The Right to Data Transfer: Social Problems and Response Plans 본인전송요구권 확대가 가져올 사회적 문제와 대응 방안
Critical Analysis of Personal Information Protection Act Enforcement Decree Amendment 개인정보보호법 시행령 개정안의 법적·정책적 문제점 검토
Executive Summary 핵심 요약
2025년 6월 개정안은 규제개혁위원회 권고(2024년 8월)를 무시하고, 헌법 원칙을 위반하며, GDPR 기준에 부합하지 않고, 전문기관에 대한 불공정 특혜를 통해 한국 스타트업 생태계를 파괴할 위험이 있음. 2025년 6월 개정안은 규제개혁위원회 권고(2024년 8월)를 무시하고, 헌법 원칙을 위반하며, GDPR 기준에 부합하지 않고, 전문기관에 대한 불공정 특혜를 통해 한국 스타트업 생태계를 파괴할 위험이 있음.
Key Findings 주요 발견
- Procedural violation: Re-proposing rejected content only 4 months after Regulatory Reform Committee decision
- Constitutional issue: Unconstitutional delegation of proxy rights via enforcement decree
- GDPR non-compliance: Lack of trade secret protection unlike EU standards
- Market distortion: Exclusive privileges to specialized agencies creating unfair advantage
- Security risk: Allowing screen scraping despite financial sector ban
- Economic burden: Estimated billions in compliance costs for startups reaching 1M users
- Policy inconsistency: Contradicting Financial Services Commission's scraping ban (2022)
- Procedural violation: Re-proposing rejected content only 4 months after Regulatory Reform Committee decision
- Constitutional issue: Unconstitutional delegation of proxy rights via enforcement decree
- GDPR non-compliance: Lack of trade secret protection unlike EU standards
- Market distortion: Exclusive privileges to specialized agencies creating unfair advantage
- Security risk: Allowing screen scraping despite financial sector ban
- Economic burden: Estimated billions in compliance costs for startups reaching 1M users
- Policy inconsistency: Contradicting Financial Services Commission's scraping ban (2022)
Executive Summary: A Regulatory Overreach Threatening Innovation
핵심 요약: 혁신을 위협하는 규제 과잉
On November 21, 2025, I presented at the MyData Policy Startup Seminar hosted by the Korea Startup Forum at D.CAMP in Gangnam, Seoul. As a researcher examining the intersection of data policy, regulation, and innovation, I raised serious concerns about the Personal Information Protection Act Enforcement Decree amendment proposed in June 2025.
2025년 11월 21일, 강남 D.CAMP에서 한국스타트업포럼이 주최한 마이데이터 정책 스타트업 세미나에서 발표했습니다. 데이터 정책, 규제, 혁신의 교차점을 연구하는 연구자로서, 2025년 6월 제안된 개인정보보호법 시행령 개정안에 대한 심각한 우려를 제기했습니다.
The amendment, which aims to expand the "Right to Request Data Transfer" to all industries, represents a fundamental shift from data activation to data control—one that threatens to undermine Korea's startup ecosystem while violating established regulatory principles and international norms.
"본인전송요구권"을 모든 산업으로 확대하려는 이 개정안은 데이터 활성화에서 데이터 통제로의 근본적 전환을 나타내며, 확립된 규제 원칙과 국제 규범을 위반하면서 한국 스타트업 생태계를 약화시킬 위험이 있습니다.
Critical Alert
긴급 경고
The June 2025 amendment proposal violates the Regulatory Reform Committee's August 2024 decision by re-proposing identical content only 4 months later. This procedural violation undermines administrative integrity and ignores legitimate industry concerns about security, costs, and trade secrets.
2025년 6월 개정안은 규제개혁위원회의 2024년 8월 결정에서 불과 4개월 후 동일한 내용을 재제안함으로써 위반하고 있습니다. 이러한 절차적 위반은 행정 무결성을 훼손하고 보안, 비용, 영업비밀에 대한 업계의 정당한 우려를 무시합니다.
Timeline: From Cautious Approach to Regulatory Overreach
타임라인: 신중한 접근에서 규제 과잉으로
Legal Framework Established법적 체계 수립
Personal Information Protection Act 2nd Amendment passes National Assembly, establishing Right to Request Data Transfer (Article 35-2)
개인정보보호법 2차 개정안이 국회를 통과, 본인전송요구권 신설 (제35조의2)
Regulatory Reform Committee Decision규제개혁위원회 결정
Key Recommendations:주요 권고사항:
- Limit to 3 sectors: Medical, Telecommunications, Energy
- Maintain consistency between self-transfer and third-party transfer scopes
- Allow sufficient preparation time for technical infrastructure
- Gradual expansion based on market readiness
- 3개 분야로 제한: 의료, 통신, 에너지
- 본인전송과 제3자 전송 범위 간 일관성 유지
- 기술 인프라 준비를 위한 충분한 시간 허용
- 시장 준비 상황에 따른 점진적 확대
Enforcement Decree Enacted (Presidential Decree No. 35343)시행령 제정 (대통령령 제35343호)
Adopted Regulatory Reform Committee recommendations: Limited to 3 sectors (Medical, Telecom, Energy)
규제개혁위원회 권고 수용: 3개 분야(의료, 통신, 에너지)로 제한
System Launch시스템 출범
Right to Request Data Transfer system begins operation in 3 designated sectors
본인전송요구권 시스템이 지정된 3개 분야에서 운영 시작
Controversial Amendment Proposed논란의 개정안 제안
Personal Information Protection Commission re-proposes expansion to ALL industries
개인정보보호위원회가 전 산업으로의 확대를 재제안
- Ignores Regulatory Reform Committee decision from just 4 months prior
- Expands scope to: E-commerce, Platforms, Gaming, Education, Hospitality, Culture & Leisure
- Threshold: Revenue 150B KRW + 1M users
- Creates specialized agency privileges
- 불과 4개월 전 규제개혁위원회 결정 무시
- 범위 확대: 전자상거래, 플랫폼, 게임, 교육, 숙박, 문화·레저
- 기준: 매출 1,500억원 + 이용자 100만명
- 전문기관 특혜 신설
The Expansion Trap: Current Law vs. Proposed Amendment
확대의 함정: 현행법 vs. 개정안
Current Enforcement Decree (Feb 2025)현행 시행령 (2025년 2월)
Scope범위
- Medical institutions
- Telecommunications carriers
- Energy providers
- 의료기관
- 통신사업자
- 에너지 공급자
Characteristics특징
- Self-transfer = Third-party transfer scope
- Follows Regulatory Reform Committee guidance
- Gradual expansion principle
- Sufficient pilot period
- 본인전송 = 제3자 전송 범위
- 규제개혁위원회 지침 준수
- 점진적 확대 원칙
- 충분한 시범 기간
Proposed Amendment (June 2025)개정안 (2025년 6월)
Scope범위
Any entity meeting:다음 요건을 충족하는 모든 사업자:
- Annual revenue ≥ 150B KRW AND
- User base ≥ 1M persons
- Plus: All elementary/secondary/higher education institutions
- Plus: Any entity designated by Commission
- 연매출 ≥ 1,500억원 AND
- 이용자 ≥ 100만명
- 추가: 모든 초·중·고·대학 교육기관
- 추가: 위원회가 지정하는 모든 사업자
Problems문제점
- Self-transfer ≠ Third-party transfer (inconsistent)
- Violates Regulatory Reform Committee decision
- Simultaneous expansion to all sectors
- Only 4 months after initial implementation
- 본인전송 ≠ 제3자 전송 (불일치)
- 규제개혁위원회 결정 위반
- 전 분야 동시 확대
- 최초 시행 후 불과 4개월
What "Revenue 150B KRW & 1M Users" Really Means"매출 1,500억원 & 이용자 100만명"의 진정한 의미
This threshold captures:
이 기준에 해당하는 사업자:
- Major platforms: Naver, Kakao, Coupang, Baemin, 11st, Gmarket, Auction
- Growing startups: Any company reaching 1M users automatically included
- Sectors affected: E-commerce, delivery, gaming, education, hospitality, culture & leisure
- 주요 플랫폼: 네이버, 카카오, 쿠팡, 배민, 11번가, 지마켓, 옥션
- 성장하는 스타트업: 100만 이용자 도달 시 자동 포함
- 영향 받는 분야: 전자상거래, 배달, 게임, 교육, 숙박, 문화·레저
Result: Virtually all successful digital businesses are captured → De facto expansion to ALL industries
결과: 사실상 모든 성공적인 디지털 비즈니스가 포함 → 실질적으로 전 산업 확대
Seven Critical Concerns
7가지 핵심 문제점
Procedural Violation절차적 위반
Issue:문제: Re-proposing rejected content only 4 months after Regulatory Reform Committee decision규제개혁위원회 결정 후 불과 4개월 만에 거부된 내용 재제안
Risk:위험: Undermines regulatory review process, erodes administrative credibility규제 심의 절차 훼손, 행정 신뢰도 하락
Constitutional Issues헌법적 문제
Issue:문제: Delegation of essential matters (proxy rights) to enforcement decree violates legal reservation principle본질적 사항(대리권)을 시행령에 위임하여 법률유보원칙 위반
Risk:위험: Legislative power infringement, legal system disruption입법권 침해, 법 체계 훼손
GDPR Non-ComplianceGDPR 불일치
Issue:문제: Lacks GDPR Article 20(4) protection for "rights and freedoms of others" (trade secrets)GDPR 제20조(4)의 "타인의 권리와 자유" (영업비밀) 보호 조항 부재
Risk:위험: International norm deviation, property rights violation국제 규범 이탈, 재산권 침해
Market Distortion시장 왜곡
Issue:문제: Exclusive privileges to specialized agencies enable data free-riding전문기관에 대한 독점적 특혜로 데이터 무임승차 가능
Risk:위험: Market manipulation, ecosystem destruction시장 조작, 생태계 파괴
Security Risks보안 위험
Issue:문제: Allows screen scraping, creates Single Point of Failure (SPOF)스크린 스크래핑 허용, 단일장애점(SPOF) 생성
Risk:위험: ID/PW exposure, nationwide simultaneous data breachID/PW 노출, 전국 동시 데이터 유출
Economic Burden경제적 부담
Issue:문제: Forces trade secret disclosure, imposes excessive compliance costs영업비밀 공개 강제, 과도한 준수 비용 부과
Risk:위험: Competitiveness erosion, growth inhibition경쟁력 약화, 성장 저해
Policy Inconsistency정책 불일치
Issue:문제: Contradicts Financial Services Commission's scraping ban (2022)금융위원회의 스크래핑 금지 조치(2022)와 모순
Risk:위험: Administrative consistency loss행정 일관성 상실
Deep Dive: GDPR Compliance Gap
심층 분석: GDPR 준수 격차
GDPR Approach (Balanced)GDPR 접근 (균형적)
- Protects data subject rights
- Respects business property rights
- Explicitly protects trade secrets
- Considers technical feasibility
- Balanced approach
- 정보주체 권리 보호
- 사업자 재산권 존중
- 영업비밀 명시적 보호
- 기술적 실현 가능성 고려
- 균형 잡힌 접근
"The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others." "제1항에 언급된 권리는 타인의 권리와 자유에 부정적인 영향을 미쳐서는 안 된다."
Korean Amendment (Unbalanced)한국 개정안 (불균형)
- Protects data subject rights
- Ignores business property rights
- No trade secret protection
- Unconditional transfer obligation
- One-sided regulation
- 정보주체 권리 보호
- 사업자 재산권 무시
- 영업비밀 보호 없음
- 무조건적 전송 의무
- 일방적 규제
Forces transfer of core business data (purchase patterns, pricing policies, customer segmentation, seller information) without "legitimate grounds" despite being trade secrets accumulated through years of investment 수년간의 투자로 축적한 영업비밀임에도 불구하고 "정당한 사유" 없이 핵심 사업 데이터(구매 패턴, 가격 정책, 고객 세분화, 판매자 정보) 전송 강제
EU Article 29 Working Party Guidelines
EU 제29조 작업반 지침
EU Article 29 Working Party Guidelines (WP242)
EU 제29조 작업반 지침 (WP242)
The EU's authoritative interpretation provides clear boundaries:
EU의 권위 있는 해석은 명확한 경계를 제공합니다:
| Principle원칙 | EU InterpretationEU 해석 | Korean Amendment한국 개정안 |
|---|---|---|
| "Provided by" data subject"정보주체가 제공한" 데이터 | Limited to data directly provided by user; excludes company-generated analytics이용자가 직접 제공한 데이터로 제한; 기업 생성 분석 제외 | No such limitation그런 제한 없음 |
| "Work product" exclusion"작업 산출물" 제외 | Company work products (credit scores, recommendation algorithms) explicitly excluded기업의 작업 산출물(신용점수, 추천 알고리즘) 명시적 제외 | Not addressed언급 없음 |
| Rights and freedoms of others타인의 권리와 자유 | Cannot violate trade secrets or database maker's rights영업비밀 또는 데이터베이스 제작자 권리 침해 불가 | No protection clause보호 조항 없음 |
| Technical feasibility기술적 실현 가능성 | Direct transfer only "where technically feasible""기술적으로 실현 가능한 경우에만" 직접 전송 | Unconditional obligation무조건적 의무 |
The Financial Sector Paradox: Regulatory Self-Contradiction
금융 분야 역설: 규제적 자기모순
🔴 Financial Services Commission (2022): Screen Scraping Banned as Security Risk
🔴 금융위원회 (2022): 스크린 스크래핑을 보안 위험으로 금지
Timeline:타임라인:
- August 5, 2020: Credit Information Act amended - MyData legal framework established
- December 1, 2021: MyData pilot service launched (17 institutions) - Scraping temporarily allowed
- January 5, 2022: Screen scraping completely banned, API-only mandate
- 2020년 8월 5일: 신용정보법 개정 - 마이데이터 법적 체계 수립
- 2021년 12월 1일: 마이데이터 시범서비스 출시 (17개 기관) - 스크래핑 임시 허용
- 2022년 1월 5일: 스크린 스크래핑 전면 금지, API 방식만 허용
Official Rationale (FSC Press Release, Jan 4, 2022):공식 근거 (금융위원회 보도자료, 2022년 1월 4일):
"From January 5, 2022, screen scraping is completely prohibited and MyData operators must provide services exclusively through API methods to all users."
"2022년 1월 5일부터 스크린 스크래핑은 완전히 금지되며, 마이데이터 사업자는 모든 이용자에게 API 방식으로만 서비스를 제공해야 합니다."
Security Concerns Cited:지적된 보안 우려:
| Risk위험 | Details세부사항 |
|---|---|
| ID/PW Direct CollectionID/PW 직접 수집 | MyData operators must directly collect and store user IDs and passwords마이데이터 사업자가 이용자의 ID와 비밀번호를 직접 수집·저장해야 함 |
| Inability to Use One-Way Encryption단방향 암호화 불가 | Passwords must be stored in plaintext or reversible encryption → mass breach risk if hacked비밀번호를 평문 또는 복호화 가능한 암호화로 저장해야 함 → 해킹 시 대량 유출 위험 |
| 2FA Bypass2FA 우회 | Must circumvent additional security measures like 2FA, OTP2FA, OTP 같은 추가 보안 조치를 우회해야 함 |
| Unclear Liability불명확한 책임 | Responsibility unclear between financial institutions and operators in case of breach유출 시 금융기관과 사업자 간 책임 불분명 |
API Benefits:API의 장점:
- Financial institution controls transfer → clear liability
- Token-based authentication → no password exposure
- Limited transfer scope → only necessary data
- Traceable transfer history → auditable
- TLS encryption → secure transmission
- 금융기관이 전송 통제 → 명확한 책임
- 토큰 기반 인증 → 비밀번호 노출 없음
- 제한된 전송 범위 → 필요한 데이터만
- 추적 가능한 전송 이력 → 감사 가능
- TLS 암호화 → 안전한 전송
🟡 Personal Information Protection Commission (2025): Allowing Scraping as "Automated Tool"
🟡 개인정보보호위원회 (2025): 스크래핑을 "자동화 도구"로 허용
Justification:정당화 근거:
- "Convenience for exercising rights"
- "Technical flexibility"
- No clear security measures
- "권리 행사의 편의성"
- "기술적 유연성"
- 명확한 보안 조치 없음
Expected Result: Revival of risks that FSC banned금융위원회가 금지한 위험 부활
Scope:범위: E-commerce, platforms, gaming, education, culture & leisure - ALL industries전자상거래, 플랫폼, 게임, 교육, 문화·레저 - 전 산업
⚠️ The Logical Contradiction
⚠️ 논리적 모순
Regulatory Inconsistency:규제 불일치:
- Financial information is important → scraping banned
- Medical, shopping, education information is not important → scraping allowed?
- 금융정보는 중요하다 → 스크래핑 금지
- 의료, 쇼핑, 교육 정보는 중요하지 않다 → 스크래핑 허용?
Violation of Personal Information Protection Act Article 29:개인정보보호법 제29조 위반:
Article 29 (Security Measures Obligation): Personal information controllers must establish internal management plans, maintain access records, and take technical, administrative, and physical measures necessary to ensure safety as prescribed by Presidential Decree to prevent personal information from being lost, stolen, leaked, forged, altered, or damaged.
제29조 (안전조치 의무): 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 내부 관리계획을 수립하고, 접근기록을 보관하는 등 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
→ Allowing scraping directly contradicts the obligation to ensure security
→ 스크래핑 허용은 보안을 보장해야 할 의무와 직접적으로 모순됨
Result: Loss of consistency in personal information protection principles개인정보 보호 원칙의 일관성 상실
The Specialized Agency Privilege Problem
전문기관 특혜 문제
Creating Legal Data Brokers
합법적 데이터 브로커 창출
Enforcement Decree Draft Article 42-9 (Duties of Personal Information Management Specialized Agencies):시행령 초안 제42조의9 (개인정보관리 전문기관의 업무):
- Integrated inquiry of personal information received from data subjects
- Providing customized services for data subjects
- Research and education related to personal information utilization
- Other duties determined by the Personal Information Protection Commission → Effectively: data collection, analysis, and utilization business
- 정보주체로부터 수령한 개인정보의 통합 조회
- 정보주체를 위한 맞춤형 서비스 제공
- 개인정보 활용 관련 연구 및 교육
- 개인정보보호위원회가 정하는 기타 업무 → 실질적으로: 데이터 수집, 분석 및 활용 사업
Critical Issue:핵심 문제: Specialized agencies can use collected information as bait (e.g., coffee coupons) to obtain additional consent from data subjects, then sell or commercially exploit this information to third parties.전문기관은 수집한 정보를 미끼(예: 커피 쿠폰)로 사용하여 정보주체로부터 추가 동의를 받은 후, 이 정보를 제3자에게 판매하거나 상업적으로 이용할 수 있습니다. This opens a legitimate channel for personal information trading and distribution.이는 개인정보 거래 및 유통의 합법적 채널을 열어줍니다.
Commission's Stated Objective (June 2025 Legislative Notice):위원회의 공식 목표 (2025년 6월 입법예고):
"Activate data economy through new business opportunities"
"새로운 비즈니스 기회를 통한 데이터 경제 활성화"
→ Admits this is an industrial policy goal, not a data subject protection measure
→ 이것이 정보주체 보호 조치가 아닌 산업정책 목표임을 인정
The Free-Riding Structure
무임승차 구조
| Actor주체 | Investment & Effort투자 및 노력 | Result결과 |
|---|---|---|
| Platform Companies플랫폼 기업 |
|
Forced asset transfer강제 자산 이전 |
| Specialized Agencies전문기관 |
|
Free data collection → Own revenue business무료 데이터 수집 → 자체 수익 사업 |
Single Point of Failure (SPOF): A National Security Risk
단일장애점(SPOF): 국가 안보 위험
🔴 From Distributed Risk to Concentrated Catastrophe
🔴 분산된 위험에서 집중된 재앙으로
Current System (Distributed):현행 시스템 (분산형):
- Shopping site breach → Purchase history only
- Hospital breach → Medical records only
- Limited damage scope
- 쇼핑 사이트 유출 → 구매 이력만
- 병원 유출 → 의료 기록만
- 피해 범위 제한적
Amendment System (Centralized):개정안 시스템 (중앙집중형):
- Specialized agency breach → Entire life history exposed
- All citizens affected simultaneously
- National-level disaster
- 전문기관 유출 → 전체 생애 이력 노출
- 모든 국민 동시 피해
- 국가적 재난
What One Specialized Agency Would Know About Each Person:
전문기관이 각 개인에 대해 알게 되는 정보:
| Category분류 | Information정보 |
|---|---|
| Medical의료 | Medical records, prescriptions, health checkups, genetic information진료 기록, 처방전, 건강검진, 유전 정보 |
| Telecom통신 | Call history, messages, location data, internet usage통화 이력, 메시지, 위치 데이터, 인터넷 사용 |
| Financial금융 | Account balances, transaction history, card usage, loans계좌 잔액, 거래 내역, 카드 사용, 대출 |
| Shopping쇼핑 | Purchase history, wish lists, payment methods, delivery addresses구매 이력, 위시리스트, 결제 수단, 배송지 |
| Education교육 | Learning records, grades, course history학습 기록, 성적, 수강 이력 |
| Sensitive민감정보 | Adult products, pregnancy info, personal preferences성인용품, 임신 정보, 개인 취향 |
→ Complete life profile in one location
→ 한 곳에 완전한 생애 프로필
Breach Scenario:
유출 시나리오:
Person A: Pregnancy (obstetrics) + Adult products (shopping) + Specific locations (GPS) + Financial transactions = Complete privacy exposure
A씨: 임신 (산부인과) + 성인용품 (쇼핑) + 특정 위치 (GPS) + 금융 거래 = 완전한 프라이버시 노출
Specialized agency breach: 50 million people like Person A simultaneously affected
전문기관 유출: A씨와 같은 5,000만 명이 동시에 피해
Economic Impact: Crushing Startups
경제적 영향: 스타트업 압박
Actual Financial MyData Costs
실제 금융 마이데이터 비용
| Item항목 | Cost비용 |
|---|---|
| Total System Construction (All institutions)전체 시스템 구축 (전 기관) | ~37.2B KRW약 372억원 |
| Annual Operating Cost (All institutions)연간 운영 비용 (전 기관) | ~92.1B KRW약 921억원 |
| Annual Total Cost연간 총 비용 | ~129.3B KRW약 1,293억원 |
| Average Cost Per Institution기관당 평균 비용 | Hundreds of millions to billions KRW (varies by size)수억~수십억원 (규모별 상이) |
Source: Financial Services Commission announcement (Jan 10, 2023), Samjong KPMG cost analysis
출처: 금융위원회 발표 (2023년 1월 10일), 삼정KPMG 비용 분석
All-Industry Expansion Impact (Estimated)
전 산업 확대 영향 (추정)
- Target companies: Revenue ≥150B KRW & ≥1M users
- Estimated number: 100-200 companies (e-commerce, medical, telecom, etc.)
- Unlike financial sector: Must build new infrastructure from scratch
- Initial cost per company: Tens to hundreds of millions KRW
- Total estimated cost: Minimum hundreds of billions to trillions of KRW
- 대상 기업: 매출 1,500억원 이상 & 이용자 100만명 이상
- 추정 기업 수: 100-200개 기업 (전자상거래, 의료, 통신 등)
- 금융권과 다른 점: 새 인프라를 처음부터 구축해야 함
- 기업당 초기 비용: 수천만~수억원
- 총 추정 비용: 최소 수천억~수조원
The Startup Growth Trap
스타트업 성장의 덫
The Dilemma:딜레마:
500K users → Growth, data accumulation, investment attraction
50만 이용자 → 성장, 데이터 축적, 투자 유치
1M users milestone → Transfer obligation triggered → API construction costs tens of millions KRW
100만 이용자 도달 → 전송 의무 발생 → API 구축 비용 수천만원
Choice → More growth = Massive costs + Core data exposure
선택 → 더 성장 = 막대한 비용 + 핵심 데이터 노출
Result → Stop growth just before 1M users → Loss of innovation momentum
결과 → 100만 직전에서 성장 중단 → 혁신 동력 상실
Irony: The threshold "Revenue 150B KRW & 1M users" is marketed as targeting "large businesses" but actually hits growing companies the hardest.
아이러니: "매출 1,500억원 & 이용자 100만명" 기준은 "대기업 대상"으로 홍보되지만, 실제로는 성장하는 기업에게 가장 큰 타격을 줍니다.
Trade Secret Violation
영업비밀 침해
Unfair Competition Prevention Act Article 2, Paragraph 2
부정경쟁방지법 제2조 제2호
"Trade secret" means production methods, sales methods, and other technical or business information useful for business activities that is not publicly known, has independent economic value, and has been maintained as confidential through considerable effort.
"영업비밀"이란 공공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서, 상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법, 그 밖에 영업활동에 유용한 기술상 또는 경영상의 정보를 말한다.
E-Commerce Platform Trade Secrets at Risk
위험에 처한 전자상거래 플랫폼 영업비밀
| Information Type정보 유형 | Trade Secret Status영업비밀 현황 | Transfer Mandate전송 의무 |
|---|---|---|
| Purchase Patterns구매 패턴 | Years of analysis investment수년간의 분석 투자 | Forced강제 |
| Pricing Policies가격 정책 | Core competitive advantage핵심 경쟁 우위 | Forced강제 |
| Customer Segmentation고객 세분화 | AI/ML investmentAI/ML 투자 | Forced강제 |
| Seller Information판매자 정보 | Business partner data사업 파트너 데이터 | Forced강제 |
The Data Leakage Path
데이터 유출 경로
Specialized Agency Gains:전문기관이 획득하는 것:
- Purchase patterns of millions of consumers
- Price sensitivity, preferred products, purchase timing
- This equals trade secrets accumulated by platforms through years of investment
- 수백만 소비자의 구매 패턴
- 가격 민감도, 선호 상품, 구매 시점
- 이는 플랫폼이 수년간의 투자로 축적한 영업비밀과 동일
Result:결과:
- Specialized agency acquires for free
- Uses for own services
- Korean e-commerce competitive advantage eroded
- 전문기관이 무료로 획득
- 자체 서비스에 활용
- 한국 전자상거래 경쟁력 약화
GDPR Protection
GDPR 보호
"shall not adversely affect the rights and freedoms of others""타인의 권리와 자유에 부정적인 영향을 미쳐서는 안 된다"
→ Can refuse if trade secrets are infringed
→ 영업비밀이 침해되는 경우 거부 가능
Korean Amendment
한국 개정안
NO trade secret protection clause영업비밀 보호 조항 없음
→ Unconditional forced transfer
→ 무조건적 강제 전송
Four Essential Solutions
4가지 필수 해결책
1. Withdraw Amendment & Follow Committee Guidance1. 개정안 철회 및 위원회 권고 준수
- Immediately withdraw June 2025 amendment
- Comply with August 2024 Regulatory Reform Committee decision
- Maintain current enforcement decree (3 sectors)
- Sufficient pilot operation before reconsidering
- 2025년 6월 개정안 즉시 철회
- 2024년 8월 규제개혁위원회 결정 준수
- 현행 시행령(3개 분야) 유지
- 재검토 전 충분한 시범 운영
2. Legal Reservation - National Assembly Legislation2. 법률유보 - 국회 입법
- Delete proxy rights clause from enforcement decree
- Regulate essential proxy rights matters by law
- Social consensus through National Assembly deliberation
- 시행령에서 대리권 조항 삭제
- 본질적인 대리권 사항은 법률로 규정
- 국회 심의를 통한 사회적 합의
3. Adopt GDPR Approach3. GDPR 방식 채택
- Abolish specialized agency centralization
- Prioritize self-download rights
- Explicitly protect trade secrets & database rights
- Encourage market autonomy
- 전문기관 중앙집중 폐지
- 본인 다운로드 권리 우선
- 영업비밀 및 데이터베이스권 명시적 보호
- 시장 자율성 장려
4. Security Enhancement - Ban Scraping4. 보안 강화 - 스크래핑 금지
- Ban scraping same as Financial Services Commission
- Allow only standard APIs
- Prevent SPOF through distributed structure
- 금융위원회와 동일하게 스크래핑 금지
- 표준 API만 허용
- 분산 구조를 통한 SPOF 방지
Recommended GDPR-Style Provisions
권장 GDPR형 조항
Proposed Amendment Article ○ (Limitations on Transfer Requests)
개정안 제○조 (전송요구의 제한)
① Transfer may be refused in the following cases:① 다음 각 호의 경우에는 전송을 거부할 수 있다:
- Contains trade secrets or intellectual property
- Infringes database maker's rights
- Violates rights and freedoms of others
- Technically difficult or excessively costly
- 영업비밀 또는 지적재산권을 포함하는 경우
- 데이터베이스 제작자의 권리를 침해하는 경우
- 타인의 권리와 자유를 침해하는 경우
- 기술적으로 어렵거나 과도한 비용이 드는 경우
② Obligation to notify reasons when refusing② 거부 시 사유 통지 의무
Conclusion: Balance is Essential
결론: 균형이 필수적
Seven Critical Concerns Summary7가지 핵심 문제점 요약
| No.순번 | Area영역 | Core Problem핵심 문제 | Social Risk사회적 위험 |
|---|---|---|---|
| 1 | Procedural Legitimacy절차적 정당성 | Ignoring Committee guidance, re-proposing after 4 months위원회 권고 무시, 4개월 후 재제안 | Regulatory process nullification, administrative trust damage규제 절차 무효화, 행정 신뢰 손상 |
| 2 | Legal Validity법적 유효성 | Violating legal reservation principle, unconstitutional proxy rights법률유보원칙 위반, 위헌적 대리권 | Legislative power infringement, legal system disruption입법권 침해, 법 체계 훼손 |
| 3 | Global Compliance국제 규범 준수 | GDPR contradiction, lack of trade secret protectionGDPR 모순, 영업비밀 보호 부재 | International norm deviation, property rights ignored국제 규범 이탈, 재산권 무시 |
| 4 | Policy Fairness정책 공정성 | Specialized agency privileges, data free-riding전문기관 특혜, 데이터 무임승차 | Market distortion, ecosystem destruction시장 왜곡, 생태계 파괴 |
| 5 | Security Stability보안 안정성 | Allowing scraping, SPOF formation스크래핑 허용, SPOF 형성 | ID/PW exposure, nationwide simultaneous breachID/PW 노출, 전국 동시 유출 |
| 6 | Economic Rationality경제적 합리성 | Trade secret exposure, excessive costs영업비밀 노출, 과도한 비용 | Competitiveness erosion, growth inhibition경쟁력 약화, 성장 저해 |
| 7 | Policy Consistency정책 일관성 | Contradicting FSC measures, self-contradiction금융위원회 조치와 모순, 자기모순 | Administrative consistency loss행정 일관성 상실 |
This is not "personal information protection" but "market restructuring through regulation"
이것은 "개인정보 보호"가 아니라 "규제를 통한 시장 재편"입니다
Not "data activation" but "data control"
Not "innovation promotion" but "growth regulation"
Not "protection enhancement" but "risk centralization"
"데이터 활성화"가 아니라 "데이터 통제"
"혁신 촉진"이 아니라 "성장 규제"
"보호 강화"가 아니라 "위험 집중"
→ Careful reconsideration and sufficient social consensus required
→ 신중한 재검토와 충분한 사회적 합의가 필요합니다
Research Information
연구 정보
Presentation Date: November 21, 2025
Event: MyData Policy Startup Seminar
Host: Korea Startup Forum
Venue: D.CAMP, Gangnam, Seoul
Speaker: Yonghee Kim, Ph.D.
발표일: 2025년 11월 21일
행사: 마이데이터 정책 스타트업 세미나
주최: 한국스타트업포럼
장소: D.CAMP, 강남, 서울
발표자: 김용희 박사
Research Focus:
연구 분야:
- Data policy and governance
- Digital platform regulation
- Startup ecosystem protection
- Regulatory impact analysis
- 데이터 정책 및 거버넌스
- 디지털 플랫폼 규제
- 스타트업 생태계 보호
- 규제 영향 분석
Contact:연락처:
- Email: yhkim1981@sunmoon.ac.kr
- Institution: Sunmoon University, Department of Business Administration소속: 선문대학교 경영학과
- ORCID: 0000-0002-5643-2748