[유럽의 개인정보보호법(GDPR)을 직면한 미국연방 클라우드법]

미국법 – 유럽법 – 디지털 및 기술주권 – 개인정보 – 범죄수사 - 보안

🚨 미국의 클라우드법은 그 보호막을 삼키지 않았다.

국회는 정보보고서 n°4299에서 데이터 기밀성 및 보안, 국가의 디지털 및 기술주권에 대한 염려를 표했다. 예를 들어, 특정 외국 법률의 관할권으로 인한 이슈때문에 국가와 유럽의 이익에 해를 끼칠 수 있다는 점을 언급했다.

(2021년 6월 29일 국회 정보 보고서, n°4299, 1권, « 국가 및 유럽 디지털 주권 구축과 증진 »; 2018년 미국 연방데이터의 합법적 해외사용명시법(클라우드법CLOUD Act) ; 1078년 해외정보감시법(FISA) ; 1981년 미국 정보활동 행정명령 제12333호)

⚖️ 선입견과 달리, 클라우드법은 미국 당국에 유럽의 개인정보에 대한 무제한적이고 임의적으로 접근 권한을 부여하지 않는다. 클라우드법의 목적은 미국 당국이 발행하는 요청에 적용되는 규칙을 명확히하는 것이다. 미국 당국은 국외에서 주관된 특정 정보에 대한 영장을 요청하기 위해 미국 판사에게 청구할 수 있다.

실제로, 클라우드법의 적용범위는 상대적으로 넓으며, 다음의 운영자들을 포함한다:

- 원격 컴퓨터 서비스 제공자(FSID) (18 U.S.C. Sec. 2711) ;

- 전자 통신 서비스 제공자(FSCE) (18 U.S.C. Sec. 2510) ;

- 미국 법인 및 그 자회사(특히 외국 소재) ; 그리고

- 미국과 충분한 영관성이 있는 해외법인.

그럼에도, 미국 당국의 요청은 다음과 같은 중첩적인 요건을 충족해야 한다 :

- 심각한 범죄의 예방, 적발 또는 기소와 관련하여 진행 중인 범죄 수사를 위해 요청되어야 함 (« 목적 ») ;

- 대상 고객 또는 운영자의 식별 (« 객체 ») ;

- 대상 정보 및 검색 범위의 명시 (« 정보 ») ; 및

- 목적, 객체 및 정보 간 충분한 연관성이 있음을 입증.

기밀유지명령에 따라, 즉 객체에 대한 통지 없이 발부될 수 있다.

어떠한 경우에도 담당 판사는 비례의 원칙과 필요성(예시 : 대상 정보의 중요성, 요청의 구체성, 대상 정보를 획득할 수 있는 대체 수단의 여부)을 고려하여 요청의 적법성을 검토해야 한다.

⚠ 클라우드법은 규정 (UE) 2016/679 (RGPD) 제48조(유럽연합 법률에 의해 승인되지 않은 이전 또는 공개)와의 호환성과 관련하여 다수의 의문을 제기한다 : « 본 장의 다른 이유에 따른 이전을 제외하고, 제3국의 사법부 또는 행정기관의 결정이 처리 책임자 또는 정보처리자에게 개인정보를 이전하거나 공개할 것을 요구하는 경우, 이러한 결정은 해당 결정이 유럽연합 또는 그 회원국과 해당 제3국 간의 국제협정(예시 : 사법협력조약)을 기반으로 한 경우에만, 어떠한 형태로 인정되거나 이행될 수 있다 ».

2018년 마이크로소프트 아일랜드 사건에서 유럽위원회는 제3국으로의 개인정보 이전과 그 처리의 적법성을 정당화할 수 있는 다양한 근거(특히 유럽개인정보보호법 제5장 제44조에서 50조)에 대한 의견서를 제출했다.

(United States v. Microsoft Corp. (Microsoft Ireland), No. 17-2, slip op. at 3 (17.04.2018) (전원합의체), 584 U.S.___(2018); cf. Conseil d'État, Juge des référés, 13/10/2020, 444937 ; Schrems II, C-311/18 ; 1896년 저장된 통신법Stored Communications Act ; 사이버범죄에 관한 협약(STE n°185) 제 18(1), 2021년 테러행위 차단, 방지에 필요한 수단을 제공, 미국을 단결하고 강화하는 법 (미국 반테러법 USA PATRIOT Act)

#클라우드법 #개인정보 #보안 #디지털 #이전 #데이터 #분쟁 #영외관할권 #GDPR #미국법 #DUE