전 세계적으로 데이터 프라이버시 환경이 변화하면서, 조직은 어떻게 국경을 넘는 거래를 처리하면서도 준수를 유지할 수 있을까요? 이것은 최근 몇 년간 핵심적인 질문이었습니다.

조직들은 전 세계적으로 활동하거나 여러 나라에서 활동을 하는 것이 일반적입니다. EU의 일반 데이터 보호 규정 (GDPR)과 같은 엄격한 규정이 적용되는 지역과의 데이터 이전을 설정해야 하는 필요성이 장애물을 만들었습니다. 미국과 EU 간의 데이터 이전을 위한 업데이트된 프레임워크가 최근에 확정되었습니다. 영향을 받는 조직은 이 변화가 어떻게 구체화되었는지, 프레임워크에 의해 도입된 새로운 요구 사항 및 EU-미국 데이터 이전의 미래에 대한 분석가들의 예측을 이해해야 합니다.

역사

약 25년 동안 EU와 미국은 적절한 보호를 유지하면서 데이터 이전을 원활하게 진행하기 위한 협정을 가지고 있었습니다. GDPR가 EU의 개인 정보 보호 환경을 근본적으로 변화시킬 때, 데이터 이전 과정에 중대한 수정이 필요했습니다. 아래에서 타임라인을 살펴보세요:

• 2000년에 EU-미국 안전 보장 프레임워크가 국경을 넘는 이전을 허용하기 위해 설립되었으며, 2015년 10월에 무효화되었습니다.

• 2016년 7월, 새로운 프라이버시 실드 프레임워크가 효과를 발휘했습니다.

• 2020년 7월, 역사적인 슈렘스 II 판결이 내려져 프라이버시 실드 프레임워크가 GDPR를 위반하고 데이터 이전 활동 중의 미국의 감시에 대한 우려로 무효화되었습니다. EU는 미국이 적절한 데이터 프라이버시 보호 조치를 갖춘 것으로 인정하지 않았습니다.

• 2021년 6월, 유럽 위원회는 개인 데이터 이전을 위한 새로운 표준 계약 조항 (SCCs)을 만들어 책임과 투명성을 강화했습니다. 이러한 SCCs는 EU 회원국에서 다른 나라로의 개인 데이터 이전에 적용되며, GDPR 기준에 맞게 국경을 넘는 활동을 조정했습니다.

• 프라이버시 실드가 없어지면 조직들은 EU와 미국 데이터 이전을 수행하기 위해 새로운 SCCs를 활용하게 되었습니다. 이는 더 복잡하고 예측할 수 없는 메커니즘으로, 시간이 많이 걸리는 데이터 이전 영향 평가를 필요로 합니다.

• 2022년 3월, EU와 미국은 이전 프로세스를 간소화하고 자체 인증을 허용하며 프라이버시 보호를 강화할 다른 메커니즘을 실행하기 위한 원칙 합의에 도달했습니다.

• 2022년 10월, 바이든 대통령이 새로운 프레임워크를 공식적으로 실행하기 위한 단계를 개요로 설명하는 행정 명령에 서명했습니다. 이 명령에서는 자체 인증과 데이터 이전에 대한 감시 강화에 언급되었습니다.

• 2023년 7월 10일, 유럽 위원회는 새로운 EU-미국 데이터 프라이버시 프레임워크 하에서의 적합성 결정을 확정하여 미국의 감시 및 소비자 권리에 대한 조항이 만족스러운 것으로 선언했습니다.

새로운 프레임워크

미국 상무부는 새로운 EU-미국 데이터 프라이버시 프레임워크 프로그램을 운영할 예정입니다. 이것은 의무적이지는 않지만, 조직은 대신 SCCs와 같은 다른 메커니즘을 사용하여 데이터 이전을 실행할 수 있지만, 이 프레임워크는 프로세스를 간소화할 것 입니다. 다음은 주요 특징입니다:

• 조직은 이전 중에 정해진 개인 정보 보호 의무를 준수하겠다고 공개적으로 선언해야 합니다. 이는 데이터 최소화, 데이터 공유 한도 등을 포함합니다. 이렇게 하면 불필요한 경우 연방무역위원회에게 시행 권한이 생깁니다.

• 개인들에게 GDPR와 유사한 보호를 제공하여 정보가 추가 보안 조치 없이 흐를 수 있도록 해야 합니다.

• 감시에 대한 우려를 해소하기 위해 특정 기관이 EU에서 온 정보에 액세스 할 수 있는 시기에 제한이 있으며, 감시 강화 및 독립적인 구제 절차가 마련되었습니다.

• 개인들은 의심되는 정보 처리에 대한 국내 데이터 보호 기관에 불만을 제기할 수 있으며, 그 후 미국으로 불만 사항을 전송하여 조사, 검토 및 해결을 거친 후 새로운 데이터 보호 검토 법원에서 판결을 받을 수 있도록 추가적인 절차가 마련되었습니다. 이 구제 절차는 SCC 방법을 포함한 새로운 프레임워크 이외의 데이터 이전에도 적용될 것입니다.

• EU는 이 프로그램을 계속적으로 검토하여 적합성 상태를 유지할 것입니다.

이로써 조직들은 이제 새로운 프레임워크에 자체 인증하는 조치를 취할 수 있습니다. 많은 조직들이 망설이며 기다리고 있지만, 사용되지 않은 무효화된 프라이버시 실드의 인증을 유지하기로 선택한 곳도 있습니다.

미래 예측

이번에는 간소화된 데이터 이전 메커니즘을 시행하려는 세 번째 시도이기 때문에 모두가 궁금해하는 두 가지 질문이 있습니다. 이번에는 유지될까요? 그리고 새로운 프레임워크가 무효화되면 충분한 것이 무엇일까요? 분석가들은 의견이 분분하며 다양한 의견이 있습니다.

슈렘스 사건의 주요 인물은 이미 이 프레임워크가 유효하지 않다고 생각하며 법정 공방을 제기할 계획임을 밝혔습니다. 유럽 의회와 기타 데이터 보호 기관들도 동의했습니다. 회의론자들은 미국의 감시 법률을 변경하여 추가적인 보호 조치를 제공하기 위해 의회의 입법 조치가 필요하다고 믿습니다.

다른 한편으로, 유럽 위원회 위원장은 새로운 프레임워크에는 안전하고 안정적인 이전을 용이하게 할 전례 없는 약속들이 포함되어 있다고 인정했습니다. 하지만 이게 사실일까요? 시간이 지남에 따라 밝혀질 것입니다.

그 동안 일부 분석가들은 조직들이 지난 세 년 동안 겪은 부담을 줄이기 위해 프레임워크를 활용하도록 권고하고 있습니다. 다른 일부는 더 신중하게 접근하고 새로운 준수 의무를 고려하며 진행하기 전에 위험 분석을 수행하라고 조언하고 있습니다.

선택한 경로에 관계없이 새로운 개발 사항을 지속적으로 추적하는 것이 가장 중요합니다. 법정 공방은 결과가 나올 때까지 몇 년이 걸릴 가능성이 크며, 업계가 이 문제에 대해 의견이 분분하기 때문에 판결이 어떻게 펼쳐질지 불확실합니다. 한편으로 미국 조직이 준수 노력을 어떻게 투입하며 새로운 데이터 보호 검토 법원의 결정이 최신 EU-미국 데이터 프라이버시 프레임워크의 운명에 대한 더 많은 정보를 제공할 것입니다.