4차 산업혁명 시대는 각종 IoT 및 센서 등을 통해 사람과 사물, 사물과 사물이 연결되는 초연결 사회로 소비자가 재화와 서비스를 이용하는 과정에서 막대한 규모의 데이터가 생성된다. 또한 빅데이터, 인공지능, 데이터마이닝 등 고도화된 ICT 기술이 동 데이터를 기반으로 새로운 가치 창출의 촉매 역할을 하는 ‘데이터 경제(Data Economy)’의 시대이다. 이와 같은 사회적 변화는 소비자의 역할과 권리에도 많은 영향을 미치므로 본 연구에서는 선행 연구를 기반으로 데이터를 중심으로 소비자의 역할과 권리를 접근하는 소비자 데이터 주권(consumer data sovereignty)의 개념을 도출하고자 한다. 또한 EU GDPR에 규정된 주요 신규 제도들을 중심으로 소비자 데이터 주권 강화를 위한 제도적 보완점을 도출하고자 한다. 소비자 데이터 주권이란 소비자 자신에 관한 데이터의 생성, 저장, 유통 및 활용에 대한 정보 주체인 소비자의 배타적 권리로 소비자 이익을 위해 데이터의 흐름, 공개·비공개 여부, 사용 등을 소비자 스스로 통제할 수 있는 권리를 의미한다. 개인정보 자기 결정권과는 권리 행사의 주체가 소비자이고 객체가 개인정보보다 상세한 수준의 데이터라는 측면에서 차이가 있다. 4차 산업혁명시대에 소비자는 가치 창출자로써의 보다 능동적 역할을 수행할 것으로 예상되나 소비자 데이터 주권 또한 취약해질 우려가 있다. 이를테면, ICT 서비스 독과점 심화에 따른 소비자 선택권 제한 및 데이터 독과점 문제, 기업 및 소비자간 기술 격차 심화에 따른 소비자 데이터 주체성의 상실, 초연결 사회로 인한 데이터 확장성으로 인한 통제권의 상실 문제, 데이터 가치 보상에서의 소비자 소외 등에 대한 우려가 있다. EU의 일반 개인정보보호법인 GDPR은 EU 회원국과 소비자의 데이터 주권 보호를 위해 데이터 이동권, 프로파일링 기반 자동화된 의사 결정의 대상이 되지 않을 권리, 잊힐 권리 등 신규 제도 도입을 명문화하였다. 동 제도들은 첫째, 데이터 이동권 보장을 통해 데이터로 인해 소비자가 특정 재화나 서비스에 귀속되지 않도록 하여 소비자 선택권 제한의 문제를 해소하였고. 둘째, 데이터 가공 및 처리에 대한 기술 격차 해소를 위해 데이터 수집·활용에 대한 투명성 확보를 통한 소비자의 알 권리를 보장하였으며 셋째, 폭발적인 데이터 전파력과 확정성을 고려하여 소비자의 데이터 통제권의 행사 범위를 계약 중심에서 데이터 중심으로 확대하였다. 반면, 국내 개인정보보호 법제 및 관련 연구들은 데이터에 대한 활용보다는 개인정보의 보호 중심으로 수행되어 온 측면이 있다. GDPR의 신규 제도들의 특징을 고려하여 데이터의 보호와 활용이 균형을 이루는 소비자 데이터 주권 강화를 위한 제도적 보완 방안 모색이 필요하다.

The 4th Industrial Revolution era is a hyper-connected society in which people, things, objects and objects are connected through various IoTs and sensors, and massive data is generated during consumption of goods and services. In addition, it is also the era of ‘Data Economy’, which advanced ICT technology such as big data, artificial intelligence, and data mining serves as a catalyst for new value creation based on this data. Social change has a great impact on the role and rights of consumers. Therefore the concept of consumer data sovereignty, which approaches consumers' roles and rights based on data, is derived in this study, because such social changes have a great influence on the roles and rights of consumers. In addition, it is also another purpose of this study to draw up a systematic complementary point for strengthening the sovereignty of consumer data centered on major new institutions defined in the EU GDPR. Consumer Data Sovereignty is the exclusive right of consumers, who are the data subject, about the creation, storage, circulation and utilization of data and to control the flow of data, whether it is disclosed or not. The personal information self-determination right differs in that the subject of the exercise of rights is not a data subject but a consumer and the object is more detailed data than the personal information. Consumers are expected to play a more active role as value creators in the era of the Fourth Industrial Revolution, but consumer rights may also become weakened. For example, There is a concern about consumers' choice restrictions and data monopoly problems may arise due to intensification of ICT service monopolies, loss of consumers' data subjecthood due to technological gap between firms and consumers, loss of control due to data expansion due to a hyper-connected society and consumer alienation in compensation system for data utilization. The GDPR, the general privacy protection law of the EU, introduced the new consumer data protection institutions such as data movement rights, rights not to be subject to automated decision-making based on profiling, and the right to be forgotten, in order to protect consumer data sovereignty of EU Member States and consumers. First, it guarantees that consumers do not belong to certain goods or services because of the data movement. Second, to ensure the transparency of data collection and utilization, the right of knowing the consumers is secured in order to resolve the technology gap in data processing and processing. Third, the scope of data control right of consumers is moved from contract to data in consideration of explosive data propagation power and determinacy. On the other hand, domestic personal information protection legislation and related studies have been carried out mainly on the protection of personal information, rather than utilization of data. Considering the characteristics of the new systems of GDPR, it is necessary to seek institutional complementary measures to strengthen the sovereignty of consumer data, which balances data protection and utilization.