유럽의 데이터 주권 개념 vs 한국의 정보주체 개념 비교
디지털 시대가 본격화되면서, ‘데이터는 곧 권력’이라는 말이 현실이 되고 있다. 이에 따라 개인정보에 대한 권리 개념도 단순한 ‘보호’ 수준을 넘어, ‘소유’와 ‘통제’의 영역으로 확장되고 있다. 이와 같은 흐름 속에서 유럽은 ‘데이터 주권’이라는 개념을 중심으로 개인의 권리를 헌법 수준에서 보장하려 하고 있으며, 한국은 ‘정보주체’라는 용어를 통해 비교적 제한적인 권리를 인정하고 있다. 두 개념은 이름은 비슷하지만 철학과 범위, 그리고 실질적 권리 보장의 측면에서 뚜렷한 차이를 보인다. 이번 글에서는 유럽의 데이터 주권 개념이 어떻게 형성되었고, 한국의 정보주체 개념과 어떤 근본적인 차이를 갖고 있는지를 집중적으로 분석한다. 이 비교를 통해 각 국가가 데이터 사회를 어떻게 이해하고 있으며, 어떤 사회적 가치 위에 개인정보 보호 체계를 세우고 있는지 분명하게 파악할 수 있다.
데이터 주권과 정보주체, 용어부터 철학이 다르다.
‘데이터 주권(Data Sovereignty)’은 유럽에서 GDPR을 중심으로 본격적으로 논의되기 시작한 개념이다. 이 용어는 개인이 자신의 데이터에 대해 ‘소유권’ 또는 ‘통제권’을 갖는다는 것을 전제로 하며, 정보가 어디에 저장되고 누구에 의해 처리되는지를 개인이 직접 관리할 수 있어야 한다는 원칙을 담고 있다. 즉, 데이터는 기술 기업이나 국가의 자산이 아니라, 정보 주체인 개인의 자산이라는 전제를 갖는다. GDPR 제1조와 제4조에서는 이 같은 관점을 구체화하며, 개인정보는 개인의 권리로 간주되고 있다.
반면 한국에서는 ‘정보주체’라는 용어를 사용하며, 이는 개인정보의 당사자이긴 하지만 그 소유권까지 명시적으로 인정하지는 않는다. ‘정보주체’는 정보에 대해 열람, 정정, 삭제를 요구할 수 있는 ‘권리자’로서 위치하고 있지만, 유럽처럼 데이터 이동권이나 처리제한권, 프로파일링 거부권까지 포함된 적극적 통제 개념은 적용되지 않는다. 용어부터가 다르다. 유럽은 ‘주권’을 이야기하고, 한국은 ‘주체’에 그친다. 여기서 벌써 권한과 철학의 깊이가 갈린다.
데이터 이동성과 통제권의 범위 차이
유럽의 데이터 주권 개념은 구체적인 조항을 통해 현실적으로 작동한다. GDPR 제20조는 ‘데이터 이동권(right to data portability)’을 명문화하여, 사용자가 자신에 관한 정보를 구조화된 기계 판독 가능한 형태로 받을 권리, 그리고 이를 다른 서비스 제공자에게 이전할 권리를 보장하고 있다. 이는 단순히 정보의 열람이나 수정에 그치지 않고, 해당 정보를 완전히 통제하고 이동시키며, 필요할 경우 기업 간 경쟁까지 유도할 수 있는 강력한 권한이다. 이 권리는 플랫폼 종속을 줄이고, 사용자 중심 디지털 생태계를 만드는 데 핵심적인 역할을 한다.
반면 한국의 개인정보보호법은 아직까지 이 같은 데이터 이동성을 법적으로 명확히 규정하고 있지 않다. 일부 금융 분야에서 ‘마이데이터 사업’을 통해 정보 이동이 시도되고 있지만, 이는 법적 권리라기보다는 정책 차원의 시범 사업에 가깝다. 한국에서는 정보주체가 자신의 정보를 제3자에게 이전하거나, 플랫폼 간에 데이터를 이동시키는 권한이 실질적으로 매우 제한적이다. 정보주체라는 개념이 이처럼 수동적이며, 관리의 대상에 가까운 위치에 머무르게 되는 것이다.
프로파일링 거부권과 알고리즘 투명성의 차이
GDPR은 데이터 주권의 개념을 기술적 현실과 연결시켜, 자동화된 의사결정에 대한 거부권까지 부여하고 있다. 제22조에 따르면, 정보주체는 자동화된 처리(예: 알고리즘 기반 신용평가, 채용 시스템 등)에 기반한 결정에 대해 이의를 제기하거나, 인간에 의한 개입을 요구할 수 있다. 이 조항은 디지털 시대에 인간이 시스템에 종속되지 않고, 데이터를 통해 만들어진 ‘결정’으로부터 스스로를 방어할 수 있는 권리를 명문화한 것이다. 이는 단순한 정보 보호가 아니라, 인간의 자기 결정권을 유지하기 위한 법적 장치이다.
그러나 한국에서는 아직까지 이와 유사한 권리가 법적으로 보장되어 있지 않다. 일부 개인정보 보호 지침에서 자동화된 처리에 대한 설명을 요구하도록 하고 있지만, 그것이 사용자의 거부권이나, 인간 개입 요구권으로까지 발전된 것은 아니다. 결국 한국의 정보주체는 자신에 대해 어떤 데이터가 수집되고, 그것이 어떤 알고리즘을 통해 처리되는지, 그리고 어떤 결정이 내려졌는지에 대해 명확히 알거나 통제할 권리를 갖고 있지 않다. 이는 인공지능 시대에 결정적으로 불리한 조건이 될 수 있다.
법적 주체 vs 권리의 주체, 인식 차이
유럽에서 데이터 주권 개념은 헌법적 권리의 연장선상에 있다. GDPR은 단순한 기술 규범이 아닌, 인간의 기본권을 보호하기 위한 사회계약적 기제로 작동한다. 정보주체는 법적 권리의 주체일 뿐 아니라, 데이터 생태계를 통제하고 조정할 수 있는 실질적 권한을 부여받는다. 이로 인해 기업은 사용자의 권리를 침해하지 않기 위해 고도의 투명성과 절차적 정당성을 확보해야 하며, 법 위반 시 엄청난 벌금과 평판 리스크를 감수해야 한다.
반면 한국의 정보주체 개념은 상대적으로 ‘법률에 명시된 자격’에 가깝다. 정보주체는 자신의 정보에 대해 제한된 권리를 가질 뿐, 데이터의 소유자나 통제권자는 아니라는 인식이 여전히 강하다. 이는 국가 주도의 정보 처리 시스템이 오랜 기간 유지되면서 형성된 문화이기도 하다. 즉, 한국에서는 여전히 ‘정보는 기업이나 기관이 관리하는 것’이고, 사용자는 그저 그 정보에 대해 일부 접근 권한을 가질 뿐이라는 구조가 자리잡고 있다. 이 차이는 정책 설계, 제도 도입, 기업의 개인정보 인식 전반에 큰 영향을 미치고 있다.
데이터 주권과 정보주체라는 개념은 단어 하나 차이처럼 보일 수 있지만, 실제로는 정보사회에서 개인이 어떤 권리를 누리고, 어떤 위치에 서 있는지를 결정짓는 핵심 개념이다. 유럽은 데이터 주권이라는 개념을 통해 개인에게 실질적인 통제권과 법적 지위를 부여하며, 기술과 법, 윤리가 균형을 이루는 디지털 권리 체계를 구축하고 있다. 반면 한국은 정보주체라는 개념을 통해 제한적이고 수동적인 권리를 부여하고 있으며, 데이터 활용과 보호 사이에서 균형을 맞추는 데 더 많은 고민을 하고 있다. 그러나 인공지능, 빅데이터, 자동화 사회로 나아가는 지금의 시대에, 단순한 정보 접근 권한만으로는 개인의 권리를 충분히 보호할 수 없다. 이제는 한국도 정보주체를 ‘권리의 주체’로 보는 시각을 넘어서, 데이터를 통제할 수 있는 주권자로 바라보는 정책적·법적 패러다임 전환이 필요한 시점이다.