팀 벨(Tim Bell)의 고객 중 20%는 영국에 본사를 둔 기업가와 회사이지만, 아직 공식적으로 그들을 고객에 포함하지 않는다. "우리는 '브렉시트, 수수료 없는' 계약을 맺고 있다"고 그는 말한다.
만약 예상대로 이 브렉시트 전환 기간이 2021년 1월 1일에 종료된다면, 이러한 잠재 고객들은 벨의 회사의 서비스를 이용하기 시작할 것이고, 반대로 운명의 사고로 전환이 설날 이후로 연장된다면, 그들은 영국이 EU의 궤도에서 완전히 벗어날 때까지 대기할 것이다. 벨의 경우, 브렉시트가 비즈니스에 좋을 것이다.
벨은 더블린에 본사를 둔 데이터리프(DataRep)의 설립자 겸 상무 이사로서 2016년 회원 투표에서 유권자들이 유럽연합을 탈퇴하지 않았다면 어떤 영국 기업도 바쁠 수 없었을 서비스이다. 2017년에 출시된 데이터리프는 EU 및 EEA 30개국 중 29개국에 진출해 있으며 EU 시민의 개인 데이터를 처리하지만 EU 자체에 사무소가 없는 기업을 위해 대행을 한다. 벨의 회사는 데이터 주체 요청을 처리하고, 유럽 데이터 보호 당국과 연락을 취하며, 고객 대신 다른 사무 업무를 처리한다. 2018년 5월부터 시행되기 시작한 EU의 데이터 보호 규제인 GDPR 제27조에 의해 데이터 대표자의 임명이 요구되어 유럽 전역에서 규제 공황이 촉발됐다.
GDPR(일반 개인정보 보호법) 불안은 이제 영국 국민들의 기억에서 거의 사라졌지만, 영국이 본격적으로 탈퇴하는 즉시 EU가 아닌 국가로 취급될 것이며, 27조는 그 기준에 맞는 모든 영국 기업에 적용될 것이다. 그 대상자는 누구인가? EU의 어딘가에 이미 사무실을 갖고 있을 가능성이 높은 대기업이나 가족이 운영하는 빵집이 아니라 EU 고객들을 만족시키는 수많은 중견 인터넷 회사들이다. 벨은 서비스형 소프트웨어(SaaS) 신생 기업, 전자상거래 기업 및 임상 시험을 수행하는 조직을 데이터리프의 대표적인 고객으로 꼽는다.
그는 27조에 대한 인식이 높아짐에 따라 많은 다른 사람들이 따를 것으로 기대한다. 영국 고객들과 교류하는 유럽 기업들도 마찬가지이다. 영국 내 사무소를 개설하거나 현지 데이터 담당자를 고용해야 한다. EU와 영국에서 사업을 하는 일부 아프리카, 미국 또는 아시아 기업들은 총 두 명의 데이터 담당자를 갖게 될 것이다.
많은 영국 기업 소유주들에게 큰 문제는 그들이 데이터 담당자가 필요한지에 관한 것이다. 법무법인 미시콘 드 레야(Mishcon de Reya)의 선임 데이터 보호 전문가인 존 베인스(Jon Baines)는 "1월 1일, EU 시민에게 상품과 서비스를 제공하는 회사이거나 EU 사람들을 대상으로 광고를 모니터링한 쿠키가 웹 사이트에 있다면 EU의 담당자가 필요하다."라고 말한다. "이제 예외가 있다. 제27조는 이것이 간혹 발생하거나 대규모가 아니거나 위험을 초래하지 않는 처리에는 적용되지 않아야 한다. 하지만 '간혹'이 무슨 뜻인지는 아무도 모른다."
지역 대표를 뽑을지 여부를 결정하는 것은 도박이 될 수도 있다. 가격은 비교적 낮은 편인데 데이터리프과 같은 회사는 한 회사가 처리하는 개인 데이터의 양과 관련 위험 수준에 따라 연간 150유로(£130)에서 최대 5,000유로(£4,500-5,400)의 수수료를 부과한다. 반면에, 이상하게도, 27조를 어기는 회사들에게 무슨 일이 일어날지는 명확하지 않다. 최대 벌금이 회사 전체 매출의 2퍼센트에 해당하는 천만 유로에 달하지만, 베인즈는 이 부분이 시행 빈도가 높은 분야는 아닌 것 같다고 말한다.
"한 가지 의문점은 당신이 대표를 임명하지 않는다면 당신에게 무슨 일이 일어날 것인가 하는 것이다."라고 베인즈는 말한다. "엄밀히 말해 GDPR 위반이지만 대표자가 없으면 어떤 결과가 나올지 집행이 무엇인지 잘 모르겠다."
전례가 적다. 현지 담당자를 임명하지 않고 막대한 양의 EU 개인 데이터를 처리한 회사와 관련하여 가장 주목 받는 사례는 2014년 네덜란드 데이터 보호 당국이 메시징 서비스 왓츠앱에 대해 내린 결정으로, 이를 준수하지 않을 경우 매일 €10.000의 벌금을 부과했다. 그러나 그 결정은 GDPR 이전이었고 미국 기술 회사를 대상으로 했다. 영국의 대중매체 기업이 비슷한 반대에 대비해야 하는지 아닌지는 알 수 없다. 법률 회사인 클리포드 찬스(Clifford Chance)의 기술팀의 공동 책임자인 조나단 큐리(Jonathan Kewley)는 "중소기업은 제27조의 의무와 관련하여 전환 벌금의 2%를 받지 않을 것이다."라고 말한다. 큐리는 제27조가 코로나19 대유행과 함께 브렉시트가 영국 기업들을 대신할 추가적인 비즈니스 비용 증가의 사례로 더 보아야 한다고 생각한다.
[사진=PIXABAY]
다른 예는 데이터 적합성에 관한 것이다. 영국과 EU가 12월말까지 무역협정을 타결할지 여부와 상관없이 영국이 EU에 가입했을 때와 같은 방식으로 개인 정보를 전달할 수 있을지는 불투명하다. 이 문제는 EU가 영국의 데이터 보호 표준을 충분히 좋게 보느냐에 달려 있으며, 영국의 대규모 보안 감시 관행과 미국과 나머지 파이브 아이즈 동맹(Five Eyes alliance)국과의 정보 공유 협약에 대한 유럽의 우려를 감안할 때 이 결정은 매우 부정적일 수 있다.
데이터 적합성이 인정되기 전까지는, EU로부터 개인 데이터를 송수신하는 데 크게 의존하는 영국 기업들(금융, 클라우드 컴퓨팅, 전자상거래 등)은 표준 계약 조항이라고 하는 대체 약정에 의존해야 한다. 그 추가적인 관료주의 계층의 가격표와 더불어 규정 불이행에 따른 잠재적 비용은 16억 파운드로 추산되었다.
영국 스타트업 무역협회 코덱의 도미닉 할라스(Dominic Hallas) 전무이사는 27조 문제는 1월 1일 몇몇 영국 기업들이 기다리고 있는 합병증을 요약하고 있다. 그는 "이는 많은 신생 기업들이 적절한 표준 계약 조항을 마련하지 못할 것이기 때문에 적절성이 정말 중요한 이유를 보여주는 것이다. 뿐만 아니라 이와 같은 문제에 대한 행정의 추가 부담 때문이기도 하다."라고 말한다. "문제는 일반 스타트업이 아직도 이 사실을 모르고 있다는 것이다."
부적절함처럼, 27조는 짜증, 잠재 비용, 그리고 사소한 것의 새로운 원인이 될 수 있다. "대표를 임명해야 하는 이러한 의무가 EU 당국에 의해 무기로 위협될 위험이 있으며, 영국에서도 마찬가지로 상호적인 방식으로 위협할 수 있다. 영국과 EU 사이의 더 넓은 무역 전쟁에서 데이터가 역할을 할 수 있다는 것을 점점 더 많이 보고 있다."라고 그는 말했다. 그는 벌금이 가능한 문제들 중 하나일 수도 있다고 말한다. 데이터 담당자를 임명하지 않은 영국 기업들은 경고, 견책 및 기타 비준수 성명을 발표할 수 있다. 당국은 문제가 해결될 때까지 반복적으로 후속 조치를 취할 수 있다.
그리고 더 넓은 브렉시트 과정의 운명이 영국 기업들이 EU 데이터 보호 당국으로부터 얼마나 원치 않는 관심을 받느냐를 결정할 수 있다. "만약 영국이 적절한 결정을 받지 못하고 예외주의의 길을 가기로 결정한다면, 이것은 하나의 순간일 수도 있다. 27조의 의무에 초점을 맞추는 것은 데이터 개인 정보 보호 분야에서 더 광범위한 추세를 나타낸다."라고 큐리는 말한다.
브렉시트에 따른 적폐청산과 혼란의 와중에 GDPR과 브렉시트 이후 급증하고 있는 데이터리프 등 기업들만이 이익을 볼 수 있을 것이다. 이론적으로, GDPR에 따라 허가된 회사가 벌금을 내지 않는다면, 데이터 대표자들은 그들의 고객을 위해 비용을 부담하도록 요구 받을지도 모른다. 베인즈는 "지정된 대표는 비준수 시 집행 절차를 거쳐야 한다"고 말했다. "그러므로 '예, 저는 대표자입니다'라고 말하고 나서 [데이터] 컨트롤러가 EU 시민의 데이터로 인해 엄청난 위험을 감수한다는 사실을 발견하고 싶지 않다."
Gian Volpicelli는 와이어드의 정치 편집자이다. 그는 @Gmvolpi에서 트윗을 한다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 배효린 에디터)
![[사진=PIXABAY]](/news/photo/202012/2716_3742_2645.jpg)
뉴스레터 신청