메타가 EU의 페이스북 사용자 데이터를 미국 서버로 전송한 게 EU 일반 데이터 보호 규칙 GDPR을 위반하고 있다며 관련 벌금으로는 과거 최고액인 12억 유로를 EU 당국으로부터 부과받았다. 메타는 이에 불복해 항소하겠다는 입장이다.
유럽데이터보호위원회 EDPB는 2023년 5월 22일 메타에게 12억 유로 벌금을 부과했다고 발표했다. 이는 아마존에 대해 2021년 부과한 벌금 7억 4,600만 유로를 크게 웃돌아 EDPB가 결정한 벌금으로는 과거 최고액이다.
이번 재판에서 문제시되고 있는 건 페이스북이 EU 사용자 데이터를 미국에 전송한 것이다. 전통적으로 이런 데이터 전송은 미국과 EU간 데이터 취급에 관한 도구인 프라이버시 실드에 의해 보호됐다.
하지만 미국 수사 당국이 국내 기업 데이터를 감시하고 있는 게 전 CIA 직원인 에드워드 스노든에 의해 노출된 2013년 사건을 계기로 EU 시민 데이터 보호가 불충분하다는 의심이 증가하고 프라이버시 실드는 2020년 무효화됐다.
페이스북의 프라이버시 침해를 둘러싸고 오랫동안 법정에서 싸워온 오스트리아 변호사 맥스 슈렘스는 이번 결정에 대한 성명에서 10년에 걸친 소송 끝에 이런 판결이 나왔다는 걸 기쁘게 생각한다며 벌금 상한이 40억 유로 이상이며 메타가 10년간의 이익을 위해 고의로 법률을 깨고 온 걸 생각하면 벌금은 더 높아도 이상하지 않다고 생각한다고 밝혔다.
EU에서 미국으로 개인 데이터를 전송하는 법적 근거를 잃은 메타는 이번 결정에서 벌금과 데이터 전송을 중단하라는 명령을 받았다. 하지만 보도에선 EU 당국 결정에는 메타에게 유리한 점이 크게 3가지 있다고 지적하고 있다.
첫째 이번 결정은 페이스북에만 적용되는 것으로 인스타그램이나 왓츠앱 등 메타 다른 서비스는 대상외다. 둘째 메타가 데이터 전송을 중단하기 전까지는 5개월 유예 기간이 있으며 미국에선 데이터 보유 중단에도 6개월 유예가 있다. 마지막으로 가장 중요한 점은 새로운 데이터 전송 협정에 관한 협의가 미국과 EU간에 진행 중으로 이르면 2023년 여름이나 늦어도 10월에는 체결될 것이라는 전망이다.
또 벌금액이 과거 최고라고 해도 메타에 있어선 그다지 큰 금액이 아니라는 지적도 있다. 비영리단체 관계자는 불법 행위로 수십억 유로를 벌고 있는 기업에게 10억 유로 벌금이 무슨 의미가 있겠냐고 지적하기도 했다.
이번 판결에선 또 EU 당국 사이에서 혼란도 보였다. 메타 아일랜드 자회사(Meta Platforms Ireland Limited)를 관할하는 아일랜드 데이터 보호 위원회 DPC는 2022년 7월 결정으로 페이스북 데이터 전송은 차단할 필요가 있다고 했지만 메타에 대한 벌금에는 소극적이었다. 하지만 EU 다른 규제 당국에 의한 반발로 결정을 EDPB에 의뢰한 만큼 이번 EDPB는 데이터 전송 정지와 과거 최고액 벌금을 결정했다.
미국 기업에 대한 태도에 온도차가 있는 건 메타나 구글, 애플 등 수많은 대형 기술 기업이 EU 본사나 지사를 아일랜드에 두고 있는 게 배경이다. 2021년에도 왓츠앱에 대한 DPC 벌금액이 다른 EU 당국 압력으로 4배로 증액된 일도 있다.
메타 측은 성명에서 자사는 유사한 프레임워크를 사용해 데이터를 전송하는 수천 개 기업 중 하나에 불과하다면서 이번 결정은 결함이 있는 부당한 것이며 EU와 미국간 데이터를 전송하는 무수한 기업에 있어 위험한 선례라고 강조했다. 벌금과 데이터 전송 정지 판결 모두에 항소하는 걸 표명했다.
또 EU와 미국간 데이터 전송에 관한 새로운 프레임워크에 대해서도 근본적인 법 갈등을 해결하기 위한 정치적 합의가 이미 존재하고 있다며 실현에 자신감을 보이고 있다. 관련 내용은 이곳에서 확인할 수 있다.