[뉴스레터_지식재산권_13_개인정보 해외판결 소개]

 

유럽사법재판소의 유럽-미국간 개인정보 전송 safe harbor 무효 판결

 

 

 

선미라 미국변호사

 

1980년 발표된 OECD의 개인정보보호 권고안 "7개 원칙(7 principles)"에 이어 EU 1995 "정보보호지침(Data Protection Directive, 이하 "EU 지침")"을 제정하고 정보보호가 보장되지 않는 비회원국으로의 개인정보 전송을 금지하였다.

 

2000년 위 7개 원칙과 EU 지침을 준수하고 확인서를 제출하는 미국 기업들에게는 EU 고객들의 개인정보의 미국 전송을 허용한다는 European Commission의 결정(Safe Harbor Decision)이 이루어짐에 따라 페이스북이나 구글의 유럽 법인은 자체 확인서만으로 사용자들의 개인정보를 미국으로 전송해 본사 서버에 저장할 수 있었다.

 

그런데 최근 스노든이 미국 정부가 PRISM 프로그램을 통해 정보통신 및 소셜미디어 서비스회사들이 보유한 개인정보를 "백도어"로 열람할 수 있다고 폭로하면서 유럽 사용자들의 불안감이 높아졌다.

 

이에 Maximilian Schrems는 페이스북이 safe harbor 자체 확인서를 근거로 자신의 개인정보를 미국으로 전송하지 못하도록 아일랜드 정부에 요청하였고 거절당하자 EU의 개인정보 보호원칙에 동의하지 않은 미국 정부의 손에 자신의 개인정보가 들어가면 프라이버시 기본권 등이 무력화되어 safe harbor 원칙이 적용되지 않는다며 소송을 제기했다.

 

Schrems 소송과 관련해 아일랜드 최고재판소는 유럽사법재판소에 "개별 국가의 정보보호 당국이 EC 결정에 따라 safe harbor로 적절한 보호장치가 있다고 자동적으로 간주해야 하는지, 또는 전송 건별로 사실관계를 고려해 safe harbor의 적절성을 결정할 수 있는지"를 질의하였고 유럽사법재판소가 후자로 해석해야 한다고 판결하면서 ("legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life") 기업의 Safe Harbor 자체 확인서가 더 이상 개인정보보호의 적절한 수단이 될 수 없게 된 것이다.

 

이러한 판결로 직접적 영향을 받는 곳은 페이스북이지만 safe harbor 자체 확인서만으로 유럽 사용자들의 개인정보를 관행적으로 미국으로 전송하던 구글 등 미국 대형 IT 업체들도 당장 발등에 불이 떨어진 상태이다.

 

또한 위 판결은 미국 외에도 정부가 개인정보를 열람하는 것으로 알려진 나라의 기업이나 이러한 나라에 서버를 두고 유럽 사용자들의 개인정보를 저장하는 기업들에도 영향을 미칠 수 있다는 점에서 한국 기업들도 관심을 갖고 향후 추이를 지켜보아야 할 것이다.

 

궁극적으로 EU 회원국들의 내부 조율을 거쳐 미국과 협의하여 수정된 safe harbor 결정으로 기업들의 개인정보 전송 기준을 새롭게 제시할 것으로 예상되나 시간이 상당히 걸릴 것이므로 그 동안은 전문가들이 권하는 아래의 잠정적 조치들을 취하는 것이 바람직할 것으로 보인다.

 

(1) 회사 홈페이지 등에 게시된 safe harbor 관련 설명을 업데이트 할 것

 

(2) 유럽 사용자들의 개인정보를 유럽 이외의 지역으로 전송할 경우 safe harbor 확인서만 의존하지 말고 EU 표준 계약서 문구 (http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm) 또는 동의서 양식을 활용할 것 (일부 국가의 경우 표준계약서도 충분한 보호가 되지 않는다는 견해가 있으니 유의할 것)

 

(3) safe harbor 관련 논의를 모니터링하면서 Article 27 Working Party (EC 정보보호 실무그룹)이 어떤 종합적 의견을 제시할 지 지켜볼 것

 

(4) 유럽 내에서 데이터를 처리할 수 있도록 유럽 소재 서버를 제공하는 서비스도 고려하기 바람 (다만 최근 Microsoft가 아일랜드 서버에 저장된 EU 고객의 정보를 정부 당국에 제출하라는 미국 법원의 명령에 대해 항고한 상태이므로 적절한 대안이 될 수 있을지는 유동적임)