미국과 유럽간 데이터 전송을 둘러싼 공방이 또 다시 뜨겁게 달아오르고 있다. 유럽 최고 법원인 유럽사법재판소(ECJ)가 지난 7월‘프라이버시 쉴드(Privacy Shield)’를 무력화시킨 이후 처음으로 데이터 전송금지 명령이 내려진 때문이다.
아일랜드 데이터보호위원회(DPC)는 지난 8월말 페이스북에 유럽연합(EU) 이용자의 개인 정보를 미국으로 전송하지 말라는 예비명령을 보냈다.
이 같은 사실은 월스트리트저널이 9일(현지시간) 단독 보도하면서 알려지게 됐다. 페이스북도 아일랜드가 예비명령을 보내왔다는 사실을 공식 인정했다.
아일랜드는 페이스북의 EU 사업 본부가 있는 곳이다. EU 국가 중 최초로 데이터 전송금지 예비명령을 내린 것은 그 때문이다.
유럽사법재판소의 프라이버시 쉴드 무력화 이후 첫 조치
보도에 따르면 DPC는 페이스북 측에 9월 중순까지 예비명령에 대한 답변을 보내라고 요청했다. 아일랜드는 페이스북의 답변을 검토한 뒤 EU 역내 26개 프라이버시 규제 기관에 새로운 명령을 발송할 것으로 예상된다.
EU 차원의 데이터 전송 금지 명령이 내려질 경우 페이스북은 상당한 곤경에 처하게 된다. EU 내에 별도 서버를 구축하거나 미국과 유럽 사업을 분리 운영하는 것 외엔 방법이 없기 때문이다.
명령을 어길 경우 연매출의 4%에 이르는 엄청난 벌금을 부과받게 된다.
아일랜드의 이번 조치는지난 7월 ECJ의 ‘프라이버시 쉴드’ 무력화 판결과 직접 관련된다.
'프라이버시 쉴드'는 미국과 EU가 2016년 체결한 새로운 데이터 전송 협약이다. 이 협약은 ECJ가 2015년 ‘세이프 하버’를 무력화하자 양측이 새롭게 만든 조약이다.
하지만 ECJ는 7월 “(양쪽 합의는) 미국의 국가 안보, 공공이익 등을 우선시하고 있어, 제3국으로 정보가 이전되는 개인의 기본권을 침해하는 것을 묵인할 우려가 있다”면서 “프라이버시 쉴드는 이런 부분에서 EU법률이 요구하는 기준에 미치지 못한다”면서 프라이버시 쉴드 무효 판결을 했다.
ECJ 판결 이후 유럽 이용자 데이터를 미국으로 전송하고 있는 기업이 상당한 곤란을 겪을 것이란 전망이 제기됐다. 이번 조치는 그 전망이 현실화된 것이란 점에서 큰 관심을 모으고 있다.
이번 조치가 더 관심을 끄는 것은 ‘프라이버시 쉴드’ 때문은 아니다. ECJ가 프라이버시 쉴드 무효 판결을 할 당시 많은 전문가들은 페이스북 같은 거대 기업들은 큰 타격 없이 사업을 계속할 수 있을 것으로 전망했다.
표준계약(SCC)으로 개별 협약을 하는 경우엔 여전히 개인 데이터를 전송할 수 있기 때문이다. 물론 데이터 전송 절차는 훨씬 복잡해진다. 포괄적 조항인 프라이버시 쉴드와 달리 SCC는 정보주제 동의 절차와 함께 일시적 전송 등의 까다로운 조건을 부여해야 하기 때문이다.
또 유럽연합집행위원회(EC)가 승인한 표준양식의 정보 이전 계약서로 계약을 체결해야 한다. EU의 일반개인정보보호법(GDPR) 도입 이후 까다로워진 개인정보 보호 절차를 준수해야 하는 부담도 있다.
이런 점을 감안하더라도 미국 기업들의 유럽 내 영업이 큰 타격을 받지는 않을 것으로 예상됐다. 게다가 페이스북, 구글 같은 대형 기업들은 이미 프라이버시 쉴드 무력화에 대비해 SCC를 활용한 데이터 전송 작업을 진행해 왔다.
그런데 아일랜드가 예비명령을 발송하면서 SCC를 활용한 데이터 전송도 안정망이 아니란 분석이 힘을 얻고 있다. EU에 비해 개인정보에 대한 감시 권한을 폭넓게 인정하고 있는 미국 법률이 적용되는 한 허용되지 않을 가능성이 많다는 것이다.
이와 관련해 테크크런치는 흥미로운 논점을 제기했다. 월스트리트저널 보도 직후 페이스북 소송을 주도했던 막스 슈렘스에게 문의한 결과 아일랜드가 페이스북에 예비명령을 발송한 것을 알지 못했다는 답을 들었다고 전했다.
테크크런치는 이런 사실을 전해주면서 “페이스북이 월스트리트저널에 아일랜드의 예비명령 전송 사실을 알린 것 같다”고 추정했다. 월스트리트저널 보도를 통해 여론전을 펼치려 한 것 같다는 분석이다.
막스 슈렘스 "페이스북, 이미 GDPR 49조 활용 쪽으로 눈돌렸다"
막스 슈렘스는 법과대학 재학시절인 2013년 개인정보 무단 이용 등을 이유로 페이스북을 제소해 유명해진 인물이다. 당시 그는 페이스북이 SCC를 활용해 유럽 이용자의 개인정보를 미국으로 전송하는 부분을 문제 삼았다.
ECJ가 미국과 유럽간 데이터 전송 협약인 ‘세이프하버’와 ‘프라이버시 쉴드’를 연이어 무력화시킨 것도 따지고 보면 슈렘스 때문이다.
현재 페이스북, 구글 등 유럽에서 비즈니스를 하고 있는 미국 IT 기업들이 가장 선호하는 것은 유럽의회가 새로운 법률을 제정해주는 것이다. 하지만 유럽에선 이 부분에 대해선 부정적인 입장을 보이고 있다.
미국의 감시 법률들이 개정되지 않는 한 서둘러 ‘프라이버시 쉴드’ 대안을 마련할 계획은 없다는 것이다.
다른 하나는 ‘프라이버시 쉴드’ 폐지 직전부터 준비해 왔던 SCC를 통한 데이터 전송이었다. 그런데 아일랜드의 공세를 통해 이 부분 역시 무력화될 가능성이 많다는 사실이 확인됐다.
막스 슈렘스의 최근 행보는 미국 기업들의 이런 우려가 괜한 걱정이 아니란 사실을 보여줬다. 슈렘스는 테크크런치와 인터뷰에서 “아일랜드 규제당국에 ‘제2의 경로’에 대한 임시금지명령을 신청할 예정이라고 통보했다”고 밝혔다.
그는 또 “페이스북은 2013년 이래 고의로 법을 어겨왔다”고 비판했다. 아일랜드의 행보에 대해서도 불만을 제기했다.
아일랜드 DPC도 페이스북의 위법 사실을 인지하고서도 계속 묵인해 왔다는 것이다. 그러다가 ECJ 판결로 더 이상 무시할 수 없는 상황이 되자 마지 못해 예비명령을 전송했다고 슈렘스는 주장했다.
슈렘스는 페이스북이 이미 SCC를 대신할 대안을 준비하고 있다고 강조했다.
관련기사
- "페이스북, EU→美 이용자정보 전송 안돼"2020.09.10
- 美·EU, '데이터전송 합의' 무효…우회경로는 남아2020.07.17
- 美·EU '데이터 전송' 경로 막혔다2020.07.17
- EU '프라이버시 쉴드' 폐지, 유예기간 없이 바로 적용2020.07.27
그는 테크크런치와 인터뷰에서 “페이스북은 내부적으로 이미 SCC에서 일반개인정보보호법(GDPR) 49조와 이용자가 서명한 계약을 활용하는 쪽으로 무게 중심을 옮기고 있다”고 밝혔다.
결국 아일랜드 DPC는 뒤늦게 페이스북의 이용자 정보 활용 법적 근거 중 SCC 한쪽만 건드리는 조사를 시작했다는 것이 슈렘스의 주장이다. GDPR 49조는 “법적 청구권의 입증·행사 또는 방어에 필요한 경우 정보이전을 수행할 수 있다”고 규정하고 있다.
