보안

메타, GDPR 위반 혐의로 13억 달러 ‘최대 규모’ 벌금에 항소 선언

Charlotte Trueman | CSO 2023.05.23
아일랜드 데이터 보호 위원회(Data Protection Commission, DPC)는 메타가 적절한 안전 조치 없이 EU 사용자의 데이터를 미국으로 전송해 GDPR을 위반했다는 혐의로 13억 달러(약 1조 7,000억 원)의 벌금을 부과했다.

DPC는 성명에서 메타가 페이스북 유럽 사용자의 “기본적 권리와 자유에 대한 위험”을 고려하지 못했다고 말했다. 벌금과 함께 메타는 표준 계약 조항(Standard Contractual Clauses, SCC)에 따라 앞으로 5개월 동안 페이스북 데이터를 미국으로 이전하는 것을 중단하는 조치를 취하라는 명령을 받았다.
 
ⓒ Getty Images Bank

SCC는 지난 2020년 유럽연합 사법재판소가 EU와 미국 간의 상업적 목적을 위한 대서양 횡단 개인 데이터 교환을 규제하기 위한 법적 프레임워크인 프라이버시 쉴드(Privacy Shield)가 미국 정부의 감시로부터 EU 사용자의 데이터를 충분히 보호하지 못한다고 판결한 이후 기업이 EU 데이터를 미국으로 전송할 때 적용하는 규정이다. 2020년의 판결은 프라이버시 쉴드 협정을 무효화하고 기업이 미국으로 데이터를 전송할 때 널리 사용하던 법적 도구인 SCC 사용 요건을 강화했다.

아일랜드 DPC는 유럽연합 사법재판소가 프라이버시 쉴드를 폐기하고 SCC 관련 규정을 강화하는 판결을 내리면서 “SCC를 기반으로 데이터를 전송하려는 데이터 컨트롤러 또는 프로세서는 데이터 주체에게 GDPR 및 EU 기본권 헌장에서 보장하는 것과 본질적으로 동등한 수준의 보호는 제공해야 한다”라고 언급한 것에 주목했다. 

DPC는 메타의 SCC가 미국 정부의 대규모 감시 프로그램에서 EU 사용자의 데이터를 보호하지 못하며, 이는 잠재적으로 EU 사용자의 데이터를 미국으로 전송하는 모든 기업의 능력에 의문을 제기할 수 있다고 말했다. “EU 또는 미국 데이터 주체가 자신의 개인 데이터가 수집 또는 추가 처리되고 있는지 알 수 있는 방법이 없으며, 데이터에 대한 액세스, 수정 또는 삭제 권한을 얻을 기회도 었다”라고도 언급했다.

영국의 전 하원의원이자 현재 메타의 글로벌 담당 사장인 닉 클레그와 최고법률책임자 제니퍼 뉴스테드는 블로그에서 데이터 접근에 대한 미국 정부의 규정과 유럽인의 개인정보 보호 권리 사이에 존재하는 “근본적인 법의 충돌”은 메타나 다른 기업이 자체적으로 해결할 수 있는 문제가 아니라고 지적했다. 또한 수천 곳의 기업이 동일한 SCC를 사용하고 있는데도 메타가 “특정된 것에 실망”했다며, “정당하지 않고 불필요한 벌금”이 부과된 것에 항소할 것이라고 덧붙였다.

13억 달러의 벌금은 유럽 규제 당국이 부과한 최대 규모의 벌금이다. 이전에는 2021년 비슷한 이유로 아마존에 부과된 8억 7,700만 달러가 역대 최고 벌금이었다.

개인정보 보호 컴플라이언스 솔루션 제공업체인 프라이버시 컴플라이언스 허브(Privacy Compliance Hub)의 공동 설립자 나이젤 존스는 불법적으로 전송한 EU 사용자의 개인 데이터 저장을 중단하라는 요구사항은 재정적, 기술적, 논리적으로 수행해야 하는 엄청난 작업이므로 메타가 주어진 시간 내에 어떻게 전송을 중단하고 법에 따라 처리할 수 있을지 알기 어렵다고 지적했다.

이어 “메타가 상업적으로 실행할 수 있는 옵션은 법원에 항소해 이행을 늦추는 것뿐이다. 그동안 EU와 미국이 데이터 프라이버시 프레임워크(Data Privacy Framework)에 합의해 메타와 다른 기업이 EU 개인의 데이터를 합법적으로 미국으로 전송할 수 있기를 바라야 한다”라고 말했다.


프라이버시 쉴드를 대신할 새로운 협정

프라이버시 쉴드가 무효 판결을 받은 지 2년 후인 2022년 10월, 미국 대통령 조 바이든은 새로운 EU-미국 데이터 이전 협정인 TADPF(Trans-Atlantic Data Privacy Framework)를 시행하는 행정 명령에 서명했다.

EU 집행위원회 역시 2022년 12월 TADPF가 EU에 필적하는 개인정보 보호 조치를 제공한다는 결론을 내렸지만, EU에서 최종적으로 승인되기까지는 아직 절차가 많이 남은 상황이다. 유럽 데이터 보호 위원회(European Data Protection Board, EDPB) 승인 이후 EU 회원국 대표로 구성된 위원회와 적정성 결정 조사권을 가진 유럽 의회의 승인까지 받아야 TADPF를 공식적으로 채택할 수 있다.

TADPF가 통과되면 미국 기업은 개인정보 수집 목적에 더 이상 필요하지 않은 경우 개인정보를 삭제하고 서드파티와 개인정보를 공유할 때 보호 연속성을 보장해야 하는 등 세부적인 개인정보 보호 규정 준수에 동의해야 한다. TADPF는 기본적으로 미국과 EU 간의 데이터 흐름이 EU의 GDPR 규정을 준수하도록 보장하기 위한 조치다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.