메타(Meta), 유럽에서 페이스북/인스타그램 철수 논쟁은 진행중

잊을만하면 여러 채널들을 통해 개인정보, 대륙간 개인정도 이전에 대한 논쟁들을 쉽게 마주치게 됩니다. 특히 우리나라 사람들이라면 개인정보에 민감할 수 밖에 없습니다. 수많은 개인정보들이 이미 중국의 암시장에 유출되어 보이스피싱 등 수많은 사기의 원재료로 사용되고 있다는 것은 안타까운 사실입니다. 

 

문득 2022년 올해 초, Meta가 유럽 시장을 철수할 수 있다고 EU와 힘겨루기 했던 것이 기억이 나서, 관련 사항에 대한 지금까지 경과를 되돌아보고 재 감회를 정리해보는 시간을 갖고자 합니다.

 

Meta 유럽 시장 철수?

2022년 2월 아일랜드 데이터보호위원회(Irish Data Protection Comission)는 Meta의 미국으로 전달되는 데이터 흐름을 중단하라는 명령을 내렸기 때문에,  유럽에서 Facebook과 Instagram이 폐쇄될 위험에 대해서 수시로 언급되고 있습니다

아일랜드 데이터보호위원회는 Meta가 유럽에서 미국으로 사용자 데이터를 보내는 것을 차단할 것이라고 알렸습니다. 실리콘밸리 기업들의 본사가 많은 아일랜드에서 발의된 조치사항 더 흥미로운 뉴스였습니다. 

 

사실, 데이터 전송에 대한 논란은 2013년 에드워드 스노든(Edward Snowden)이 미국 국가안보국(National Security Agency)의 스파이 활동 범위를 폭로한 때로부터 가시화되기 시작했다고 할 수 있습니다.

 

2020년 7월, 유럽사법재판소(EU최고법원)는 국 기관이 데이터에 액세스하는 것이 안전화지 않다는 두려움 때문에  ‘Privacy Shield’라는 EU-미국 데이터 흐름 협정을 무효화 했습니다.

 

해당 판결로 메타와 그 외 다른 미국 기업이 개인정보를 미국으로 전송할 수 있도록 뒷받침해준 표준계약조항(SCC)이란 또 다른 법적지침을 준수하는 것도 어렵게 만들었습니다.

표준계약조항(Standard Contractual Clauses, SCC)는 EU와 비EU국가의 사이에 데이터 전송에 관한 근거를 제시해 줍니다. 해당 규정에 따르면 적절한 데이터 보호장치하고 보호규칙을 위반하지 않는다면, EU에서 제3국으로 데이터를 전송하는 근거로 사용할 수 있습니다.

 

Meta의 서비스 중단 경고

다시 돌아와서, 메타는 그러한 결정이 페이스북과 인스타그램을 포함한 유럽의 많은 서비스를 중단할 것이라고 반복해서 경고했습니다.

저크버그는 "새로운 대서양 횡단 데이터 전송 프레임워크가 채택되지 않고, 유럽에서 미국으로 데이터를 전송하는 다른 대체 수단에 의존할 수 없다면, 우리는 가장 중요한 많은 데이터를 제공할 수 없을 것입니다. 아일랜드의 차단 결정이 유럽데이터보호규제위원회(European Data Protection Board)에 의해 공식화되면, 더 많은 비즈니스 커뮤니티에 위협이 될 것입니다.”라며 직간접적으로 EU에서의 페이스북과 인스타그램 서비스를 중단할 수 밖에 없다고 경고하고 있는 것입니다.

 

EU-미국의 대응

현재 EU와 미국은 Meta와 같은 회사가 아일랜드의 행정명령에 상관없이 대서양을 가로질러 데이터를 계속 이관할 수 있도록 하는 새로운 데이터 전송 텍스트를 협상하는 중입니다.  

 

2022년 3월 우르줄라 폰데어라이엔(Ursula von der Leyen) 유럽연합 집행위원장과 조바이든 미국 대통령은 브뤼셀과 워싱턴이 개정된 "프라이버시 실드" 데이터 이전 계약에 대해 원칙적으로 합의했다고 밝혔습니다.

 

EU-미국의 최고 지도자들께서 직접 협상을 할 수밖에 없는 배경은 아래 이미지를 보면 직관적으로 이해되실 겁니다. 2021년 기준, 북미와 유럽 사이에 오가는 트래픽 볼륨은 타대륙 대비 높습니다

 

출처: TeleGeography, The Power Atlas

 

다시 돌아와서, 정치적 수준에서 예비협상에 합의한 이후로, 법적 세부 사항에 대한 협상은 교착 상태에 빠졌고 올해 말 이전에 최종 협상에 도달할 가능성은 희박해 보입니다.

 

아일랜드개인정보위원회의 대변인은 결정 초안이 다른 EU 개인정보보호 규제기관에 전달되었으며 현재 한 달 안에 의견을 제시할 수 있지만, 결정에 대한 세부 사항은 논의하지 않을 것이라고 확인했습니다.

 

Meta 대변인은 "유럽데이터 보호당국의 결정 초안은 EU와 미국 법률의 충돌을 해결하기 위한 것이다"며 "EU-미국 간 합의를 환영하고 있습니다. 국경을 넘어 데이터를 지속적으로 전송할 수 있는 새로운 법적 프레임워크가 필요하며, 이 프레임워크를 통해 가족, 커뮤니티 및 경제를 계속 연결할 수 있을 것으로 기대한다고 밝혔습니다.

Meta는 유럽을 떠날 수 있을까?

현실적으로 Meta가 유럽을 떠날 수 있을 것이냐에서는 제 개인적으로는 회의적입니다. 일반적으로 사업가들은 천문학적인 돈을 벌어주는 시장에서 규제 이슈만으로 엑시트 할 수 없습니다. 정계 모든 이해관계자들을 설득해서 문제를 해결하려고자 하는 것이 상식입니다.

 

유럽 내 수많은 사이트에서는 이를 풍자한 아티클들이 넘쳐납니다.

 

 

국가별 개인정보 이전에 관한 규제 프레임워크

특정국가가 개인정보에 대한 국가 간 전송을 어떤식으로 규제하는지 이해하면 이 상황에 대해서 좀 더 객관적으로 볼 수 있습니다. 사실상, 많은 국가에서 개인 데이터의 국가 간 전송을 규제하고 있습니다. 개인 데이터에 대한 규정은 다양하지만 크게 4가지 범주로 구분할 수 있을 것 같습니다.

 

(1) 자유로운 이전 모델; (2) 조건부 이전 모델; (3) 제한된 이전 모델 ; (4) 비규제 모델

(1) 자유로운 이전 모델

개인 데이터의 국가 간 전송에 대한 제한이 없다는 특징이 있습니다. 또한 이 모델을 따르는 국가는 일반적으로 기본 개인정보 보호 원칙에 의존하며 자발적으로 자율 규제할 수 있는 유연성을 기업에 맡깁니다. 기업은 일반적으로 개인 데이터가 어떻게 취급되고 언제 제3국의 수신자에게 이전될 수 있는지에 대해 책임을 집니다. WDR에 대해 조사한 116개국 중 39개국이 이 모델을 채택했습니다. 대표적으로 미국, 캐나다, 호주가 있습니다.

(2) 조건부 이전 모델

개인 데이터를 보호해야 하는 의무와 데이터 전송의 개방성에 대한 필요성 사이의 균형을 맞추려고 한 모델로 보시면 됩니다. 한 국가가 무역 파트너가 이행해야 하는 일련의 필수 규제 보호 장치를 설정하여 양쪽 회사 간에 개인 데이터가 자유롭게 이동할 수 있도록 하는 것이 포함됩니다. 이러한 보호 장치를 통해 데이터 보호에 대한 특정 적절성 표준을 충족하면서 관할권과 데이터를 공유하거나 구속력 있는 기업 규칙 또는 계약 조항과 같은 필수 데이터 보호 프로토콜을 채택한 회사와 데이터를 공유할 수 있습니다. 조사 대상 116개국 EU를 포함한 66개국이 해당모델을 채택했습니다. 대표적으로 EU, 한국, 일본, 말레이시아, 세네갈 및 남아프리카, 아르헨티나, 콜롬비아 등이 있습니다

(3) 제한된 이전 모델

이 모델은 보안 평가 후 정부의 사전 승인을 포함할 수 있는 회사 및 기타 조직의 국가 간 개인 데이터 흐름에 대한 엄격한 요구 사항을 부과합니다. 여기에는 종종 원본 국가 내에서 개인 데이터를 저장하고 때로는 처리하기 위한 조건이 포함됩니다. 11개국이 이 제한된 이전 모델을 따릅니다. 대표적인 사회국가인 중국, 러시아, 베트남이 해당 모델을 채택하고 있습니다.

중국은 금융 정보 및 통신에서 건강 및 의료 활동, 지도 작성 서비스 및 온라인에 이르는 광범위한 분야를 포함하는 "중요한 정보 인프라"의 운영자에게 개인 및 기타 중요한 데이터 전송에 대한 엄격한 조건과 요구 사항을 요구합니다. 외국 기업은 개인 데이터를 국외로 이전하기 전에 허가를 신청해야 할 수 있습니다.

러시아는 모든 개인 데이터는 러시아에 물리적으로 위치한 데이터베이스를 사용하여 저장 및 처리해야 하며, 이 요구 사항이 충족되면 데이터 사본의 국가 간 전송을 허용해야 합니다. 

(4) 비규제 모델

일부 국가는 아직 개인 데이터 전송에 대한 일반 프레임워크를 채택하지 않았거나 데이터 보호에 관한 규제 규칙을 부과하지 않았기 때문에 기본적으로 이 모델로 분류됩니다. 예를 들어 볼리비아, 캄보디아, 파키스탄, 사우디 등이 그렇습니다

 

개방과 규제의 줄타기

 

사실상, 아일랜드개인정보위원회로 발발된 Meta 사건은 인터넷 산업 발달에 따른 해묵은 아젠다입니다. 정답이 있다기 보다는 해당 이슈를 어떻게 바라보로 대응하냐는 해당 국가의 가치적 판단이자 전략적 판단입니다.

 

개발도상국의 경우 데이터 전송을 허용하는 법적 기준은 새로운 사업 기회를 통한 이익을 창출할 수 있는 기회를 가지게 됩니다. 국경간 데이터 전송을 허용하는 유연한 체제는 개발도상국의 기업이 글로벌 시장에 서비스를 제공할 뿐만 아니라 그 대가로 경쟁력 있는 디지털 서비스를 받는 혜택을 누릴 수 있도록 합니다.

 

예를 들어, 미국의 Augmedix는 방글라데시 의사들에게 원격 의료서비스를 제공합니다. 이러한 양방향 데이터 교환 및 방글라데시 어시스턴트와 원격의의료지원 서비스는 미국과 방글라데시 두 국가가 그러한 민감한 개인 데이터가 국경을 넘어 이동할 수 있도록 허용하기 때문에 가능합니다. 반대로 개인정보가 유출되는 리스크는 굳이 말씀드리지 않아도 우리는 너무 잘 알고 있을 것입니다.

그래서 규제프레임워크를 어떻게 설계하나가 중요합니다.

 

관리감독과 기회창출의 줄타기를 얼마나 잘하냐에 따라 국민들의 소비자 신뢰를 강화하여 디지털 서비스 거래를 촉진할 수도 있는 것이죠. 앞으로는 개인정보에 대한 개별국가들과 Meta와의 플랫폼 사업자들가의 분쟁이 끊이질 않을 것이며, 자국의 국민의 안전과 자국의 디지털 생태계 보호를 위한 여러가지 이니셔티브들에 준수를 강조하는 방향으로 전개될 것입니다. 계속 앞으로의 행방은 지켜보도록 하시죠~~