EU-미국, 내년 3월 목표 개인정보 이전 법적 프레임워크 재구축 추진
- 한국무역협회 브뤼셀지부 / KBA Europe 제공
미국 조 바이든 대통령이 7일(금) EU-미국 개인정보 이전 관련 행정명령에 서명함에 따라, EU는 내년 3월 발효 목표로 미국에 대한 이른바 ‘적정성 결정’ 작업을 추진할 예정
2020년 7월 유럽사법재판소(CJEU)가 EU-미국 개인정보 이전 협정인 ‘프라이버시 쉴드(Privacy Shields) 협정’이 EU 시민의 개인정보 보호에 미흡함을 이유로 2015년 12월 세이프하버(Safe Harbour) 협정에 이어 재차 무효가 된 후, 양측은 관련 재협상을 개시
프라이버시 쉴드 협정 재협상이 난항을 보이던 가운데 지난 3월 바이든 대통령과 폰데어라이엔 EU 집행위원장은 협상 타결을 위한 정치적 합의를 발표, 6개월간의 집중 협상 끝에 바이든 대통령이 EU 시민 개인정보 보호 강화를 골자로 하는 행정협정에 서명
EU 집행위는 행정명령에 근거, 미국에 대해 EU와 개인정보보호 동등성을 판단하는 이른바 ‘적정성 결정(adequacy decision)’ 절차를 내년 3월경 발효를 목표로 추진할 예정
‘적정성 결정’은 EU 회원국 개인정보보호당국의 의견을 수렴한 후 EU 이사회의 다수결로 확정될 예정. 유럽의회는 비구속적 결의안을 통해 개인정보보호 강화에 대한 압력을 행사할 것으로 전망되나, 이사회에서의 표결은 무난하게 통과할 전망
유럽사법재판소는 프라이버시 쉴드 협정 무효화의 주요 근거로 미국 정보기관의 무차별적 EU 시민 개인정보 수집 관행 및 개인정보 침해에 대한 EU 시민의 구제수단 미비를 제시
이번에 서명한 행정명령은 재판소가 지적한 두 가지 미비점을 보완하는 내용으로, 미국 관련 정부기관들의 구체적 이행 방안을 담은 서한과 함께 EU측에 전달됨
행정명령에 따르면, 미 정보기관의 개인정보 수집은 명확한 국가안보 목적에 따라 유효한 정보 우선순위에 근거, 프라이버시와 시민권을 고려하며 비례적 수준에서 실시되어야 함
추가적인 개인정보 보호장치로 미국 국가정보장실(Director of National Intelligence, DNI) 산하에 시민자유보호관(CLPO)을 설치, CLPO는 각 정보기관의 행정명령 규정 이행여부 조사 및 평가하고, 각 정보기관에 구속력 있는 처분을 결정할 수 있음
또한, 법무부(the Attorney General)는 ‘개인정보보호평가법원(Data Protection Review Court, DPRC)’을 설치 CLPO의 결정을 평가하고, 각 정보기관에 대한 구제명령 등을 포함한 독립적이고 구속력 있는 판단을 내릴 수 있음
DPRC는 임기가 보장되는 정부 외부인사로 재판관을 구성하며, DPRC의 해체도 금지됨. DPRC는 계류 사건에 대해 법적 조언할 특별법무관(special advocate)을 선임할 수 있음
나아가, 미국 정부기관인‘개인정보 및 시민자유감독위원회(Privacy and Civil Liberties Oversight Board)’는 개인정보 침해 구제 절차와 각 정보기관의 CLPO 및 DPRC 결정 이행 여부에 대한 연례평가를 수행
이번 행정명령에 대해 ‘세이프하버 협정’과 ‘프라이버시 쉴드 협정’을 제소, 무효화를 이끌어낸 오스트리아의 막스 슈렘스 변호사는 이번 행정명령이 EU법(특히, 오스트리아 법)으로 구체화되면 유럽사법재판소에 다시 재소할 것이라고 공언
슈렘스 변호사는 행정명령이 제시한 ‘비례성 원칙’이 유럽사법재판소의 비례성 원칙에 비해 미흡한 수준인 점 및 DPRC가 미국 정부기관 산하로 EU의 사법적 구제 기관의 기준에 미달하는 점 등 여전히 EU 시민 개인정보 보호에 미흡하다고 주장
한편, 미국에 대한 EU의 적정성 결정이 내년 3월 발효하면, 해당 법적 근거를 바탕으로 수천 개 기업의 개인정보 이전에 관한 불확실성이 제거될 예정
특히, 페이스북과 인스타그램을 소유한 메타는 EU 시민의 개인정보를 미국에 이전하던 법적 근거인 ‘표준계약조항’이 아일랜드 개인정보보당국에 의해 무효화 결정을 받은 바 있어, 해당 결정이 최종 확정되기 전 미국에 대한 적정성 결정 발효를 기대하는 상황
