미국 대법원 결정으로 흔들린 EU-미국 데이터 이전

1 day ago 4
  • EU-미국 개인정보 이전은 미국의 독립 감독기관을 전제로 유지돼 왔는데, 미국 대법원의 Trump v. Slaughter 결정으로 FTC 독립성 전제가 흔들림
  • EU 조약법은 개인정보 보호 감독을 독립 기관이 맡도록 요구하며, 2023년 EU-US Data Privacy Framework도 FTC를 핵심 근거로 삼았음
  • Safe Harbour와 Privacy Shield가 이미 Schrems I·II에서 무효화된 만큼, noyb는 2023년 새 체계도 같은 취약성을 반복한다고 봄
  • 당장 데이터 이전이 모두 중단되는 것은 아니며, European Commission이 철회하거나 CJEU가 무효화하기 전까지 현재 결정은 형식적으로 유효함
  • SCCs·BCRs를 쓰는 기업도 미국 구제·감독기관의 독립성에 의존한 영향 평가를 다시 봐야 할 수 있고, noyb는 EU-미국 데이터 합의 철회를 요구함

FTC 독립성 약화가 흔드는 EU-미국 이전 체계

  • 미국 대법원은 Trump v. Slaughter에서 FTC가 더 이상 독립적이지 않을 수 있다는 판단을 내림
  • EU는 2000년부터 EU-미국 개인정보 이전 합의의 집행 근거로 독립 FTC에 의존해 왔음
  • EU 조약법상 개인정보 보호 감독은 독립 기관이 맡아야 함
  • 2023년 EU-US Data Privacy Framework에서 European Commission은 FTC를 259회 근거로 삼았음
  • noyb와 Max Schrems는 미국에 더 이상 독립 감독기관이 없다는 이유로, European Commission이 미국에 대한 적정성 결정을 질서 있게 철회해야 한다고 요구함

반복된 무효화와 2023년 새 합의의 취약점

  • EU는 1995년부터 EU 개인정보 규칙 우회를 막기 위해 제3국으로의 개인정보 수출을 일반적으로 금지해 왔음
    • 호텔 예약이나 복잡한 거래처럼 필요한 이전에는 예외가 있음
    • 많은 EU 기업은 미국 클라우드 제공업체에 개인정보 처리를 아웃소싱해 왔음
  • European Commission은 2000년 이후 미국을 개인정보 보호에서 “적정한” 국가로 반복 인정해 EU-미국 간 자유로운 데이터 흐름을 허용했음
    • CJEU는 Schrems I에서 Safe Harbour를 무효화함
    • CJEU는 Schrems II에서 Privacy Shield를 무효화함
    • 핵심 이유는 미국 감시법과 미국 내 사법적 구제 수단 부족이었음
  • CJEU는 정부 감시 사안에서도 독립적인 법적 구제 메커니즘이 필요하다고 봤음
    • Biden 행정부는 Data Protection Review Court를 만들었음
    • 이 기구는 이름과 달리 미국 법무부 내부의 집행기관임
    • 독립성은 Biden의 Executive Order에 의존하며, Trump가 언제든 바꿀 수 있고 대통령을 구속하지 않음
  • Slaughter 결정은 기존 판례에서 180도 전환해 FTC 독립성이 위헌이라고 판단한 사례로 다뤄짐
    • 이는 미국 대통령이 모든 미국 집행기관을 통제해야 한다는 unitary executive theory를 따름
    • 여러 기관을 독립적으로 만드는 미국 법률을 위헌으로 보는 구조임

당장의 효력과 기업이 다시 봐야 할 지점

  • 영향은 무제한이 아님
    • European Commission의 결정은 Commission이 철회하거나 CJEU가 무효화할 때까지 형식적으로 유효함
    • 따라서 즉각적인 법적 효과는 없음
    • GDPR은 개인정보 이전만 규율하며, 비개인정보는 자유롭게 흐를 수 있음
    • Article 49 GDPR은 필요한 제3국 이전을 허용하지만, 엄격히 필요하지 않은 EU 밖 구조적 오프쇼어링은 허용하지 않음
  • SCCsBCRs도 영향을 받을 수 있음
    • 일부 기업은 EU-US Framework 대신 SCCs나 BCRs를 형식적으로 사용함
    • 이 경우에도 보통 영향 평가가 필요하고, 그 평가는 PCLOB나 Data Protection Review Court 같은 미국 집행기관의 독립성에 의존함
    • formal Commission Decision에 의존하지 않는 컨트롤러는 평가를 즉시 갱신해야 함
  • noyb는 European Commission에 EU-미국 데이터 합의를 질서 있게 철회하라는 공식 서한을 보냈음
    • 여러 EU 회원국은 이미 “digital sovereignty” 접근으로 이동하고 미국 서비스 제공업체와의 분리를 발표했음
    • 일부 미국 서비스 제공업체도 별도 EU 데이터 처리를 추진 중임
    • noyb는 앞으로 몇 주 안에 CJEU가 현재 합의를 무효화할 수 있도록 소송을 제기할 예정임
    • 이런 소송은 최종 결정까지 보통 2~3년이 걸림
Read Entire Article