Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

EU-US Privacy Shield Agreement and Domestic Policy Direction

유럽연합과 미국의 개인정보 이전 협약 (프라이버시 쉴드)과 국내 정책 방향

  • YUN, Jaesuk (Graduate School of Information Security, Korea University)
  • 윤재석 (고려대학교 정보보호대학원)
  • Received : 2016.06.27
  • Accepted : 2016.09.07
  • Published : 2016.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

European Union and United States have introduced new Privacy Shield agreement after decision of Court of Justice of the European Union which invalidated Safe Harbor agreement. Privacy Shield agreement contains several clauses to raise the level of personal data protection such as enhanced commitments, stronger enforcement, clear safeguards and transparency obligations, and effective protection of EU citizens' rights with several redress possibilities. This agreement has received positive response as an enhanced measure for personal data protection. This paper examines EU and US discussion history and current situation regarding Privacy Shield and suggests national policy direction such as measures for personal data transborder flow system improvement and international cooperation.

유럽연합은 미국과 개인정보 이전을 위해 맺은 세이프 하버를 유럽사법재판소의 결정에 따라 새로운 협약인 프라이버시 쉴드로 최근 대체하였다. 동(同) 협약은 보다 강화된 개인정보보호 준수 의무, 강력한 법집행, 명확한 보호 요건 및 투명성의 의무, 유럽연합 시민의 권리보호를 위한 효과적인 구제 수단 강구 등을 제시함으로써 이전보다 개선된 것으로 평가받고 있다. 본 논문에서는 유럽연합과 미국의 개인정보 이전을 위한 논의 경과와 현황을 살펴보고 국외이전 관련 제도 정비, 개인정보 국제 협력 활동과 관련한 국내 정책방향을 제시하였다.

Keywords

I. 서론

한 연구조사에 따르면, 2005년에서 2014년의 기간 동안 글로벌 데이터 이전은 초당 5테라비트에서 211테라비트로 40배 이상 증가했으며, 그 속도는 더욱 빨라질 것으로 예상된다[1]. 이처럼 데이터의 국외이전이 폭증하고 있는 가운데, 특히 개인정보 이전은 미국과 유럽 경제에 상당한 의미를 지닌다. 유럽연합과 미국은 가장 큰 상호 무역과 투자 대상이다. 2013년 미국과 유럽연합의 전체 상품 및 서비스 교역 규모는 1조 달러에 달하며, 미국이 해외에 투자하는 전체 금액 중 약 55%인 2조4천억 달러가 유럽연합 지역을 대상으로 하고 있다. 반대로 유럽연합 기업들은 전체 직접 투자 중 62%인 1조7천억 달러를 미국에 투자하고 있다[2]. 2014년 미 의회의 조사에 따르면, 미국과 유럽 사이에 이동되는 데이터의 양은 세계에서 가장 많은 것으로 나타났는데, 미국과 남미 사이 데이터 전송 규모보다 거의 2배에 달하고 미국과 아시아 사이의 데이터 전송 수준보다 50% 이상 높은 것으로 밝혀졌다[3].

아울러 유럽연합과 미국 사이의 디지털 상품과 서비스 교역이 전 세계에서 가장 높은 수준을 보이는데, 2012년 미국의 디지털 상품과 서비스 부문 수익(surplus)은 1천5백10억 달러에 이르며 유럽연합은 1천6백80억 달러에 달하는 것으로 조사되었다[4].

그러나 2015년 10월 6일 유럽사법재판소(Court of Justice of the European Union)는 미국과 28개 유럽연합 회원국이 거래 시 필요한 개인정보 이전을 위해 맺은 세이프 하버 협약을 무효화하는 판결을 내렸다[19]. 사실 이 협약은 유럽연합이 1995년 제정한 개인정보보호지침(Data Protection Directive)에 따라 유럽 시민의 개인정보에 대해 미국이 충분한 보호조치를 취하고 있는지에 대한 우려를 해결하기 위해 체결된 것이다. 아울러 2000년에 체결된 이 협약은 인터넷을 통한 개인정보 전송이 지금처럼 대량으로 이루어지지 않아 그 파급효과와 위험성을 충분히 예견하지 못했다는 지적도 제기되었다.

유럽사법재판소의 결정은 유럽과 미국이 2013년 말부터 추진해왔던 세이프 하버의 강화조치(making Safe Harbor safer) 협의[5]에 불을 붙였다. 同 협의는 이른바 “스노우든 사태”에 이어 유럽연합과 미국 사이에 보안에 대한 신뢰를 재건하기 위한 노력의 일환이었다. 2년여에 결친 협의 끝에 2016년 2월 2일 유럽연합과 미국은 기존 세이프 하버를 프라이버시 쉴드로 대체하는데 원칙적으로 합의했다고 발표하였고, 7월 12일 유럽집행위원회가 이를 최종 승인하였다[6].

유럽연합과 미국이 체결한 프라이버시 쉴드는 새로운 ICT 서비스의 확산에 따라 확산되는 개인정보 국외이전에서 살펴봐야 하는 주요 이슈를 도출하고, 이를 검토하는데 중요한 준거기준을 제공할 수 있다는 점에서 의미가 있다. 아울러 향후 유럽연합과 우리나라 개인정보 이전과 관련된 적정성 평가에 대비한다는 점에서도 유용한 시사점을 제공해 줄 수 있다. 상이한 법령과 정치 체계로 인해 우리가 그대로 수용하기에는 적합하지 않을 수 있지만, 그럼에도 불구하고 전 세계에서 가장 큰 영향력을 갖고 있는 두 대륙의 개인정보 국외이전에 대한 접근방법은 향후 우리 정부의 정책방향 정립에 도움을 줄 수 있을 것이다.

본 논문에서는 두 지역의 개인정보보호 접근방법, 개인정보 전송을 위한 논의경과, 그리고 새로운 합의 내용을 살펴보고 우리나라의 정책적 대응방향을 제시한다.

II. 유럽연합과 미국의 개인정보보호 접근방법

유럽연합과 미국은 개인의 프라이버시 권리를 보장한다고 명시적으로 주장하고 있다. 그러나 개인정보보호 문제는 경제적 혹은 보안의 관점에서 지속적으로 제기되어 왔다. 그 이유는 기본적으로 유럽과 미국에서 개인정보에 접근하는 방식이 상이하고, 이러한 점이 관련 법률에 반영되어 있기 때문이다. 예를 들어 미국에서는 개인정보의 수집과 처리(collecting and processing of personal data)가 어떠한 위해를 미치거나 법령에 의해 제한되지 않는 이상 허용된다[7]. 이와 반대로 유럽에서는 개인정보의 처리가 법률로서 명확히 근거를 갖추지 못하면 금지된다는 근본적인 차이점이 있다[8][9].

2.1 유럽연합의 접근과 1995년 개인정보보호지침(DPD, 1995 Data Protection Directive)

유럽연합은 인권 기본헌장의 7조와 8조에 제시된 바와 같이 통신의 프라이버시와 개인정보보호를 기본적인 인권으로 간주하고 있으며[10], 2007년 리스본조약을 통해 2009년부터 모든 유럽연합 회원국에 이를 적용하고 있다. 이는 유럽의 역사적 경험에서 기인하는데, 즉 파시스트와 전체주의 국가 체계를 겪으면서 개인정보보호 요건이 보다 엄격해지고 이러한 시각이 유럽연합 전체에 걸쳐 보다 강력한 개인정보 통제를 요구하는 정치 사회적 요구로 수렴되었다.

1995년 유럽연합 회원국은 국가마다 상이한 개인정보보호 관련 법령을 일치시키고 유럽연합 차원의 통합적인 프레임워크를 정립하기 위해 개인정보보호 지침(Data Protection Directive)에 합의하였다[11]. 同 지침은 개인정보를 보유하고 처리하는 모든 유럽연합 회원국의 공공, 민간 주체에 대해 공통적으로 적용되는 규정을 제시하였다. 적용 범위는 자동 혹은 수작업으로 진행되는 모든 개인정보의 처리를 포괄하지만, 사적, 개인 가정 용도로 사용되는 개인정보는 제외하였다. 그리고 각 회원국들은 3년 내에 이를 자국의 법률로 제정하여 이행토록 하였다. 유럽연합은 이 지침이 유럽 내의 정보 교류를 촉진하고, 유럽의 내부시장을 강화하며, 정보기반의 경제를 발전시키는 데 도움을 줄 것으로 기대하였다.

개인정보의 이전과 관련하여, 同 지침은 유럽연합 이외의 지역으로 이전되는 개인정보는 해당 국가가 적정한 보호수준을 갖추고 있다고 유럽집행위가 결정한 경우로 한정하고 있다. 보호수준의 적정성은 개인정보 이전에 관련된 모든 보호수준을 평가하는데, 특히 개인정보의 특성, 정보처리의 기간, 데이터 생성과 최종 종착지, 해당 국가의 법률과 보호 조치 등을 고려하도록 하고 있다[12].

지침에 따라 개인정보는 세부적이고 명시적이며 합법적인 목적으로만 수집되고 이용될 수 있다. 그 과정에서 보안과 정확성을 반드시 담보되어야 한다고 명시하고 있다. 개인은 자신의 정보에 대한 접근 권한뿐만 아니라 오류를 바로잡을 수 있는 권리를 갖게 되며, 필요할 경우 구제방안과 보상을 요구할 수 있다. 제3자에게 개인정보를 이전할 경우에도 이러한 원칙이 적용된다. 인종, 정치적 성향, 종교, 혹은 신념, 건강 상태, 성생활 등과 같이 민감한 정보를 처리할 경우 더욱 엄격한 규칙이 적용된다. 아울러 지침에 따라 회원국은 “개인정보 감독기구(Data Protection Agencies)”를 설치하도록 하고 있다.

1995년에 개인정보보호지침이 제정된 이후에도 유럽연합 차원에서 통신 부문에 적용되는 “전자 프라이버시(e-Privacy)” 지침 등과 같은 다른 법령이 마련되었지만, 현재까지 개인정보보호지침이 적용되고 있다. 인터넷의 광범위한 이용에 따라 2012년 유럽집행위원회는 개인정보보호지침을 현대화하고 데이터 처리에 나타나는 변화를 수용하기 위해 새로운 개인정보보호 관련 법령, 즉 일반개인정보보호규정(General Data Protection Regulation)을 제안하였다. 2015년 12월 유럽연합 이사회와 유럽의회는 새로운 개인정보보호 지침에 합의했고, 2016년 4월 정식 승인을 거쳐 2018년 5월부터 적용될 예정이다[13].

2.2 미국의 접근방법

미국은 헌법에 기초한 프라이버시 권리를 보장한다. 그러나 유럽과 달리 미국에서는 개인정보와 프라이버시에 관련된 단일의 법령이 존재하지 않는다. 이에 따라 미국의 개인정보 관련 법령은 연방, 주법에 의한 단순한 임시방편이라는 시각도 존재한다[14][15].

연방정부가 관리하는 개인정보에 대한 보안 우려로 인해 미국 프라이버시 법(U.S Privacy Act of1974)이 제정되었으며, 1986년에 제정된 전자 통신프라이버시 법(Electronic Communication Privacy Act of 1986)은 그 범위를 전자적 데이터의 컴퓨터 전송까지 포함하게 된다. 한편 미국에서 연방 소비자 프라이버시 법률은 산업 부문별로 다양하게 존재하며, 금융 데이터, 건강 관련 정보, 학생에 대한 정보, 그리고 자동차 소유 기록 등의 수집과 공개를 관장하는 법률도 상이하다. 미국 주별로 수년에 걸쳐 디지털 프라이버시와 개인정보를 관장하는 법률을 제정하여 왔다. 미국 정부와 업계 대표들은 대체적으로 개인정보보호에 대한 미국의 접근이 유럽에서 하나의 법률로 포괄하는 접근보다 효율적이라고 주장하고 있다. 아울러 미국의 접근 방식이 미국의 기술적 혁신을 촉진시키고 유지하는데 도움을 준다고 보고 있다[16].

그럼에도 불구하고, 일부 미국의 프라이버시 옹호론자들은 이러한 선별적, 혹은 누더기식의 접근 방법이 온라인 데이터 수집 과정에서 상당한 피해를 유발할 수 있다고 주장하고, 국가 전체를 포괄하는 법률의 제정을 촉구하고 있다[17].

III. 세이프 하버 합의와 무효화

3.1 세이프 하버 합의

앞서 설명한 바와 같이 유럽연합과 미국은 개인정보 보호와 관련하여 기본적으로 상이한 접근방법을 취하고 있다. 유럽연합과 미국 정부 당국은 이를 인식하고 1995년 유럽연합의 개인정보보호지침 통과에 따라 잠재적인 피해와 비효율성을 제거하기 위해 새로운 합의에 이르게 된다. 즉, 同 지침에서 요구하는“적정한 보호수준(adequate level of protection)”을 충족하기 위해 미국 기업이 취해야할 사항에 대해 합의하고 이를 이른바 세이프 하버 프라이버시 원칙(Safe Harbor Privacy Principles)이라는 명칭으로2000년 미 상무부가 발표한 것이다[18]. 그러나 유럽집행위의 결정에 따라 세이프 하버 원칙은 국가 안보, 공공의 이익 또는 사법적인 필요요건에 따라 제한될 수 있게 되었다. 아울러 세이프 하버 합의에 따라 미국 기업은 해마다 유럽연합의 개인정보 보호 지침에서 요구하는 7개의 원칙(고지, 선택, 제3자 전송, 보안, 데이터 무결성, 접근, 법집행)을 준수하고 있다는 점을 상무부에 스스로 증명하여 신고토록 하였다.

세이프 하버에 참여한 미 기업들은 4,500여개에 이르며, 기업들은 매년 미 상무부에 세이프 하버 원칙을 준수한다는 서한을 제출해야 한다. 미 연방거래위원회는 유럽연합 회원국의 해당 기관이 제기하는 잠재적 위험성에 대한 모든 사항을 검토한다.

민간 부문의 기업은 물론, 연방 및 주 정부 또한 유럽연합 시민의 개인정보 이전 시 세이프 하버에 대한 원칙을 준수해야 한다. 민간 부문의 원칙 준수는 3가지 요소로 이루어지는데, 인증, 분쟁 조정, 그리고 구제 조치 등이다. 반복적으로 이를 어길 경우 세이프 하버에서 보장하는 개인정보 국외이전과 관련된 지위를 박탈당하며 해당 사실을 웹사이트를 통해 공개토록 하고 있다. 현재까지 미 연방거래위원회는 40여개에 이르는 기업들이 세이프 하버 원칙을 준수하지 않아 그 지위를 박탈하였다. 한편 미 상무부와 연방거래위원회의 관할 하에 있지 않은 조직, 즉 금융 및 정보통신분야 서비스 제공업체들은 세이프 하버를 신청할 자격을 부여받지 못한다.

3.2 유럽사법재판소의 세이프 하버 무효화 판결

유럽사법재판소는 프라이버시 운동가인 맥스 슈렘스(Max Schrems)가 아일랜드 법원에 페이스북을 상대로 미국 국가안보국(National Security Agency)이대량 감시 프로그램을 이용하여 자신의 프라이버시를 침해했다고 제기한 소송에서 세이프 하버 합의의 무효를 선언하였다[19]. 유럽사법재판소가 15년이 경과한 협약을 무효화한 또 다른 주요 이유는 미국 정보당국이 구글 등 자국의 IT 기업의 서버에 별도의 프로그램을 설치해 이용자를 무차별적으로 감시해 왔다고 전직 미국 NSA 요원인 에드워드 스노우든(Edward Snowden)이 폭로한 바에 영향 받은 바가 크다.

판결 직후 미 행정부는 유럽사법재판소 판결에 깊은 유감을 표하고, 가급적 빠른 시일 내 새로운 세이프 하버 프레임워크를 위한 협의를 진행하겠다고 밝혔다[20]. 아울러 유럽연합 개인정보작업반(Article 29Working Party)은 현행 세이프 하버 협약이 더 이상 법적 효력이 없으며, 아울러 표준계약조항(Standards Contractual Clauses) 또는 구속력이 있는 기업규칙(Binding Corporate Rules) 등과 같은 데이터 전송을 위한 도구(transfer tools)의 적절성에 깊은 우려를 표명하고, 기본의 세이프 하버를 재협의 하거나 개정하는 등 새로운 협약을 2016년 1월 말까지 체결하도록 촉구했다[21].

IV. 유럽연합과 미국의 프라이버시 쉴드 논의

스노우든의 폭로 이전부터도 유럽인들은 세이프 하버 합의가 개인정보를 보호하는데 많은 허점이 있다고 주장해왔다. 이러한 주장의 주된 이유로는 미국의 기업들이 매년 의무적으로 신고하도록 되어있는 세이프 하버 원칙의 준수여부를 제대로 검증하지 않았다는 의심에 기인한다. 그 증거로서 미 연방거래위원회는 세이프 하버 합의 이후 처음 13년 동안 10개의 기업들에 대해서만 시정 조치를 취하도록 했다는 점을 들고 있다[22]. 또한 세이프 하버가 1990년대 말에 협의를 시작했기 때문에 인터넷으로 인한 영향을 충분히 고려하지 못했다는 점을 지적하고 있다. 따라서 이에 대한 재평가가 필요하다는 것이다.

2013년 11월 유럽집행위는 4개의 원칙에 중점을 두고 세이프 하버를 개선하기 위한 일련의 권고를 제시했다. 4개의 원칙에서 첫째는 투명성을 개선하는 것이고, 둘째는 피해 구제를 보다 확실히 할 수 있도록 하는 것이며, 셋째는 실행력 강화, 그리고 마지막은 세이프 하버 합의하에 따라 이전되는 정보에 대해 미국 당국의 접근을 제한하는 것이다[23]. 협의 전반에 걸쳐 개선 논의는 국가 안보에 대한 예외사항과 국가 안보를 이유로 데이터에 접근하는 미국 당국의 간섭을 최소화 하는 것에 초점이 맞추어져 있었다.

그럼에도 불구하고 구글, 마이크로소프트 등과 같은 미국 기업들이 미 정부 당국의 감시활동에 협조했을 수 있다는 점이 지속적으로 지적되었고, 이에 따라 일부 유럽 개인정보 감독 당국과 유럽의회 의원들은 유럽집행위원회에 세이프 하버의 효력을 정지토록 요구해왔다. 유럽집행위원회는 이러한 요구를 거부해왔는데, 그 이유는 세이프 하버의 효력 중지가 유럽연합 기업에게 부정적인 영향을 미칠 수 있으며, 양 지역의 경제에 좋지 않은 영향을 미칠 수 있다는 것이었다. 그러나 유럽집행위는 결국 유럽사법재판소의 결정에 따라 세이프 하버에 상당한 문제점이 있다는 점에 동의했다.

Article 29 작업반이 기한으로 설정한 1월 31일을 이틀 넘겨 2016년 2월 2일 유럽연합과 미국 당국은 기존의 세이프 하버를 대체할 수 있는 새로운 협약, 즉 프라이버시 쉴드에 대해 원칙적으로 합의했다고 발표했다[24]. 그리고 새로운 협약이 유럽집행위를 통과하면 유럽사법재판소의 판결에 의해 무효화된 개인정보의 이전을 지속할 수 있을 것이라고 유럽집행위는 밝혔다[25].

2016년 2월 29일 유럽연합과 미국은 프라이버시 쉴드 전문과 부속문서를 발표했는데, 새로운 프레임워크는 기존의 세이프 하버보다 더 많고 자세한 내용을 담고 있다[26]. 프라이버시 쉴드 원칙은 7개의 항목, 즉 고지, 선택, 제3자 이전 책임, 보안, 데이터 무결성 및 목적 제한, 접근, 구제 등이며, 16개의 추가원칙으로 구성되었다. 세이프 하버와 달리 프라이버시 쉴드는 미국 국가정보당국과 정부 대표로부터 유럽연합 시민의 개인정보를 보호하겠다는 서약을 포함하였고, 개인정보 침해 시 이를 구제할 수 있는 정부 차원의 메커니즘을 갖추고 있다. 유럽사법재판소에서 제기된 우려 사항에 대해 프라이버시 쉴드를 통해 해결할 수 있다고 미 정부가 주장한 사항은 아래와 같다.

① 보다 강화된 개인정보보호 준수 의무

유럽에서 개인정보를 이전하고자 하는 미국 기업은 유럽의 데이터 주체의 권리 보장 등에 대한 보다 엄격한 주의 의무를 준수하도록 했다. 세부 내용으로서, 자세한 내용이 담긴 통지 의무, 데이터 보유 유지제한, 접근권 보장, 3자 전송의 엄격한 조건, 데이터 무결성 확보, 목적 제한, 그리고 보다 강화된 보안 요건 등이다.

② 보다 강력한 법집행

미 상무부는 연방거래위원회에서 제시한 요건에 따라 준수 여부를 모니터링 한다. 요건을 충족하지 못하는 기업들은 개인정보의 이전에 필요한 법적 지위를 잃게 된다.

③ 명확한 보호 요건 및 투명성의 의무

미 법무부와 정보당국의 책임자는 미국 정부의 유럽연합 시민 개인정보에 대한 접근이 명확한 제한, 보호조치, 감독 메커니즘을 갖추고 이루어진다는 문서화된 보증을 제시한다. 미국 당국은 또한 미국으로 전송되는 개인정보의 무차별적인 대량 감시활동을 배제해야 한다. 연례적인 합동 검토를 통해 국가 안보를 위한 데이터 접근 등에 대한 적절성 여부를 판단한다. 유럽집행위원회와 미 상무부는 유럽연합과 미국의 개인정보보호 감독 담당기구에서 지명한 국가안보 전문가들로 하여금 이를 검토하도록 한다.

④ 유럽연합 시민의 권리보호를 위한 효과적인 구제 수단 강구

새로운 협약 하에서 자신의 권리를 침해당한 개인은 누구나 여러 종류의 구제 수단을 이용하게 된다. 개인은 먼저 해당 기업에 직접적으로 불만을 제기할 수 있으며, 해당 기업은 이를 45일내에 해결해야 한다. 개인은 유럽연합 개인정보감독기구에 직접 불만을 제기할 수 있으며, 이 경우 감독기구는 미 연방정부거래위원회에 이러한 내용을 전달한다. 연방거래위원회가 개인의 불만을 처리하지 않을 경우 무료로 분쟁조정을 위한 대체수단을 제공해야 한다. 미 국가정보기관에 의한 개인정보 침해가 발생할 경우, 미 국무부내에 이를 해결할 수 있는 새로운 담당부서로서 옴부즈만 시스템을 갖추도록 한다. 이 부서는 정보기관과 독립적으로 운영되며, 유럽연합 개인정보감독기구가 제기한 이슈에 대해 검토한다. 미 상무부의 고위 관리가 프라이버시 쉴드 옴부즈만 부서를 관장토록 한다.

프라이버시 쉴드 합의 발표에 이어, Article 29 작업반은 상당한 진전이 있기는 하지만, 아직 부족한 점이 많다고 평가하고, 특히 상업적, 국가 안보 측면에서의 우려 사항을 아래와 같이 제기했다[27].

① 수집된 데이터의 목적이 달성되고 더 이상 필요 없는 개인데이터를 삭제하는 의무가 명확히 명시되지 않음

② 제3국으로 전송되는 데이터에 대한 보호조치가 충분치 않음

③ 구제 메커니즘이 과도하게 복잡함

④ 미 정부가 제시한 대량정보의 처리제한, 보호 수단, 그리고 감독 관리 대책이 충분치 않음

⑤ 2016년 4월 유럽연합이 공식적으로 도입한 일반 개인정보보호 규정(General Data Protection Regulation)이 2018년 5월 시행 예정이므로 프라이버시 쉴드는 높아진 개인정보보호 수준에 부합해야 함

미 정부의 입장에서 작업반의 의견을 반드시 반영해야 하는 것은 아니지만, 만일 유럽집행위가 작업반의 의견을 수렴하지 않고 프라이버시 쉴드에 합의할 경우, 일부 개인정보감독기구에서 이의를 제기하여 유럽사법재판소에서 또 다시 위법 판결이 내려질 수 있다는 점에서 우려가 제기되었다. 이에 따라 보다 강력한 개인정보 관리 책임과 미 정부의 세부적인 구제 절차 명시 등 추가적인 개정작업이 이루어졌으며, 마침내 7월 12일 유럽집행위원회는 이를 최종 승인하였다. 이어 7월 26일 Article 29 작업반은 프라이버시 쉴드의 개선 사항에 대해 긍정적인 논평을 내놓았다[28]. 이전에 제기한 우려의 개선방안이 상당부분 반영되었고, 유럽에서 미국으로 데이터를 전송하는데 있어 효과적인 보호수단이 마련된 것이라는 점을 인정한 것이다. 이에 미국 기업은 8월 1일부터 프라이버시 쉴드 등록을 시작했다.

새로운 프라이버시 쉴드 합의는 이전 세이프 하버합의와 마찬가지로 국가 간 조약이 아니며, 따라서 의회의 승인을 필요로 하지 않는다. 대신 해당 합의는 미국과 유럽연합 당국 간 이행을 위한 서한을 통해 이루어지게 된다.

미국과 유럽연합 당국은 현재 프라이버시 쉴드가 상당히 강력한 프라이버시 보호 조치와 감독 메커니즘, 다중의 구제 수단, 제3국 전송 데이터에 대한 보호조치 강화, 그리고 미 정부의 개인정보 접근과 관련한 안전장치 등을 포함하고 있다고 보고 있다. 그럼에도 불구하고 여전히 일부 전문가들은 프라이버시 쉴드가 유럽연합의 개인정보보호 우려를 불식시킬 수 있을 만큼 충분한지, 그리고 향후 유럽사법재판서에서 제기될 법적 이슈에 제대로 대응할 수 있을지에 대한 아직 확신을 갖고 있지 않다. 즉, 프라이버시 쉴드에서 개인정보 보호는 법적 집행 체계보다는 미국 정부 당국의 주장이나 다짐에 근거하고 있다는 것이다[29].

프라이버시 쉴드가 일시적으로 개인과 기업, 정부 기관 등을 만족시킬 수는 있지만, 유럽연합과 미국의 법집행 협력을 위한 포괄 협정(Umbrella Agreement), 범대서양 무역투자 동반자협정(Trans-Atlantic Trade and Investment Partnership), 환태평양 경제동반자 협정(Trans-Pacific Partnership) 등 다른 국제무역 시스템의 역학관계로 인해 도전에 직면하게 될 것이라는 비판도 적지 않은 상황이다. 이에 Article 29 작업반은 미국과의 연례 합동 검토를 통해 이행현황을 면밀히 살펴보고, 문제점이 발생하면 즉시 개선사항을 반영하거나 효력을 중지시킬 것이라고 밝혔다[30].

V. 국내 정책 대응방향

5.1 개인정보 국외이전 관련 제도 정비

유럽연합과 미국이 체결한 프라이버시 쉴드에서 제시된 주된 내용은 국외이전 개인정보에 대한 보다 강화된 보호 준수의무, 강력한 법집행, 명확한 보호 요건 준수와 투명성 의무, 효과적인 구제수단 강구 등으로 요약할 수 있다.

온라인과 모바일을 통한 글로벌 경제활동의 활성화에 따라 개인정보 국외 이전과 관련된 국내 법제에 프라이버시 쉴드의 주요 내용을 반영할 필요가 있는데, 예를 들어 정보통신망법과 개인정보보호법 등이 개인정보의 국외 이전 시 재이전과 목적 달성 후 이용여부와 관련해 별도의 규정을 마련할 필요가 있다.

아울러 개인정보 국외이전 시 침해가 발생할 경우 이를 구제할 수 있는 메커니즘을 보다 체계화하여 법령에 반영하는 것이 필요할 것으로 판단된다.

그리고 개인정보 국외 이전을 정보 주체의 동의를 요건으로 하여 정보 주체의 판단만으로 국외이전을 결정하도록 하고 있다는 점에서 사업자의 악용 우려, 동의여부 판단 시 이전받는 국가 혹은 기업에 대한 보호조치 수준이 제시되지 않아 정보 주체의 부담이 가중된다는 문제가 제기될 수 있어 이에 대한 개선이 필요하다.

또한 개인정보 국외이전의 규정을 효과적으로 준수할 수 있도록 이를 감시하고, 위반 시 이를 실효성 있게 제재할 수 있는 제도적 장치와 실행 체계를 마련하는 것이 중요하다.

5.2 개인정보 이전을 위한 국제 협력 활동 강화

현재 우리나라가 개인정보의 국외이전을 위해 논의 중인 APEC의 CBPR(Cross Border Privacy Rules)과 유럽연합과의 개인정보 이전 적정성 평가 준비를 위해 프라이버시 쉴드에서 제기된 내용, 즉 수집된 데이터의 목적 달성 후 필요 없는 개인정보를 삭제하기 위한 명확한 기준 설정, 국가 정보당국 등제3자에게 전송되는 데이터에 대한 충분한 보호조치 제시, 구제 메커니즘의 실효성 확보, 대량정보의 처리제한과 관리 감독 강화 내용 등을 충분히 고려할 필요가 있다.

아울러 복잡하고 다양하게 얽혀있는 국제 무역 거래시스템과 국가, 지역간 협정 내용을 면밀히 검토하여 실리를 담보할 수 있는 방안을 도출해내는 것이 중요하다. 장기적으로는 데이터 이전 상대국 혹은 지역공동체와 정책 실무협의체를 구성하고, 보다 효율적인 개인정보 국외이전 정책 연구와 협력방안을 개발, 이행하기 위해 개인정보보호 전문기관의 역할을 한층 강화하는 것이 필요하다.

VI. 결론 및 향후 추진과제

ICT 발전에 따라 재화의 이동이 신속하게 전 세계적으로 이루어지고 있다. 특히 클라우드와 사물인터넷으로 대표되는 신규 서비스의 발전으로 시공간과 국경의 제한이 더 이상 장벽이 되지 않고 있다. 이에 따라 재화의 구매와 상품, 서비스의 소비에 있어 개인정보의 국가 간 이전은 이제 매우 보편적인 일상이 되고 있다.

개인정보의 국가 간 이전은 자유로운 경제활동의 보장 측면에서 매우 중요한 의미를 가진다. 미국은 업계의 자율 규제 준수를 바탕으로 활발한 개인정보 이동을 보장하고 있다. 유럽연합의 경우 그 지역 내에서는 활발한 경제적 활동교류를 위해 국가간 자유로운 개인정보의 이전을 보장하고, 그 구역을 벗어나는 경우에만 일정한 제한을 가하고 있다.

우리나라와 같이 활발한 무역을 통한 글로벌 경제활동이 막대한 국가적 이익을 담보하는 경우, 개인정보의 국외 이전은 피할 수 없는 현실이다.

그러나 미국이나 유럽처럼 경제 규모나 글로벌 표준을 선도할 수 없는 현실에서는 국내 규제만을 고집할 것이 아니라 어떻게 하면 국제적 흐름에 따르면서 기존 제도를 현실에 맞게 수정하고 변용함으로써 국익을 최대화하는 것이 중요한 과제라고 할 수 있다.

본 논문에서는 유럽연합과 미국이 지난 15년간 운영해오던 세이프 하버를 새로운 프라이버시 쉴드 협약으로 변경한 배경과 경과, 그리고 그 내용 분석을 통해 국내 정책 방향에 참고할 수 있는 시사점을 제시하였다.

향후 보다 실효성 있는 개인정보 국외이전 체계구축을 위해 프라이버시 쉴드의 실제 도입 현황과 운영현황 분석, 그리고 향후 도입될 유럽연합 GDPR등의 개인정보 이전 적절성 요건 분석 등을 통해 보다 세부적인 정책방향 제시가 이루어질 수 있을 것으로 보인다.

References

  1. Manyika, James, Susan Lund, Jacques Bughin, Jonathan Woetzel, Kalin Stamenov, and Dhruv Dhingra. 2016. Digital Globalization: The New Era of Global Flows. McKinsey Global Institute. www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digitalglobalization-the-new-era-of-global-flows.
  2. Shayerah Ilias Akhtar, Vivian C. Jones, and Renee Johnson., Transatlantic Trade and Investment Partnership (T-TIP) Negotiations, CRS Report R43387, Feb. 2014.
  3. Joshua P. Meltzer, The Importance of the Internet and Transatlantic Data Flows for U.S. and EU Trade and Investment, Brookings, Washington, DC, Oct. 1, 2015.
  4. Catherine A. Novelli, Growing the Digital Economy: Remarks before the Lisbon Council, U.S. Department of State, June 2, 2015.
  5. European Commission, Restoring Trust in EU-US data flows-Frequently Asked Questions, Nov. 27, 2013.
  6. European Commission, The EU-U.S. Privacy Shield, The Commission adopted on 12 July 2016 its decision on the EU-U.S. Privacy Shield, http://ec.europa.eu/justice/data-protection/international-transfers/eu-us-privacy-shield/index_en.htm
  7. European Commission, Collecting & processing personal data: what is legal?, http://ec.europa.eu/justice/data-protection/data-collection/legal/index_en.htm.
  8. Ioanna Tourkochoriti, "The Snowden Revelations, the Transatlantic Trade and Investment Partnership and the Divide between U.S.-EU Data Privacy Protection," University of Arkansas at Little Rock Law Review, vol. 36, pp. 161-175, 2014.
  9. Paul M. Schwartz and Daniel J. Solove, "Reconciling Personal Information in the United States and the European Union," California Law Review, vol. 102, no. 4, pp. 877-916, 2014.
  10. Charter of Fundamental Rights of the European Union, art. 7, 2000 O.J. (C 364) 18.
  11. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data (Data Protection Directive).
  12. Data Protection Directive, at Art. 25 and 26.
  13. European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm
  14. Executive Office of the President, Big Data: Seizing Opportunities, Preserving Values, Washington, DC, May 2014.
  15. Rosemary P. Jay (ed), Data Protection & Privacy, at 208, 2015.
  16. Natasha Singer, "Data Protection Laws, An Ocean Apart," New York Times, Feb. 2, 2013.
  17. Martin A. Weiss, Kristin Archick. "US-EU Data Privacy: From Safe Harbor to Privacy Shield." Congressional Research Service, May 19, 2016.
  18. U.S. Department of Commerce, Safe Harbor Privacy Principles and Related Frequently Asked Questions, July 21, 2000.
  19. Court of Justice of the European Union, "The Court of Justice Declares that the Commission's US Safe Harbour Decision Is Invalid," press release, Oct. 6, 2015.
  20. Department of Commerce, "Statement from U.S. Secretary of Commerce Penny Pritzker on European Court of Justice Safe Harbor Framework Decision," press release, Oct. 6, 2015.
  21. European Commission Article 29 Working Party, "Statement of the Article 29 Working Party," press release, Oct. 6, 2015.
  22. Nikolaj Nielsen, "Hundreds of U.S. Companies Make False Data Protection Claims," EUObserver.com, Oct. 8, 2013.
  23. European Commission, "European Commission Calls on the U.S. to Restore Trust in EU-U.S. Data Flows," press prelease, Nov. 27, 2013. http://europa.eu/rapid/press-release_IP-13-1166_en.htm
  24. Department of Commerce, "EU-U.S. Privacy Shield," press release, Feb. 2, 2016
  25. European Commission, "EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield," press release, Feb. 2, 2016.
  26. Department of Commerce, EU-U.S. Privacy Shield, Washington, DC, Feb 29, 2016, https://www.commerce.gov/sites/commerce.gov/files/media/files/2016/eu_us_privacy_shield_full_text.pdf.pdf.
  27. European Commission Article 29 Data Protection Working Party, "Opinion 01/2016 on the EU-U.S. Privacy Shield draft adequacy decision," April 13, 2016.
  28. European Commission, Article 29 Working Party Statement on the decision of the European Commission on the EU-U.S. Privacy Shield, Press release, July 26, 2016. http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
  29. Natasha Lomas, "Europe and U.S. Seal Privacy Shield Data Transfer Deal to Replace Safe Harbor," Techcrunch.com, Feb. 2, 2016.
  30. Sarah Cadiot, Laura De Boel, and Sara G. Hoffman, Article 29 Working Party Issues Statement Following Adoption of EUU. S. Privacy Shield, WILSON SONSINI GOODRICH & ROSATI, July 26, 2016. https://www.wsgr.com/WSGR/Display.aspx?SectionName=publications/PDFSearch/wsgralert-privacy-shield-0716-v2.htm
  31. Cerulus, Laurens. "Elusive Privacy Shield Deal Makes a Choppy Landing." POLITICO, June 25, 2016. http://www.politico.eu/article/elusive-privacy-shield-deal-makes-a-choppy-landing/