미국 대법원 결정으로 흔들린 EU-미국 데이터 이전
1 day ago
4
- EU-미국 개인정보 이전은 미국의 독립 감독기관을 전제로 유지돼 왔는데, 미국 대법원의 Trump v. Slaughter 결정으로 FTC 독립성 전제가 흔들림
- EU 조약법은 개인정보 보호 감독을 독립 기관이 맡도록 요구하며, 2023년 EU-US Data Privacy Framework도 FTC를 핵심 근거로 삼았음
- Safe Harbour와 Privacy Shield가 이미 Schrems I·II에서 무효화된 만큼, noyb는 2023년 새 체계도 같은 취약성을 반복한다고 봄
- 당장 데이터 이전이 모두 중단되는 것은 아니며, European Commission이 철회하거나 CJEU가 무효화하기 전까지 현재 결정은 형식적으로 유효함
- SCCs·BCRs를 쓰는 기업도 미국 구제·감독기관의 독립성에 의존한 영향 평가를 다시 봐야 할 수 있고, noyb는 EU-미국 데이터 합의 철회를 요구함
FTC 독립성 약화가 흔드는 EU-미국 이전 체계
- 미국 대법원은 Trump v. Slaughter에서 FTC가 더 이상 독립적이지 않을 수 있다는 판단을 내림
- EU는 2000년부터 EU-미국 개인정보 이전 합의의 집행 근거로 독립 FTC에 의존해 왔음
- EU 조약법상 개인정보 보호 감독은 독립 기관이 맡아야 함
- 2023년 EU-US Data Privacy Framework에서 European Commission은 FTC를 259회 근거로 삼았음
- noyb와 Max Schrems는 미국에 더 이상 독립 감독기관이 없다는 이유로, European Commission이 미국에 대한 적정성 결정을 질서 있게 철회해야 한다고 요구함
반복된 무효화와 2023년 새 합의의 취약점
- EU는 1995년부터 EU 개인정보 규칙 우회를 막기 위해 제3국으로의 개인정보 수출을 일반적으로 금지해 왔음
- 호텔 예약이나 복잡한 거래처럼 필요한 이전에는 예외가 있음
- 많은 EU 기업은 미국 클라우드 제공업체에 개인정보 처리를 아웃소싱해 왔음
- European Commission은 2000년 이후 미국을 개인정보 보호에서 “적정한” 국가로 반복 인정해 EU-미국 간 자유로운 데이터 흐름을 허용했음
- CJEU는 Schrems I에서 Safe Harbour를 무효화함
- CJEU는 Schrems II에서 Privacy Shield를 무효화함
- 핵심 이유는 미국 감시법과 미국 내 사법적 구제 수단 부족이었음
- CJEU는 정부 감시 사안에서도 독립적인 법적 구제 메커니즘이 필요하다고 봤음
- Slaughter 결정은 기존 판례에서 180도 전환해 FTC 독립성이 위헌이라고 판단한 사례로 다뤄짐
- 이는 미국 대통령이 모든 미국 집행기관을 통제해야 한다는 unitary executive theory를 따름
- 여러 기관을 독립적으로 만드는 미국 법률을 위헌으로 보는 구조임
당장의 효력과 기업이 다시 봐야 할 지점
- 영향은 무제한이 아님
- European Commission의 결정은 Commission이 철회하거나 CJEU가 무효화할 때까지 형식적으로 유효함
- 따라서 즉각적인 법적 효과는 없음
- GDPR은 개인정보 이전만 규율하며, 비개인정보는 자유롭게 흐를 수 있음
- Article 49 GDPR은 필요한 제3국 이전을 허용하지만, 엄격히 필요하지 않은 EU 밖 구조적 오프쇼어링은 허용하지 않음
- SCCs와 BCRs도 영향을 받을 수 있음
- 일부 기업은 EU-US Framework 대신 SCCs나 BCRs를 형식적으로 사용함
- 이 경우에도 보통 영향 평가가 필요하고, 그 평가는 PCLOB나 Data Protection Review Court 같은 미국 집행기관의 독립성에 의존함
- formal Commission Decision에 의존하지 않는 컨트롤러는 평가를 즉시 갱신해야 함
- noyb는 European Commission에 EU-미국 데이터 합의를 질서 있게 철회하라는 공식 서한을 보냈음
- 여러 EU 회원국은 이미 “digital sovereignty” 접근으로 이동하고 미국 서비스 제공업체와의 분리를 발표했음
- 일부 미국 서비스 제공업체도 별도 EU 데이터 처리를 추진 중임
- noyb는 앞으로 몇 주 안에 CJEU가 현재 합의를 무효화할 수 있도록 소송을 제기할 예정임
- 이런 소송은 최종 결정까지 보통 2~3년이 걸림
-
Homepage
-
개발자
- 미국 대법원 결정으로 흔들린 EU-미국 데이터 이전