. 또한 비상 상황이 아닌 경우에도, 공공기관은 기계의 작동 기록, 교통 집계와 같은 개인을 식별할 수 없는 형태의 데이터를 접근할 수 있다. 이러한 데이터는 특정 개인과 직접적으로 연결되지 않기 때문에 비개인 데이터로 분류가 된다. 다만, 공공기관의 데이터 요청에는 두 가지 원칙이 따른다. 첫번째는 투명성 원칙이다. 즉, 데이터가 왜 필요한지, 어떤 목적을 위해 사용될 것인지를 명확하게 밝혀야 한다. 두 번째로는 비례성 원칙이며, 공공기관이 요청하는 데이터의 범위가 해당 목적을 달성하는 데 꼭 필요한 수준을 넘어서는 안된다는 점을 뜻한다. 아울러 동일한 데이터에 대해 반복적이거나 불필요한 중복 요청은 허용되지 않는다. 

클라우드 전환 자유화와 국제적 데이터 보호

데이터법은 클라우드 및 데이터 처리 서비스 이용자가 다른 제공자로 전환할 때 직면하는 비용·시간·기술적 장벽을 해소하는 데 중점을 두고 있다. 2027년 이후에는 데이터 이그레스 비용 부과가 전면 금지되며, 그 전까지는 원가 수준에서만 청구할 수 있다. 이를 통해 기업과 공공기관은 멀티클라우드 전략을 보다 자유롭게 수립할 수 있고, 특정 공급자에 종속되는 위험도 줄어들 전망이다. 아울러 데이터법은 EU 외 제3국 정부가 EU 내 저장된 비개인 데이터에 접근하려는 시도를 규제한다. 이는 EU의 기본권과 상업적 기밀을 보호하기 위한 장치로, 국제 공조 차원의 합법적 법 집행 협력은 유지하되 불법적 접근은 차단한다.

위반 시 제재사항

데이법 위반 시 금전적, 행정조치 등의 제재사항이 존재할 수 있다. 위반 정도에 따라 최대 2000만 유로 또는 전 세계 매출의 4%까지 부과가 가능하다. 또한 벌금 외, 경고, 시정명령, 영업정지, 사용자 접근 제한 등 다양한 제재 수단이 존재할 것으로 예상이 된다. 다만,  회원국 자국 법률에 따라 구체적 벌금 및 절차를 마련할 것으로 전망이 되기에, 실제 제재 수준은 국가별로 차이가 있을 수 있기 때문 각국의 법률사항을 확인할 필요가 있다. 

3. 유럽 진출 기업이 유의해야 할 점

유럽에 진출하려는 기업들은 단순히 제품을 수출하는 것에 그치지 않고, 데이터법에서 요구하는 체계적인 대응 전략을 갖춰야 한다. 첫째, 제품 설계 단계부터 데이터 공유 가능성을 반영해야 하며, 센서 데이터와 메타데이터를 사용자가 손쉽게 접근할 수 있도록 해야 한다. 둘째, 기업 간 계약에서는 공정·합리·비차별(FRAND) 원칙을 준수하고 불공정 조항이 포함되지 않도록 점검할 필요가 있다. 셋째, 클라우드 서비스 전략을 멀티클라우드 기반으로 전환하고, 2027년 이후 적용될 스위칭·이그레스 요금 금지에 대비해야 한다. 넷째, 영업비밀과 보안을 지키기 위한 기술적·법적 조치를 마련해야 하며, 공공기관의 데이터 요청에 대응할 수 있는 내부 프로세스도 구축해야 한다. 마지막으로, GDPR 등 기존 개인정보 보호법과의 정합성을 확보하는 것도 필수적이다. 결국 유럽 시장에 진출하는 기업들은 데이터법을 단순한 규제가 아닌, 시장 접근을 위한 새로운 비즈니스 환경 규칙으로 인식하고 대응 전략을 세워야 할 것이다.

4. 향후 전망과 한국 기업에 대한 시사점

데이터법은 2025년 9월 본격 적용 이후 3년 내 영향평가를 거쳐 필요 시 개정될 수 있다. 집행위는 또한 중소기업과 산업계를 지원하기 위해 법률 헬프데스크를 운영하고, 데이터 공유 및 클라우드 계약을 위한 표준 계약조항을 2025년 가을까지 권고할 예정이다. 한국 기업에게 데이터법은 기회와 도전을 동시에 제공한다. 유럽 시장에 진출하는 제조업체는 제품 설계 단계부터 데이터 접근과 공유가 가능하도록 준비해야 하며, 클라우드·SaaS 기업은 멀티클라우드 전환을 전제로 한 포트폴리오 재편이 필요하다. 또한 농업·모빌리티 분야에서는 데이터 기반 부가 서비스와 애프터마켓 사업 기회가 확대될 수 있다.

자료: EU 집행위, FT, Politico 등 현지언론