EU와 미국 간의 논란이되는 데이터 전송 계약

2016-2020 년에 EU-US 개인 정보 보호법은 EU에서 미국으로의 개인 데이터 전송을 위해 제공되었습니다. 그러나 2020 년 7 월, 일반 데이터 보호 조항에 따른 일반 데이터 보호 고지가 유럽 사법 재판소 및 미국 국가 보안 우선순위의 데이터 보호 수준을 보장할 수 있기 때문에 데이터 전송 계약이 만료되었습니다. 적어도 새로운 규정이 시행될 때까지 미국 기업은 더 많은 책임 을지 게 될 것이며, 제재를 피하기 위해 이제는 데이터 보호 논쟁에서 그 어느 때 보다 적극적으로 참여해야 합니다. 프라이버시가 전복되었지만 EU 기업은 여전히 개인 데이터를 미국으로 내보낼 수 있습니다. 유럽 연합 집행위원회는 데이터를 국제적으로 전송하기 위해 일반적으로 사용되는 또 다른 데이터 전송 수단 인 표준 EU 계약 조항을 허용하기로 결정했습니다. 유럽연합에서 정보를 찾는 대신 프라이버시 실드 인증서가 있는 미국 회사는 이제 SCC를 통한 이전을 협상해야 합니다. Schrems II 판결에 따라 표준 계약 조건의 사용은 엄격한 규칙과 조건을 따릅니다. EU 기업은 추가 조치를 취해야 하며 원칙적으로 각 평가에 대한 정보를 사례별로 전달해야 합니다. EU 법원은 미국 데이터 보호가 제한적이라고 간주했기 때문에 EU 데이터는 미국으로 전송되는 것이 위험한 것으로 간주됩니다. 또한 ESA 및 DPA는 표준 계약 조건을 수정할 수 있습니다. 따라서 제3 국의 법적 사정으로 인하여 데이터를 받는 사람이 표준 계약의 규정에 따른 의무를 준수하지 않을 경우 전송이 중단되거나 거부될 수 있습니다. 그러나 개인 정보 보호 수준을 검토할 때는 전체 프로세스를 고려해야 합니다. 따라서 전체적으로 수령 국의 국가 안보 및 조사 기관이 개인 데이터에 접근할 수 없도록 해야 합니다. 현재 상황에서 중소기업은 일반적으로 제3 국에서 적절한 데이터 보호를 보장할 노하우와 수단이 없기 때문에 사례 별 평가가 특히 어렵습니다. 가능한 사례 별 평가 또는 가능한 표준 계약 조항. 확장에 적용되는 특정 기준을 정확히 지정하지 않습니다. 그러나 중소기업이 이 문제에 적극적으로 참여해야 합니다. 법률 전문가는 중소기업에 최선의 예방 조치를 취하고 데이터 보호 조치에 대한 확실한 문서를 작성하도록 조언합니다. 이러한 방식으로 기업은 가능한 법적 분쟁에 더 잘 대비하고 개인 정보 보호가 폐쇄된 경우 법정에서 더 잘 방어할 수 있습니다. 그렇다면 제한된 정보 흐름에서 EU 시민에 대한 데이터를 수집하는 미국 기업은 어떻게 진화해야 하며, 공식 데이터 보호 규정의 모든 측면이 준수되도록 하려면 어떤 조치를 취해야 합니까? 첫째, 이전에 프라이버시 실드를 받은 회사는 EU에서 미국으로의 개인 정보 전송과 관련된 모든 데이터 흐름, 계약 및 관계를 검토해야 합니다. 이제 EU 기업들이 미국의 법적 상황을 보다 면밀히 분석하고 남용 가능성을 평가하고 있으므로 모든 계약을 검토하고 정보를 계속 받을지 여부를 결정하는 것이 중요합니다. 이 작업을 마치면 SCC를 활성화하여 데이터를 최신 상태로 유지하는 방법을 결정해야 합니다. 일부 파트너는 비즈니스를 정상으로 유지하기 위해 새로운 계약을 기꺼이 수락하고 다른 파트너는 이를 자신에게 유리하게 계약을 재협상할 수 있는 기회로 간주할 것입니다. 이 프로세스에서는 현재 상황을 고려할 때 회사가 특정 계약 의무를 충족하고 있는지 확인해야 합니다. 현재 상황에서 EU 기업은 데이터 보호를 최적화하기 위해 사용 가능한 모든 기술을 사용하도록 미국 비즈니스 파트너 및 서비스 제공 업체에 요청할 수 있습니다. 데이터 전송, 클라우드 서비스 및 EU 외부의 타사 서버 없이 할 수 있는 EU 기업은 유럽의 GDPR에 따라 대안을 찾을 수 있습니다. 또한 데이터 보호법의 진행 상황을 면밀히 모니터링해야 합니다. EDPS는 유럽 사법 재판소의 프라이버시 실드 결정에 관한 FAQ 문서에서 이해 관계자와 이해 당사자에게 현재 상황에 대한 정보를 제공합니다. 프라이버시 실드는 EU 및 미국 세이프 하버 개인 정보 보호 원칙에 대한 후속 조치로 2016 년 중반에 공식적으로 출시되었습니다. 이 계약의 목적은 미국으로 이전된 후 미국 기업이 저장하고 처리하는 유럽 시민의 데이터를 보호하는 것이었습니다. 이는 예를 들어 온라인 상점에서 주로 수집되는 개인 정보와 관련이 있습니다. 개인 정보에는 전화번호, 고객 ID, 신용 카드 또는 식별 번호, 계정 정보, 사람의 외모 또는 다른 개인 정보와 결합된 EU 시민의 주소가 포함됩니다. Safe Harbor의 후임자는 유럽 사법 재판소의 판결에 따라 2020 년 7 월에 만료되었습니다. 2020 년 7 월 16 일 소위 Schrems-II 판결에서 유럽 사법 재판소는 미국에서의 개인 데이터 저장 및 처리가 GDPR에서 요구하는 보안 수준을 달성하지 못한다고 가정합니다. 이 과정에서 사법 재판소는 또한 미국이 적절한 수준의 데이터 보호를 갖추고 있음을 반복적으로 확인한 유럽위원회의 타당성 조사 결과를 무효화했습니다. 사법 재판소의 판결은 오스트리아의 데이터 보호 전문가 인 Maximilian Schrems가 제기 한 소송에 의해 시작되었습니다. 이 소송에서 Schrems는 Facebook Ireland가 미국으로 개인 데이터를 전송하는 것을 금지하려는 아일랜드 데이터 보호 당국에 불만을 제기했습니다. 아일랜드 대법원이 소송을 제기하지 않았을 때 Schrems는 소송을 제기했습니다. 또 다른 경우에 아일랜드 데이터 보호 당국은 사법 검토를 위해이 문제를 유럽 사법 재판소에 회부했으며 결국 EU와 미국 간의 개인 정보 보호를 뒤집었습니다. Safe Harbor Followers는 미국이 충족해야 하는 특정 데이터 보호 조치 및 표준을 기반으로 했습니다. 중요한 요소는 미국 기업이 개인 정보를 보호하기 위해 스스로를 증명할 수 있다는 것입니다. 미국 회사가 자발적으로 계약 조건을 제출한 후 미국 상무부가 수정했습니다. 회사가 프로세스를 성공적으로 완료하면 공개적으로 사용 가능한 데이터베이스에 포함되었습니다. 계약이 끝날 때 목록에는 총 5,384 개의 조직이 포함되었습니다. EU-US Privacy Shield는 개인 정보가 미국의 인증된 회사로 이전될 때 EU 시민에게 포괄적인 권리를 보장했으며 EU 시민은 회사에 직접 연락하여 이러한 권리를 주장할 수 있습니다. 이 회사들은 45 일 이내에 대중의 우려에 대응해야 했습니다. 자신의 권리를 모니터링하고 보호하기 위해 EU 시민은 미국 국무부의 옴부즈맨을 선택할 수 있습니다. 옴부즈맨은 모든 정보 서비스에 대해 독립적이어야 하며 개별적인 우려 사항을 조사하고 특정 경우에 적용 가능한 법률 준수에 대한 정보를 제공해야 합니다. 그러나 사무실은 EU 요구 사항으로 인해 2018 년에만 채워졌습니다. Manisha Singh은 처음에 옴부즈맨으로 일했고, 2019 년 6 월 Keith Krach가 뒤를 이었습니다. 또는 EU 시민은 국가 데이터 보호 당국에 연락할 수 있습니다. 그런 다음 미국 연방 거래위원회에 직접 연락하여 자세한 내용을 확인할 수 있습니다. 다른 합의를 찾을 수없는 경우 최종 제한은 집행 가능한 중재 판정이 있는 중재였습니다. 또한 모든 회사는 유럽 데이터 보호 감독관의 권장 사항을 준수할 수 있었습니다. 개인 데이터를 처리하는 회사는 어떤 경우에도 그렇게 해야 합니다. 프라이버시 실드의 유효성을 위한 전제 조건은 미국이 EU에서 개인 데이터의 저장 및 처리를 위한 적절한 데이터 보호 표준을 가지고 있음을 확인한 EU위원회의 적절성 결정입니다. 2016 년 적합성 결정은 매년 검토되고 필요한 데이터 보호 수준이 달성되면 업데이트됩니다. 검토는 EU위원회와 미국 상무부의 전문가에 의해 수행되었습니다. 이 절차의 결과로 공개적으로 사용 가능한 보고서가 유럽 의회와 이사회에 제출되었습니다. 이러한 광범위한 데이터 보호 조치에도 불구하고 대량 감시는 완전히 배제되지 않았습니다. EU 시민을 위한 광범위한 권리는 프라이버시 실드 계약의 이점 중 하나였으며 미국 기업은 특정 데이터 보호 위반에 대해 불평합니다. 중요한 부분은 목적 제한 원칙이었습니다. 데이터는 명확하게 정의되고 법적으로 허용되는 목적으로 만 저장 및 처리될 수 있습니다. 미국 조직에 대한 적절한 개인 정보 보호를 보장하는 승인 마크는 EU 외부로 데이터를 전송하는 데 중요한 역할을 했으며 참여 기업에 대한 회원국의 요구 사항에서 면제되었습니다. 그러나 EU- 미국 프라이버시 보호 영역은 처음부터 저항해야 했습니다. 비평가들은 만장일치만으로는 충분하지 않다고 주장했습니다. 유럽 사법 재판소의 요구 사항이 충분히 충족되지 않았고 많은 모순이 외관상으로 만 숨겨졌다는 불만이 있었습니다. 옴부즈맨의 지위가 국무부에 부여된 후 비평가들은 합의가 제도적 독립성이 부족하고 일반 데이터 보호 규칙을 위반했다고 느꼈습니다. 그들은 또한 관련 EU 시민들이 옴부즈맨의 결정에 대해 법적 조치를 취할 수 없다는 사실을 비판했습니다. 비판의 또 다른 점은 EU 법률을 위반하여 대량 통제 조치가 비례 적으로 테스트되지 않았다는 것입니다. 미국은 여전히 중앙통의 제국이었으며 국가 통제 당국의 조사에 대한 증거가 없었습니다. 비평가들은 또한 미국의 대규모 온라인 비즈니스에 대한 긴급한 통제권을 잃었습니다. 이러한 결점으로 인해 비평가들과 전문가들은 합의가 유럽 사법 재판소의 검토 대상이 아니므로 장기적이고 법적 해결책을 제공할 수 없다고 이미 생각했습니다. 세이프 하버와의 현저하게 작은 차이는 계속해서 비판을 받아 왔습니다. 많은 비평가들은 데이터 보호 루프가 다양한 데이터 보호 허점을 사실상 닫지 않는다고 생각했습니다. 세이프 하버 협정이 갑작스럽게 종료된 후 처음에는 재정적 불확실성이 높았습니다. 검토 결과 데이터 유출이 발견되면 벌금 형태의 제재로 처리될까 봐 걱정이 되었습니다. 또한 새로운 조항은 기업이 데이터 보호 분야에서 시간과 비용이 많이 드는 변화에 직면해야 한다는 것을 의미했습니다. 당시 많은 회사가 EU 표준 계약 조항으로 전환했거나 이미 이를 Safe Harbor 계약의 대안 또는 보완으로 사용했습니다. 이 관행은 EU- 미국 프라이버시 실드가 더 널리 배포되고 Safe Harbor 모니터링 중에 제자리에 남아있을 때까지 전환 기간 동안 증가했습니다. PwC 연구에 따르면 설문 조사에 참여한 미국 기업의 75 % 는 EU 국경을 넘는 데이터 전송을 보호하기 위해 구속력 있는 기업 규칙을 사용할 계획이었습니다. 숫자는 그 자체로 말합니다. 사실, 이전 버전에서와 같이 많은 기업은 더 이상 근본적인 데이터 보호 문제와 불일치를 제거하지 않는 데이터 보호 계약에만 의존하고 싶지 않았습니다. 개인 정보 보호로 인해 매년 검증을 통해 불신이 증가했습니다. 표준 계약 조항의 대안 또는 병행 사용은 옴부즈맨의 역할을 수행하는 데 오랜 지연과 같은 미국에서 주요 개인 정보 보호 조항이 종종 느린 도입에 대한 대응이었습니다. GDPR 발효 이후 국제 데이터 보호 계약은 더욱 어려워졌습니다. 따라서 프라이버시 실드는 제한된 기간 동안 국제 데이터 전송에 대한 구속력 있는 법적 프레임 워크만을 제공하는 일시적인 전환 조치입니다. 실패 후 개인 정보 보호는 관련 회사의 무력감과 불확실성의 근원이 되었습니다. 프라이버시 실드의 운명은 디지털화가 증가하는 동안 기본적인 데이터 보호 문제를 숨길 수 없지만 GDPR과 관련하여 지속 가능한 방식으로 해결해야 함을 보여줍니다. 그렇지 않으면 국제 수준에서 운영되고 개인 데이터를 포함하는 장기 비즈니스 모델의 기반이 상실됩니다. 미국에서 프라이버시에 대한 인식이 계속해서 발전하고 있습니다. CCPA가 보는 것처럼 GDPR 작업의 중요성에 대한 인식도 확인할 수 있습니다. 그러나 GDPR의 높고 완전히 정당화된 표준이 전 세계적으로 매우 다른 데이터 보호 관점에서 디지털 거래 파트너에게 이전할 수 있는 전 세계적으로 허용되는 표준으로 발전했는지 여부는 다소 의문입니다. EU 쿠키 법, GDPR과 같은 정보 조항 및 지침은 EU 쿠키 법, GDPR과 같은 정보 조항 및 지침은 국제 경제 관계에서 모순되는 지점이자 장애물이 될 수 있습니다.