페이스북이 유럽연합(EU)에서 미국 간 이용자 정보 전송에 대해 조사를 받게 됐다.
아일랜드 고등법원은 20일(현지시간) 데이터보호위원회(DPC)이 페이스북의 이용자 정보 전송 관행에 대한 조사를 진행해도 좋다고 판결했다고 아이리시 타임스가 보도했다.
이번 판결에 앞서 아일랜드 고등법원은 지난 주 페이스북이 DPC의 조사를 막을 정당한 근거를 제시하지 못했다는 취지의 예비판결을 했다.
이날 공판에서 법원이 예비판결을 확인하는 최종 판결을 함에 따라 아일랜드 DPC의 페이스북 조사가 본격 시작될 전망이다.
조사 결과 따라선 미국과 유럽 비즈니스 분할 운영해야 할 수도
이번 공방은 유럽 최고 법원인 유럽사법재판소(ECJ)가 지난 해 7월 미국과 유럽 간 데이터 전송협약인 ‘프라이버시 쉴드‘를 무력화하면서 시작됐다.
그러자 아일랜드 데이터보호위원회(DPC)는 9월 페이스북에 EU 이용자 정보를 미국으로 전송하지 말라는 예비명령을 발령했다. 또 페이스북의 이용자 정보 관행에 대한 조사에 착수하기로 했다.
하지만 페이스북이 아일랜드 고등법원에 예비명령 집행 금지 신청을 하면서 DPC의 조사가 일시 중단했다.
이제 아일랜드 고등법원이 페이스북의 요청을 최종 기각함에 따라 미국과 유럽 간 데이터 전송문제에 대한 조사에 본격 착수하게 됐다.
조사 결과 유럽 이용자 정보를 미국으로 전송하는 것이 적절하지 않다는 결론에 도달할 경우 페이스북은 심각한 타격이 불가피할 전망이다.
페이스북을 상대로 소송을 제기했던 막스 슈렘스는 CNBC와 인터뷰에서 “페이스북은 유럽과 미국 서비스를 분할해야만 한다“고 주장했다.
그는 또 “미국에서 유럽 이용자들에게 메시지를 보내는 등의 꼭 필요한 메시지는 두 시스템 간에서 여전히 주고 받을 수 있다“면서 “나머지 정보는 유럽 내에서만 머물러 있어야 한다”고 강조했다.
유럽최고법원, 작년 7월 프라이버시 쉴드 무력화하면서 분쟁 시작
'프라이버시 쉴드'는 미국과 EU가 2016년 체결한 새로운 데이터 전송 협약이다. 이 협약은 ECJ가 2015년 ‘세이프 하버’를 무력화하자 양측이 새롭게 만든 조약이다.
하지만 ECJ는 “(양쪽 합의는) 미국의 국가 안보, 공공이익 등을 우선시하고 있어, 제3국으로 정보가 이전되는 개인의 기본권을 침해하는 것을 묵인할 우려가 있다”면서 “프라이버시 쉴드는 이런 부분에서 EU법률이 요구하는 기준에 미치지 못한다”면서 프라이버시 쉴드 무효 판결을 했다.
ECJ 판결 이후 유럽 이용자 데이터를 미국으로 전송하고 있는 기업이 상당한 곤란을 겪을 것이란 전망이 제기됐다. 이번 조치는 그 전망이 현실화된 것이란 점에서 큰 관심을 모으고 있다.
이번 조치가 더 관심을 끄는 것은 ‘프라이버시 쉴드’ 때문은 아니다. ECJ가 프라이버시 쉴드 무효 판결을 할 당시 많은 전문가들은 페이스북 같은 거대 기업들은 큰 타격 없이 사업을 계속할 수 있을 것으로 전망했다.
표준계약(SCC)으로 개별 협약을 하는 경우엔 여전히 개인 데이터를 전송할 수 있기 때문이다. 물론 데이터 전송 절차는 훨씬 복잡해진다. 포괄적 조항인 프라이버시 쉴드와 달리 SCC는 정보주제 동의 절차와 함께 일시적 전송 등의 까다로운 조건을 부여해야 하기 때문이다.
또 유럽연합집행위원회(EC)가 승인한 표준양식의 정보 이전 계약서로 계약을 체결해야 한다. EU의 일반개인정보보호법(GDPR) 도입 이후 까다로워진 개인정보 보호 절차를 준수해야 하는 부담도 있다.
관련기사
- 유럽→美 '개인정보 전송경로' 완전히 막힐까2020.09.10
- "페이스북, EU→美 이용자정보 전송 안돼"2020.09.10
- EU '프라이버시 쉴드' 폐지, 유예기간 없이 바로 적용2020.07.27
- 美·EU, '데이터전송 합의' 무효…우회경로는 남아2020.07.17
이런 점을 감안하더라도 미국 기업들의 유럽 내 영업이 큰 타격을 받지는 않을 것으로 예상됐다. 게다가 페이스북, 구글 같은 대형 기업들은 이미 프라이버시 쉴드 무력화에 대비해 SCC를 활용한 데이터 전송 작업을 진행해 왔다.
그런데 아일랜드 DPC가 지난 해 페이스북에 대해 데이터 전송금지 명령을 발송하면서 SCC를 활용한 데이터 전송도 안정망이 아니란 분석이 힘을 얻고 있다. EU에 비해 개인정보에 대한 감시 권한을 폭넓게 인정하고 있는 미국 법률이 적용되는 한 허용되지 않을 가능성이 많다는 것이다.