데이터 주권이란?

데이터 주권이란 데이터가 해당 데이터가 발생한 국가 또는 지역의 법률과 규정의 적용을 받는다는 개념입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 데이터 주권의 개념 알아보기
  • 데이터 주권, 데이터 레지던시, 데이터 현지화 비교
  • 데이터 주권 및 데이터 레지던시가 개인정보 보호 규정 준수 프로그램에 미치는 영향 이해

글 링크 복사

데이터 주권이란?

'데이터 주권'이라는 용어는 특정 국가나 유럽연합(EU)과 같은 특정 지역에서 수집되거나 저장된 지적 재산, 금융 데이터, 개인정보 등의 데이터에는 해당 지역의 법률이 적용되어야 한다는 개념을 의미합니다. 사람들이 전자 상거래 웹 사이트에 신용카드 정보를 입력하든 소셜 미디어 플랫폼에 댓글을 올리든, 데이터 주권 규칙은 이러한 사용자 데이터가 해당 사용자가 시민권자인 국가의 법적 프레임워크에 의해 규제되도록 보장하는 것을 목표로 합니다.

데이터 주권이라는 광범위한 개념은 데이터 보호, 데이터에 대한 정부의 액세스, 보안, 국제 비즈니스 경쟁, 인권 문제와 얽혀 있는 경우가 많습니다. 일부 데이터 주권 패러다임에서는 한 관할권에서 생성된 데이터가 물리적으로 해당 관할권에 머무르도록 하려고 합니다. 다른 국가들은 관할권에서 생성된 데이터가 다른 관할권에서 처리되거나 저장되더라도 해당 데이터에 대해 보장된 법적 보호가 적용되도록 하려고 합니다. 또 다른 국가들은 관할권에서 생성된 데이터가 다른 곳에서 처리되거나 저장되는지 여부와 관계없이 최소한 해당 관할권의 법 집행 기관에서 사용할 수 있도록 하려고 합니다.

거의 모든 국가에는 자국민으로부터 수집한 개인정보를 일정 부분 보호하는 데이터 보호법이 있습니다. 데이터 주권 규칙의 관련 예는 다음과 같습니다.

  1. 일반 데이터 보호 규정(GDPR)ePrivacy Directive
  2. 캘리포니아주 소비자 개인정보 보호법(CCPA 및 CPRA)
  3. 호주 개인정보 원칙(앱)
  4. 일본 개인정보 보호법(APPI)

데이터 주권 규정이 실제로 적용되는 예에 대하여, EU를 포함한 전 세계 고객을 대상으로 판매하는 전자 상거래 업체를 상상해 보세요. EU에서 고객의 주문을 처리하기 위해 이 업체에서는 이름, 주소, 청구 정보 등 다양한 사용자 데이터를 수집하고 처리합니다.

전자 상거래 업체의 소재지와 관계없이 EU 고객의 데이터에는 EU GDPR이 적용됩니다. 즉, 스토어는 데이터를 수집하기 전에 고객에게 명시적으로 알리고 거래와 관련된 개인 정보(이 경우 주문 처리 관련 정보)만 수집해야 합니다. 업체에서 마케팅 이메일 전송과 같은 다른 이유로 추가 개인 정보를 수집하고 사용하려면 고객의 동의(언제든지 철회 가능)를 얻어야 합니다.

또한, GDPR에 따라 고객은 수집된 데이터에 대한 접근을 요청하고 회사에 데이터의 정정 또는 삭제를 요청할 수 있으므로('데이터 주체 요청'), 이 전자 상거래 업체에서는 이러한 데이터 주체 요청을 수락하고 대응할 수 있는 시스템을 구축해야 합니다.

데이터 주권 및 데이터 현지화는 개인정보 보호 규정 준수 프로그램에 어떤 영향을 미칠까요?

데이터 주권과 데이터 현지화는 밀접하게 관련된 개념입니다. 위에서 언급한 바와 같이 데이터 주권이란 데이터가 처리되는 국가 또는 지역의 법률에 의해 데이터가 규제된다는 개념입니다. 한편 데이터 현지화는 데이터가 발생한 국가나 지역의 물리적 경계 내에 데이터를 저장하는 관행입니다. 은행 정보, 의료 정보 등 매우 중요한 정보를 다른 지역에서 전송하거나 처리할 경우 조직이 규정 준수 위반의 위험에 처할 수 있으므로 현지 규정을 준수하는 데 자주 사용됩니다.

위에서 설명한 전자 상거래 업체를 다시 한 번 살펴보겠습니다. 개인 데이터를 처리하는 순간부터 이 업체에서는 수집하는 소비자 데이터에 적용되는 다양한 법적 프레임워크를 준수해야 합니다. 가장 강력한 보호 규정을 모든 고객 데이터에 적용하고 싶지 않다면, 이 전자 상거래 업체에서는 해당 데이터 보호 요구 사항이 해당 개인 데이터에 따르도록 데이터를 매핑해야 합니다.

또한 데이터 주권 규칙은 데이터 처리 및 저장 위치에 대한 결정에 상당한 영향을 미칠 수 있습니다. 이러한 법률 중 일부는 개인정보에 대한 법적 보호가 처리되는 위치와 관계없이 데이터를 따르기 때문에 국경을 넘는 데이터 전송에도 영향이 미칩니다.

이 전자 상거래 업체의 경우, EU 시민의 데이터를 EU 외부의 데이터 센터로 전송하려면 업체에서는 데이터 전송에 어떤 GDPR 승인 법적 메커니즘을 사용할지 고려해야 합니다. 업체의 소재지에 따라 EU 외부에서 EU 개인 데이터를 처리하기 위해 특별 계약 조항을 마련하거나 EU-미국 데이터 보호 프레임워크와 같은 적정성 프레임워크에 대한 인증을 받아야 할 수 있습니다.

이 업체에서 처리하는 개인 데이터에 첨부된 데이터 주권 및 현지화 요구 사항의 종류도 클라우드 기반 스토리지 솔루션 사용에 대한 조직의 결정에 영향을 미칠 수 있습니다. 클라우드 스토리지는 향상된 유연성과 확장성을 제공하며, 많은 업체에서 데이터 현지화 솔루션도 제공할 수 있습니다. 그러나 엄격한 현지화 요구 사항이 있는 매우 보수적인 관할 구역을 만족시키려면, 조직에서는 클라우드 기반 솔루션과 함께 또는 클라우드 대신 온프레미스 스토리지를 찾아야 할 수도 있습니다.

조직에서 데이터 주권 및 현지화를 보장하도록 Cloudflare에서 지원하는 방법

Cloudflare에서는 이러한 보호가 법으로 제정되기 전부터 고객과 최종 사용자에게 데이터 보호를 제공해 온 오랜 역사를 지니고 있으며, 특정 법률을 준수한다고 말하는 것뿐만 아니라 이를 입증하는 것 역시 중요하다고 생각합니다.

Cloudflare에서는 ISO/IEC 27701:2019(EU GDPR에 매핑) 인증을 받았으며 ISO 27001/27002, 결제 카드 산업 데이터 보안 표준(PCI DSS), SSAE 18 SOC 2 유형 II를 준수합니다. Cloudflare에서는 또한 EU-미국 데이터 보호 프레임워크, 스위스-미국 데이터 보호시 프레임워크, EU 데이터 보호 프레임워크의 영국 확장에 따라 인증을 받았습니다. Cloudflare에서는 또한 EU 클라우드 행동 강령의 인증을 받았습니다. 이러한 검증 및 기타 검증을 기반으로 Cloudflare에서는 가장 중요한 데이터를 Cludflare를 통해 전송하는 조직에 보증을 제공하고, 기업에서 자체 규정 준수 의무를 충족하고 유지할 수 있도록 지원합니다.

Cloudflare에서는 오랫동안 일반적인 데이터 주권 규정에 부합하는 다음과 같은 원칙을 준수해 왔습니다.

  • Cloudflare에서는 서비스를 제공하고 고객을 위해 더 나은 제품을 만드는 데 필요한 개인 데이터만 수집합니다
  • Cloudflare에서는 인터넷 자산에서 고객의 최종 사용자를 추적하지 않으며, 광고를 판매하기 위해 고객의 최종 사용자를 프로파일링하지 않습니다
  • Cloudflare는 고객이 자신의 개인정보에 액세스, 수정, 삭제할 수 있는 기능을 제공합니다
  • Cloudflare에서는 고객이 다양한 서비스에서 처리하는 정보(예: 콘텐츠 전송 네트워크(CDN)에 캐시되거나, Workers 키 값 저장소에 저장되거나, 웹 애플리케이션 방화벽(WAF)에서 캡처되는 모든 데이터)를 제어할 수 있도록 합니다

Cloudflare에서는 또한 해당되는 모든 데이터 현지화 요구 사항을 충족하도록 지원할 수 있습니다. Cloudflare의 데이터 현지화 제품군을 통해 기업에서는 인터넷 에지에서 규칙과 제어 기능을 쉽게 설정하고 데이터를 로컬에 저장하고 보호할 수 있습니다.

데이터 주권 규정 준수를 유지하면서 Cloudflare 서비스를 사용하는 방법에 대해 자세히 알아보세요.