데이터 주권과 데이터 레지던시 비교: 차이점은 무엇인가요?

핵심적인 차이점은 데이터 주권은 법적 개념이고 데이터 레지던시는 지리적 범주에 속한다는 점입니다. 하지만 이 두 개념은 깊은 관련이 있습니다.

데이터 레지던시가 데이터 주권을 결정하는 경우가 많습니다. 예를 들어 기업이 아일랜드의 데이터 센터에 데이터를 저장하는 경우 해당 데이터는 아일랜드에 상주합니다. 데이터가 아일랜드에 있기 때문에 아일랜드가 이에 대한 주권을 가집니다. 비즈니스는 아일랜드 정부에서 요구하는 모든 데이터 보호 법, 데이터 개인정보 보호 법 및 기타 규제 요구 사항을 준수해야 합니다.

즉 데이터에 대한 관할 구역을 결정하는 데 있어 레지던시만이 유일한 요소는 아닙니다. 데이터가 원래 수집된 위치나 데이터와 관련된 사람과 같은 다른 요소도 중요한 역할을 할 수 있습니다.

데이터 주권과 데이터 레지던시는 오늘날 조직에 중요한 데이터 거버넌스 개념입니다. 기업은 그 어느 때보다 많은 데이터를 수집하고 처리하며, 이를 위해 종종 클라우드 컴퓨팅과 SaaS(서비스형 소프트웨어) 앱을 사용합니다.

그 결과 국제 데이터 흐름이 엄청나게 증가했습니다. 기업은 한 국가의 사람들로부터 데이터를 수집하여 두 번째 국가의 데이터 센터에 저장하고, 세 번째 국가에서 실행되는 클라우드 기반 애플리케이션으로 데이터를 처리할 수 있습니다. 데이터는 이러한 각 위치에서 서로 다른 법적 요건을 충족해야 할 수 있습니다.

조직은 데이터 라이프사이클의 모든 시점에서 데이터의 위치와 각 지역에서 따라야 하는 규칙을 확실히 파악하고 있어야 합니다. 기업은 현지 데이터 법률을 위반할 경우 상당한 처벌을 받을 수 있습니다.

데이터 레지던시란 데이터의 물리적 위치를 의미합니다. 데이터를 저장하거나 처리하는 데이터 센터, 서버 또는 기타 기계가 물리적으로 특정 국가, 주 또는 장소에 있는 경우 데이터는 해당 장소에 상주하는 것으로 간주됩니다.

기업의 데이터는 여러 곳으로 이동할 수 있으므로, 단일 조직의 데이터는 여러 곳에 존재할 수 있습니다.

미국에 본사를 둔 기업이 미국 소비자로부터 개인 데이터를 수집하고 미국에 있는 서버에 데이터를 저장한다고 가정해 보겠습니다. 분명히 데이터는 미국에 있습니다.

이제 같은 조직에서 SaaS 앱을 사용하여 이 데이터를 처리하고 앱의 서버가 캐나다에 있다고 가정해 보겠습니다. 처리를 위해 캐나다 서버로 전송된 모든 데이터는 이제 캐나다에 상주할 수 있으며 캐나다의 데이터 법률의 적용을 받을 수 있습니다.

데이터 레지던시 요구 사항은 데이터를 현지화하기 위한 규제 요구 사항과는 별개로 조직의 내부 정책 요구 사항 또는 계약상의 약속에서 비롯되는 경우가 많습니다.

그러나 조직이 데이터 상주 위치를 항상 선택할 수 있는 것은 아닙니다. 일부 지역에서는 데이터 현지화 요구 사항이 있는 법률에 따라 조직이 데이터를 특정 장소에 보관하거나 처리하도록 의무화하고 있습니다. 

이러한 용어는 때때로 같은 의미로 사용되지만 두 가지 별개의 개념을 나타냅니다. 데이터 레지던시는 데이터가 보관되는 위치를 설명합니다. 데이터 현지화는 데이터가 생성된 위치에 데이터를 유지하기 위한 법적 요구 사항, 즉 데이터를 로컬에 유지하기 위한 법적 요구 사항을 나타냅니다.

일부 국가에는 데이터 현지화 요구 사항이 있으며, 이에 따라 조직은 해당 국가에서 생성된 데이터를 해당 국가 경계 내에 보관해야 합니다.이러한 요구 사항은 단순히 데이터 사본을 국내에 보관하는 것부터 국가 외부로의 데이터 전송을 금지하는 것까지 다양합니다

데이터 주권은 데이터가 생성되거나 처리되는 국가 또는 지역의 법률에 따라 데이터가 적용된다는 개념입니다. 한 국가가 데이터 조각에 대한 "주권"을 가지고 있다는 것은 해당 국가가 국가 안보 목적을 포함하여 해당 데이터에 대한 법적 권한을 가지고 있음을 의미합니다.  

데이터 주권은 레지던시에 따라 결정되는 경우가 많습니다. 데이터가 어떤 장소에 상주하는 경우 일반적으로 해당 위치의 법률이 적용됩니다.

일부 데이터 주권법은 데이터를 따라가며 데이터가 이동하는 위치에 관계없이 데이터에 적용됩니다. 예를 들어, 유럽 연합(EU)의 일반 데이터 보호 규정(GDPR)은 데이터가 EU 거주자와 관련된 경우 EU 외부에서 보유되거나 처리되는 해당 데이터에 적용될 수 있습니다.

따라서 데이터가 어디에 저장되어 있는지도 중요하지만, 데이터가 수집된 장소나 데이터와 관련된 사람들도 중요할 수 있습니다.

데이터가 여러 곳에 상주할 수 있는 것과 마찬가지로 여러 주권에 속할 수도 있습니다. 예를 들어 EU 국가에 거주하는 데이터는 해당 국가의 현지 법률과 EU 전체에 적용되는 GDPR을 준수해야 합니다.

데이터 주권 요구 사항은 다음과 같이 다양할 수 있습니다.

• 일부 국가에서는 기업이 수집할 수 있는 민감한 데이터의 종류와 데이터를 수집하는 방법을 제한합니다.
  
  
• 일부 국가에서는 조직이 특정 종류의 데이터를 사용하는 방법에 제한을 둡니다.
  
  
• 일부 국가에서는 특정 사이버 보안 통제를 의무화하고 데이터 유출이 발생하는 경우 조직이 특정 프로세스를 따도록 요구합니다.
  
  
• 일부 개인정보 보호 규정은 데이터 주체에게 데이터를 삭제할 수 있는 기능을 포함하여 데이터에 대한 많은 권한을 부여합니다.

현지 데이터 관련 법률을 준수하지 않으면 벌금이나 기타 법적 처벌을 받을 수 있습니다. 또한 평판에 손상을 입힐 수도 있습니다. 조직이 데이터 개인정보 보호 규정을 위반하면 고객이 다른 곳으로 비즈니스를 옮길 수 있습니다. 

데이터 레지던시 및 데이터 주권 요구 사항은 조직이 수집하는 데이터 종류, 데이터 사용 방법 및 구축하는 IT 인프라에 대한 조직의 결정에 영향을 미칠 수 있습니다.

오늘날 조직은 전 세계의 더 많은 데이터 소스(웹 앱, 비즈니스 시스템, 사물인터넷)에서 더 많은 유형의 데이터(고객 데이터, 운영 데이터, 거래 데이터)를 수집합니다. 많은 조직이 데이터 저장, 처리, 분석 및 기타 주요 워크로드에 클라우드 서비스를 사용합니다.

데이터는 조직의 클라우드에 연결된 IT 인프라를 통해 이동하여 여러 국경을 넘나들 수 있습니다. 데이터가 어디로 이동하든 새로운 법률의 적용을 받을 수 있습니다. 조직은 클라우드 서비스 공급자와 협력할 때 저장 및 백업을 위해 데이터가 어디로 이동하는지 알아야 합니다.

조직은 조직과 같은 장소에 인프라가 있는 퍼블릭 클라우드 공급자와 협력할 수 있습니다. 일부 조직은 필요한 곳에 하드웨어가 있는 프라이빗 클라우드에 의존합니다.

많은 조직이 여러 퍼블릭 및 프라이빗 클라우드 환경과 공급자를 사용하는 하이브리드 멀티클라우드 접근 방식을 취합니다. 이 하이브리드 접근 방식은 조직이 다양한 위치의 다양한 데이터 법률을 준수하는 데 필요한 인프라를 구축하는 데 도움이 될 수 있습니다.

클라우드 내 데이터 레지던시 및 주권의 복잡성으로 인해 조직이 다양한 지역의 법률 및 규제 요구 사항을 준수할 수 있도록 설계된 클라우드 컴퓨팅의 한 유형인 소버린 클라우드가 개발되었습니다.

일부 조직에서는 클라우드 스토리지 및 처리 대신 온프레미스 데이터 시스템을 선택합니다. 데이터를 온프레미스에 보관하면 특정 규정 준수 문제를 줄이는 데 도움이 될 수 있지만, 이러한 방식은 클라우드보다 비용이 많이 들고 확장성이 떨어질 수 있습니다.

일부 국가에서는 조직이 특정 액세스 제어 및 위협 탐지 기술을 적용하는 등 데이터 보안을 위한 특정 조치를 취하도록 규정하고 있습니다.

민감한 정보에 대한 무단 액세스를 방지하는 것은 이미 대부분의 조직에서 최우선 과제이지만, 데이터 주권 및 레지던시에 따라 수행해야 하는 특정 데이터 보안 조치가 달라질 수 있습니다.

일부 데이터 법률은 조직이 보유한 데이터로 무엇을 할 수 있는지에 대해 규정하고 있습니다.

예를 들어, 특정 제한 조건이 충족되지 않는 한 민감한 데이터의 사용을 금지하는 법률이 있는가 하면, 요청 시 삭제할 수 있는 권리를 포함하여 개인 데이터에 대한 상당한 권한을 부여하는 법률도 있습니다.

조직은 데이터가 적절하게 사용되고 소비자가 자신의 권리를 쉽게 행사할 수 있도록 보장하는 메커니즘을 마련해야 합니다.  

데이터 레지던시 및 주권 요구 사항은 인공 지능(AI) 및 머신 러닝(ML) 워크로드에 영향을 미칠 수 있습니다.

일부 국가에서는 특정 유형의 데이터에 대한 AI의 특정 사용을 제한하고 있습니다. 예를 들어, EU AI 법에서는 연령이나 장애로 인한 취약성 등 특정 취약점을 악용하는 사회적 점수 시스템이나 AI 시스템 등을 금지하고 있습니다.

게다가 오늘날 조직은 자체 AI 모델을 처음부터 구축하는 경우가 거의 없습니다. 많은 조직이 클라우드에 호스팅된 제3자 제공업체의 AI 시스템을 사용합니다. 이러한 시스템은 다른 클라우드 서비스와 마찬가지로 복잡성을 가질 수 있습니다.

안전한 AI 사용에 대한 우려로 인해 소버린 AI, 즉 국가가 자체 AI 시스템을 개발하고 국경 내에서 AI를 관리하기 위해 수행하는 노력에 대한 관심이 높아졌습니다.

AI 거버넌스 도구는 조직이 IT 스택에서 AI가 어떻게, 어디에 배포되는지에 대한 가시성과 통제력을 높이는 데 도움이 될 수 있습니다. 이렇게 향상된 가시성과 제어 기능을 통해 조직은 AI 및 ML 애플리케이션이 관련 규정을 준수하면서 가치를 제공할 수 있도록 보장할 수 있습니다.

면책 조항: 고객은 적용되는 모든 법률과 규정을 모두 준수할 책임이 있습니다. IBM은 법률 자문을 제공하지 않으며, 고객이 자사의 서비스 또는 제품을 통해 법률이나 규정을 준수할 수 있음을 표현하거나 보증하지 않습니다.