Schrems II: 향후 전망

유럽사법재판소(CJEU)의 'Schrems II' 판결 이후, 일각에서는 이 판결이 국가 간 데이터 전송에 어떤 의미를 지니는지, 그리고 이러한 전송이 여전히 유효한지에 관한 의문을 제기했습니다. 분석에 따르면, 국가 간 데이터 전송은 여전히 유효하지만 몇 가지 조건이 적용됩니다.

Image placeholder

유럽 사법재판소(CJEU)가 EU-미국 간 프라이버시 실드(Privacy Shield)를 무효로 하는 "Schrems II" 판결을 내린 후 몇 주가 지난 지금, 이 판결의 의미 및 향후 전망을 살펴볼 필요가 있습니다. 판결 직후, 일각에서는 국가 간 데이터 전송에 어떤 영향을 미칠지, 그리고 이러한 전송이 여전히 유효한지에 관한 의문을 제기했습니다. 면밀하게 분석한 바에 따르면, 국가 간 데이터 전송은 여전히 유효하지만 몇 가지 조건이 적용됩니다. 아울러 EU와 미국 간 교역 규모(총 7,000억 달러 이상) 및 그 중요성을 고려할 때, 장기적인 해결책을 마련하여 사회 및 경제 발전에 기여할 올바른 데이터 전송이 이루어지게 하는 것은 매우 중요합니다.  

지금도 다음 3가지 사항은 유효합니다.

  • 미국으로의 데이터 전송은 허용됩니다. 프라이버시 실드는 미국의 개인 정보 보호법 및 EU 시민의 이의 제기 절차에 대한 우려 때문에 무효화되었습니다. 하지만 여전히 미국으로 개인 데이터를 전송하는 것이 가능합니다. 프라이버시 실드는 적절성 판정 제도(adequacy decision)였습니다. 즉, 미국으로 개인 데이터를 전송할 때, 수신처가 프라이버시 실드 인증 기업이라면 해당 전송은 모두 유효했습니다. 반면, SCC(Standard Contractual Clauses)에 따르면 지정된 기업 간 전송이 가능하고, BCR(Binding Corporate Rules)에서는 기업 그룹에 대한 전송을 허용합니다. 

  • 사례별로 판단해야 합니다. SCC 및 BCR은 특정 기업 간에 또는 어떤 기업 그룹 내에서, 지정된 유형의 개인 데이터를 전송하는 것을 다루므로, 그 적용 여부는 사례별로 판단해야 합니다. 미국 정부에서 종합적으로 데이터를 수집하는 활동은 소비자 응대 서비스를 대상으로 합니다. 인적 자원 데이터를 비롯한 다른 데이터 유형과는 상관없기 때문에 미국 정부에서 필요로 할 가능성이 매우 낮습니다. 실제로, 많은 기업이 수년간 EU에서 전송한 데이터를 수신했지만, 정부의 데이터 요구를 받은 적은 없었습니다. 마찬가지로, 각 기업에서 전송 중인 데이터를 보호하는 방법(예: 강력한 엔드투엔드 암호화 사용) 및 정부의 데이터 요구를 처리하는 방법을 평가하여 해당 기업의 보호 수준을 판단할 수 있습니다.

  • 규제 기관은 모든 전송이 동일하지는 않음을 인정합니다. 유럽개인정보보호이사회(EDPB)의 최근 지침은 데이터 전송의 유형에 따라 관련 위험도 상이하다는 사실을 반영합니다. EDPB가 "Schrems II" FAQ에 명시한 것처럼, 각 기업은 "데이터 전송 상황 및 가능한 보완 조치를 고려"해야 하고, "데이터 전송 상황을 사례별로 분석"한 다음 적절한 보호 수준이 마련되었는지를 판단해야 합니다. 전송된 데이터의 유형, 기술적 보호 조치, 수신자가 정부로부터 데이터 요구를 받은 이력(또는 그 유무), 정부의 데이터 요구를 처리하는 방법에 관한 약속 등을 모두 고려합니다.

미국 및 유럽의 입법부가 공조하여 양측 모두 수용 가능한 프레임워크를 마련해야 합니다.

전망

관건은 향후 대응 방안입니다. EU와 미국은 프라이버시 실드 후속 조치를 마련하는 데 협력하겠다고 약속했습니다. Workday는 이러한 노력을 강력히 지지합니다. 미국 및 유럽의 입법부가 공조하여 양측 모두 수용 가능한 프레임워크를 마련하는 것이 중요합니다. 일방적으로 압력을 가하거나 통상 집행 제도(trade enforcement mechanism)을 사용하려는 시도는 긴장 관계와 지연만 초래할 뿐입니다.

CJEU의 판결에 따른 후속 합의의 구체적인 내용을 현재 예측하기는 어렵습니다. 결국 EU-미국 간 협상이 성공적으로 이루어져야 새로운 합의가 나올 것입니다. 이러한 노력의 일환으로, CJEU의 판결과 미국의 관행 간 차이를 줄이기 위한 여러 조치를 취할 수도 있습니다. 예를 들어, 불필요한 데이터 액세스에 관한 이의 제기를 접수하기 위해 프라이버시 실드에서 임명한 옴부즈퍼슨(ombudsperson)이 미국의 독립적인 정부 기관처럼 독립성을 인정받을 수 있습니다. 개인의 권리 보호에 관한 옴부즈퍼슨의 판단도 구속력을 가질 수 있습니다. 데이터 사용에 관한 기존 관리 보호 장치를 성문화할 수 있습니다. 전송할 데이터에 대한 암호화 요건을 강화할 수 있습니다. 특정 범주의 개인 데이터(정부의 규제 대상이 될 가능성이 적은 데이터)는 다른 방식으로 처리하는 것도 효과적입니다. 궁극적으로, 이와 같은 조치 및 기타 보호 장치를 복합적으로 적용함으로써, EU에서 미국으로의 데이터 전송에 관한 장기적이고 지속 가능한 해결책을 마련하는 데 도움이 될 수 있습니다 .

맥킨지(McKinsey)에 따르면, 2014년 글로벌 GDP에 포함된 국가 간 데이터 전송의 규모가 2조 8천억 달러를 기록했고, 계속 증가해 왔습니다. 또한 유럽위원회(European Commission)에서 밝힌 것처럼, 미국의 대EU 총 투자 규모는 대아시아 투자의 3배이고, EU의 대미 투자는 대인도/중국 투자의 8배에 달합니다. 디지털화가 진행되는 세계에서 국가 간 데이터 흐름이 원활하게 이루어져야 긴밀한 경제 관계가 유지될 수 있습니다. 따라서 확실한 장기적 해결책이 꼭 필요합니다.

더 보기