[기고] 해외 데이터거래사업자의 현황과 데이터거래사의 의미

[컴퓨터월드] 1. 데이터 거래사란?

데이터 거래는 데이터생태계에 있어 매우 중요한 기폭제 역할을 한다. 물론 가치 있는 데이터 생산이 출발점이지만, 생산된 데이터가 유용하고 광범위하게 활용·재활용되기 위해서는 유통을 원활하게 할 수 있는 거래제도가 필수적이다.

국내외 기업들이 사용하는 데이터의 획득경로를 비교한 자료에 의하면 해외 기업의 83.2%가 거래소를 통해 자료를 확보·사용한 경험이 있는 반면, 국내 기업의 데이터 거래 경험은 5.9%에 불과했다(정준화·박소영, 2022). IDC(International Data Corporation, 2022)에 의하면, 2024년도 전 세계 데이터브로커 시장의 규모는 389.8b$(516.4조 원)에 달한다. 이 시장은 연평균 7.58% 성장해 2029년에는 총 561.5b$(744.0조 원)에 달할 것으로 예상된다.

2021년을 기준으로 했을 때, 전체에서 미국이 차지하는 비중은 64%, 유럽과 일본이 각각 16.9%, 10.7% 그리고 중국이 8.4%를 차지했다. 한국의 시장 규모는 23조 972억 원으로 미국 시장의 6.6%에 불과하다(정원준, 2022). 그만큼 우리나라의 데이터 거래 환경이 열악하다는 것을 반증한다.

데이터거래사는 바로 이러한 맥락에서 우리나라의 데이터 시장 활성화를 위해 고안된 제도라 하겠다. 데이터거래사를 논하기 전에 먼저 데이터 거래와 관련된 용어들에 대해 살펴볼 필요가 있다.

학술적으로 데이터 거래란 “데이터에 대한 권한을 가진 보유자(소비자 혹은 기업 등)의 대상데이터를 사적 계약의 대상이 되는 재화로서 양도·이용허락하거나 분석·가공서비스 혹은 중개서비스 등을 통해 교환·분배·판매함으로써 기업의 수익·비용을 발생시키는 일체의 활동”을 의미한다(정원준, 2022, 44). 이는 데이터 산업에 해당하는 매우 포괄적인 정의이다.

우리나라 데이터산업법(데이터 산업진흥 및 이용촉진에 관한 기본법) 제2조의 정의조항에 의하면 ‘데이터거래사업자’란 “데이터를 직접 판매하거나 데이터를 판매하고자 하는 자와 구매하고자 하는 자 사이의 거래를 알선하는 것을 업으로 하는 자”를 말한다. 동 법 23조 이하의 관련 항목들을 종합해 보면 ’데이터거래사‘는 “법으로 정하는 경력 및 자격을 갖추고 특정 교육을 받아, 데이터 거래에 관한 전문적인 상담·자문·지도업무 및 데이터 거래의 중개·알선 등을 지원하는 업무를 수행하는 사람”으로 정의될 수 있다. 제2조의 데이터거래사업자와 다른 점은 ‘자연인’이라는 점과, 판매와 구매 등 거래를 알선하는 것 외에 상담·자문 및 중개 업무가 추가된 것으로 이해할 수 있다.

사실 ‘데이터거래사’와 정확하게 일치하는 용어나 행위자를 해외에서 찾아보기는 어렵다. 미국의 데이터브로커(data broker)나 유럽의 데이터중개사업자(data intermediary service provider)가 가장 유사한 용어로 인식되지만, 구체적인 내용을 살펴보면 상당한 차이가 있다. 이로 인해 데이터거래사의 업무 범위에도 혼선을 일으킨다. 또한, 미국, 중국, 일본 그리고 유럽에서 설립·운영되고 있는 데이터거래소도 상당 부분 관련된 업무를 수행한다.

이번 기고에서는 데이터거래사와 관련되는 해외의 주요 개념들을 살펴보고, 데이터 시장 및 생태계 전반에서 거래사가 갖는 독특한 의미와 역할을 고찰함으로써 이 제도의 발전 방향을 모색하고자 한다.

2. 미국의 데이터브로커

데이터거래사와 가장 유사한 뉘앙스를 주는 용어는 미국에서 흔히 사용되는 데이터브로커(data broker)다. FTC에 의하면 데이터브로커는 “소비자(consumers)의 개인정보(personal information)를 수집하여(collect) 재판매(resell)하거나 공유(share)하는 기업(comapanies)”을 의미한다(FTC, 2014). 이들은 정보주체인 개별 소비자와는 직접적인 관계를 맺지 않기 때문에, 정보 주체들은 이들의 존재와 활동을 인식하지 못한다.

이 정의에 의하면 데이터를 소비자로부터 직접 수집하고 판매만 하는 사업자는(first-party broker) 데이터브로커에 해당되지 않는다. 하지만 실제로 이들은 제품마켓팅이나 개인의 식별 또는 사기행위 탐지를 목적으로 데이터를 취합·결합·변형·분석·공유하는 것은 물론, 경우에 따라서는 특정 소비자의 수요에 부합하는 추론결과를 제시하기도 한다. 예컨대 여러 가지 소비자 정보를 결합·분석함으로써 출산예정자, 자동차 애호가, 당뇨환자, 할인 소비자, 사기꾼 등을 찾아낸다.

캘리포니아, 버몬트, 오레곤, 텍사스 등 미국 내 일부 주들도 데이터브로커를 등록·규제·감독하는 개별적인 법제를 갖추고 있다(Data Plus+, 2024). 특히 데이터브로커에 관한 최초의 법률로 알려진 버몬트의 Data Broker Rgulation(2018년 제정)에서는 데이터브로커를 “단독 혹은 집단으로 본인과는 직접적인 관계를 맺지 않는 소비자의 전자화된 개인정보를 의도적으로 수집하여 제삼자에게 판매하거나 라이선스 계약으로 제공하는 기업이나 조직”으로 정의하고 있다. 이 법에서도 개인정보를 수집하여 신용평가나 소비자 관리, 뉴스 등을 위해 자체적으로만 사용하는 기업들은 브로커에 포함하지 않고 있다.

2018년에 제정된 캘리포니아주의 소비자프라이버시법도(CCPA:California Consumer Privacy Act) 브로커의 업무에는 수집과 판매만을 포함하고 있다(State of California. 2023). 미국 내에서도 데이터브로커에 대한 정의와 관련해 제1차 브로커까지 포함하려는 경향이 나타나고 있다. 법적으로 데이터브로커는 소비자의 개인정보를 간접적으로 수집해 판매하는 사업자를 말한다. 하지만 실질적으로 이들이 데이터를 취합·결합·변형·분석하는 것을 제한하지는 않고 있다.

미국의 대표적인 데이터브로커에는 액시엄(Acxiom), 팩추얼(Factual), 코어로직(CoreLogic), 오라클 블루카이(Oracle Bluekai) 등을 들 수 있다.

3. EU의 데이터중개사업자(data intermediary services provider)

EU는 2020년에 수립된 유럽데이터전략을 기점으로 범유럽 데이터 산업 육성을 위해 정책적 역량을 집중시켜 왔다. 미국의 데이터 주도에 대응하고 유럽의 데이터 단일시장을 구축하는 것이 목표이다.

EU의 경우 데이터 브로커(data broker)라는 용어 대신 데이터 중개자(data intermediary)라는 용어를 사용한다.

2022년 의회를 통과한 DGA(Data Governance Act)에 의하면 ‘data intermideary services provider’(이하 데이터중개사업자로 표기함)는 “불특정 다수(undeterminde)의 데이터 주체(data sujects) 및 데이터 보유자(data holders)들과 데이터 사용자(data users) 간의 데이터 공동사용을(data sharing) 위한 상업적 관계를 기술적, 법적 그리고 그 외의 수단을 통해 확립시켜 주는 서비스제공자”를 의미한다.

데이터중개사업자의 핵심업무로 정의된 데이터 공동사용이란 데이터 주체나 보유자가 보유한 데이터를 직접 혹은 중개를 통하여 공동 또는 개인적으로 활용할 수 있도록 유료로 제공하는 것을 의미한다. 불특정 다수의 주체를 명시한 것은 특정 양자 간의 거래는 다루지 않는다는 의미라 하겠다.

이 법에서 데이터의 범위는 미국의 데이터브로커와는 달리 개인정보가 아닌 기업, 기상, 교통 등을 포함하는 모든 전자화된 데이터를 말한다.

데이터중개사업자의 영업범위에는 두 가지 역무가 포함된다. 첫째, 데이터 수집(obtain)·취합(aggregate)을 통해 이용자에게 실질적인 가치를 부가하고, 그 결과물을 데이터 보유자와 데이터 이용자간의 직접적인 관계설정 없이 라이센싱하는 것이다. 여기에서 수집에는 데이터 보유자로부터의 수집만을 포함하며 데이터 주체로 부터의 직접적인 수집은 포함되지 않는다.

둘째, 하나 또는 다수의 데이터 보유자가 계약에 의해 그들이 보유한 데이터를 전유할 수 있도록 하는 서비스로, 공급자나 소비자 또는 협력기업 간에 가능한 서비스이다(Carovano & Finch, 2023). 그러나 저작권이 보호된 콘텐츠의 중개는 포함하지 않는다.

흥미로운 것은 미국과는 달리 유럽의 데이터중개사업자는 오로지 중개업무만을(intermediary in the transactions) 수행하도록 법적으로 규정되어 있다. 미국과 마찬가지로 이들은 데이터를 직접 수집하거나 보유할 수 없다. 이런 의미에서 그들을 중간자(middleman)이라고 칭하기도 한다.

DCA는 데이터거래시장의 공정경쟁과 스타트업의 보호를 위해 데이터중개사업자와 데이터보유자, 그리고 다른 데이터 사업 간의 겸업을 엄격하게 금지하고 있다. 중개사업자는 보유기관이나 주체와 이용자를 연결할 뿐, 저장이나 분석 그리고 다른 응용서비스 제공을 겸할 수 없다. 가격책정 등 일체의 거래조건은 데이터 보유자나 이용자가 동일한 데이터중개사업자의 다른 서비스, 예컨대 저장이나 분석 또는 학습 등 다른 응용서비스를 제공받는 것에 영향을 받아서는 안된다고 규정한다. 이른바 이해 상충과 공정경쟁을 위해 중개사업자의 중립성(neutrality)을 요구함으로써, 데이터 거래를 위한 신뢰 형성에 중점을 두고 있다.

유럽의 데이터사업거래자는 특히 중개만을 다룰 것을 명시하고 있다. 미국과는 달리 중개 외의 업무를 할 수 없도록 규정한 점이다. 이것은 국내의 데이터거래사업자 및 데이터거래사와 상당히 유사한 점이라 할 수 있다. 현재 등록·운영중인 데이터중개사업자의 예로는 Dataspace Europe OY(핀란드), AGDATAHUB(프랑스), Smarter Contracts(이탈리아) 등이 있다(EC, 2024).

4. 중국과 일본

중국에는 데이터브로커나 데이터중개사업자에 상응하는 용어를 찾아보기 어렵다. 대신 중국에는 정부 또는 민간이 주도적으로 운영하는 데이터거래소가 거래의 중심역할을 한다.

중국은 2015년 이후 데이터 산업의 발전을 위해 데이터의 효율적인 이용 및 실물경제 지원, 데이터재산권(소유권)과 유통거래, 수익분배, 보안 거버넌스 구축 등 데이터 기초제도 시스템 수립에 노력을 기울여왔다. 네트워크안전법(2017), 데이터안전법(2021), 그리고 개인정보보호법(2021)을 3대 법으로 하는 데이터 관련 기본법 체계를 구축해 왔다. 이 중 데이터안전법은 데이터 보안에 대한 내용과 함께 데이터 처리활동을 규율하고, 데이터 개발과 이용촉진을 위한 다양한 조항을 담고 있다.

특히 데이터 거래와 관련, 데이터의 유형·등급 구분에 관한 내용, 데이터 보안 리스크 평가 등을 포함하고 있다(이상우, 2022). 하지만 국가안보와 데이터 국외유출, 경제적 안정에 더 큰 중점을 두는 국가의 특성상 데이터중개를 담당하는 데이터브로커 제도의 도입은 규제 측면에서 부담스러울 수밖에 없었던 것으로 보인다.

중국은 데이터브로커를 도입하려는 시도로 2023년 광저우 하이주구에 데이터브로커 시범 사업을 실시했다. 이 시범사업에서 데이터브로커를 “정부의 규제하에 시장 중심으로 데이터 경제활동을 수행할 자격을 부여받은 기관”으로 포괄적으로 정의하고 그 역할로 세 가지를 명시하였다.

첫째, 데이터 소유자의 권한을 대행하는 역할이다. 둘째는 데이터 거래과정에서 발생할 수 있는 위험을 관리하고 중개를 보증하는 기능이다. 그리고 마지막으로, 세 번째는 데이터의 가치발견(data value discover), 거래조직(trade orgnizer), 공정성(fairness guarentee), 거래주체의 권리보호와 이해보호 등 거래과정에 수반되는 다양한 관련 활동 등을 포함한다(Cai, 2023).

지방정부는 데이터 산업을 선도할 수 있는지, 데이터보유량이 많은 분야의 기업인지, 그리고 전기, 금융, 전자상거래, 산업정보 등 데이터 가치가 높은 분야에서 활동하는 기업인지를 시범사업의 주체가 될 데이터브로커 선정 기준으로 삼았다.

일본은 2015년 발표한 ’데이터 거래 추진 목적 계약 가이드라인‘을 통해 거래계약시 제공자(보유자)와 이용자(수령자)간 계약시 고려할 체크리스트를 제시하여 거래활성화를 도모하였다.

2018년 제정한 ‘AI·데이터 이용에 관한 계약’ 가이드라인에서는 데이터 계약의 유형을 데이터 제공형, 데이터창출형, 그리고 데이터 공유형(플랫폼형)으로 구분하였다. 거래계약에서 고려해야 할 주요 사항으로 대상 데이터 및 이용의 범위, 소유권 문제, 제공자의 책임, 계약합의 시 유의사항, 파생데이터의 권한, 감사 및 분쟁처리, 국제 거래 시 유의사항 등을 제안하고 유형별 표준계약서(공유형 제외)를 공개했다(정원준, 2022).

이 가이드라인은 데이터브로커나 데이터중개사업자와 같은 형태의 사업자를 규정하지는 않지만, 그들이 담당해야 할 업무에 대해서는 참고할 만한 내용을 담고 있다는 점에서 시사점을 갖는다(経済産業省, 2018). 이러한 절차적 과정상의 세분화된 업무들은 데이터거래사의 역할 및 세부 업무와 관련하여 시사점을 줄 수 있다.

5. 해외사례로 본 데이터거래사의 역할과 위상

지금까지 미국과 유럽 등 해외 주요국의 데이터거래와 관련 사업자와 관련된 제도에 대해 살펴보았다. 각 국가는 각기 나름대로 환경과 목적하에서 이들을 규정하고 관리 혹은 육성시키려고 노력하고 있다.

미국은 개인정보를 거래하는 데이터브로커에 대한 프라이버시 규제를 통해 데이터 산업의 위험요소를 제거하는데 초점을 두는 반면, 유럽은 범유럽 데이터시장을 활성화하기 위한 데이터거래사업자의 육성에 중점을 두고 있다. 중국은 산업발전과 함께 데이터거래의 안전에 방점을 두며, 일본은 데이터 거래라는 업무 자체에 초점을 두고 있다.

우리나라의 경우 데이터거래사업자라는 행위자를 두면서, 이와 함께 데이터거래사를 양성하고자 하는 의미를 되새겨 볼 필요가 있다. 위에서 살펴보았듯이, 데이터거래사는 우리나라에 독특한 제도이며 그 나름대로의 의미를 가질 것이다. 이들은 데이터 산업과 관련되는 모든 행위자를 위해 일할 수 있다. 현실적으로 데이터거래사의 업무범위와 가장 유사한 업무를 수행하는 거래주체는 데이터거래소이다.

거래사는 거래소의 기능을 수행하는 전문인력으로 참여할 수 있다. 데이터거래사업자도 관련성이 높다. 거래사는 이들 기업에 소속되거나 프리랜스로 활동할 수 있으며, 직접 사업체를 설립·운영하는 방식으로 거래시장에 참여할 수 있다. 뿐만 아니라, 그들은 데이터 보유자는 물론 데이터분석제공사업자를 위해서도 서비스를 제공할 수 있다. 다시 말해, 데이터거래시장을 활성화하기 위한 전문인력으로 다방면에서 역할을 할 수 있다.

하지만, ‘데이터거래사가 굳이 필요한 독자적인 이유는 무엇일까?’라는 질문에 답하기 위해서는 그들이 기존 시장의 가려운 부분, 즉 니치마켓을 채워주기 위해서는 무슨 역할을 해야 할지 고민할 필요가 있다. 이들은 대규모 데이터보유자나 수요자를 중심으로 이미 형성된 시장보다는, 아직 드러나지 않은 ‘소규모의 분산된 데이터의 가치’와 수요자의 ‘표출되지 않은 데이터 요구’를 매치시키는 데 초점을 둘 필요가 있다.

이러한 역할을 하기 위해서 데이터거래사는 거래와 관련된 절차적 업무와 더불어 특정 데이터 분야의 전문성을 갖추어야 할 것이다. 전문성은 주로 신용데이터, 차량데이터, 의료데이터 등 데이터 자체에 관한 것일 수도 있으나, 수요 측면에 있는 농업, 제조업, 유통업, 의료 등 각종 업종의 중소기업이나 소상공인이 될 가능성이 더 크다고 하겠다.

우리나라의 데이터거래사는 매우 독특하고 의미 있는 제도지만, 이것이 현실적으로 성과를 보이기 위해서는 거래사가 거래업무에 실질적으로 참여함으로써 경험과 역량을 쌓을 수 있는 기회가 필수적이다. 우리 정부가 시행하고 있는 데이터바우처사업이나 안심구역 사업은 이를 위한 이상적인 테스트베드가 되지 않을까 생각해 본다.

데이터거래사가 생태계에서 어떠한 역할을 하고 어떤 의미를 가질 것인지는 앞으로 거래사는 물론 데이터 산업계와 정부 당국, 그리고 이용자가 지혜를 모아 찾아 나가야 할 부분이다.