마이크로소프트(MS)가 유럽연합(EU) 내 고객사를 대상으로 클라우드에 올린 데이터를 EU 권역 안에서 저장하고 처리할 수 있도록 지원하겠다고 밝혔다.
이는 미국과 EU가 지난 2016년 체결한 데이터 전송 협약인 '프라이버시 쉴드'가 무효화된 데 따른 후속 조치다. 데이터를 옮기려는 국가나 기업이 EU 일반 개인정보보호법(GDPR)에 준하는 개인정보 보호 조치를 취하는 것으로 인정을 받아야 하기 때문이다.
이에 EU 고객사가 MS 클라우드를 이용하는 과정에서 GDPR를 위반하는 문제가 발생할 가능성을 차단하겠다는 것이다.
브래드 스미스 MS 사장은 6일(현지시간) 자사 블로그에서 이같은 내용의 계획 'MS 클라우드를 위한 EU 데이터 경계(EU Data Boundary for the Microsoft Cloud)'를 추진하겠다고 밝혔다.
■미-EU 데이터 전송 경로 닫힌 뒤 후속 대응
프라이버시 쉴드는 EU 시민의 데이터를 '구름 너머로' 자유롭게 처리할 수 있는 법적 근거였다. 그러나 작년 7월 유럽 최고 법원은 이를 무효로 판결했다. 미국의 개인정보 보호 수준이 GDPR에 미치지 못한다는 점, 미국 정부기관이 국가 안보 등을 이유로 EU 시민의 데이터에 접근할 가능성이 있다는 점이 인정됐다.
판결 효력이 즉시 나타나면서 미국 기업들은 EU 시민의 데이터를 이전하기 위해 다른 방법을 써야 했다. GDPR 상에서 제시하는 방법은 크게 두 가지다. 하나는 국가 단위로 허용을 받는 것이다. GDPR은 개인정보 보호 수준을 충분히 갖춘 국가에 대해 '적정성 결정 국가' 지위를 부여한다. 적정성 결정 국가에 대해서는 EU 시민의 데이터가 이전되는 것이 허용된다.
미국처럼 데이터를 이전하고자 하는 지역이 적정성 결정 국가가 아닐 경우, 건별로 '표준계약조항(SCC)'이라는 개별 협의를 통해 데이터를 옮길 수 있다. SCC는 EU 집행위원회에서 채택한 양식의 정보 이전 조항으로, GDPR에서 요구하는 개인정보 보호 조치를 따르는 내용을 담고 있다.
프라이버시 쉴드가 무효화된 이후 MS를 비롯한 클라우드 사업자는 SCC를 통해 EU 시민의 데이터를 처리하고 있다. 즉 EU 외 지역의 데이터센터에 데이터를 저장, 처리하더라도 GDPR 위반에 해당되진 않는 상황이었다. 이번 계획은 여기서 더 나아가 EU 시민의 데이터가 역외로 이전되는 것을 최소화해 고객사가 개인정보 컴플라이언스 대응에 겪는 혼란을 줄여주겠다는 취지다.
■EU 13개 데이터센터 운영 중…2022년 말까지 마무리
이번 조치는 애저, MS365, 다이내믹스365 등 MS의 주요 클라우드 서비스에 적용된다.
MS는 EU 권역 중 오스트리아, 덴마크, 프랑스, 독일, 그리스, 아일랜드, 이탈리아, 네덜란드, 노르웨이, 폴란드, 스페인, 스웨덴, 스위스 등 13개국에서 데이터센터를 운영하고 있다.
MS는 EU 내 데이터 저장 및 처리를 지원하기 위한 엔지니어링 작업을 내년 말까지 완료하겠다고 밝혔다.
관련기사
- 페북, EU서 '전세계 매출 4%' 벌금 폭탄 맞나2021.04.15
- 세계 클라우드 시장, 1분기에 35% 성장..."빅3, 함께 판 키웠다"2021.05.04
- 페이스북 "데이터 전송 계속 금지 땐 유럽서 철수"2020.09.22
- 유럽→美 '개인정보 전송경로' 완전히 막힐까2020.09.10
프라이버시 쉴드가 무효화된 이유 중 하나인 국가기관의 데이터 접근 가능성에 대해서도 언급했다. 고객사 데이터를 강력히 보호하겠다는 입장을 명확히 했다. MS는 관련 Q&A 페이지에서 "EU 고객 개인 데이터에 대한 모든 정부 요청에 대해 이의를 제기할 것"이라며 "GDPR을 위반해 데이터를 공개할 경우 고객에게 금전적 보상을 제공할 것"이라고 답했다.
스미스는 이번 계획에 대해 "몇 달 내로 고객사 및 규제 당국과 지속적인 협의를 거칠 것"이라며 "사이버보안 등 특별한 환경에서 필요한 조정도 논의할 예정"이라고 밝혔다.