EU-미국, 데이터 이전 협정 승인… 전문가들 “무산될 확률 높아”

미국과 EU가 새로운 데이터 공유 협정을 승인했다. 그러나 협정이 향후 난관을 넘어설 수 있을지 눈길이 쏠린다. 전문가들은 회의적으로 보고 있다.
 

EU 집행위원회가 ‘미국-EU 데이터 프라이버시 프레임워크’ 협정을 승인한다고 10일 밝혔다. 조 바이든 미국 대통령이 미국-EU 데이터 전송 관련 행정 명령에 서명한지 9개월 만이다. 업계 전문가들은 유럽사법재판소(CJEU)에서 이의를 제기할 것이며, 합의가 기각될 가능성이 높다고 지적했다.

이번 협정은 유럽사법재판소(CJEU)가 프라이버시 실드로 알려진 기존 미국-EU 데이터 공유 협정을 종료한 지 3년 만에 이뤄졌다. 당시 CJEU는 미국이 특히 국가 감시와 관련해 개인 데이터를 적절히 보호하지 않는다고 판단했다. CJEU는 2015년 세이프 하버라고 불리는 데이터 공유 협정의 체결 시도를 무산시킨 바 있다.

우르줄라 폰 데어 라이엔 EU 집행위원장은 새로운 프레임워크가 미국과 유럽을 오가는 기업들에게 ‘법적 명확성’을 제공할 것이라고 밝혔다. 또 이 협정을 ‘전례 없는 법적 지원’이라고 표현했다.

라이엔 위원장은 성명에서 “오늘 우리는 시민들에게 데이터가 안전하다는 신뢰를 제공하고, EU와 미국 간의 경제적 유대를 강화하는 동시에 서로 공유하는 가치를 재확인하는 중요한 조치를 취했다” 라며 “두 나라가 협력해 복잡한 문제도 함께 해결할 수 있다는 것을 보여줬다”라고 설명했다. 

그러나 업계 전문가들은 이번 협정이 이전처럼 프라이버시 지지자들의 법적 이의 제기로 인해 무산될 것이라고 예상했다.

오스트리아 변호사이자 유럽 디지털 권리 센터인 NOYB(None of Your Business)의 창립자로 프라이버시 보호 운동을 하고 있는 막스 슈렘스는 “관련한 법적 공방에 염증을 느끼고 있지만, 협정을 무효화할 수 있는 다양한 옵션을 갖고 있다”라고 말했다. 슈렘스는 2016년과 2020년에 각각 세이프 하버와 프라이버시 실드에 소송을 제기한 바 있다. CJEU는 두 협정 모두를 무효화했다.

슈렘스는 NOYB의 웹 사이트 성명에 “현재로서는 내년 초에 이 사건이 다시 사법부에 회부될 것으로 예상하고 있다”라고 밝혔다.

미국 프라이버시 법이 협정을 수용하려면 근본적 개편이 필요하다
미국-EU 데이터 프라이버시 프레임워크는 2022년 10월 바이든 대통령이 서명한 행정 명령에 기반한다. 협정은 미국 정보 기관의 전자 감시를 제한하는 새 내용을 담고 있다. 또 미국 정보 기관에서 개인 정보를 불법으로 사용했다고 생각하는 경우 유럽인이 더 쉽게 불만을 제기할 수 있도록 했다.

가트너의 애널리스트 네이더 헤네인은 다음 미국 대선에서 공화당 후보가 당선되면 행정 명령이 뒤집혀 합의가 무산될 가능성이 높다고 말했다. 그는 이 때문에 협정 자체가 문제될 수 있다고 지적했다. 2016년 도널드 트럼프는 대통령에 취임하며 전임자인 버락 오바마가 승인한 여러 국제 조약을 파기한 바 있다.

프라이버시 보호 전문가들은 처음부터 이번 협정이 세이프 하버와 프라이버시 실드의 문제를 적절히 해결하지 못한다고 지적해 왔다. 실패 가능성이 높은데도 불구하고 협정이 체결된 것은 놀라운 일이 아니다.

영국의 컴플라이언스 전문 기업 코더리의 컴플라이언스 및 기술 변호사 조너선 암스트롱은 “EU와 미국 모두 새 협정을 체결하기 위해 상당한 노력을 기울여 왔다”라고 말했다.

암스트롱은 “협정이 다시 ‘데자뷰’로 끝나더라도 양측이 이를 원한다는 것을 일부 메시지가 암시한다”라고 말했다. 그는 데이터 프라이버시 프레임워크가 일부 협정 발기인들이 언급한 것처럼 법적 문제에서 자유로운 것은 아니라고 전했다.

헤네인도 암스트롱의 회의적 견해에 일부 동의했다. 그는 이번 협정이 유럽 데이터를 미국 법 집행으로부터 보호한다는 측면에서 몇 가지 진전을 이뤘다면서도, 유럽사법재판소가 이전 협정을 무효화할 때 제시한 요건을 충족하진 못했다고 지적했다.

헤네인은 “2~5년 안에 협정이 무효화될 것으로 예상한다”고 견해를 밝혔다. 그는 현 서명자들이 퇴임하고 나면 협정은 ‘지루하게 반복되는 성촉절(Groundhog Day)’이자 ‘폭탄 돌리기’로 미래 행정부에 골칫거리가 될 것이라고 말했다.

미국 헌법은 현행법상 프라이버시를 그 자체로 보장하지 않고 있다. 프라이버시 문제에 관한 법률과 규정은 불법 수색 및 압수에 대한 수정헌법 제4조의 보호 조항에서 발췌해야 한다. 만약 CJEU 심사에서 협정 체결의 통과 가능성을 높이려면, 미국은 비미국 시민에게도 동일하게 적용되도록 프라이버시 보호를 확대해야 하는 상황이다. 헤네인은 이 정책이 정치적으로 매우 인기가 없을 것이며, 법률 점검 옹호자들에게는 '반보호'라는 꼬리표가 붙어 국가 보호를 위한 정보 수집 노력에 반한다는 비난을 받을 가능성이 높다고 말했다.

헤네인은 현재 기업의 데이터 저장 및 보호 방법을 다루는 연방법이 없어 개별 주에서 자체 법률을 제정하고 있다며 “기업과 관련한 프라이버시 법이 없기 때문에 주 정부 차원에서 법안이 통과되고 있다”라고 지적했다. 현재까지 50개 주 중 13개 주에서만 보호법이 통과될 정도로 미국에서 프라이버시 법은 아직 초기 단계라고 헤네인은 덧붙였다.

헤네인은 “법안이 미국 시민에게만 적용되지 않도록 발전시켜야 한다. 하지만 미국에 도착한 다른 나라 거주자의 데이터를 제대로 관리하기란 어려운 일이다. 합법적으로 받은 데이터일지라도 그렇다”라고 말했다.

기업은 데이터 프라이버시의 명확성을 원한다
암스트롱과 헤네인은 모두 기업이 데이터 프라이버시 문제에 대한 명확성을 원하지만, 안타깝게도 데이터 프라이버시 프레임워크가 이를 충분히 다루지 못한다는 데 동의했다.

헤네인은 조직에는 견고한 규정이 필요하다고 말했다. 3년에 한 번씩 철폐되어 하루아침에 조직이 준수하지 못하게 되고 혼란에 빠지게 되는 규정이어선 안 된다며, 조직이 10년 중 절반도 버티지 못할 전략에 매달릴 여유가 없다고 헤네인은 덧붙였다.

반면 암스트롱은 이번 협정이 법적 분쟁에서 살아남는다면 데이터 보호 환경이 일부 바뀔 수도 있다고 말했다. 즉 더 많은 국가 간 데이터 보호 협약과 카피캣 거래가 이뤄질 수 있다는 의견이다. 이를테면 영국과 스위스가 그렇다. 영국은 EU 탈퇴 이후 데이터 프라이버시 프레임워크와 유사한 데이터 전송 체계에 대해 미국과 논의해 왔다. 스위스의 경우 프라이버시 실드가 무산되기 전 유사한 협정의 체결을 미국과 논의한 바 있다.

암스트롱은 “글로벌 정치가 복잡한 만큼 글로벌 데이터 전송도 복잡한 상태로 유지될 것”이라며 “데이터 전송이 세계 정세를 반영하기 때문”이라고 말했다. ciokr@idg.co.kr