What is data sovereignty?

Data sovereignty is a government’s right to regulate data within its borders. If an organization collects data in Spain and stores and processes it in the United States, it must abide by the data laws of both sovereign nations. Their laws and regulations guide how the company manages and uses data—especially sensitive information, such as credit card and medical data. For example, the United States CLOUD Act tells organizations how to respond to law enforcement requests for data they’re storing.

What is data residency?

Data residency refers to geographic location, the country or region where organizations choose to store their data. Their choice often relates to local privacy and security laws. Tight regulations, such as those that restrict companies from moving data from one location to another, can inhibit commerce and/or cause companies to rethink their practices. Some managed service providers are building local data centers to meet the requirements of individual governments. For example, TEAM IM, a New Zealand data management services provider, is building that country’s first locally owned and operated hyperscale cloud to meet relevant regulatory and data sovereignty requirements.

What is the major difference between data sovereignty and data residency?

Data sovereignty concerns the legal authority to regulate data. Data residency concerns the geographical location of stored data, which determines the national or regional body that can claim sovereignty.

Does GDPR affect data sovereignty and residency?

Under GDPR, both the nation where data is stored and the EU have the sovereign right to regulate data. In doing so, member states adhere to GDPR data residency rules protecting privacy and security.

What is the difference between data localization and data residency?

Data residency relates only to where data is stored, its geographical location. Data localization is when governments insist that data can’t leave its borders. In Brazil, for example, certain types of sensitive data must be stored locally.

메뉴 문의하기 Oracle Cloud에 로그인

데이터 주권 대 데이터 레지던시: 3가지 차이점

Mark Jackley | Content Strategist | 2024년 8월 26일

데이터 주권이란 무엇인가요?
데이터 레지던시란 무엇인가요?
데이터 주권과 데이터 레지던시의 차이점은 무엇인가요?
데이터 주권과 데이터 레지던시의 3가지 주요 차이점
Oracle의 소버린 클라우드 솔루션 활용하기
데이터 주권 대 데이터 레지던시 FAQ

데이터 주권 및 데이터 레지던시 관련 법률과 규정은 데이터 관리의 핵심 요소입니다. 해당 법률 및 규정은 기업이 사람들의 데이터를 수집, 저장, 처리, 사용할 때 반드시 준수해야 하는 내용들을 담고 있으며, 이는 데이터가 여러 국가의 국경을 넘나드는 클라우드 서비스 제공업체에게 특히 중요한 요소입니다. 클라우드 서버의 물리적 위치는 데이터 주권 요건의 충족 여부를 좌우하고, 데이터 레지던시와 관련된 결정의 토대를 제공합니다. 데이터를 올바르게 관리하기 위해서는 두 개념의 차이점을 이해해야 합니다.

데이터 주권이란 무엇인가요?

데이터 주권(data sovereignty)은 자국의 국경 내에서 데이터를 규제할 수 있는 정부의 권리입니다. 스페인에서 데이터를 수집해 미국에서 저장 및 처리하는 기업은 두 주권 국가의 데이터 관련 법률을 모두 준수해야 합니다. 양국의 법률 및 규정에는 기업이 데이터, 특히 신용카드 및 의료 데이터와 같은 민감한 정보를 관리하고 사용하는 방법이 지정되어 있습니다. 예를 들어, United States CLOUD Act에는 기업이 저장 중인 데이터에 대한 법 집행 기관의 요청에 대응하는 방법이 담겨 있습니다.

100개 이상의 국가들이 각자 독자적인 데이터 프라이버시 및 보안 관련 법률과 규제를 적용 중에 있습니다. 이는 글로벌 기업의 데이터 규제 준수를 어렵게 만드는 요인입니다. 기업은 다양한 국가 및 지역별 데이터 관련 책임을 정확히 파악해야만 엄격한 처벌을 피할 수 있습니다. 예를 들어, 유럽연합은 일반 데이터 보호 규칙(GDPR)에 따라 최대 2천만 유로 또는 GDPR 위반 기업의 연간 매출의 4% 중 더 높은 금액을 벌금으로 부과할 수 있습니다. 데이터 스토리지 제공업체 Scality의 2022년 연구에 따르면 미국 및 유럽 기업의 IT 부서 중 98%가 데이터 주권 관련 전략을 수립했습니다.

데이터 레지던시란 무엇인가요?

데이터 레지던시는 기업이 데이터를 저장하기로 선택한 지리적 위치, 즉 국가 또는 지역을 의미합니다. 저장 위치는 현지의 데이터 프라이버시 및 보안법과 관련해 결정되는 경우가 많습니다. 기업이 데이터를 한 위치에서 다른 위치로 이동하는 것을 제한하는 것과 같은 엄격한 규제는 기업의 운영을 위축시키고 기업이 기존의 관행을 재고하도록 만들 수 있습니다. 일부 관리형 서비스 제공업체는 각국 정부의 요구 사항을 충족하기 위해 현지에 데이터 센터를 구축하고 있습니다. 예를 들어, 뉴질랜드의 데이터 관리 서비스 제공업체인 TEAM IM은 관련 규제 및 데이터 주권 요건을 충족하기 위해 뉴질랜드 최초로 현지 기업이 소유 및 운영하는 하이퍼스케일 클라우드를 구축하고 있습니다.

데이터 레지던시를 데이터 로컬라이제이션과 혼동하는 경우가 많습니다. 후자는 한 국가 내에서 생성된 데이터는 반드시 그 국가에 남아 있어야 한다는 별개의 개념입니다. 일부 국가에서는 데이터 사본이 현지에 상주하기만 하면 된다는 규정을 적용하기도 하지만, 러시아처럼 자국민의 데이터는 반드시 자국 내의 데이터 센터에만 저장해야 한다고 규정한 국가도 있습니다.

핵심 요점

데이터 주권은 데이터의 법적 관할권을 다루는 개념입니다.
데이터 레지던시는 데이터가 저장되는 지리적 위치와 관련된 개념입니다.
두 가지 개념 모두 데이터 프라이버시 및 보안에 대한 문제 의식으로부터 비롯된 것입니다.
AI를 비롯한 다양한 기술이 빠르게 발전함에 따라 일부 기업은 데이터 레지던시, 액세스, 보안을 규정하는 현지 법률을 보다 간단히 준수할 수 있는 수단인 소버린 클라우드를 채택하고 있습니다.

데이터 주권과 데이터 레지던시의 차이점은 무엇인가요?

데이터 주권은 국가가 자국의 국경 내에서 데이터를 규제할 수 있는 권리를 의미하는 개념입니다. 데이터 레지던시는 데이터 주권이 지리적 위치에 기반한다는 사실을 확실시해주는 개념입니다. 클라우드 데이터베이스조차도 특정 국가의 영토 내에 존재하며, 데이터 관리의 모든 측면은 현지 정부의 법률에 따라 결정된다는 중요한 사실을 확인시켜 주는 개념이기도 합니다.

데이터 주권

개별 국가 또는 EU와 같은 지역 단체는 데이터 주권이라는 개념에 의거해 관할권 내에 저장된 데이터를 규제합니다. 글로벌 기업은 수집한 데이터를 저장, 보호, 사용할 때 데이터 주권 관련 법률이 지역마다 크게 다르다는 사실을 유념해야 합니다. 예를 들어, 2023년 미국의 버지니아주, 캘리포니아주, 코네티컷주, 유타주, 콜로라도주에서는 엄격한 개인정보 보호법을 통과시켰고, 해당 주에서 활동하는 기업들은 현지의 데이터 수집 및 사용 관행을 검토하고 조정해야 했습니다.

데이터 레지던시

데이터 레지던시는 저장된 데이터의 위치에 집중하는 개념입니다. 데이터 레지던시는 데이터 관리라는 퍼즐의 중요한 조각으로서 기업이 현지의 데이터 관련 법률에 따라 운영 및 기술 역량을 개선하는 과정을 안내합니다. 예를 들어, Reserve Bank of India는 데이터 레지던시 요건을 이유로 American Express, Diners Club, Mastercard가 인도에서 신규 고객에게 카드를 발급하는 권한을 일시적으로 제한했습니다. 이러한 법적 도전 과제에 직면한 기업은 데이터 국외 전송에 대한 보다 엄격한 정책을 수립하거나, 개인정보 보호 및 보안 법률 준수를 감독할 최고 데이터 보호 책임자를 임명하는 것과 같이 기존의 데이터 관리 방식을 변경해야 할 수 있습니다.

데이터 주권과 데이터 레지던시의 3가지 주요 차이점

사람들은 데이터 주권과 데이터 레지던시를 혼용하기도 합니다. 그러나 두 개념 사이에는 데이터 저장 및 규제 준수에 대한 의사 결정을 포함해 기업의 디지털 활동에 영향을 줄 수 있는 3가지 주요 차이점이 있습니다.

범위. 데이터 주권은 데이터를 규제할 수 있는 법적 권한입니다. 예를 들어 미국에서는 연방 정부 및 개별 주 모두 이러한 권한을 가지고 있습니다. 반면 데이터가 저장되는 물리적 위치를 의미하며, 어느 정부가 주권을 가지고 있는지를 결정합니다. 마르세유에 있는 데이터 센터는 두 가지 관할권에 모두 해당되므로 프랑스 및 EU 법률을 모두 적용받습니다.
주안점. 각국 정부는 데이터 주권 개념에 의거해 데이터 저장 및 관리에 관한 법률 및 규정을 제정합니다. 예를 들어 브라질의 General Data Protection Law는 인종 또는 민족, 종교적 신념, 정치적 견해, 노조 가입, 건강 및 성생활 기록, 유전학, 생체 인식 등과 관련된 개인 데이터를 보호합니다. 기업은 데이터 레지던시 개념에 의거해 현지의 데이터 법률을 반드시 준수해야 하며, 그렇지 않을 경우 처벌을 받게 됩니다. 2023년, Irish Data Protection Commission은 아일랜드 및 EU 법률에 따라 글로벌 기술 대기업 Meta에 개인 데이터를 미국으로 불법 전송한 혐의로 12억 유로의 벌금을 부과했습니다.
장점. 데이터 주권 개념은 국가에게 자국의 국경 내에서 데이터의 프라이버시와 보안을 보호할 권리를 부여합니다. 그러한 개념이 정립되지 않았던 과거에는 기업이 개인 정보를 본인의 동의 없이 제3자에게 광고 용도로 판매하는 것과 같이 마음대로 사용할 수 있었습니다. 기업은 데이터 레지던시를 이해함으로써 데이터 보안, 액세스, 사용과 관련된 다양한 표준을 비롯해 각국의 데이터 관리에 적용되는 법률을 파악할 수 있습니다. 데이터 레지던시는 데이터의 저장 위치를 결정하는 중요한 요소이며, 현지의 관련법을 준수하기 위해 필요한 정책 및 기술적 변경 사항이 무엇인지 알려줍니다.

데이터 주권 대 데이터 레지던시

데이터 주권	데이터 레지던시
데이터 주권은 정부에게 데이터를 규제할 수 있는 법적 권리를 부여합니다.	데이터 레지던시는 데이터가 저장되는 물리적 위치를 의미하며, 어느 정부 또는 지역 기관이 데이터에 대한 주권을 가질지 여부를 결정합니다.
데이터 주권이 광범위한 법적 개념인 반면...	...데이터 레지던시 또한 법적 개념이지만, 데이터를 저장하고 처리하는 방법을 보다 기술적으로, 자세히 다룬다는 차이가 있습니다.
각국은 데이터 주권 개념에 의거해 데이터 저장 및 관리에 관한 법률과 규정(예: 중국의 Personal Information Protection Law)을 통과시킵니다.	데이터 레지던시 개념은 기업이 반드시 현지 데이터 법률을 준수하도록 강제하고, 법률을 어긴 기업을 처벌하는 근간으로 작용합니다. 중국에서는 데이터 관련법을 위반한 기업에게 최대 5천만 위안의 벌금을 부과합니다.
데이터 주권 개념은 국가에게 자국의 국경 내에서데이터의 프라이버시와 보안을 보호할 권리를 부여합니다.	기업은 데이터 레지던시를 이해함으로써 데이터 보안, 액세스, 사용과 관련된 다양한 표준을 비롯해 각국의 데이터 관리에 적용되는 법률을 파악할 수 있습니다.
데이터 주권 관련법이 제정되기 전에는 기업이 개인정보를 제3자에게 동의 없이 판매하는 등, 개인정보 사용에 대한 가이드라인이 거의 없었습니다.	오늘날에는 데이터 개인정보 보호 및 보안에 관한 법률적 변화를 따라잡는 일은 일상적인 글로벌 기업 운영의 한 부분이 되었습니다.

Oracle의 소버린 클라우드 솔루션 활용하기

데이터 주권 개념을 기반으로 개발된 Oracle Cloud Infrastructure(OCI) 솔루션은 기업이 데이터의 위치, 액세스, 레지던시, 제어와 관련된 요구 사항을 해결할 수 있도록 지원합니다. OCI를 사용하는 기업 및 정부 기관(정보 기관, 국가 안보 기관 등)은 데이터 접근 권한 및 운영 정보의 흐름을 제한해 관련 법률 및 규정을 준수하고 민감한 데이터를 보호할 수 있습니다. OCI는 다수의 리전을 통해 제공되는 퍼블릭 클라우드, 고객의 데이터 센터에서 직접 클라우드 서비스를 제공하는 전용 리전, EU 소버린 클라우드, 인터넷으로부터 안전하게 격리되어 추가적인 보안성을 제공하는 클라우드 등의 다양한 솔루션을 제공합니다.

Gartner가 Oracle의 분산형 클라우드를 리더로 선정한 이유를 확인해 보세요. Oracle의 솔루션은 규제 대상 데이터를 보유한 고객이 운영, 데이터 레지던시 및 근접성에 대한 제어를 강화할 수 있는 클라우드 환경의 모든 이점을 제공합니다.

데이터 주권 대 데이터 레지던시 FAQ

데이터 주권과 데이터 레지던시의 주된 차이점은 무엇인가요?

데이터 주권은 데이터를 규제할 수 있는 법적 권한에 대한 개념입니다. 데이터 레지던시는 저장된 데이터의 지리적 위치에 관한 개념으로서, 데이터에 대한 주권을 주장할 수 있는 국가 또는 지역 기관이 어디인지 결정하는 데 사용됩니다.

GDPR이 데이터 주권 및 레지던시에 영향을 주나요?

GDPR에 따르면 데이터가 저장되는 EU 회원국 및 EU는 모두 데이터를 규제할 수 있는 주권을 가집니다. 회원국은 데이터 프라이버시 및 보안을 보호하기 위한 GDPR 데이터 레지던시 규칙을 준수합니다.

데이터 로컬라이제이션과 데이터 레지던시의 차이점은 무엇인가요?

데이터 레지던시는 데이터가 저장되는 위치, 즉 지리적 위치와만 관련있는 개념입니다. 데이터 로컬라이제이션은 특정 국가의 정부가 데이터의 국경 외 반출을 금지할 때 적용되는 개념입니다. 예를 들어 브라질에서는 특정 유형의 민감한 데이터는 반드시 로컬로 저장해야만 합니다.