유럽사법재판소가 미국과 유럽연합의 ‘개인정보 전송 협약’을 무효화하면서 디지털 지각변동이 예상된다.

쥐스탱 들레핀 Justin Delépine <알테르나티브 에코노미크> 기자

▲ 유럽사법재판소(ECJ) 청문회 모습. 2020년 7월 ECJ의 ‘프라이버시 실드’ 무효 판결로 디지털 지각변동이 예상된다. 유럽사법재판소 누리집

중요한 소식이 큰 주목을 받지 못한 채 지나갔다. 폭발음이 꽤 컸는데도 말이다. 폭탄이 터지고 난 자리가 어떤 모습인지 이제 서서히 드러났다. 2020년 7월16일 유럽사법재판소(ECJ)는 유럽연합과 미국이 맺은 개인정보 전송 협약 ‘프라이버시 실드’(Privacy Shield)가 무효라고 판결했다. 단순히 데이터를 주고받는 기술이 문제가 아니다. 이 결정으로 유럽 인터넷 시장에서 큰 지분을 차지하는 미국 인터넷기업의 뼈대가 흔들릴 수 있다.
유럽이 미국에 개인정보 전송을 허락한 데는 이유가 있었다. 미국의 개인정보 보호제도가 유럽의 제도와 차이가 없다고 판단했기 때문이다. 유럽사법재판소 생각은 달랐다. 디지털 권리 보호를 위한 유럽 비정부기구 NOYB의 법률전문가 로맹 로베르는 “유럽사법재판소는 미국 법률이 유럽과 근본적으로 정반대에 있다고 봤다”고 말했다.

팽팽한 팔씨름
유럽사법재판소가 프라이버시 실드를 무효화하는 결정적 계기를 제공한 것은 NOYB가 페이스북을 상대로 벌인 소송이었다. 유럽 사용자가 세계 최대 사회관계망서비스(SNS) 페이스북에서 남기는 정보 대부분은 미국으로 전송된다. 페이스북은 회사 내부 인력과 도구로 이 정보를 미국에서 저장·처리·분석한다. 이런 일을 가능하게 한 법적 토대가 유럽사법재판소 판결로 깨진 것이다.
페이스북 쪽은 “이런 상황에서 페이스북·인스타그램 서비스를 유럽연합 회원국에 계속 제공할 수 있을지 불투명하다”는 견해를 보였다. 유럽 시장을 떠나겠다고 은근히 위협한 것이다. 하지만 유럽 시장 규모를 고려하면 페이스북이 실제 그럴 가능성은 희박하다. 그보다는 ‘권력관계’를 재정비하겠다는 뜻으로 해석된다.
게다가 페이스북은 프라이버시 실드 무효 결정에도 개인정보 전송을 중단하지 않고 있다. 그래도 되는 법적 해석이 있다고 주장한다. 유럽 당국은 해당 법적 해석에 반대하고 있다. 앞으로 몇 달간 있을 변화가 중요하다. 유럽에서 활동하는 미국 디지털 거인뿐 아니라 수많은 유럽 기업 역시 큰 지각변동을 겪을 것이다.
NOYB가 디지털기업을 상대로 낸 소송은 모두 101건이다. 유럽의 대형 웹사이트도 여기에 포함된다. 모두 구글애널리틱스와 페이스북커넥트 같은 웹분석 도구를 이용하는 사이트다. “이들 프로그램을 만든 모회사가 구글과 페이스북이다. 프로그램에 모인 정보가 미국으로 전송된다. 미국 국가안보국(NSA) 같은 미국 정부 기관에서 이들 정보에 접근할 수 있다”고 로맹 로베르는 경고했다.
문제는 데이터 보관소가 미국에 있느냐 유럽에 있느냐가 아니다. 미국법에 따르면 미국 영토를 넘어서도 데이터를 보관할 수 있다. 정보 관리자가 미국 회사라면, 보관소가 어디에 있든 상관없다. 이 때문에 프랑스 정부가 공공 보건의료데이터 보관소를 바꾸는 ‘작업’에 착수하겠다고 9월 발표했다.

유럽 정보주권 회복?
프랑스의 모든 보건의료데이터는 ‘헬스데이터허브’라는 플랫폼에서 처리되는데, 마이크로소프트(MS)가 여기에 모이는 정보를 저장·관리한다. 프랑스 정부는 유럽 사용자의 개인정보는 유럽에 저장한다는 방침을 믿고 지금까지 국가 의료정보를 마이크로소프트에 맡겼다. 하지만 이번 유럽사법재판소 결정으로 상황이 복잡해졌다.
‘가이아X’가 마이크로소프트의 대안이 될 수 있다. 가이아X는 프랑스 회사 OVH클라우드 등 여러 유럽 기업이 정부 지원을 받아 만든 유럽의 독자적 클라우드 시스템이다. 유럽이 디지털 주권을 되찾을 기회가 드디어 온 것일까.

ⓒ Alternatives Economiques 2020년 11월호(제406호)
Données personnelles : vers la souveraineté européenne?
번역 최혜민 위원

데이터 이전 합의 두 차례 무효화
유럽연합은 1980년대부터 개인정보 보호 필요성을 강조해온 경제협력개발기구(OECD)의 권유로 1995년 구속력 있는 정보보호지침(Data Protection Directive)을 만들었다. 유럽연합 각국에서 영업하는 기업이 적절한 보호 조처 없이 개인정보를 제3국에 넘길 수 없게 하는 것이 뼈대다.디지털 기술과 기업들이 급성장함에 따라 유럽연합과 미국은 개인정보 보호를 강화하되, 양쪽이 서로 데이터를 자유롭게 활용하는 방안을 모색했다. 양쪽은 2000년 ‘세이프 하버(Safe Harbor) 원칙’을 만들고, 이 원칙을 준수하는 미국 기업에 대해선 데이터의 미국 이전을 허용하기로 합의했다. 그러나 2010년 구글이 전자우편과 비밀번호를 수집한 사실이 드러나고, 2013년 에드워드 스노든이 미 국가안보국(NSA)의 데이터·통신 감청을 폭로하는 등 미국 기업과 당국이 이 원칙을 제대로 지키는지 의문이 제기됐다. 마침내 유럽사법재판소는 2015년 세이프 하버 원칙을 무효화했다.
그래서 새로 도입한 제도가 프라이버시 실드다. 2016년 유럽연합과 미국이 체결한 프라이버시 실드 협정은 미국 기업들이 유럽연합의 개인정보 보호 기준을 엄격하게 지키고 있음을 입증할 것과 미국 당국이 강력한 법 집행에 나설 것을 요구했다. 하지만 프라이버시 실드마저 이번에 효력을 잃게 됐다. 미국 정부가 국가 안보를 이유로 개인정보 접근권을 요구할 가능성이 있다는 점이 가장 큰 이유였다.
미국 거대 기술기업들은 유럽 소비자들의 우려를 의식해 발 빠르게 대응하고 있다. 구글은 누리집을 통해 “유럽 경제 지역에서 미국 등 다른 국가로 데이터를 전송할 때 유럽연합 법률과 동등한 보호 수준을 규정하는 법적 제도를 준수한다”고 밝혔다. 아마존은 유럽사법재판소가 유럽연합 외부로 데이터를 전송하는 메커니즘으로 자사 표준계약조항(SCC) 사용을 승인했다며, 유럽연합 일반데이터규칙(GDPR)을 따르고 있음을 강조했다.

박중언 부편집장