美·EU, '데이터전송 합의' 무효…우회경로는 남아

유럽 최고법원, '프라이버시 쉴드' 무력화…표준계약 통한 전송은 가능

인터넷입력 :2020/07/17 10:43    수정: 2020/07/17 17:11

김익현 미디어연구소장 기자 페이지 구독 기자의 다른기사 보기

미국 기업들이 유럽 이용자 정보를 본사로 전송하는 중요한 경로 중 하나가 막혔다. 이에 따라 앞으로 페이스북을 비롯한 미국 IT 기업들의 데이터 공유 절차가 조금 까다로워지게 됐다.

유럽 최고 법원인 유럽사법재판소(ECJ)는 16일(현지시간) 미국과 유럽연합(EU) 간의 데이터 전송 합의인 ‘프라이버시 쉴드(Privacy Shield)’에 대해 무효 판결을 했다고 주요 외신들이 일제히 보도했다.

ECJ는 이날 “(양쪽 합의는) 미국의 국가 안보, 공공이익 등을 우선시하고 있어, 제3국으로 정보가 이전되는 개인의 기본권을 침해하는 것을 묵인할 우려가 있다”면서 “프라이버시 쉴드는 이런 부분에서 EU법률이 요구하는 기준에 미치지 못한다”고 판결했다.

유럽사법재판소. (사진=ECJ)

'프라이버시 쉴드'는 미국과 EU가 2016년 체결한 새로운 데이터 전송 협약이다. 이 협약은 ECJ가 2015년 ‘세이프 하버’를 무력화하자 양측이 새롭게 만든 조약이다.

하지만 이 조약 역시 무효 판결을 받으면서 새로운 활로를 모색해야 하는 상황이 됐다.

페북 등 이미 표준계약 통한 데이터 전송 준비 

이번 판결은 페이스북 같은 기업들이 내부적인 이유로 EU 내 거주자의 데이터를 미국 내 서버로 전송하는 경우에 적용된다.

유럽에 있는 사람이 미국 거주자들에게 이메일을 보내거나, 미국 웹 사이트에서 비행기나 호텔 예약을 하면서 정보를 입력하는 경우엔 적용되지 않는다.

페이스북 같은 기업들의 유럽 데이터 전송 경로도 완전히 막힌 건 아니다.

표준계약(SCC)으로 개별 협약을 하는 경우엔 여전히 개인 데이터를 전송할 수 있다. 이 때는 유럽연합집행위원회(EC)가 승인한 표준양식의 정보 이전 계약서로 계약을 체결하게 된다.

물론 데이터 전송 절차는 훨씬 복잡해진다. 포괄적 조항인 프라이버시 쉴드와 달리 SCC는 정보주제 동의 절차와 함께 일시적 전송 등의 까다로운 조건을 부여해야 하기 때문이다.

(사진=씨넷)

EU의 일반개인정보보호법(GDPR) 도입 이후 까다로워진 개인정보 보호 절차를 준수해야한다.

이런 점을 감안하더라도 미국 기업들의 유럽 내 영업이 큰 타격을 받지는 않을 것이란 입장이다. 특히 페이스북, 구글 같은 대형 기업들은 이미 프라이버시 쉴드 무력화에 대비해 SCC를 활용한 데이터 전송 작업을 진행하고 있어 큰 영향은 없을 것으로 예상된다. 

IT전문매체 아스테크니카에 따르면 MS는 공식 블로그를 통해 "상용 고객일 경우 유럽 법률을 준수하면서 MS 서비스를 계속 이용할 수 있다”고 공지했다.

MS는 “이번 판결이 MS 클라우드를 EU와 미국간에 데이터를 전송하는 능력이 달라지지는 않을 것”이라고 강조했다.

페이스북 역시 “SCC의 유효성은 그대로 인정해준 ECJ 판결을 환영한다”면서 “페이스북 역시 이번 결정 내용과 함의를 면밀하게 검토하고 있다”고 밝혔다.

중소기업들이 더 큰 타격…"대체 조약 필요" 강조 

ECJ 판결 직후 ‘프라이버시 쉴드’를 대체할 새로운 협약이 필요하다는 주장도 고개를 들고 있다. 오히려 이번 판결은 페이스북 같은 대형 기업보다는 중소 IT 기업들이 더 직접적인 타격을 받을 수 있기 때문이다.

앱 개발자들의 이익단체인 앱연합의 모건 리드 회장은 아스테크니카와 인터뷰에서 “프라이버시 쉴드 이용자의 70% 가량은 중소 기업들이었다”면서 “이번 판결로 이들이 큰 영향을 받게 됐다”고 주장했다.

그는 특히 “이번 결정으로 수 천 개에 이르는 미국 및 EU 기업들의 데이터 공유 시스템이 붕괴되면서 양쪽 간의 데이터 시장이 붕괴될 위험에 처하게 됐다”고 주장했다.

이런 주장을 토대로 미국과 EU 양측에 이른 시일 내에 ‘프라이버시 쉴드’를 대체할 새로운 협약을 체결해 줄 것을 요구했다.

에드워드 스노든(사진=위키피디아)

미국과 EU는 2000년부터 ‘세이프 하버’ 조약을 통해 데이터를 주고 받을 수 있도록 했다. 포괄적 데이터 이용 조항인 ‘세이프 하버’는 특히 미국 기업들의 유럽 내 비즈니스를 지탱해주는 든든한 버팀목이었다.

하지만 2013년 에드워드 스노든이 미국 국가안보국(NSA)의 무차별 사찰을 폭로하면서 상황이 달라졌다.

특히 그해 오스트리아 법과대학생이던 막스 슈렘스가 페이스북 데이터 처리 문제로 소송을 제기하면서 ‘세이프 하버’ 자체가 새로운 쟁점으로 떠올랐다. 2013년 시작된 이 소송은 2015년 ECJ가 슈렘스의 손을 들어주면서 ‘세이프 하버’ 자체가 효력을 잃게 됐다.

그러자 미국과 EU는 ‘프라이버시 쉴드'란 새로운 협약을 체결했다. 이 협약에 따라 페이스북을 비롯해 미국 IT 기업들은 유럽인들의 개인 정보를 미국 내 본사로 전송할 수 있게 됐다.

관련기사

프라이버시 쉴드는 종전 협약인 ‘세이프 하버'에 비해 기업들의 개인정보 보호 의무를 강화한 것이 특징이다. 미국 정부가 국가 안보를 이유로 유럽인의 개인정보에 접근하는 것도 일정 부분 제한했다. 또 개인정보 침해 구제 수단으로 독립적 지위를 갖는 옴부즈만 제도를 도입했다.

이런 상황에서 EU는 2018년 개인정보 이용을 엄격하게 제한하는 GDPR을 공식 발효하면서 상황은 크게 달라졌다.  

김익현 미디어연구소장sini@zdnet.co.kr