EU-미국 데이터 공유 협정, 이번엔 성사될까

프라이버시 쉴드(Privacy Shield)와 세이프 하버(Safe Harbor) 데이터 전송 협정이 모두 복잡한 법적 절차 앞에 무너진 전례가 있다. 이에 바이든 대통령이 새로운 대서양 횡단 데이터 정책 프레임워크를 시행하고자 행정명령을 내렸다. 전문가들은 과연 이번에야말로 미국이 유럽의회의 정밀 조사를 견딜 수 있을지 의문을 제기했다. 
 
수천 개의 회사가 미국과 유럽연합의 새로운 데이터 전송 협정이 곧 발효되기를 기다리고 있다. 이렇게 하면 국경을 초월한 데이터 전송에 필요한 부담스러운 법적 작업이 완화될 것이다. 하지만 불행하게도 아직 희망을 품기는 이르다. 

조 바이든 미국 대통령이 올해 초 합의한 대서양 횡단 데이터 정책 프레임워크에 대한 규칙을 시행하라는 행정명령은 올바른 방향이다. 그러나 공공 정책과 법률 전문가들은 새 협정이 아무리 빨라도 내년 봄까지는 발효되지 않을 것이며 그 이후에도 법적 과제에 직면하게 될 것이라고 말한다.

바이든이 지난 10월 7일 서명한 행정명령은 미국 정보기관의 전자감시에 새로운 제한을 두고 유럽인이 자신의 개인정보가 미국 정보기관에 의해 불법적으로 이용됐다고 판단될 때 불만을 제기할 수 있는 새로운 수단을 마련하는 내용이다.

이번 조치는 유럽 사법 재판소가 미국이 국가 감시와 관련해 개인 데이터를 충분히 보호하지 않는다는 이유로 2020년 프라이버시 쉴드로 알려진 이전 EU-미국 데이터 공유 협정을 폐쇄한 지 2년 만에 나온 것이다.

새로운 대서양 횡단 데이터 정책 프레임워크는 미국의 개인 정보 보호 장치를 개선하고, 개인 정보 보호 쉴드(Privacy Shield) 협정을 대체한다. 법적 문제가 제기될 때 궁극적으로 사법 재판소의 조사를 통과하는 것이 목적이다. 

그러나 영국에 본사를 둔 컴플라이언스 전문가인 코더리(Cordery)의 컴플라이언스 및 기술 변호사인 조나단 암스트롱에 따르면, 새로운 행정명령이 성사되기까지는 아직 갈 길이 멀다. 바이든 행정부와 유럽연합 집행위원회가 새로 제안된 데이터 협약을 지지하는 성명을 발표했음에도 불구하고 말이다.  

암스트롱은 "백악관과 유럽연합 집행위원회 모두 자신 있다고 말하지만, 이미 한번 당한 적이 있지 않은가? 양측 모두 개인 정보 보호 쉴드 협정이 사법적 조사를 통과할 것이라고 장담했지만 결과는 그렇지 않았다"라고 말했다.
 

대서양 횡단 데이터 정책 프레임워크의 다음 단계는?

협상이 봉합되려면 우선 유럽연합(EU)이 바이든의 행정명령으로 제정한 새 규칙이 대서양 횡단 틀에서 합의된 기준을 충족하기에 충분하다는 점을 확인해야 한다. 이 프레임워크는 차례로 EU의 GDPR(General Data Protection Regulation)과 동등한 프라이버시 보호를 제공하기 위해 만들어졌다.

향후 몇 달 동안, 유럽 위원회는 적절성 결정 초안을 제안하고 채택 절차를 시작할 것이다. 위원회 성명에 따르면, 이를 위해서는 EU 회원국 대표들로 구성된 위원회의 승인을 받기 위해 유럽 데이터 보호 위원회(EDPB)와 협의해야 한다.  

암스트롱은 유럽의회도 이 협정을 면밀히 조사하기를 원할 것이라고 말했다.

한편, GDPR 위반으로 페이스북에 대한 불만을 제기한 오스트리아의 활동가이자 변호사 맥스 슈렘스는 이미 그의 압력 단체인 NOYB와의 거래에 이의를 제기할 수 있다고 말했다.

슈렘스는 NOYB가 발표한 성명에서 "첫눈에 핵심 문제들이 해결되지 않은 것으로 보이며 조만간 CJEU(유럽 사법 재판소)로 돌아갈 것"이라고 말했다.
 

대중 감시의 위험

슈렘스 등 비판론자들에 따르면 바이든의 행정명령과 대서양 횡단 데이터 정책 프레임워크 자체의 큰 문제는 미국 정보기관의 대중 감시를 적절하게 다루지 못한다는 것이다.

행정명령은 "검증된 정보 우선순위를 진전시키는 데 필요한 경우에만, 그리고 그 우선순위에 비례하는 범위 내에서만" 미국의 정보 활동을 수행하도록 요구하고 있다. 그러나 EU법도 비례감시를 요구하고 있지만 미국의 대중감시가 실제로 바뀔 조짐은 없다고 NYOB는 전했다.

또한 바이든 대통령의 명령으로 미 법무부가 감시에 대한 불만을 해소하기 위해 데이터 보호 검토 법원을 설립해야 하지만, 이는 '실제 법원'이 아니라 미국 정부의 법률 지부에 있는 기구라고 NYOB는 전했다.

NYOB는 또 행정명령은 법이 아니라 미국 대통령이 연방정부 부처에 내리는 지시라고 지적했다.
 

미국시민자유연합(ACLU) 로비단체 

ACLU National Security Project의 선임 변호사인 애슐리 고르스키는 ACLU 성명에서 "미국의 감시체제에 대한 문제는 행정명령만으로는 해결할 수 없다"라고 말했다. "시민의 사생활을 보호하고 대서양 횡단 데이터 전송을 건전한 법적 기반 위에 놓기 위해 의회는 의미 있는 감시 개혁을 시행해야 한다. 그렇게 될 때까지 미국 기업과 개인은 그 대가를 계속 치를 것이다"라고 그는 덧붙였다. 

휘태커 솔루션에서 글로벌 데이터 규정 준수 이사로 일하고 있는 태쉬 휘태커는 이 협정이 요구 사항을 충족할 것 같지 않다고 말했다. 휘태커는 "특히 대중 감시는 이대로 계속될 것 같다. 이것은 새로운 행정명령의 문구 변경과 무관하다. 또한, 국내법 내에서 데이터 주체에 대한 사법적 구제도 필요하다. 행정명령은 '데이터 보호 검토 법원'을 참고해 이런 일이 벌어져야 한다고 제안하고 있다“라고 말했다. 
 

하염없이 기다리는 기업들

기업 입장에서 새 협정은 대서양 횡단 데이터 전송을 수행하는 데 현재 요구되는 까다로운 법적 협상을 줄이는 방법이다. 따라서 기업은 새로운 데이터 전송 협정이 발효되기를 원한다. 또한 EU 표준에 부합하는 방식으로 데이터를 전송하고, EU 데이터 보호 당국(DPA)의 까다로운 시행 조치를 피하는 데 도움이 되기도 한다. 뉴욕에 본사를 둔 무역그룹 인터랙티브 광고국(IAB)의 공공정책 담당 집행부사장인 라르티즈 티피스(Lartease 티피스)에 따르면, DPA는 EU의 GDPR 위반과 관련된 민원을 처리하는 독립적인 공공기관이다. 

티피스에 따르면 프라이버시 쉴드나 이와 유사한 협약이 없을 경우 기업들은 이른바 표준 계약 조항을 이용해 데이터 전송이 GDPR에 따라 이뤄졌는지 확인한다. 티피스는 "문제는 이 절차가 매우 힘들다는 것이다. 심지어 표준 계약 조항이라고 부르기 민망할 정도다. 왜냐하면 어떤 면에서는 모든 조항을 일일이 협상해야 하므로 표준은 아마도 잘못된 명칭일 것이다"라고 설명했다. 

티피스는 "프라이버시 쉴드에 가입한 미국 기업 5000여 곳 중 70% 가까이가 모든 데이터 제공 업체와 복수 계약을 협상할 자원이 없는 소규모 기업"이라며 물론 이는 "대기업에게도 부담이 된다"라고 말했다.

티피스는 프라이버시 쉴드와 새로운 프레임워크가 발효된다면 기업이 승인된 지침을 준수한다는 것을 스스로 인증하기만 하면 더 이상 모든 공급업체와 개별 데이터 개인 정보 보호 계약을 체결할 필요가 없게 된다고 말했다. 

티피스는 "또 다른 고려사항은 표준 계약 조항이 있더라도 기업이 충분한 조항을 가지고 있지 않거나 모든 조항을 다루지 않은 경우 DPA 시행의 대상이 된다는 것"이라고 말했다.

데이터 전송 규칙 두고 법적 다툼 예상돼

티피스는 바이든 부통령의 행정명령이 올바른 방향으로 나아간 조치라며 최종 합의의 발판을 마련했다고 평가했다. 그는 데이터 흐름이 미디어, 광고, 소비재뿐만 아니라 의료, 사이버 보안 및 기타 기술의 상호 발전을 위해 중요하다고 강조했다.

그럼에도, 이 명령에 대한 초기 비판을 고려할 때, 티피스는 합의에 대해 "법적 도전이 있을 것"이라고 인정했다.

코데리의 컴플라이언스 변호사 암스트롱도 티피스의 의견에 동의했다. 그는 미국과 유럽 연합의 약속에 너무 큰 기대를 걸지 말라고 기업에 주의를 시켰다. 암스트롱은 "특히 데이터 전송에 남아 있는 문제와 발생할 수 있는 문제를 고려할 때 기업이 이러한 안락한 말에 의존하기에는 위험이 너무 크다"라고 말했다.

EU 승인 과정 때문에 새로운 계획은 지연될 수밖에 없다. 암스트롱은 "이 명령이 이르면 2023년 봄까지 효력을 발휘하지 못할 것"이라고 말했다. 암스트롱은 "그럼에도 대부분 기업은 다른 규정 준수 조치를 계속하는 동안에도 여전히 이 거래를 일시적인 거래로 간주하기를 원할 것"이라고 말했다. 특히 데이터를 보내는 기업의 보안과 해당 관할 구역에서 시행 중인 데이터 보안 조치를 더 강화해야 한다고 당부했다. 

휘태커는 "결국 미국은 이 협정안에 힘입어 EU의 적정성을 어느 정도 얻을 수 있겠지만 로비스트들이 GDPR보다 더 빨리 법정에서 이의를 제기할 것이기 때문에 단기적일 것 같다"라고 평가했다.
ciokr@idg.co.kr