거액의 과징금 부과 약속을 받았고, 유럽연합의 개인정보보호 규정(GDPR)이 전달됐다. 2021년 7월 말, 아마존의 재무 기록을 통해 룩셈부르크 관료가 아마존에 유럽연합 규제 위반 사유로 7억 4,600만 파운드(6억 3,600만 유로)의 과징금을 부과한 사실이 드러났다.
유례없는 수준의 과징금이 부과됐다. 지금까지 GDPR 규정과 관련해 선고된 최고액이며, 다른 여러 기업의 GDPR 규정 위반 사항 관련 과징금을 모두 합친 것보다 많은 금액이다. 아마존이 항소한 과징금 부과는 GDPR 법률 시행이 허술하며, 금액도 지나치게 적다는 인상을 준 시점에 발표됐다. 다수 전문가는 GDPR 조사 속도가 너무 느리면서 효과가 없기 때문에 많은 기업이 사용자의 프라이버시를 침해하고도 법적 책임을 피할 수 있다고 지적했다. 일각에서는 GDPR의 전면 파기를 원하기도 했다.
그러나 룩셈부르크가 아마존에 거액의 과징금을 부과한 이유는 두 가지 이유에서 매우 주목할 만하다. 첫 번째 이유는 GDPR의 잠재적인 힘이다. 두 번째는 GDPR과 같은 규제가 유럽연합 전역에 계속 적용될 수 있다는 사실을 입증한 것이다. 이 두 가지 이유 때문에 논란의 여지는 있지만, 이번 과징금 판결은 GDPR 규정으로 내린 결정 중 최고의 결정이다.
비영리 인터넷 옹호 단체 액세스 나우(Access Now)의 글로벌 데이터 보호 총괄인 에스텔레 마세(Estelle Massé)는 “규제 당국에 산적해 있는 문제가 매우 많은 상황에서 여러 사건 중 하나가 GDPR이 기본적으로 규정 위반 기업을 처벌할 힘을 충분히 가지고 있음을 입증하기를 바랐다”라고 말했다. 아마존을 상대로 항소할 목적으로 설립된 프랑스 시민 자유 단체인 라 카드라튀르 뒤 넷(La Quadrature du Net)은 규제 당국이 테크 업계 대기업을 상대로 법적 조치를 취할 수 있다는 ‘희망’을 주었다고 말한다.
언론에서 대대적인 주목을 받는 과징금 판결 소식에도 아마존이 지금까지 과징금을 부과받게 된 위반 사항은 자세히 알려지지 않았다. 룩셈부르크 관료가 이번 사건을 다룬 계기는 아마존의 유럽 주요 근거지가 룩셈부르크이기 때문이다. 룩셈부르크는 그동안 조세 회피처로 분류됐다. 그러나 아마존이 룩셈부르크에서 탈세했다는 주장은 유럽연합 법원에서 기각됐다. 그러나 아마존에 벌금을 부과한 룩셈부르크의 국가 데이터 보호 위원회(National Commission for Data Protection)는 적어도 단기적으로 프라이버시 옹호를 집중 조명하는 데 참여하기 시작했다.
[사진=Pixabay]
2018년 5월, 사용자 1만 명을 대신해 제기한 라 카드라튀르 뒤 넷의 초기 항소 내용은 아마존의 광고 시스템이 ‘자유로운 동의’를 기반으로 하지 않는다는 내용이었다. 그러나 그 외에 대중에 알려진 바는 없다. 룩셈부르크 규제 기관 소속 관료는 2021년 7월 15일에 아마존 패소 판결을 내리기로 결정했으나 그 외 자세한 사항은 공개하지 않았다. 룩셈부르크 규제 당국 대변인은 룩셈부르크의 ‘전문가 기밀 유지 법률’이 의미하는 바에 따라 항소 절차 완료 전까지 어떠한 내용도 자세히 밝힐 수 없다고 말했다. 또, 놀라울 정도로 사용자 데이터를 다량으로 추적하는 아마존은 룩셈부르크 당국의 과징금 판결에 항소할 것이라고 밝혔다.
아마존 대변인은 “데이터 침해 행위를 하지 않았다. 또, 고객 데이터를 서드파티에 전혀 노출한 적도 없다”라고 주장했다. 모두 긍정적인 사실이지만, 기업이 굳이 GDPR 위반을 위해 데이터를 유출할 필요는 없다. 아마존 대변인은 이어 고객에게 관련 광고를 노출하는 방식을 기반으로 한 룩셈부르크 당국의 판결이 유럽 개인정보 보호법에 대한 주관적이면서 검증되지 않은 해석을 기반으로 하며, 이번 과징금은 해석 내용과 전혀 적합하지 않다고 말했다.
아마존이 중요한 사실을 지적했을 수도 있다. 모든 항소 절차나 협상은 벌금 인하를 기반으로 한다. 2020년, 영국 데이터 보호 규제 당국은 영국항공의 과징금을 1억 8,400만 파운드에서 2,000만 파운드로 낮추었다. 또 다른 사례로 호텔 그룹 매리어트의 과징금이 9,900만 파운드에서 1,800만 파운드로 줄어든 것을 언급할 수 있다.
아마존의 과징금은 지금까지 발표된 과징금보다 액수가 훨씬 더 크다. 그동안 구글에 부과한 5,000만 유로의 과징금이 최고 액수였다. GDPR은 거액의 과징금을 부과할 수 있도록 하지만, 현실적으로 규제 당국이 항상 규정대로 거액의 과징금을 부과할 가능성은 작았다. 로펌 DLA 파이퍼(DLA Piper)의 분석 결과에 따르면, 2021년 초, 유럽연합 회원국 소속 규제 기관이 여러 기업을 상대로 부과한 과징금은 총 2억 7,200만 유로이다. 이탈리아의 데이터 보호 기관이 부과한 과징금은 총 6,930만 유로로, 지금까지 유럽연합 내 과징금 중 가장 많다. 그 뒤를 이어 독일(6,900만 유로), 프랑스(5,400만 유로), 영국(4,400만 유로) 순이다.
유럽연합 내 과징금 부과 금액 순위는 유럽 내 인구가 가장 많은 국가를 포함했으나 유럽 내 가장 유명한 데이터 보호 당국인 룩셈부르크와 아일랜드는 제외됐다. GDPR 법률상 유럽 내 여러 국가에서 사업을 하는 기업은 유럽 본사의 위치에 따라 항소 절차가 이루어지는 국가 역할을 하도록 한 국가를 선택할 수 있다. 이를 원스탑샵(one-stop shop) 시스템이라고 일컫는다. 과징금이나 기업의 행동 변화를 유도하는 법률 조치를 포함한 결정을 발표하기 전, 해당 사건을 다룬 유럽 국가가 기업에 판결 내용을 두고 항소할 권리를 준다.
아마존은 룩셈부르크를 주요 데이터 보호 규제 당국으로 지정했으므로 룩셈부르크에 항소한다. 다만, 이번 아마존 사건은 프랑스에서 최초로 제기돼, 룩셈부르크 당국으로 관할 국가가 변경됐다. 페이스북과 구글, 트위터, 애플을 상대로 한 주요 항소 모두 아일랜드 데이터 보호 위원회가 담당했다. 네 기업 모두 아일랜드에 본사를 두고 있기 때문이다. 아일랜드 당국은 2018년 5월, GDPR 규정 도입 후 지금까지 테크 업계 대기업에 단 한 차례만 과징금을 부과했다. 2020년 12월, 트위터에 총 45만 유로의 과징금을 부과했으며, 현재 왓츠앱을 상대로 한 과징금 부과 여부 판결은 계류된 상태이다.
많은 이들이 원스탑샵 시스템이 실패하고 있다고 주장한다. 유럽 데이터 권리 단체 NYOB의 프로그램 총괄인 로메인 로버트(Romain Robert)는 “원스탑샵 시스템은 효과가 없다”라고 말한다. 로버트 총괄은 원스탑샵 시스템 때문에 GDPR 소송에 패소하거나 장기간 보류돼 소통에 실패하는 등의 문제가 발생한다고 주장한다. 그는 “원스탑샵은 마감 기한을 별도로 두지 않는다. 회원국마다 절차가 매우 달라 사건을 처리할 국가의 절차를 별도로 알아야 한다”라고 설명했다.
종종 자금 지원이 부족하면서 업무가 과중된 GDPR 규제 당국 관료도 조직 구성에 만족하지 않는다. 2021년 5월, 액세스 나우가 발표한 GDPR 분석 결과는 규제 당국의 우려 사항을 드러낸다. 독일 관료는 오랫동안 사건이 지연된 문제를 지적한다. 아일랜드 당국은 각각의 사건마다 어떤 데이터 보호 단체를 ‘주요 기관’으로 선택해야 할지 판단하기 어렵다고 말한다. 스웨덴 당국 관료는 국가마다 다른 접근 방식 때문에 여러 국가가 효율적으로 협력하기 어렵다고 호소한다. 그리고, 사건은 계속 처리된다.
벨기에 데이터 보호 당국의 법률의원실 의장인 헬케 히즈만스(Hielke Hijmans)는 “원스탑샵 시스템은 이미 매우 복잡한 법률 집행 상황에 복잡한 요소를 추가한다는 점에서 시행하기 어려운 시스템이다”라고 말했다. 벨기에 당국의 개입과 페이스북, 원스탑샵의 적용 방식은 유럽 최고법원으로 넘어갔으며, 일부 상황에서는 여러 국가가 원스탑샵 시스템을 피할 수 있다는 점을 거듭 반복하여 강조한다. 히즈만스 의장은 “원스탑샵 시스템의 장기적인 지속 가능성 관련 논의가 끊임없이 이어지고 있다. 다루기 어렵다는 특성과 대다수 테크 업계 대기업이 유럽연합 회원국 1~2개국에 집중됐기 때문이다”라고 설명했다.
유럽연합의 여러 데이터 보호 규제 당국 간 협력을 촉진하도록 구성된 독립 기관인 유럽 데이터 보호 위원회(EDPB)는 원스탑샵 시스템이 완벽하지 않다는 사실을 인정한다. EDPB 대변인은 “국가 단위로 법률을 집행하는 동시에 국경을 초월한 사건을 해결하는 것은 시간과 자원이 지나치게 많이 집중된다. EDPR은 원스탑샵 시스템에 따른 사건 처리의 어려움과 다른 여러 요소를 인지하고 있으며, GPDR이나 다른 원스탑샵 시스템을 선호하지 않는다”라고 말했다. 천천히 이루어지는 동시에 꾸준히 결과가 드러나고 있으며, 지금까지 원스탑샵이 성공한 최종 판결 사례는 총 254회이다.
그렇다면, 원스탑샵 시스템을 개선할 방법이 있을까? EDPB 대변인은 GDPR은 장기 프로젝트이며, 유럽 규제 당국 간 협력을 강화하기 위해 노력한다고 밝혔다. 그러나 마세 총괄과 로버트 총괄 모두 더 개선해야 한다고 주장한다. GDPR의 일부 조사는 몇 년간 지연되는 상황을 막기 위해 일정을 정해야 하며, 규제 당국도 더 신속하게 대응해야 한다. 마세 총괄은 “고리타분한 관료주의적 문제를 해결해 실제로 GDPR 사건이 더 빨리 처리되도록 다루어야 한다. 모두 유럽연합 수준에서 해결하고 다루어야 할 문제”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202108/3313_4387_4730.jpg)
뉴스레터 신청