미국 대법원 결정으로 흔들린 EU-미국 데이터 이전
(noyb.eu)- EU-미국 개인정보 이전은 미국의 독립 감독기관을 전제로 유지돼 왔는데, 미국 대법원의 Trump v. Slaughter 결정으로 FTC 독립성 전제가 흔들림
- EU 조약법은 개인정보 보호 감독을 독립 기관이 맡도록 요구하며, 2023년 EU-US Data Privacy Framework도 FTC를 핵심 근거로 삼았음
- Safe Harbour와 Privacy Shield가 이미 Schrems I·II에서 무효화된 만큼, noyb는 2023년 새 체계도 같은 취약성을 반복한다고 봄
- 당장 데이터 이전이 모두 중단되는 것은 아니며, European Commission이 철회하거나 CJEU가 무효화하기 전까지 현재 결정은 형식적으로 유효함
- SCCs·BCRs를 쓰는 기업도 미국 구제·감독기관의 독립성에 의존한 영향 평가를 다시 봐야 할 수 있고, noyb는 EU-미국 데이터 합의 철회를 요구함
FTC 독립성 약화가 흔드는 EU-미국 이전 체계
- 미국 대법원은 Trump v. Slaughter에서 FTC가 더 이상 독립적이지 않을 수 있다는 판단을 내림
- EU는 2000년부터 EU-미국 개인정보 이전 합의의 집행 근거로 독립 FTC에 의존해 왔음
- EU 조약법상 개인정보 보호 감독은 독립 기관이 맡아야 함
- 근거는 Article 16(2) TFEU와 Article 8(3) of the Charter of Fundamental Rights
- 제3국이 EU에서 자유로운 개인정보 이전을 받으려면 본질적으로 동등한 보호를 제공해야 함
- 2023년 EU-US Data Privacy Framework에서 European Commission은 FTC를 259회 근거로 삼았음
- noyb와 Max Schrems는 미국에 더 이상 독립 감독기관이 없다는 이유로, European Commission이 미국에 대한 적정성 결정을 질서 있게 철회해야 한다고 요구함
반복된 무효화와 2023년 새 합의의 취약점
- EU는 1995년부터 EU 개인정보 규칙 우회를 막기 위해 제3국으로의 개인정보 수출을 일반적으로 금지해 왔음
- 호텔 예약이나 복잡한 거래처럼 필요한 이전에는 예외가 있음
- 많은 EU 기업은 미국 클라우드 제공업체에 개인정보 처리를 아웃소싱해 왔음
- European Commission은 2000년 이후 미국을 개인정보 보호에서 “적정한” 국가로 반복 인정해 EU-미국 간 자유로운 데이터 흐름을 허용했음
- CJEU는 Schrems I에서 Safe Harbour를 무효화함
- CJEU는 Schrems II에서 Privacy Shield를 무효화함
- 핵심 이유는 미국 감시법과 미국 내 사법적 구제 수단 부족이었음
- CJEU는 정부 감시 사안에서도 독립적인 법적 구제 메커니즘이 필요하다고 봤음
- Biden 행정부는 Data Protection Review Court를 만들었음
- 이 기구는 이름과 달리 미국 법무부 내부의 집행기관임
- 독립성은 Biden의 Executive Order에 의존하며, Trump가 언제든 바꿀 수 있고 대통령을 구속하지 않음
- Slaughter 결정은 기존 판례에서 180도 전환해 FTC 독립성이 위헌이라고 판단한 사례로 다뤄짐
- 이는 미국 대통령이 모든 미국 집행기관을 통제해야 한다는 unitary executive theory를 따름
- 여러 기관을 독립적으로 만드는 미국 법률을 위헌으로 보는 구조임
당장의 효력과 기업이 다시 봐야 할 지점
- 영향은 무제한이 아님
- European Commission의 결정은 Commission이 철회하거나 CJEU가 무효화할 때까지 형식적으로 유효함
- 따라서 즉각적인 법적 효과는 없음
- GDPR은 개인정보 이전만 규율하며, 비개인정보는 자유롭게 흐를 수 있음
- Article 49 GDPR은 필요한 제3국 이전을 허용하지만, 엄격히 필요하지 않은 EU 밖 구조적 오프쇼어링은 허용하지 않음
- SCCs와 BCRs도 영향을 받을 수 있음
- 일부 기업은 EU-US Framework 대신 SCCs나 BCRs를 형식적으로 사용함
- 이 경우에도 보통 영향 평가가 필요하고, 그 평가는 PCLOB나 Data Protection Review Court 같은 미국 집행기관의 독립성에 의존함
- formal Commission Decision에 의존하지 않는 컨트롤러는 평가를 즉시 갱신해야 함
- noyb는 European Commission에 EU-미국 데이터 합의를 질서 있게 철회하라는 공식 서한을 보냈음
- 여러 EU 회원국은 이미 “digital sovereignty” 접근으로 이동하고 미국 서비스 제공업체와의 분리를 발표했음
- 일부 미국 서비스 제공업체도 별도 EU 데이터 처리를 추진 중임
- noyb는 앞으로 몇 주 안에 CJEU가 현재 합의를 무효화할 수 있도록 소송을 제기할 예정임
- 이런 소송은 최종 결정까지 보통 2~3년이 걸림
댓글과 토론
Lobste.rs 의견들
-
이건 좋은 일임. EU와 그 사례를 따를 나머지 세계가, 자국 권위가 최상위라고 우기고 더는 다른 나라나 정부를 동등하게 대하지 않는 불량 국가에 이렇게 의존해서는 안 됨
- 100% 동의하지만, 미국 BigTech가 로비스트 군단을 보내 아무것도 바뀌지 않게 만들 것임
- 인터넷 분열은 결코 좋은 일이 아니고, 정치적 관계가 압박받고 있다는 신호임. 어느 쪽이 덜 악한지는 중요하지 않고, 당사자들이 협력할 의지가 없다는 게 문제임
-
이 미국 연방대법원 결정에는 화가 나지만, 이 요약은 좀 과장됐음. 이른바 “독립” 기관들은 애초에 특별히 독립적이었던 적이 없었기 때문임
아마 글쓴이가 흔히 쓰이는 표현에 속아서 그 성격을 처음부터 오해한 것 아닐까 싶음. Slaughter 이후의 미국 FTC에 대해 실무상 제기될 수 있는 반론 중 Slaughter 이전에도 똑같이 적용되지 않았을 만한 건 떠오르지 않음
차이가 있다면 겉보기일까? 그리고 그 겉보기 변화만으로 EU가 행동에 나서기에 충분한 걸까? 그렇다면 좋지만, 이번 결정이 미국 규제기관의 “독립성” 성격을 실질적으로 크게 바꿨다고 보지는 않음. 애초에 그런 독립성이 없었기 때문임
내 분노는 기관들의 가짜 독립성에 미치는 영향과는 무관하고, 더 법적으로 미묘한 문제이며, 이 글의 주제나 Lobsters 전반과도 다소 벗어남- noyb는 FTC와 Data Protection Review Court가 독립적이라고 주장하지 않음. 오히려 EU-US Data Privacy Framework를, 자신들이 성공적으로 무효화했던 이전 합의들의 “대체로 복사본”이라고 부름
이 글의 요지는 EU Commission이 이 기관들이 충분히 독립적이라는 허구를 이용해, 개인정보를 미국으로 보내는 것을 정당화했다는 것임 - 원문만 봐서는 잘 드러나지 않지만, 이 주장을 하는 조직은 이전에 두 차례 Safe Harbor식 체제를 무효화하는 데 직접 관여했던 것으로 보임
- noyb는 FTC와 Data Protection Review Court가 독립적이라고 주장하지 않음. 오히려 EU-US Data Privacy Framework를, 자신들이 성공적으로 무효화했던 이전 합의들의 “대체로 복사본”이라고 부름