유럽의 개인정보보호 규정(GDPR)의 역사상 가장 강력한 처벌이 선고되었다. 유럽연합이 가장 엄격한 데이터 규정을 시행하고 약 5년이 지난 2023년, 유럽 규제 당국이 메타에 12억 유로(13억 달러)라는 거액의 벌금을 선고했다. 유럽 시민 수억 명의 데이터를 유럽보다 프라이버시 규정이 약한 미국으로 전송하면서 미국의 감시에 취약한 상태가 되도록 했기 때문이다.
메타의 유럽 문제 담당 규제 기관인 아일랜드 데이터 보호 위원회(Data Protection Commission)는 다년간 메타가 유럽 시민 데이터를 미국으로 전송하는 방법을 중심으로 논쟁을 벌인 뒤 벌금형을 선고했다. 이번 판결은 유럽과 미 대륙 간 데이터 전송 기업 수천 곳이 채택하는 복잡한 법적 메커니즘이 합법이 아니라는 사실을 선언한다.
메타에 선고한 벌금은 GDPR 위반 사항으로 선고한 벌금 중 역대 최대 금액이다. 앞서 GDPR 위반으로 선고된 벌금 중 가장 많은 금액은 룩셈부르크 당국이 아마존에 부과한 벌금 8억 3,300만 달러이다. 이번 메타의 벌금형 선고와 함께 GDPR 위반 사항으로 선고된 누적 벌금 총합이 약 40억 유로에 육박했다. 그러나 이번 벌금은 2023년 1분기 실적 280억 달러를 발표한 메타의 규모를 고려하면, 매우 적은 변화를 가져오는 데 그칠 것으로 보인다.
아일랜드 데이터 보호 위원회는 벌금 선고 이외에도 메타에 유럽 시민 데이터의 미국 전송 5개월 금지 및 과거 수집 데이터 6개월간 관리 금지도 명령했다. 즉, 사용자의 사진과 영상, 페이스북 게시글 삭제 혹은 미국으로 전송된 유럽 시민 데이터를 유럽으로 재전송하게 될 것을 의미한다. 이번 결정은 다른 GDPR 권한에도 집중하는 결과로 이어지면서 많은 기업의 데이터 관리 방식에 영향을 미칠 수 있다. 더 나아가 논란의 여지는 있지만 테크 업계 대기업의 감시 자본주의 핵심을 차단할 수도 있다.
메타는 아일랜드 데이터 보호 위원회의 결정이 실망스럽다고 전하며, 항소 의사를 밝혔다. 이번 판결은 오랫동안 보류된 미국과 유럽 간 데이터 공유 합의 협상을 서둘러 마무리하려 한 양측 협상단에 추가 압박을 가하게 될 것으로 보인다. 미국과 유럽의 데이터 공유 합의는 미국 정보기관의 유럽 시민 정보 관리 방식을 제한할 것으로 예상되었다. 데이터 공유 합의 초안 합의는 2022년 말에 이루어졌으며, 2023년 하반기에 최종 마무리될 가능성이 있었다.
비영리 국책 연구소 퓨처 오브 프라이버시 포럼(Future of Privacy Forum) 글로벌 프라이버시 부사장 가브리엘라 잔피르 포투나(Gabriela Zanfir-Fortuna)는 “유럽연합과 미국의 전체 상업, 무역 관계와 데이터 교환을 지탱한 모든 부분이 메타의 벌금 선고로 영향을 받을 것으로 보인다. 이번 판결은 메타의 관행을 해결하려는 것이지만, 결제 서비스부터 클라우드 서비스, SNS, 전자 통신, 학교 및 공공 행정 기관 소프트웨어 공급까지 유럽에서 온라인 서비스 사업을 운영하는 모든 미국 기업에서도 똑같이 찾아볼 수 있는 상황이다”라고 설명했다.
[사진=Pixabay]
씁쓸한 결정
아일랜드 데이터 보호 위원회가 메타에 수십억 유로에 달하는 거액의 벌금을 선고한 데는 긴 역사가 있다. GDPR 시행 훨씬 전인 2013년으로 거슬러 올라간다. 에드워드 스노든(Edward Snowden)이 미국 국가안전보장국(NSA)의 통화 감찰 사실을 폭로하자 당시 변호사이자 프라이버시 옹호 운동가인 막스 쉬렘스(Max Schrems)가 미국 정보기관의 데이터 접근 능력에 불만을 제기했다. 이후 유럽 대법원은 두 차례 이상 미국과 유럽연합의 데이터 공유 체계를 폐지했다. 미국과 유럽연합 간 데이터 공유 체계 관련 두 번쨰 사건 판결이 선고된 2020년, 프라이버시 실드(Privacy Shield) 합의가 무효가 됨과 동시에 표준계약조항(SSCs)을 강화했다.
데이터 전송 법적 메커니즘인 표준계약조항 사용은 메타 사건의 핵심이 되었다. 2020년, 쉬렘스 변호사는 메타가 표준계약조항을 이용해 미국으로 데이터를 전송한다는 점에 소송을 제기했다. 다른 유럽 규제 기관의 지원을 받는 아일랜드 데이터 보호 위원회의 이번 판결은 메타의 표준계약조항 사용이 근본적인 권리와 데이터 주체의 자유 위험성을 다루지 않았다고 판단했다. 즉, 메타가 유럽 시민 데이터를 미국으로 전송한 것이 불법이라는 뜻이다.
아일랜드는 2022년 7월, 최초로 표준계약조항이 GDPR 위반 사항이라고 판단했다. 이후 메타의 사건은 유럽의 관료주의 때문에 가려졌으며, 일부 국가는 메타의 유럽 시민 데이터 전송 행위가 불법이라고 판단해야 한다고 보면서 벌금형을 적용해야 한다고 주장했다. 결국, 다른 국가가 유럽 데이터 보호 위원회(European Data Protection Board)를 통해 메타가 벌금형 선고 대상이 아니라고 주장한 아일랜드 데이터 보호 위원회의 결정을 번복한 셈이다.
유럽 비영리단체 액세스 나우(Access Now) 글로벌 데이터 보호 책임자 에스텔레 마세(Estelle Masse)는 “아일랜드 데이터 보호 위원회가 메타에 부과한 벌금 액수는 지금까지 판결이 선고된 사건 중 매우 큰 편이지만, 벌금 자체는 유럽 시민의 권리에는 중요하지 않은 부분이 될 수 있다. 메타가 불법으로 전송한 데이터를 계속 보관할 수 있기 때문이다. 2018년 5월, GDPR 시행 후 실질적으로 테크 업계 대기업의 최악의 데이터 관행을 억제하지 못했다는 이유로 비판을 받았다. 마세는 메타가 불법으로 수집한 데이터를 삭제했어야 하며, GDPR 법률 집행으로 유럽에서 사업을 운영하는 기업의 사업 관행을 바꾸어야 한다고 주장한다. (2019년, 미국에서는 연방통신위원회(FTC)가 메타에 벌금 50억 달러를 선고했으며, 이전에는 메타에 부적절한 방식으로 수집한 데이터로 생성한 알고리즘 삭제를 명령했다.)
아일랜드 데이터 보호 위원회의 판결은 메타의 데이터 삭제를 강행하기에는 약하지만, 메타가 보관한 유럽 시민 데이터 모두 6개월 이내로 법을 준수하는 방식으로 다룬다는 사실을 확실히 입증해야 한다. 이 과정에는 유럽 데이터 보호 위원회가 설명한 바와 같이 데이터 삭제나 유럽으로의 데이터 재전송 방안이 포함되었으나 메타의 다른 기술적 해결책 사용 방법도 포함될 수 있다.
쉬렘스 변호사는 공식 성명을 통해 “메타가 아일랜드 데이터 보호 위원회의 판결 이후 택할 행보 중 하나는 유럽 시민이 미국에 있는 친구와 대화하지 않는다면, 유럽 시민의 데이터를 유럽 내 메타의 데이터 센터에 보관하는 ‘연합 소셜 네트워크가 되는 것이다”라고 주장했다. 잔피르 포투나 부사장은 데이터 현지화가 실질적으로 매우 어렵다고 말한다.
닉 클레그(Nick Clegg) 메타 글로벌 문제 사장은 공식 성명을 통해 메타의 항소 계획을 밝히며, 항소를 통해 아일랜드 데이터 보호 위원회의 명령 시항 기한을 중단할 수 있을 것이라고 주장했다. 클레그 사장은 아일랜드 데이터 보호 위원회의 판결을 글로벌 인터넷 위협이라고 특징지었다. 그는 “국경을 넘어 데이터를 전송할 수 없다면, 인터넷은 자칫하면 국가나 지역 저장소에 분리될 수 있어, 세계 경제에 제한을 가하는 동시에 여러 국가의 시민이 그동안 의존해온 상당수 공유 서비스에 접근하지 못하는 결과로 이어질 것”이라고 주장했다.
가장 간단한 해결책
유럽 데이터를 미국으로 전송한 관행을 두고 미국 기업에 벌금을 선고한 배경에는 유럽연합과 미국 간 데이터 공유 방식이라는 기본적인 문제가 내재해 있다. 유럽의 GDPR은 기업과 기관의 데이터 수집, 사용, 저장 방식을 정하면서 개인에게 주어진 권리를 강화한다. 유럽 시민은 기업이 저장한 개인 데이터 정보를 물어보거나 개인 정보 삭제를 요청할 수 있다.
GDPR은 미국에 적용된 보호 법률보다 더 엄격하다. 특히, 미국 시민이 아닌 사용자의 데이터 수집 관련 규정 측면에서 GDPR이 훨씬 더 엄격하다. 그동안 미국에서는 외국정보감시법(Foreign Intelligence Surveillance Act) 제702조 규정에 따라 외국인의 정보를 정보기관이 가로챌 수 있었다. 2022년 10월, 조 바이든 대통령은 데이터 보안 기관이 유럽연합과 미국 간 새로이 체결된 데이터 프라이버시 프레임워크 발의안에 따라 접근할 수 있는 정보 제한 도입 행정명령에 서명했다.
클레그 사장은 메타의 GDPR 결정과 관련하여 새로운 국제 합의를 언급하며, 아일랜드 데이터 보호 위원회의 시행 명령 기한에 앞서 국제 합의가 시행될 시 메타의 서비스는 지금처럼 사용자에게 어떠한 피해나 영향을 주지 않은 채로 계속 운영할 수 있다고 전했다.
바이든 대통령이 서명한 행정명령은 여러 사항 중에서도 미국 법무부 내 데이터 보호 검토 법원이 유럽 시민을 대상으로 미국 정보기관의 데이터 사용 방식을 공개하도록 이의를 제기하는 것을 허용한다. 글로리아 곤잘레스 푸스터(Gloria González Fuster) 브뤼셀 자유대학 교수는 유럽연합과 미국 간 데이터 전송 관련 국제 합의 계획 사이에 여러 갈등이 발생했다고 말한다. 푸스터 교수는 “주된 문제점 중 하나는 데이터 보호 검토 법원이 유럽 시민에게 제공하는 정보가 제한적이라는 점이다”라며, 미국의 접근 방식이 유럽연합과 다르다는 점을 지적했다.
유럽 법원이 두 차례 데이터 공유 합의를 무효화했기 때문에 메타가 아일랜드 데이터 보호 위원회의 명령을 따르기 전 시행될 수 있는 새로운 데이터 공유 합의에도 문제가 발생할 확률이 높다. 마세는 “처음부터 법률 규정은 과거 무효화된 두 가지 데이터 공유 합의보다 개선되었으나 여전히 법원에서 법적 문제를 해결할 수준에 이르지 못했다고 본다”라고 전했다.
메타의 유럽 시민 데이터 전송 관행을 두고 최초로 소송을 제기했으며, 기존의 유럽연합과 미국 간 데이터 공유 합의 무효화라는 결과가 이어지도록 한 쉬렘스 변호사는 법원에서 새로운 합의를 합법이라고 판단할 확률은 10%라고 본다. 그는 “가장 간단한 해결책은 미국의 감시법을 합리적으로 제한하는 것이다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202305/4763_6235_1933.jpg)
뉴스레터 신청