향후 법적 문제가 발생될 수 있다는 비판도 있지만, 유럽연합(EU) 집행위원회가 미국과 맺은 새로운 데이터 공유 협정을 승인하겠다고 밝혔다.
EU 집행위원회가 ‘EU-US 데이터 프라이버시 프레임워크(EU-US Data Privacy Framework)’ 협정을 승인하겠다고 10일 밝혔다. 해당 프레임워크는 두 국가 사이에서 오가는 데이터 전송을 허용하는 법적 기반을 만드는 역할을 할 예정이다.
우르줄라 폰 데어 라이엔 집행위원장은 “이번 프레임워크의 비준이 미국과 유럽을 오가는 기업들에게 법적 명확성을 제공할 것”이라며 “전례 없는 법적 지원”이라고 표현했다.
라이엔 위원장은 성명에서 “오늘 우리는 시민들에게 데이터가 안전하다는 신뢰를 제공하고, EU와 미국 간의 경제적 유대를 강화하는 동시에 우리의 공유 가치를 재확인하는 중요한 조치를 취했다”라며 “두 나라가 함께 일하면서 복잡한 문제도 함께 해결할 수 있다는 것을 보여줬다”라고 설명했다.
미국-EU 데이터 이전 협정의 기존 초안은 미국 정보기관이 대량으로 정보를 감시할 수 있는 여지가 있다는 이유로 비판받았다. 이번에 확정된 협정 내용에서도 미국 정보기관의 EU 시민 데이터 접근을 완전히 제한한다는 내용이 없어 문제로 떠오르고 있다.
실제로 비영리 단체인 유럽 디지털 권리센터(European Digital Rights, EDRi)는 성명을 통해 “EU 집행위원회가 미국과 안정적인 합의를 도출하기 위해 노력했지만 이번 협정 내용은 몇 개월 안에 유럽 사법재판소에 다시 회부될 것”이라고 비판했다.
EDRi는 그동안 미국의 데이터 보호 규정과 대규모 감시를 노골적으로 비판한 단체다. 프라이버시 및 데이터 관련 법적 체계인 ‘세이프 하버(Safe Harbor)’와 ‘프라이버시 쉴드(Privacy Shield)’ 프로그램에 대해서도 적극적으로 반대 했던 오스트리아 변호사 맥스 슈렘스가 2017년에 EDRi를 설립했다.
미국과 데이터 공유 협정을 맺으려는 이전 시도는 독립적 감독 주체의 부재와 미국 법무부의 대량 감시 중단에 대한 반대에 부딪혀 유럽 사법재판소(ECJ)에서 진행된 법정 소송으로 인해 무산된 바 있다.
이번에 공개된 협상 내용 대부분은 2022년 10월에 제시된 내용이다. EDRi는 이전 초안에서 데이터 보호 감시와 관련된 핵심 문제가 여전히 해결되지 않았다고 지적해 왔다.
오늘 발표된 최종 법안에는 EU 일반데이터보호규정(GDPR) 제45조 3항에 따라 EU 시민의 개인 정보가 ‘적절한’ 수준의 보호를 보장하는 관할권으로 자유롭게 이동할 수 있다고 명시되어 있다. 미국 기업은 GDPR과 유사한 규칙을 준수하는 데 동의해야 하며, EU 시민은 개인 데이터가 오용되는 경우 법적 구제를 요청할 권리가 있다.
EU-미국 데이터 프라이버시 프레임워크는 기업이 EU에서 미국으로 데이터를 전송하는 절차를 간소화하는 역할을 할 수 있다. 이런 법적 체계가 없는 경우, 기업들은 자신들만의 소위 ‘표준 계약 조항’을 사용하여 데이터 전송이 GDPR에 따라 이루어지고 있음을 보여줘야 한다. 기업들은 해당 과정이 번거롭고 여러 회사에 데이터를 전송할 때마다 각기 다른 계약이 필요하다는 불편함을 토로하기도 했다. 특히 기업 규모가 작은 경우 관련된 법적 조항을 자체적으로 진행하기 어렵다는 의견이 있었다.
EU-US 데이터 프라이버시 프레임워크가 본격 시행될 경우 기업은 승인된 가이드라인을 준수한다는 것을 증명하는 약정 계약에 서명하기만 하면, 모든 공급업체와 개별 데이터 개인정보 보호 계약을 맺을 필요가 없다.
dl-ciokorea@foundryco.com
