EU GDPR (2018) — 데이터 주권 운동의 법적 척추
본 운동에서의 자리
GDPR은 연대지능 혁명이 법의 언어로 읽을 수 있는 가장 중요한 자리다. 폴라니의 4번째 허구상품 — 데이터 — 의 상품화에 맞서 정보주체가 자기 데이터의 주인임을 선언한 법적 토대이기 때문이다.
이 법이 세운 것: 인간의 인지·관계·기억의 흔적은 기업이 자유롭게 채굴할 수 있는 자원이 아니라, 개인이 동의·열람·삭제·이동·자동화 거부의 권리를 갖는 자기 것이라는 원칙. 이것은 법률적 언어이지만, 운동의 언어로 번역하면 데이터 자기 주권 선언이다.
핵심 결
공포: 2016년 4월 27일 채택, 2018년 5월 25일 전면 시행 형식: EU 규정(Regulation) — 모든 회원국 직접 적용 대상: EU 시민의 데이터를 처리하는 모든 기관·기업(역외 적용 포함)
정보주체에게 보장하는 핵심 권리:
| 권리 | 내용 |
|---|---|
| 정보 권리 | 자기 데이터가 어떻게 처리되는지 고지받을 권리 |
| 열람 권리 | 자기 데이터 사본을 요청할 권리 |
| 정정 권리 | 부정확한 데이터 수정 요청권 |
| 삭제 권리(“잊힐 권리”) | 불필요한 데이터 삭제 요청권 |
| 이동 권리 | 자기 데이터를 다른 서비스로 이전할 권리 |
| 자동화 처리 거부 권리 | 알고리즘 단독 결정에 불복하고 인간 검토 요청권 |
마지막 권리가 연대지능 혁명과 가장 직접 닿는다. “측량되지 않을 권리” — 알고리즘의 판단에 종속되지 않을 권리의 법적 표현이 GDPR 제22조다.
본 책에서 이 자리가 자라나는 결
7편 「지능 무산자의 시대」에서 데이터를 폴라니의 4번째 허구상품으로 박을 때, GDPR은 법이 이미 이 방향을 인정했다는 증거 자리에 선다. 10편 「우리가 만들 AI는 무엇인가」에서 “측량되지 않을 권리”를 세울 때, GDPR 제22조(자동화 처리 거부)가 그 법적 근거 자리를 뒷받침한다.
본 운동의 비판적 짚음
GDPR은 개인 권리 중심 설계다. 개인이 하나씩 권리를 행사하는 구조이므로, 집단적 데이터 주권 — 마을·협동조합·지역 공동체가 함께 데이터를 관리하고 수익을 나누는 자리 — 을 짓는 데는 역부족이다.
더 근본적으로: GDPR이 보호하는 것은 이미 수집된 데이터에 대한 사후 권리다. 빅테크 플랫폼의 구조 자체 — 데이터 수집이 기본값(opt-out이 아닌 opt-in을 선택해야 하는 구조) — 를 바꾸지 않는다. 연대지능 혁명은 GDPR이 세운 최소 방어선에서 출발하되, 집단적 데이터 거버넌스의 자리까지 나아가야 한다.
한국 자리 비교
한국 「개인정보 보호법」(법령ID 270351, 공포일 20250401, 시행일 20251002)은 GDPR을 상당 부분 반영했다. 제4조는 정보주체의 권리를 6가지로 세운다:
“① 자신의 개인정보 처리에 관한 정보를 제공받을 권리 ② 자신의 개인정보 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 ③ 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다)을 요구하며 개인정보의 전송을 요청할 권리 ④ 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리 ⑤ 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 ⑥ 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리”
(개인정보 보호법 제4조, 공포일 20250401, 법령ID 270351)
제6호의 “자동화 결정 거부권”이 GDPR 제22조에 상응하는 자리다. 한국도 법적으로 이 권리를 세웠다.
그러나 한국의 미완: 데이터 이동권(마이데이터)이 금융·의료에 한정되어 있고, 플랫폼 노동자·소상공인의 알고리즘 피해에 대한 집단 구제 조항이 약하다. 협동조합이 조합원 데이터를 공동 관리하는 법적 자리가 명시되지 않는다.