미국은 유럽 사용자의 데이터 감시를 중단하지 않는다. 그러나 감시 행위가 합당한 수준임을 확인시키려 한다. 바로 조 바이든 미국 대통령이 유럽과 미국 간 원활한 데이터 흐름을 재개하고자 설계한 행정명령에 서명하면서 유럽 사용자를 안심시키려 하는 방식이다.
지난 몇 년간 많은 기업이 미국과 유럽 사이에서 사용자 데이터를 전송했다. 백악관은 행정명령과 함께 “대서양과 미국 간 7조 1,000억 달러 규모의 경제 관계 실현은 중요한 일이다”라고 발표했다. 그러나 2년 전, 룩셈부르크의 유럽연합 법원은 미국으로 전송하는 유럽인 데이터가 자칫하면 미국 국가안전보장국(NSA)과 같은 여러 정부 산하 기관의 감시 대상이 되었다. 결과적으로 미국과 유럽 간 수월한 데이터 전송 합의가 파기되었다. 결국, 많은 기업이 복잡한 임시 대체 수단을 찾는 데 큰돈을 지출해야 하는 상황이 되었다.
백악관의 행정명령은 유럽연합과 미국 간 데이터 프라이버시 합의에 한 단계 더 가까이 접근하면서 미국 정부의 감시 때문에 커진 유럽 사용자의 우려 속에서 신뢰를 복구하고자 한다. 행정명령은 미국 법무부 산하 신설 기관을 두고, NSA가 유럽인과 미국인의 데이터 접근 방식을 감시한다. 그러나 프라이버시 옹호 세력은 행정명령이 단순히 유럽 법률 규정의 표현을 복사한 것에 ‘적합한’, ‘필요한’과 같은 단어만 추가한 수준이며, 실질적인 변화는 없다고 지적한다. 2020년, 페이스북을 제소하여 유럽연합과 미국 사이의 데이터 협약 종료에 성공한 오스트리아 프라이버시 운동가 맥스 쉬렘스(Max Schrems)는 “대규모 감시와 실질적인 제한 사항이 전혀 없다”라고 말했다.
쉬렘스의 소송 전에는 약 5,000곳에 이르는 기업이 ‘프라이버시 실드(Privacy Shield)’ 시스템에 따라 유럽과 미국 간 사용자 데이터를 전송하였다. 앱 개발사를 중심으로 중소기업을 대변하는 기관인 앱 협회(App Association) 회장 모건 리드(Morgan Reed)는 “과거에는 프라이버시 실드 시스템에 따라 유럽과 미국 간 데이터 전송이 자유로웠다”라고 말했다. 하지만 유럽 법원의 판결로 갑자기 프라이버시 실드가 무효가 되면서 기업 수천 곳이 법적 불확실성을 직면했다.
유럽 법원의 판결 이후에도 데이터 전송은 계속되었으나 과정이 훨씬 더 복잡해졌다. 리드 회장은 “쉬렘스 소송 사건의 판결은 대규모 규정 준수 부서가 없는 중소기업의 비용 부담과 법률 규정 위반 우려로 이어졌다”라고 말했다. 표준 계약 조항은 기업의 전 세계 데이터 전송 과정 안전성 평가 단계를 의무화하는 데이터 전송 합의사항을 다루며, 시간이 오래 걸린다는 어려움이 있다.
2020년 쉬렘스의 소송 이후 2년간 표준 계약 조항을 두고 씨름한 많은 기업이 백악관의 행정명령 발표 소식을 반겼다. 평소처럼 기업을 운영할 수 있기 때문이다. 행정명령은 미국과 유럽 연합의 새로운 프라이버시 합의를 위한 다음 단계의 과정이다. 구글, 아마존, 애플 등 테크 업계 대기업을 대변하는 로비 단체인 컴퓨터 및 커뮤니케이션 업계 협회(CCIA) 회장 매트 쉬루어스(Matt Schruers)는 “바이든 행정부가 미국과 유럽연합 간 데이터 전송 유지 명령을 발표하며, 테크 업계의 가장 깊고도 상호 이익이 되는 거래 관계를 지지한 점을 감사하게 생각한다”라고 밝혔다.
[사진=Pixabay]
행정명령 발표 후 유럽 고객사 2,000곳 이상 보유한 캘리포니아에 본사를 둔 소프트웨어 기업 워크데이(Workday)의 분위기는 밝다. 챈들러 모스(Chandler Morse) 워크데이 기업 문제 부사장은 이번 행정명령이 프라이버시 실드의 문제를 넘어선 미국과 유럽연합의 합의 도달이 가능하다고 입증할 증거라고 생각한다. 모스 부사장은 “유럽연합과 미국 간 상호관계에서 합의가 보류된 테크 업계 문제가 많다. 따라서 많은 기업이 유럽연합과 미국 간 합의가 이루어질 긍정적인 조짐으로 본다”라고 말했다. 이어, 유럽연합의 AI법(AI Act)와 데이터법(Data Act)도 유럽연합과 미국의 새로운 데이터 전송 협력에 도움이 될 것이라고 덧붙였다.
그러나 프라이버시 보호 세력은 유럽연합과 미국 간의 전반적인 협력이나 바이든 행정부의 이른바 ‘데이터 보호 평가 법원(Data Protection Review Court)’ 설립 소식 모두 탐탁지 않게 여긴다. 데이터 보호 평가 법원은 추후 유럽 시민이 미국 안보 기관의 개인 데이터 사용에 맞설 수 있도록 지원한다.
우르술라 파츨(Ursula Pachl) 유럽 소비자 단체(BEUC) 부국장은 “미국 당국이 기존 프라이버시 실드의 결점을 서면으로 다루려는 노력의 정도를 떠나 현실적으로 유럽연합과 미국의 데이터 보호 접근방식은 다르다. 행정명령으로도 취소할 수 없는 차이이다. 유럽연합 시민의 데이터가 미국으로 전송될 때, 유럽연합의 법률과 비슷한 수준으로 데이터 보호가 이루어지지 않을 것이다”라고 진단했다.
이제 바이든 행정부의 행정명령이 유럽연합으로 제출될 예정이다. 이후 유럽연합 관료는 최대 6개월간 세부 사항을 검토한다. 유럽연합과 미국 간 새로운 데이터 합의는 2023년 3월경 발표될 전망이다. 하지만 유럽 프라이버시 보호 세력은 법원 판결에 부합하지 않을 것으로 예상한다. 독일 외교 관계 위원회 기술 및 국제 문제 국장 타이슨 바커(Tyson Barker)는 “행정명령은 유럽 프라이버시 보호 단체의 요구사항을 충족하기에는 충분하지 않다”라고 말했다.
유럽연합 집행위원회는 새로운 합의로 법원 소송이 부활할 가능성을 확신한다. 그러나 미국은 자국의 계획이 취소되는 일이 없도록 최대한 노력했다. 2021년 10월 컨퍼런스 현장에서 크리스토퍼 호프(Christopher Hoff) 바이든 행정부 서비스 차관은 유럽연합과 미국의 합의와 비교할 만한 아시아태평양 경제협력국 간 프라이버시 규정(Asia-Pacific Economic Cooperation Cross-Border Privacy Rules) 체계를 전 세계로 확대하는 방안을 지지한다고 밝혔다. 당시 그는 “미국은 사실, 프라이버시 보호 대안을 갖추었으며, 데이터 프라이버시 보호 세계 표준을 마련하고자 한다”라고 덧붙였다.
하지만 쉬렘스는 유럽연합의 영향력을 억제할 또 다른 프라이버시 합의를 우려하지 않는다. 쉬렘스는 “개인적으로 다른 국가가 선호하는 데이터 프라이버시 표준은 크게 신경 쓰지 않는다. 유럽연합의 법률을 중요하게 생각한다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202210/4268_5665_2610.jpg)
뉴스레터 신청