• 디지털 전환이 가속화되면서 데이터 등 기업의 핵심자산이 이전보다 쉽게 이동･결합되는 환경이 형성되고 있음. 데이터 활용 정책이 활발히 전개될수록 영업비밀이 예기치 않게 노출･이전될 위험도 급증할 수 있어, 영업비밀 보호를 위해 비밀관리 조치와 보호기준 등을 재정립해야 하는 새로운 법적 과제가 대두되고 있음

• 본 연구는 2025년 9월부터 시행되고 있는 ｢EU Data Act｣를 중심으로 데이터 공유･접근･이전･전환에 관한 사항들과 영업비밀이 어떻게 연결되는 지를 확인하고자 함. 이를 통해 변화하는 기술 환경 속에서 영업비밀 보호체계의 재정립 방향을 모색하고, 향후 기업의 비밀관리 의무 강화 및 국가의 정책적 대응과제의 필요성을 살피는데 목적이 있음
※ 본 보고서 내용은 필자의 개인적인 견해이며, 한국지식재산연구원의 공식적인 의견이 아님을 밝힙니다.

Ⅰ서론

□ 연구의 배경

• 디지털 경제 시대의 도래와 데이터에 대한 가치 변화
- ‘데이터’ 사전적 의미로서 ‘관찰, 실험, 조사 등을 통해 얻은 이론을 세우는 기초가 되는 사실이나 자료’를 말하며, 법적 개념으로는 ‘정보처리능력을 갖춘 장치를 통하여 생성 또는 처리되어 기계에 의한 판독이 가능한 형태로 존재하는 정형 또는 비정형의 정보’로 정의1)
- 디지털 전환이 본격화되면서 데이터는 생산･유통･서비스 전반을 견인하는 핵심 전략자산으로 자리매김하고 있으며, 데이터의 경제적 가치가 증가하면서 데이터 활용의 중요성･가능성 측면의 논의로 확대되고 있음 
- 사물인터넷(IoT)*, 클라우드 서비스, AI를 활용한 기술이 산업 전반에 확산되면서 기업들은 방대한 양의 산업데이터를 생성･수집･처리하고 있으며, 이 과정에서 발생한 데이터들이 제품 개발, 유지보수, 서비스 혁신, 고객 맞춤형 비즈니스 모델 등 다양한 분야에서 경쟁력을 결정하는 핵심요소로 기능
    *(IoT, Intenet of Things) 소프트웨어, 센서 및 기타 매커니즘을 삽입하여 인터넷을 통해 다른 시스템 및 장치와 데이터를 교환하고 연결하는 물리적 객체의 네트워크를 의미
- 이처럼 데이터가 생산요소이자 거래･혁신의 기반이 되면서, 데이터의 이동과 공유는 가치 창출의 전제조건으로 기능하고 있음. 대부분의 첨단기술이 데이터의 집적･순환･재활용을 통해 고도화되고 있는 만큼, 현대사회에서는 기업 간･국가 간 데이터 연계와 협력이 사실상 필수요건으로 인식되고 있음
 
□ 유럽연합의 데이터법 (｢EU Data Act｣)의 제정 배경과 유럽 내 정책 동향

- EU는 2020년 ｢유럽 데이터 전략(European Data Strategy)｣을 통해 데이터 기반 경제구조로의 전환을 공식 선언하고, 산업･공공･사회 전반에서 생성되는 방대한 데이터를 활용하기 위한 단일 유럽 데이터 공간(European Data Space) 구축을 핵심 정책 목표로 제시하였음3)
- EU 집행위원회는 데이터 공유와 이동성을 촉진하고 사용자･기업 간 데이터 권한의 불균형을 해소하기 위해, 포괄적 규범의 마련이 필요하다는 문제의식을 제기. 이에 따라 2022년 유럽연합 데이터법(이하 ‘｢EU Data Act｣’) 초안을 공개하였으며, 동 법은 2023년 6월 EU 의회･이사회 합의를 거쳐 같은 해 11월 공식 발효됨
- ｢EU Data Act｣는 데이터의 공정한 접근･이용･이전을 제도적으로 보장하여 데이터 독점을 완화하고 혁신 생태계를 구축하는 것을 목적으로 함. 이를 위해 데이터 접근권 보장, 데이터 이동성 확보, 공정한 계약조건 마련, 공공목적의 데이터 접근 등을 규정하고 있으며, 약 20개월의 유예기간을 거쳐 2025년 9월 12일부터 단계적으로 시행되고 있음
- EU 내 기존 데이터 관련 법･규정*이 주로 개인정보와 공공데이터 중심의 접근을 취해왔다면, ｢EU Data Act｣는 산업데이터와 기업정보를 포함한 ‘경제적 데이터’ 전반을 포괄하는 법제라는 점에서 차별화. 이 법을 통해 EU의 데이터 정책은 구조적 전환점을 맞이하였으며, 데이터의 생성･이용 구조가 기업 중심에서 사용자와 시장 전체로 확장되는 패러다임의 변화가 이루어졌다고 평가할 수 있음
    * General Data Protection Regulation (GDPR)4), Open Data Directive,5) Data Governance Act (DGA) 등6)
 
□ 산업데이터의 공유･활용과 영업비밀의 보호의 충돌 지점

- 산업데이터의 공유･활용은 디지털 경제에서 필수인데, 산업데이터는 개인정보나 공공데이터와 달리, 제조공정, 알고리즘, 운영기술, 노하우 등 기업의 영업비밀적 요소가 자연스럽게 포함되어 있는 경우가 대부분임
- 이러한 지점에서 데이터의 공유･개방을 촉진하려는 규범적 흐름은 기존의 영업비밀 보호체계와 구조적 충돌을 일으킬 수 있음. 데이터 제공이 확대될 경우, 기업 입장에서는 핵심 기술이 노출될 위험이 커질 수 있다는 우려가 함께 제기
  - 이 같은 구조적 긴장을 조정하기 위하여 ｢EU Data Act｣는 데이터 공유･이동 촉진이라는 기본 목표와 함께, 기업의 영업비밀 및 기밀정보 보호에 관한 사항들을 별도로 명시하고 있다는 점이 특징적임

□ 데이터 공유의 압력과 영업비밀 보호의 반작용

- 기술환경 변화 속에서 데이터의 공유와 이동이 불가피한 상황이나, 이러한 데이터의 개방･이용 확대는 기업의 핵심 기술정보를 비공개로 유지하는 것을 전제로 설계된 기존 지식재산 패러다임과 구조적 긴장관계를 형성할 수 있음
- 산업이 데이터･알고리즘 중심 구조로 전환되면서 공개될 경우 위험이 큰 기술자산이 증가하고 있으며, 이에 따라 기업들은 공개를 전제로 하는 특허보다 비공개 유지가 가능한 영업비밀에 더 높은 전략적 가치를 부여하고 있음. 그 결과 기업의 기술 포트폴리오에서 비공개 자산의 비중이 확대되고 있으며, 영업비밀을 중심으로 한 보호전략의 중요성 역시 크게 강화되는 흐름이 나타나고 있음
- 이러한 흐름은 글로벌 IP 동향에서도 확인되는데, 기업들이 영업비밀을 전략적 보호수단으로 간주하는 경향이 강화되면서, 영업비밀 관련 분쟁과 소송은 증가하는 반면 특허 소송은 점진적으로 감소하고 있다는 분석이 제기되고 있음7)
  - 이러한 현상은 데이터 공유･이동성 확대라는 국제 규범의 압력과, 기업이 기술자산을 비공개로 유지하려는 영업비밀 중심 전략이 정면으로 충돌하는 구조적 긴장을 초래하고 있음. 이는 결국 두 가치를 어떻게 조화시킬 것인지에 대한 보다 정교한 법적･정책적 해석이 필요함을 시사

□  ｢EU Data Act｣가 촉발한 새로운 논의, 규범 재정립의 필요성

- 2025년 9월부터 시행되고 있는 ｢EU Data Act｣는 데이터 이동성 확대와 영업비밀 보호를 동시에 추구하는 새로운 법적 조합을 시도한 최초의 법제임. 이 법은 데이터 제공･이전 과정에서 영업비밀이 노출될 가능성을 전제로, 기술적･조직적 보호조치, 제공 거부･보류 요건, 이용 제한 등 영업비밀 보호 장치를 법률 차원에서 직접 설계하고 있음
- ｢EU Data Act｣에서 ‘영업비밀’을 별도의 항목으로 명시한 것은, 영업비밀이 단순한 기업의 자산 보호 차원을 넘어 계약, 경쟁정책, 데이터 규제, 국제협력까지 연결되는 정책적･국제적 이슈로 확장되고 있음을 의미
- ｢EU Data Act｣는 EU 내부를 넘어 글로벌 기업, 규제기관, 각국 정부 간 데이터 공유 규범을 형성하는 중요한 기준점으로 작용할 가능성이 높음. 데이터 공유 압력과 기업의 영업비밀 강화 전략이 동시에 작동하는 환경에서 양자의 가치충돌을 조정하기 위한 새로운 법･정책적 논의의 필요성이 본격적으로 요구되고 있음
 
□ 연구의 필요성

• 현재의 영업비밀 관련 논의의 핵심 한계
- (전통적･물리적 보호 기준의 한계) 출입통제･문서관리 등 물리적 조치 중심의 기존 영업비밀의 보호 기준은 디지털 환경을 고려하지 않은 구시대적 모델로, 데이터가 클라우드･네트워크･공급망을 가로질러 이동하는 현실에서는 실효성이 급격히 약화될 수 있음
- (데이터 이동 환경에서 비밀성 입증의 어려움 심화) 데이터가 기업 내부에 고정돼 있지 않고 상시 이동･공유되는 환경에서는 현행 법제가 요구하는 비밀성 유지의 “입증” 자체가 구조적으로 어려워져 기업의 법적 리스크가 증가
- (현대적 기술 활용과 영업비밀 기준의 충돌) AI 학습, 클라우드 저장, 외부 분석 서비스 이용 등 현대적 데이터 처리행위가 ‘제3자 제공’ 또는 ‘비밀성 상실’로 평가될 가능성이 있으나, 이에 대한 명확한 법적 기준이 부재하여 기업이 기술 활용과 비밀유지 사이에서 지속적인 충돌이 발생할 수 있음
- (영업비밀 정보의 식별･분류 체계 부재) 기업 내부에서 어떤 정보가 영업비밀인지, 어떤 보호조치가 필요한지에 대한 식별･분류 체계가 미비해, 비밀성 상실 또는 의도치 않은 정보 유출 위험이 상존하며, 이는 법적 보호의 최종 요건을 충족시키기 어렵게 만들고 있음
- (디지털 협업･데이터 연계 구조를 반영하지 못하는 법제) 플랫폼･API*･IoT 기반 데이터 연계･협업이 일상화되었음에도, 기존 영업비밀 법제는 데이터가 기업 경계를 넘나드는 구조적 특성을 반영하지 못하고 있음. 이에 광범위한 회색지대가 존재하며, 실무상 불확실성이 높아지는 상황
    *(API, Application Programming Interface) 서로 다른 소프트웨어 애플리케이션들이 데이터를 주고받고 소통할 수 있도록 정의된 규칙과 프로토콜의 집합을 의미

• ｢EU Data Act｣가 던지는 국내 영업비밀 보호체계의 새로운 쟁점
- (EU 시장에 진출한 기업의 즉각적 규제 부담 확대) ｢EU Data Act｣가 본격 시행됨에 따라, EU 내에서 IoT･SaaS･데이터 분석 서비스를 제공하는 국내 기업은 데이터 제공 범위, 보호조치, 이동 거부 요건, 책임 배분 등 새로운 의무를 충족해야 하며, 이에 따라 데이터 관리체계･계약 구조 전반의 재정비가 필수적 과제로 부상하고 있음
- (데이터 공유 과정에서 영업비밀 보호수준 논란 가능성 증대) ｢EU Data Act｣는 데이터 제공･이전 단계에서 발생할 수 있는 영업비밀의 비밀성 훼손, 보호조치의 적정성, 책임 분담 기준을 법률 차원에서 직접 규정하고 있어, 국내 기업의 기존 영업비밀 관리 관행과 충돌하거나 보완을 요구하는 새로운 규범적 기준으로 작용하고 있음
- (국내 기업의 IP･계약･데이터 거버넌스 전반에 대한 전략적 대응 필요) ｢EU Data Act｣ 환경에서 기업의 영업비밀을 안정적으로 보호하기 위해서는 법의 각 조항을 지식재산･계약･데이터 거버넌스 관점에서 체계적으로 해석하고 기업별 위험･책임 구조에 맞춘 대응전략을 마련할 필요가 있음

□ 연구의 방향

• 본 연구는 ｢EU Data Act｣의 핵심 중 ‘영업비밀’ 관련 규정을 중심으로, 데 이터 이동･공유 확대가 기업의 비밀관리 조치, 보호수준, 법적 책임구조에 미치는 영향을 분석하고자 함. 이를 통해 EU 데이터 규범 변화가 국내 법제와 기업의 영업비밀 관리체계 전반에 가져올 실질적 함의를 도출하고, 향후 대응 방향을 제시할 예정

1) ｢데이터기반행정 활성화에 관한 법률｣  제2조(정의), 참고로 우리나라에서 데이터에 관한 기본법으로 여겨지는 ｢데이터 산업진흥 및 이용촉진에 관한 기본법｣에서는 데이터를 “다양한 부가가치 창출을 위하여 관찰, 실험, 조사, 수집 등으로 취득하거나 정보시스템 및 ｢소프트웨어 진흥법｣ 제2조제1호에 따른 소프트웨어 등을 통하여 생성된 것으로서 광(光) 또는 전자적 방식으로 처리될 수 있는 자료 또는 정보”라고 규정하고 있다.
2) IOT Analytics, State of IoT 2025: Number of connected IoT devices growing 14% to 21.1 billion globally, 2025. 10. 28.
3) IoT･AI･클라우드 확산으로 산업데이터의 경제적 가치가 급증했으나, 데이터가 특정 제조사･플랫폼에 집중되면서 접근권 불균형･독점 구조가 심화되고 있으며, 개인정보에 대한 규율(GDPR)과 달리, 비(非)개인 데이터･산업데이터 전반을 체계적으로 규율하는 법제가 부재하다는 점이 구조적 문제로 지적된 바 있다.
4) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, 개인정보의 보호 및 이동성에 관한 EU의 기본 규정, 데이터 주체의 권리와 처리자의 의무를 명문화
5) Directive (EU) 2019/1024 of the European Parliament and of the Council of 20 June 2019 on open data and the re-use of public sector information, 공공 데이터의 개방 및 재이용에 관한 사항을 규정, 데이터 활용 정책의 초기 단계로서 공공데이터 중심의 접근을 규정
6) Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance (Data Governance Act), 공공데이터･개인데이터･민간데이터의 자발적 공유를 촉진하기 위한 거버넌스의 틀을 마련, 데이터 이용자 간의 신뢰 기반 데이터 공유 매커니즘을 구축
7) Daniel Bradley, Dan Hu, Xiaojing Yuan and Chi Zhang, Trade secret protection and product market dynamics, ｢Journal of Corporate Finance｣ Volume 83, December 2023
8) Fair Competition Law, New Trade Secret and Noncompete Case Growth Graph (Updated January 2025), 2025. 1. 13.,
9) Unified Patents, Patent Dispute Report: 2024 Mid-Year Report, 2024. 7. 22.

(이하생략)