Many free online services, including search engines and social media, use business models based on the collecting and processing of personal data of its users. The user data are analysed, leased or sold to generate profits. Basically, the users are not paying for the services with subscription fees or any kind of monetary payment, but with their personal data. In this paper, we argue that these business models, treating personal data as a commodity, are problematic under EU data protection law, which disqualifies personal data as a commodity. Both under the EU Charter of Fundamental Rights and the General Data Protection Regulation (GDPR), the legal rights to data protection are inalienable.

This is at odds with the actual trade in personal data in the data economy, since the ‘payment’ cannot be a transfer of ownership of personal data. It could be argued that the ‘payment’ is not a transfer of ownership of personal data, but rather a transfer of personal data rights, i.e., granting a right to collect and process the data. However, even from that perspective, users would retain inalienable rights to stop or restrict the data processing, as the GDPR does not allow mandating data subject rights to others. Because the legal basis for the processing of personal data is often consent, people can invoke their data subject rights (and thus withdraw their ‘payment’) at any time and at will after having received (access to) online services. This causes considerable legal uncertainty in transactions, particularly on the side of data controllers, and may not contribute to the EU's envisioned data economy.

검색 엔진 및 소셜 미디어를 포함한 많은 무료 온라인 서비스는 사용자의 개인 데이터 수집 및 처리를 기반으로 하는 비즈니스 모델을 사용합니다 . 사용자 데이터는 수익 창출을 위해 분석, 임대 또는 판매됩니다. 기본적으로 사용자는 가입비나 금전적 지불로 서비스 비용을 지불하는 것이 아니라 개인 데이터로 서비스 비용을 지불합니다. 본 논문에서 우리는 개인 데이터를 상품으로 취급하는 이러한 비즈니스 모델이 개인 데이터를 상품으로 간주하지 않는 EU 데이터 보호법 에 따라 문제가 있다고 주장합니다 .

EU 기본권 헌장  일반 데이터 보호 규정(GDPR)에 따라 데이터 보호에 대한 법적 권리는 양도할 수 없습니다. 이는 '지불'이 개인 데이터의 소유권 이전이 될 수 없기 때문에 데이터 경제에서 개인 데이터의 실제 거래와 상충됩니다. '지불'은 개인 데이터의 소유권 이전이 아니라 개인 데이터 권리의 이전, 즉 데이터를 수집하고 처리할 수 있는 권리를 부여하는 것이라고 주장할 수 있습니다.

그러나 그러한 관점에서도 GDPR은 데이터 주체 권리를 다른 사람에게 위임하는 것을 허용하지 않기 때문에 사용자는 데이터 처리를 중지하거나 제한할 수 있는 양도할 수 없는 권리를 보유합니다. 개인 데이터 처리에 대한 법적 근거는 동의인 경우가 많기 때문에 사람들은 온라인 서비스를 받은(액세스한) 후 언제든지 마음대로 데이터 주체의 권리를 행사할 수 있습니다(따라서 '지불'을 철회할 수 있습니다). 이로 인해 거래, 특히 데이터 관리자 측에서 상당한 법적 불확실성이 발생하며EU가 구상하는 데이터 경제에 기여하지 못할 수도 있습니다.