EU, 메타에 1조7천억원 벌금…"개인정보 무단 전송"

페이스북을 운영하는 메타가 유럽연합(EU)에서 12억 유로(약 1조7천억원) 벌금 폭탄을 맞았다.

메타 유럽 본사가 자리잡고 있는 아일랜드의 데이터보호위원회(DPB)는 22일(현지시간) EU 이용자 정보를 미국으로 무단 전송한 부분을 문제 삼아 12억 유로 벌금을 부과했다고 월스트리트저널을 비롯한 주요 외신들이 보도했다.

메타에 부과된 벌금은 일반개인정보보호법(GDPR) 위반 관련 벌금으로는 사상 최대 규모다.

종전 최고 기록은 2021년 아마존에 부과된 8억8천700만 달러였다. 당시 아마존은 고객 정보를 무단 도용해 타깃 광고를 한 혐의로 벌금을 부과받았다.

EU 규제 당국은 이날 페이스북이 수 년 동안 유럽 이용자 정보를 미국에 있는 자신들의 서버에 불법적으로 전송했다고 지적했다. 이렇게 전송된 정보는 미국 정보 기관들에게 노출될 우려가 있다는 것이 EU 측 주장이다.

EU는 이날 메타에 벌금을 부과하면서 유럽 이용자 정보를 미국으로 전송하는 행위를 즉시 중단하라고 명령했다. 또 이미 미국으로 전송한 유럽 이용자 정보는 6개월 내에 삭제하도록 했다.

이번 조치에 대해 메타는 즉시 항소하는 한편 EU 당국이 부과한 전송금지 조치의 집행을 유예해줄 것을 요청할 계획이라고 밝혔다.

■ 미국-EU, 개인정보 전송 놓고 몇년째 공방

메타가 EU에서 거액의 벌금을 부과받게 된 이유를 알기 위해선 양측의 개인정보 이용관행을 살펴볼 필요가 있다.

그 동안 미국과 EU 기업들은 ‘세이프 하버’ 협약에 따라 개인 이용자들의 정보를 자유롭게 전송했다. '세이프하버'는 페이스북 같은 서비스들이 유럽 이용자 정보를 자사 서버에 자유롭게 전송하는 데 든든한 방패막이 역할을 했다.

하지만 유럽사법재판소(ECJ)가 2015년 ‘세이프 하버’를 무력화하면서 상황이 복잡해졌다.

그러자 미국과 EU는 2016년 '프라이버시 쉴드'란 새로운 조약을 체결했다. ‘세이프 하버'에 비해 기업들의 개인정보 보호 의무를 강화한 것이 특징이다.

미국 정부가 국가 안보를 이유로 유럽인의 개인정보에 접근하는 것도 일정 부분 제한했다. 또 개인정보 침해 구제 수단으로 독립적 지위를 갖는 옴부즈만 제도를 도입했다.

하지만 유럽사법재판소(ECJ)가 2020년 7월 ‘프라이버시 쉴드’에 대해서도 무효 판결을 하면서 양측 데이터간 데이터 전송 경로가 크게 좁아졌다.

당시 ECJ는 “(양쪽 합의는) 미국의 국가 안보, 공공이익 등을 우선시하고 있어, 제3국으로 정보가 이전되는 개인의 기본권을 침해하는 것을 묵인할 우려가 있다”면서 “프라이버시 쉴드는 이런 부분에서 EU법률이 요구하는 기준에 미치지 못한다”고 판결했다.

특히 ECJ는 미국 내에 EU 거주자들의 개인정보를 저장할 경우엔 효과적으로 문제 제기할 방법이 없다고 지적했다.

이에 따라 미국과 EU는 새롭게 협상을 진행한 끝에 지난 해 3월 ECJ가 지적한 문제들을 보완한 새로운 프레임워크를 마련했다. 새 협약이 ‘프라이버시 쉴드 2.0’으로 불리는 것은 그 때문이다.

‘프라이버시 쉴드 2.0’으로 통하는 미국과 EU간의 새 협약에선 개인정보 침해 관련 문제를 다룰 독립기관인 ‘데이터 보호 검토법원(DPRC)’을 마련하는 등 다양한 보호 조치를 마련했다.

■ '프라이버시 쉴드 2.0'가 메타를 구원해줄 수 있을까

EU 명령대로 유럽 이용자 정보를 미국으로 전송하지 못할 경우 페이스북을 비롯한 서비스는 상당한 타격을 받게 된다. 그렇다고 EU의 이용자 정보 전송 금지 조치를 무턱대고 무시할 수도 없다.

따라서 메타는 법원에 항소하는 한편 판결이 나올 때까지 전송금지 조치의 집행을 유예해달라는 요청을 할 것으로 예상된다. 그럴 경우 양측은 지리한 법정 공방을 벌이게 된다.

관련기사