1P by GN⁺ | ★ favorite | 댓글 1개
  • 네덜란드 개인정보보호청(DPA)은 Uber가 유럽 택시 운전자 개인정보를 미국으로 전송하면서 필요한 보호조치를 갖추지 않아 GDPR 중대 위반으로 봄
  • 전송된 정보에는 계정 정보와 택시 면허, 위치 데이터, 사진, 결제 정보, 신분증, 일부 운전자의 범죄·의료 데이터까지 포함됨
  • Uber는 2년 넘게 미국 본사로 데이터를 보냈고, 2021년 8월부터 Standard Contractual Clauses를 쓰지 않아 EU 운전자 데이터 보호가 충분하지 않았다는 판단을 받음
  • 이번 조사는 프랑스 운전자 170명 이상이 제기한 불만에서 시작됐으며, Uber의 유럽 본사가 네덜란드에 있어 네덜란드 DPA가 프랑스 DPA 및 다른 유럽 DPA들과 조율함
  • Uber는 위반을 종료하고 작년 말부터 Privacy Shield 후속 체계를 사용 중이지만, 2억 9천만 유로 벌금에는 이의 제기 의사를 밝힘

Uber가 받은 GDPR 위반 판단

  • 네덜란드 DPA는 Uber가 유럽 택시 운전자 개인정보를 미국으로 전송하면서 GDPR이 요구하는 보호 수준을 보장하지 못했다고 봄
  • 문제 된 데이터는 미국 서버에 보관됐으며, 범위가 일반 계정 정보에 그치지 않았음
    • 계정 정보와 택시 면허
    • 위치 데이터, 사진, 결제 정보, 신분증
    • 일부 운전자의 범죄 데이터와 의료 데이터
  • Aleid Wolfsen 네덜란드 DPA 위원장은 유럽 밖에서는 개인정보 보호가 자명하지 않으며, 유럽인의 개인정보를 EU 밖에 저장하는 기업은 보통 추가 조치를 해야 한다고 밝힘
  • Uber는 미국 전송과 관련한 위반을 현재 종료함

국제 데이터 전송 규칙과 조사 경위

  • Uber는 2년 넘게 운전자 데이터를 미국 본사로 전송하면서 transfer tools를 사용하지 않았고, 이 때문에 개인정보 보호가 충분하지 않았다는 판단을 받음
  • EU 사법재판소는 2020년에 EU-US Privacy Shield를 무효화함
    • Standard Contractual Clauses는 EU 외 국가로의 데이터 전송 근거가 될 수 있음
    • 다만 실제로 동등한 보호 수준을 보장할 수 있어야 함
  • Uber는 2021년 8월부터 Standard Contractual Clauses를 더 이상 사용하지 않았고, 작년 말부터 Privacy Shield의 후속 체계를 사용함
  • 조사는 프랑스 운전자 170명 이상이 프랑스 인권 단체 Ligue des droits de l’Homme(LDH) 에 불만을 제기한 뒤, LDH가 프랑스 DPA에 민원을 제출하면서 시작됨
  • GDPR의 원스톱숍(one-stop-shop) 원칙에 따라 여러 EU 회원국에서 데이터를 처리하는 기업은 주된 사업장이 있는 국가의 DPA를 상대함
    • Uber의 유럽 본사는 네덜란드에 있음
    • 네덜란드 DPA는 프랑스 DPA와 긴밀히 협력했고, 다른 유럽 DPA들과 결정을 조율함

벌금 규모와 Uber의 이전 제재

  • 유럽 DPA의 기업 벌금은 동일한 방식으로 산정되며, 최대치는 기업 전 세계 연간 매출의 4%임
    • Uber의 2023년 전 세계 매출은 약 345억 유로
    • Uber는 이번 2억 9천만 유로 벌금에 이의를 제기할 의사를 밝힘
  • 이번 건은 네덜란드 DPA가 Uber에 부과한 세 번째 벌금임

댓글과 토론

Hacker News 의견들
  • 재미있는 건, 적어도 은행 쪽에서는 미국 데이터가 거의 항상 미국 밖의 사람들이 관리한다는 점임
    서버는 미국에 있을 수 있지만 접근하는 사람은 유럽이나 인도에 있을 가능성이 큼
    접근 중에는 데이터가 그쪽에 일시적으로 존재하게 되므로, 미국도 이 부분에 더 강한 법이 필요함

    • 데이터가 저장된 물리적 위치가 왜 그렇게 중요한지 잘 모르겠음
      예전 인터넷이 국경이 크게 상관없는 전 세계 컴퓨터 네트워크처럼 느껴지던 시기를 좋아했기 때문에, 인터넷에서도 결국 국경이 중요하다는 전제를 당연하게 받아들이는 게 좀 낯설다
      0x62의 설명이 도움이 됐음: https://news.ycombinator.com/item?id=41357888
      공급업체가 재귀적으로 얽히는 구조는 미처 생각하지 못했음
    • Apple이나 Google 같은 서버에 저장한 데이터는, 필요하면 미국 당국이 동의 없이 접근할 수 있음
      완전히 무고해도 마찬가지임
    • 미국 시민의 미국 데이터에 유럽인이 접근하거나 처리하는 건 문제가 아닐 수 있음
      아는 한 GDPR은 그 데이터를 다루지 않으니 국경을 넘어도 괜찮음
      문제는 EU 시민의 GDPR 보호 데이터인데, 법 집행 같은 특정 예외가 아니면 비EU 국경을 넘는 것을 허용하지 않음
    • 법률가는 아니지만, GDPR에는 원격 접근 예외가 있는 것으로 알고 있음
      인도 직원이 미국에 보관된 데이터를 보는 경우, 화면에 표시되는 순간 데이터가 인도에 도달한 건 분명해도 형식상 미국에서 인도로 이전된 것으로 보지 않을 수 있음
    • GDPR에서 말하는 데이터 이전은 지리적 위치와 직접 관련이 없음
      중요한 건 컨트롤러나 처리자가 어떤 법적 관할권 아래 있느냐이고, 다른 관할권의 처리자에게 데이터를 옮기면 이전이 됨
  • 다른 기사(https://nos.nl/l/2534629, 네덜란드어)에서 Uber는 Autoriteit Persoonsgegevens와 “불명확한 법”에 대해 논의해 왔다고 주장함
    iOS 번역에 따르면 Uber 대변인은 개인정보 규칙의 모호성 때문에 AP에 직접 연락했으며, 당시 감시기관이 Uber가 규칙을 위반했다고 말하지 않았다고 설명함
    하지만 잘 꾸려진 법무팀을 가진 부유한 회사가 허용 여부를 확신하지 못한다면, 그걸 해도 된다는 권리로 바뀌지는 않음
    벌금도 이 정도로 커야 함. 벌금이 단순한 사업 비용이 되어서는 안 되고, 선을 지키는 일이 주주부터 아래까지 모두의 관심사가 되어야 함

  • “작년 말부터 Uber는 Privacy Shield의 후속 제도를 사용한다”는 대목을 보면, 이런 제도가 계속 무너져 온 걸 생각할 때 나중에 또 유죄 판단을 받을 것 같음
    EU 집행위원회가 이 부분을 제대로 못 하고 있음

    • EC는 새 EU–US Data Privacy Framework에 대해 “적정성 결정”을 내렸음: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae6...
      그리고 이 프레임워크 준수 “인증”도 시작함: https://www.dataprivacyframework.gov/list
      그래서 각 데이터보호기관이 이번 새 프레임워크에 대해서는 GDPR상 적정성에 대한 EC 해석에 따를 수도 있음
      다만 Schrems가 이미 이 프레임워크에 도전하겠다고 밝혔으니 불확실성이 큼
      불확실성 없이 “안전한” 선택지는 데이터가 미국을 거치지 않고, 미국 소재 모회사 산하 자회사 보관에도 들어가지 않도록 모든 시스템을 설계하는 것뿐으로 보임
  • 네덜란드에서 Uber가 벌금을 맞은 게 좀 웃김. 현지에서는 일반 택시가 보호받아 Uber가 거의 보이지 않기 때문임
    정확한 데이터는 없지만 주민 1인당 최소 15유로 정도라면 매우 큰 벌금이고, 운전기사 1인당으로 치면 25,000유로쯤 될지도 모르겠음
    네덜란드 규제기관이 “그냥 나가면 안 되나?”라고 말하는 느낌이고, Uber도 비슷하게 느낄 듯함

    • Uber Europe의 본사가 네덜란드에 있어서 그곳에서 벌금이 내려졌음
      프랑스 개인정보 감독기관이 접수한 민원이 네덜란드 쪽으로 넘어간 것임
    • 네덜란드인인지 모르겠지만, 여기에 더 자세히 설명돼 있음: https://tweakers.net/nieuws/225768/uber-krijgt-van-ap-avg-bo...
      벌금은 네덜란드 규제기관에서 나왔지만 조사는 프랑스에서 시작됐고, 2020년 6월 프랑스 Uber 운전기사 21명이 인권단체 Ligue Des Droits De L'homme Et Du Citoyen에 나섰음
      이후 151명의 Uber 운전기사가 추가로 민원에 합류했고, LDH는 이를 프랑스 개인정보 규제기관 CNIL에 가져갔으며, CNIL은 Uber의 유럽 본사가 네덜란드에 있다는 이유로 2021년 1월 네덜란드 개인정보보호 당국에 넘김
    • Uber 본사는 네덜란드에 있음
      이곳의 세금 제도를 좋아하니까
    • 벌금은 항소가 끝날 때까지 정지됨
      DPA에 따르면 항소 절차는 약 4년 걸릴 예정이라, 실제로는 4년짜리 항소가 될 것임
    • 이 벌금은 손해배상이 아니라 처벌
      유럽의 모든 데이터보호기관은 기업 벌금액을 같은 방식으로 계산하고, 기업의 전 세계 연간 매출의 최대 4%까지 부과할 수 있음
  • 네덜란드 DPA가 Uber 조사를 시작한 계기는 170명이 넘는 프랑스 운전기사들이 프랑스 인권단체 LDH에 민원을 냈고, LDH가 이를 프랑스 DPA에 제출한 것이었음
    애초에 운전기사들이 어떤 근거로 의심을 품었는지 궁금함

    • 상식적으로 짐작했을 수도 있고, 앱이 미국 서버에 직접 연결됐을 수도 있음
    • Uber 쪽의 단순한 부주의였을 수도 있음
      개인적으로 오래전 미국 단체와 관련된 적이 있었고, 이후 완전히 잊고 지냈음
      거의 15년 뒤 워싱턴 본부 주소에서 이메일 스팸이 오기 시작했고, 중단을 요청했지만 멈추지 않았음
      GDPR에 따른 법적 조치와 삭제 요청을 하자 준수했다고 답했지만, 1년 뒤 같은 주소에서 다시 스팸이 왔음
      그래서 그들이 내 정보를 삭제하지 않았고 미국에 보관하고 있었다는 걸 알게 됨
  • 이 사안이 EU–US Data Privacy Framework와 어떻게 연결되는지 궁금함
    이 프레임워크가 EU–US Privacy Shield의 대체물로 이런 이전을 허용하려는 것이라고 이해했는데, Privacy Shield 시절인 2020년 이전에는 문제가 아니었을 것 같음
    혹시 잘못 이해한 건가?

    • 네덜란드 DPA의 이 글[1]에 세부 내용이 있음
      Privacy Shield는 2020년에 무효화됐고, 유효한 이전 수단으로는 표준계약조항만 남았음
      Uber는 2023년 새 프라이버시 프레임워크를 도입하기 전인 2021년 8월에 표준계약조항 사용을 중단했고, 2년 동안 매우 민감한 정보를 유효한 방식 없이 전송했음
      [1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
    • 그 이해는 틀렸음
      기본적으로 Framework도 예전 Shield처럼 집행위원회가 “봐라, 우리가 고쳤다”고 보여주려는 시도임
      안타깝게도 앞선 두 번 모두 ECJ는 사후에 미국의 데이터 개인정보보호 법제 부족은 어떤 프레임워크로도 고칠 수 없다고 봤고, Shield 역시 그 전신처럼 주장한 권한을 실제로 허용하지 않는다고 판단함
      이번 Framework는 아직 ECJ에서 검증되지 않았지만, 미국 법이 크게 바뀐 것도 아니라서 결과가 뻔해 보임
  • 우리가 인터넷이 진짜 전 세계 네트워크였던 짧은 시기를 살았던 건 행운이었음
    네덜란드나 나이지리아[1]에 있는 사람이 세계 최고의 기술 서비스를 이용할 수 있었고, 사람들은 국경을 넘어 비교적 자유롭게 상호작용할 수 있었음
    하지만 이제 끝나가고 있음. 모든 영지가 자기 몫과 발언권을 원하면서 인터넷이 글로벌 네트워크로 유지되기 어려워지고 있음
    지속되는 동안은 즐거웠음
    [1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...

    • 이런 법들은 좋은 이유로 만들어졌고, 미국 기술 기업들은 오랫동안 사람들의 개인정보 권리를 마음껏 짓밟아 왔음
      회사가 명예롭게 행동한다면 두려워할 게 없고 전 세계에서 쉽게 사업할 수 있음
      문제는 처음부터 불법이어야 했던 수상한 일을 할 때 생김
      핵심은 미국 법이 가장 느슨해서 시민의 개인정보 침해를 크게 허용하고, 그래서 기업들이 이제 자신들이 불필요하게 제한받는다고 느낀다는 점임
      미국 법이 더 엄격했다면 문제가 되지 않았을 것이고 아무도 이 얘기를 하지 않았을 것임
      회사가 원하는 대로 할 자유에만 초점을 맞추는 건 매우 근시안적이고 미국 중심적임. 감시당하지 않고 살 사용자의 자유는 어떻게 되나?
      네트워크 효과가 너무 커서 “마음에 안 들면 다른 데로 가라”는 자유시장 논리가 잘 맞지 않고, 밖에서 데이터 처리 방식을 알기 어려워 투명성 문제도 큼
      특히 모든 회사가 데이터를 자기 소유물과 현금 젖소처럼 다루고 있음
    • 물리적 제품은 다른 나라로 수출될 때 현지 법을 따라야 하는데, 온라인 서비스만 예외여야 할 이유가 무엇인지 모르겠음
      그것도 “영지가 자기 몫과 발언권을 원한다”고 부르나? 법이라는 개념 자체에 반대하는 건가?
    • “우리는 세계가 진정한 글로벌 무역망이던 짧은 시기를 살았던 행운을 누렸다. 영국 사람은 세계 최고의 차를 접할 수 있었고, 사람들은 국경을 넘어 비교적 자유롭게 교류할 수 있었다. 하지만 이제 끝나가고 있다. 모든 영지가 자기 몫과 발언권을 원하면서 세계가 글로벌 네트워크로 유지되기 어려워지고 있다. 지속되는 동안은 즐거웠다.”
      아마 대영제국 말기의 무지한 누군가도 이런 식으로 말했을 것임
    • 그 “전 세계 네트워크”의 중심지가 그것을 영향력과 감시의 도구로 바꾼 건 아닐까?[1]
      또는 그 네트워크에 참여한 기업들이 네트워크를 담장 안에 가두는 데 이해관계를 느낀 건 아닐까?[2][3]
      아니면 그 글로벌 네트워크가 몇몇 지배적 행위자에 의해 너무 크게 재편되어 외부 규제가 필요해진 건 아닐까?[4][5]
      물론 아니겠지. 산업계의 대규모 남용에 대한 반응이 아니라, 지역 영주들이 조금의 권력을 긁어모으려는 것일 뿐이겠지
      [1]: https://en.wikipedia.org/wiki/PRISM
      [2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
      [3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
      [4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
      [5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
    • Uber가 마음대로 할 권리는, 나에 관한 정보를 통제할 내 권리 앞에서 멈춤
      자유란 무엇인가? GPL인가, BSD인가, 주먹을 휘두르는 것인가, 코를 맞지 않는 것인가?
  • 항소 절차가 약 4년 걸리고 모든 법적 구제 절차가 끝날 때까지 벌금이 정지된다니, 이 건은 4년 뒤에 다시 듣게 될 것 같음

  • Uber는 이를 “유럽에서 사업하는 비용”으로 처리하고 가격에 마크업으로 붙일 것임

  • 최근 몇 년간 EU가 미국 기술 기업에 부과한 벌금 총액이 148억 달러가 됨: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
    이 Substack은 꽤 좋고, 미국 기술 기업들이 조만간 유럽을 떠나지는 않겠지만 관계에서 훨씬 더 큰 힘을 쥐고 있다는 점을 명확히 보여줌
    규제기관들이 자기 패를 과하게 쓰고 있음

    • 정확히 어떻게 패를 과하게 쓰고 있다는 건지 모르겠음
      미국 빅테크가 유럽에서 물러난다고 해도, 단기만 빼면 지역 시장에는 좋은 일이 될 수도 있음
      그들과 경쟁하기는 매우 어렵고 미국 현지 시장에서도 마찬가지임
      EU처럼 큰 시장에서 그들이 사라지면 경쟁이 촉발될 가능성이 큼
    • 그러면 무슨 일이 생기나? 빈자리가 생기고 아무도 채우지 못하나?
      EU에 역량이 전혀 없다고 가정해도, 현재 최고의 이미지 생성 모델과 꽤 괜찮은 오픈소스 LLM들이 EU에서 나왔다는 점을 보면 그 가정은 매우 비현실적임
      게다가 유럽 여러 나라, 특히 동유럽에는 뛰어난 기술 인재가 있고, 중국 기업들도 즉시 뛰어들 것임
    • 그 글에 대한 반론은 간단함. 미국 빅테크가 EU 법을 지키면 벌금을 완전히 피할 수 있음
    • 오히려 유럽 고객에게서 엄청난 돈을 벌고 있기 때문에 그런 벌금을 감당할 수 있다는 뜻으로 보임
      그래서 유럽 입장에서는 여전히 형편없는 거래임