# 미국 대법원 결정으로 흔들린 EU-미국 데이터 이전

> Clean Markdown view of GeekNews topic #31056. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31056](https://news.hada.io/topic?id=31056)
- GeekNews Markdown: [https://news.hada.io/topic/31056.md](https://news.hada.io/topic/31056.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-03T07:02:42+09:00
- Updated: 2026-07-03T07:02:42+09:00
- Original source: [noyb.eu](https://noyb.eu/en/us-supreme-court-just-blew-eu-us-data-transfers)
- Points: 1
- Comments: 1

## Topic Body

- EU-미국 개인정보 이전은 미국의 **독립 감독기관**을 전제로 유지돼 왔는데, 미국 대법원의 **Trump v. Slaughter** 결정으로 FTC 독립성 전제가 흔들림
- EU 조약법은 개인정보 보호 감독을 **독립 기관**이 맡도록 요구하며, 2023년 EU-US Data Privacy Framework도 FTC를 핵심 근거로 삼았음
- Safe Harbour와 Privacy Shield가 이미 **Schrems I·II**에서 무효화된 만큼, noyb는 2023년 새 체계도 같은 취약성을 반복한다고 봄
- 당장 데이터 이전이 모두 중단되는 것은 아니며, European Commission이 철회하거나 CJEU가 무효화하기 전까지 현재 결정은 형식적으로 유효함
- SCCs·BCRs를 쓰는 기업도 미국 구제·감독기관의 독립성에 의존한 **영향 평가**를 다시 봐야 할 수 있고, noyb는 EU-미국 데이터 합의 철회를 요구함

---

### FTC 독립성 약화가 흔드는 EU-미국 이전 체계
- 미국 대법원은 **Trump v. Slaughter**에서 FTC가 더 이상 독립적이지 않을 수 있다는 판단을 내림
- EU는 2000년부터 EU-미국 개인정보 이전 합의의 집행 근거로 **독립 FTC**에 의존해 왔음
- EU 조약법상 개인정보 보호 감독은 독립 기관이 맡아야 함
  - 근거는 [Article 16(2) TFEU](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:12016E/TXT)와 [Article 8(3) of the Charter of Fundamental Rights](https://eur-lex.europa.eu/eli/treaty/char_2012/oj/eng)
  - 제3국이 EU에서 자유로운 개인정보 이전을 받으려면 본질적으로 동등한 보호를 제공해야 함
- 2023년 [EU-US Data Privacy Framework](https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj/eng)에서 European Commission은 FTC를 259회 근거로 삼았음
- noyb와 Max Schrems는 미국에 더 이상 독립 감독기관이 없다는 이유로, European Commission이 미국에 대한 **적정성 결정**을 질서 있게 철회해야 한다고 요구함

### 반복된 무효화와 2023년 새 합의의 취약점
- EU는 1995년부터 EU 개인정보 규칙 우회를 막기 위해 제3국으로의 개인정보 수출을 일반적으로 금지해 왔음
  - 호텔 예약이나 복잡한 거래처럼 필요한 이전에는 예외가 있음
  - 많은 EU 기업은 미국 클라우드 제공업체에 개인정보 처리를 아웃소싱해 왔음
- European Commission은 2000년 이후 미국을 개인정보 보호에서 “적정한” 국가로 반복 인정해 EU-미국 간 자유로운 데이터 흐름을 허용했음
  - CJEU는 **Schrems I**에서 Safe Harbour를 무효화함
  - CJEU는 **Schrems II**에서 Privacy Shield를 무효화함
  - 핵심 이유는 미국 감시법과 미국 내 사법적 구제 수단 부족이었음
- CJEU는 정부 감시 사안에서도 **독립적인 법적 구제 메커니즘**이 필요하다고 봤음
  - Biden 행정부는 [Data Protection Review Court](https://www.justice.gov/opcl/redress-data-protection-review-court)를 만들었음
  - 이 기구는 이름과 달리 미국 법무부 내부의 집행기관임
  - 독립성은 Biden의 [Executive Order](https://www.justice.gov/opcl/executive-order-14086)에 의존하며, Trump가 언제든 바꿀 수 있고 대통령을 구속하지 않음
- Slaughter 결정은 기존 판례에서 180도 전환해 FTC 독립성이 위헌이라고 판단한 사례로 다뤄짐
  - 이는 미국 대통령이 모든 미국 집행기관을 통제해야 한다는 **unitary executive theory**를 따름
  - 여러 기관을 독립적으로 만드는 미국 법률을 위헌으로 보는 구조임

### 당장의 효력과 기업이 다시 봐야 할 지점
- 영향은 무제한이 아님
  - European Commission의 결정은 Commission이 철회하거나 CJEU가 무효화할 때까지 형식적으로 유효함
  - 따라서 즉각적인 법적 효과는 없음
  - GDPR은 개인정보 이전만 규율하며, 비개인정보는 자유롭게 흐를 수 있음
  - [Article 49 GDPR](https://gdprhub.eu/index.php?title=Article_49_GDPR)은 필요한 제3국 이전을 허용하지만, 엄격히 필요하지 않은 EU 밖 구조적 오프쇼어링은 허용하지 않음
- **SCCs**와 **BCRs**도 영향을 받을 수 있음
  - 일부 기업은 EU-US Framework 대신 SCCs나 BCRs를 형식적으로 사용함
  - 이 경우에도 보통 영향 평가가 필요하고, 그 평가는 PCLOB나 Data Protection Review Court 같은 미국 집행기관의 독립성에 의존함
  - formal Commission Decision에 의존하지 않는 컨트롤러는 평가를 즉시 갱신해야 함
- noyb는 European Commission에 EU-미국 데이터 합의를 질서 있게 철회하라는 [공식 서한](https://noyb.eu/sites/default/files/2026-06/Letter_noyb_EU-US_data_transfers.pdf)을 보냈음
  - 여러 EU 회원국은 이미 “digital sovereignty” 접근으로 이동하고 미국 서비스 제공업체와의 분리를 발표했음
  - 일부 미국 서비스 제공업체도 별도 EU 데이터 처리를 추진 중임
  - noyb는 앞으로 몇 주 안에 CJEU가 현재 합의를 무효화할 수 있도록 소송을 제기할 예정임
  - 이런 소송은 최종 결정까지 보통 2~3년이 걸림

## Comments



### Comment 61130

- Author: neo
- Created: 2026-07-03T07:02:43+09:00
- Points: 1

###### [Lobste.rs 의견들](https://lobste.rs/s/thkwcf/us_supreme_court_just_blew_up_eu_us_data) 
- 이건 좋은 일임. **EU**와 그 사례를 따를 나머지 세계가, 자국 권위가 최상위라고 우기고 더는 다른 나라나 정부를 동등하게 대하지 않는 **불량 국가**에 이렇게 의존해서는 안 됨
  - 100% 동의하지만, **미국 BigTech**가 로비스트 군단을 보내 아무것도 바뀌지 않게 만들 것임
  - **인터넷 분열**은 결코 좋은 일이 아니고, 정치적 관계가 압박받고 있다는 신호임. 어느 쪽이 덜 악한지는 중요하지 않고, 당사자들이 협력할 의지가 없다는 게 문제임

- 이 **미국 연방대법원 결정**에는 화가 나지만, 이 요약은 좀 과장됐음. 이른바 “독립” 기관들은 애초에 특별히 독립적이었던 적이 없었기 때문임  
  아마 글쓴이가 흔히 쓰이는 표현에 속아서 그 성격을 처음부터 오해한 것 아닐까 싶음. _Slaughter_ 이후의 미국 FTC에 대해 실무상 제기될 수 있는 반론 중 _Slaughter_ 이전에도 똑같이 적용되지 않았을 만한 건 떠오르지 않음  
  차이가 있다면 겉보기일까? 그리고 그 겉보기 변화만으로 EU가 행동에 나서기에 충분한 걸까? 그렇다면 좋지만, 이번 결정이 미국 규제기관의 “독립성” 성격을 실질적으로 크게 바꿨다고 보지는 않음. 애초에 그런 독립성이 없었기 때문임  
  내 분노는 기관들의 가짜 독립성에 미치는 영향과는 무관하고, 더 법적으로 미묘한 문제이며, 이 글의 주제나 Lobsters 전반과도 다소 벗어남
  - noyb는 **FTC**와 **Data Protection Review Court**가 독립적이라고 주장하지 않음. 오히려 EU-US Data Privacy Framework를, 자신들이 성공적으로 무효화했던 이전 합의들의 “대체로 복사본”이라고 부름  
    이 글의 요지는 EU Commission이 이 기관들이 충분히 독립적이라는 허구를 이용해, 개인정보를 미국으로 보내는 것을 정당화했다는 것임
  - 원문만 봐서는 잘 드러나지 않지만, 이 주장을 하는 조직은 이전에 두 차례 **Safe Harbor식 체제**를 무효화하는 데 직접 관여했던 것으로 보임
