스위스, 캐나다, 아르헨티나 등은 미국보다 유럽연합 시민들의 개인정보를 보다 잘 보호하고 인정받고 있는 국가들이다. 이는 유럽집행위원회(EC, European Commission)가 발표한 성명 자료에 따른 것으로, 최근 세이프 하버 무효 선언에 따라 미국 기업들이 대서양을 넘어 유럽연합 시민들을 대상으로 서비스를 제공하기 위해서는 대체 수단을 강구해야만 한다.
유럽집행위는 성명을 통해 미국이 2016년 1월까지 세이프 하버를 대체할 수 있는 새로운 합의 사항을 도출해야 한다고 명시하고 있다. 그 이후 유럽연합 회원국은 자국의 법률에 따라 대서양을 횡단하여 전송되는 데이터에 대해 적절한 보호 수준(adequate level of protection)이 담보되었는지 보다 엄격히 판단하게 된다.
이에 미 의회는 지난달 유럽연합 시민들이 (개인정보 침해 시) 미국 법정에서 법률적으로 구제 받을 수 있는 가능성을 높이기 위한 법안을 마련하여 신속한 통과를 추진하고 있다. 그러나 현재 법안은 상원 해당 위원회에 계류 중이다.
이러한 움직임은 최근 유럽연합의 사법재판소(CJEU, Court of Justice of the European Union)가 15년 전 체결된 미국과 유럽 사이 개인정보 전송 협약인 세이프 하버(Safe Harbor) 합의를 무효화한데 따른 것이다.
세이프 하버 합의는 본질적으로 미국 기업이 유럽연합 지역에 거주하는 국민들의 데이터 프라이버시를 유럽 수준으로 보호하겠다는 선의의 뜻으로 체결된 것이다. 그러나 프라이버시 운동가인 막스 슈렘스(Max Schrems)가 미국 국가안전국(NSA, National Security Agency)이 세이프 하버 원칙을 위반했으며, 유럽인들의 데이터 권리를 침해했다는 주장을 유럽 사법재판소가 받아들이면서 세이프 하버를 대체하는 새로운 규율에 대한 논의가 촉발되었다.
유럽사법재판소가 슈렘스의 손을 들어주면서, 유럽 집행위원회에서 데이터 보호를 관할하는 위원회는 제29조 작업반(Article 29 Working Party)으로 하여금 미국의 데이터 전송에 있어 보다 많은 법률적 보호수단을 마련토록 하였다. 아울러 유럽집행위는 새로운 성명을 통해 기업들이 사안별로 법률적 합의 사항을 도출해내도록 권고하고 있다.
유럽집행위원회는 성명에서 비록 제29조 작업반이 대체 방안의 적절성과 파급효과에 대한 분석을 지속하겠지만, 표준계약약관(Standard Contractual Clauses), 기업규칙(Binding Corporate Rules) 등이 데이터 전송에 있어 필요한 개인정보의 보호 기반으로 활용될 수 있을 것이라고 밝혔다.
제29조 작업반은 또한 기업들이 데이터 전송 시에 직면할 수 있는 위험을 최소화하기 위한 법률적, 기술적 해결방안을 마련하도록 권고하였다. 이에 미국의 많은 기업들은 세이프 하버 협약 무효화에 따른 실망감을 가감 없이 표출하고 있다.
다른 여타 기업들은 유럽의 규정에 맞추어 새로운 사업 기회를 마련하고 있다. Fortune紙에 따르면, 유럽 기업들은 자신들의 지역을 중심으로 한 데이터 거버넌스(Data governance)를 유럽연합 시민들을 대상으로 한 마케팅에 적용하고 있다. 한편 아마존은 자사의 클라우드 서비스인 AWS(Amazon Web Service)가 유럽의 법률적 요건을 완벽히 준수하고 있다고 지난 10월 발표한 바 있다.
출처 KISTI 미리안 『글로벌동향브리핑』
