EU-美 데이터 이전, 美 대법원 판결로 불확실성 증폭
美 대법원이 FTC의 독립성을 부정하며 EU-美 데이터 프라이버시 프레임워크(EU-US Data Privacy Framework)의 근간을 흔들었음
EU는 데이터 보호 감독 기관의 독립성(Independence)을 핵심 요건으로 삼아왔으나, 미국 내 독립 기관 부재가 명확해짐
전문가들은 해당 판결로 인해 개인 데이터 이전의 법적 근거가 사라졌다고 평가하며, EU의 재검토를 촉구하고 있음
미 연방거래위원회(FTC) 독립성 부정의 파장
미국 대법원의 '트럼프 대 슬로터' 판결은 FTC의 독립성이 위헌이라고 결정하며, 이는 EU-미국 간 개인 데이터 이전의 핵심 기반을 무너뜨렸습니다. EU는 그동안 데이터 보호 감독을 위해 FTC의 독립성에 의존해왔으나, 이제 그 법적 효력이 상실될 위기에 처했습니다. Max Schrems는 이 판결로 인해 미국 내 독립적인 감독 기관이 부재하게 되었으므로, EU 집행위원회는 EU-미국 데이터 프라이버시 프레임워크(EU-US Data Privacy Framework)의 적법한 철회를 시작해야 한다고 주장합니다.
EU 데이터 보호법(GDPR) 및 프레임워크의 취약점
EU의 GDPR은 개인 데이터의 제3국 이전을 엄격히 제한하며, '본질적으로 동등한 보호'를 제공하는 국가에만 예외를 허용합니다. 과거 'Safe Harbour'와 'Privacy Shield'가 CJEU에 의해 무효화된 전례가 있음에도 불구하고, EU 집행위원회는 유사한 구조의 세 번째 데이터 프레임워크를 승인했습니다. 이번 대법원 판결은 이러한 구조적 취약점(Structural Vulnerability)을 다시 한번 드러냈으며, EU 조약법(EU Treaty Law)에 따른 독립적인 감독 기관(Independent Supervisory Authority)의 필요성이 강조됩니다.
데이터 보호 검토 법원(Data Protection Review Court)의 한계
미국 정부 감시 관련 독립적인 법적 구제책 요구에 따라 설립된 '데이터 보호 검토 법원(Data Protection Review Court)'은 행정명령(Executive Order)에 기반한 임시적 기구입니다. 이는 대통령의 의지에 따라 변경될 수 있으며, 실질적인 독립성을 보장하기 어렵다는 비판이 제기됩니다. 따라서 이 법원이 제공하는 사법적 구제(Judicial Redress)는 EU의 엄격한 데이터 보호 기준을 충족시키지 못한다는 지적이 커지고 있습니다.
SCC 및 BCR 기반 데이터 이전의 불확실성 증대
EU-미국 데이터 프라이버시 프레임워크에 직접 의존하지 않는 기업들도 표준 계약 조항(SCCs)이나 구속력 있는 기업 규칙(BCRs)을 사용하는 경우, 종종 영향 평가(Impact Assessment)를 수행합니다. 이 평가 역시 과거 독립적이었던 미국 기관들의 판단에 의존하는 경우가 많았기에, 이번 대법원 판결은 이러한 기업들에게도 데이터 이전의 합법성에 대한 재평가를 요구하게 만듭니다. 즉, 데이터 이전이 더 이상 합법적이지 않다는 결론에 도달할 가능성이 높습니다.