아일랜드가 페이스북에 유럽연합(EU) 이용자 정보를 미국으로 전송하지 말라는 요청을 했다고 월스트리트저널이 9일(현지시간) 보도했다.
보도에 따르면 아일랜드 데이터보호위원회(DPC)는 8월말 페이스북에 데이터전송 금지 예비명령을 발령했다. 페이스북도 이 같은 사실을 공식 확인했다고 외신들이 전했다.
아일랜드의 이번 조치는 유럽 최고 법원인 유럽사법재판소(ECJ)가 지난 7월 미국과 EU 간 데이터 전송 합의인 ‘프라이버시 쉴드(Privacy Shield)’에 대해 무효 판결을 한 이후 처음으로 단행됐다.
ECJ, 7월 프라이버시 쉴드 무력화 판결로 쟁점
'프라이버시 쉴드'는 미국과 EU가 2016년 체결한 새로운 데이터 전송 협약이다. 이 협약은 ECJ가 2015년 ‘세이프 하버’를 무력화하자 양측이 새롭게 만든 조약이다.
하지만 ECJ는 7월 “(양쪽 합의는) 미국의 국가 안보, 공공이익 등을 우선시하고 있어, 제3국으로 정보가 이전되는 개인의 기본권을 침해하는 것을 묵인할 우려가 있다”면서 “프라이버시 쉴드는 이런 부분에서 EU법률이 요구하는 기준에 미치지 못한다”면서 프라이버시 쉴드 무효 판결을 했다.
ECJ 판결 직후 ‘프라이버시 쉴드’를 대체할 새로운 협약이 필요하다는 주장이 제기됐다. 이 판결은 페이스북 같은 대형 기업보다는 중소 IT 기업들이 더 직접적인 타격을 받을 수 있기 때문에 대체 조약 마련이 시급하다는 주장이었다.
이런 가운데 페이스북이 프라이버시 쉴드 폐지 영향을 처음으로 받으면서 향후 추이에 관심이 쏠리고 있다.
아일랜드의 조치에 대해 페이스북은 “(미국과 유럽간) 데이터 전송에 의존하는 온라인 서비스들이 굉장히 불확실한 상황에 놓이게 됐다”면서 “전 세계에 데이터를 다루는 일관된 규칙이 필요하다”고 강조했다.
미국과 유럽간의 데이터 전송 문제는 특히 미국 거대 IT 기업들에겐 중요한 문제다. 페이스북, 구글 같은 기업들의 서버가 미국에 있기 때문이다.
양측은 이 문제를 해결하기 위해 2000년 ‘세이프 하버’ 조약을 통해 데이터를 주고 받을 수 있도록 했다. 포괄적 데이터 이용 조항인 ‘세이프 하버’는 특히 미국 기업들의 유럽 내 비즈니스를 지탱해주는 든든한 버팀목이었다.
하지만 2013년 에드워드 스노든이 미국 국가안보국(NSA)의 무차별 사찰을 폭로하면서 상황이 달라졌다.
특히 그해 오스트리아 법과대학생이던 막스 슈렘스가 페이스북 데이터 처리 문제로 소송을 제기하면서 ‘세이프 하버’ 자체가 새로운 쟁점으로 떠올랐다. 2013년 시작된 이 소송은 2015년 ECJ가 슈렘스의 손을 들어주면서 ‘세이프 하버’ 자체가 효력을 잃게 됐다.
그러자 미국과 EU는 ‘프라이버시 쉴드'란 새로운 협약을 체결했다. 이 협약에 따라 페이스북을 비롯해 미국 IT 기업들은 유럽인들의 개인 정보를 미국 내 본사로 전송할 수 있게 됐다.
프라이버시 쉴드는 종전 협약인 ‘세이프 하버'에 비해 기업들의 개인정보 보호 의무를 강화한 것이 특징이다. 미국 정부가 국가 안보를 이유로 유럽인의 개인정보에 접근하는 것도 일정 부분 제한했다. 또 개인정보 침해 구제 수단으로 독립적 지위를 갖는 옴부즈만 제도를 도입했다.
페이스북 "아일랜드가 조사 착수…SCC 전송까지 영향"
하지만 프라이버시 쉴드까지 지난 7월 무효 판결을 받으면서 새로운 돌파구가 필요한 상황이 됐다.
프라이버시 쉴드 무효는 페이스북 같은 기업들이 내부적인 이유로 EU 내 거주자의 데이터를 미국 내 서버로 전송하는 경우에 적용된다. 유럽에 있는 사람이 미국 거주자들에게 이메일을 보내거나, 미국 웹 사이트에서 비행기나 호텔 예약을 하면서 정보를 입력하는 경우엔 적용되지 않는다.
그렇다고 페이스북 같은 기업들의 유럽 데이터 전송 경로도 완전히 막힌 건 아니다.
표준계약(SCC)으로 개별 협약을 하는 경우엔 여전히 개인 데이터를 전송할 수 있다. 이 때는 유럽연합집행위원회(EC)가 승인한 표준양식의 정보 이전 계약서로 계약을 체결하게 된다.
물론 데이터 전송 절차는 훨씬 복잡해진다. 포괄적 조항인 프라이버시 쉴드와 달리 SCC는 정보주제 동의 절차와 함께 일시적 전송 등의 까다로운 조건을 부여해야 하기 때문이다.
이런 가운데 아일랜드 당국의 이번 조치가 SCC를 활용한 데이터 전송에까지 영향을 미칠 가능성이 있다는 전망이 제기되고 있다.
관련기사
- 美·EU, '데이터전송 합의' 무효…우회경로는 남아2020.07.17
- 美·EU '데이터 전송' 경로 막혔다2020.07.17
- EU '프라이버시 쉴드' 폐지, 유예기간 없이 바로 적용2020.07.27
- 애플에 패한 EU 최고 공격수, 어떤 행보 보일까2020.07.16
페이스북은 이날 “아일랜드 데이터보호위원회가 페이스북의 EU와 미국 간 데이터 전송에 대한 조사를 시작했다”고 밝혔다.
또 “SCC가 양측간 데이터 전송에 활용되지 못할 수도 있다는 점은 시사했다”면서 “앞으로 SCC에 의존한 비즈니스에까지 영향을 미칠 수 있을 것으로 우려된다”고 덧붙였다.