소식지

[해외 정보인권] 유럽사법재판소 판결문{/}유럽사법재판소 ‘세이프하버’ 무효화를 선언하다

By 2015/11/04 No Comments

편집자 주 : 지난 10월 6일, 유럽 사법재판소는 유럽연합과 미국 간 정보공유 협정(세이프하버)이 무효라고 판결했습니다. 지금까지 이 협정에 의해 구글, 페이스북 등 미국의 글로벌 기업들이 유럽 개인정보보호법의 규정을 피해 유럽 시민들의 개인정보를 처리할 수 있었습니다. 그런데 2011년 오스트리아 페이스북 이용자가 세이프하버 협정에 대하여 소송을 제기하였고, 2013년 에드워드 스노든이 미 정보기관의 인터넷 감시에 대해 폭로한 후, 세이프하버 협정이 유럽 시민의 개인정보를 충분히 보호하지 못하고 있다고 인정된 것입니다.

또 10월 16일에는 한국 법원에서 구글에 대한 이용자들의 소송에 대하여 승소 판결이 있었습니다. 이 소송 역시 스노든의 폭로 이후 국내 인권시민단체 활동가들이 구글본사와 구글 코리아를 상대로 제기한 것으로서 자신의 개인정보가 미 정보기관을 비롯한 제3자에게 제공된 내역을 공개해 달라는 내용이었습니다. 재판부는 구글 본사가 국내법에 따라 @google.com 이용자들에게 정보를 공개해야 한다고 판결하였습니다.
한국 법원의 판결은 아직 1심에 불과하지만, 세계 여러 곳에서 인터넷 이용자들이 미국 글로벌 기업을 상대로 도전하고 있는 것이 사실입니다. 인터넷 기업들과 정보기관들의 밀월 관계에 이용자들이 경종을 울리고 마침내 정보인권 보장을 쟁취할 수 있을까요? 이용자의 이름으로 계속 응원하겠습니다.

번역 오류는 della 골뱅이 jinbo.net 으로 알려주세요.

제목 : 유럽사법재판소 ‘세이프하버’ 무효화를 선언하다
원문 : The Court of Justice declares that the Commission’s US Safe Harbour Decision is invalid
작성 : 2015.10.6 /유럽사법재판소

 

 

유럽사법재판소가 유럽연합 법률의 무효를 선언할 수 있는 유일한 권한을 가지고 있음에도 불구하고, 제3국은 개인정보에 대한 적절한 수준의 보호를 제공해야 한다고 유럽연합 집행위원회가 결정한 바 있으므로, 각국 개인정보감독기구에 진정이 제기되었을때, 감독기구들은 개인정보의 제3국 제공이 유럽 개인정보보호법의 규정을 준수하는지 여부를 조사할 수 있다. 마찬가지로 해당인이 관련된 한, 감독기구는 국내 법원이 그 결정의 효력을 심의하는 목적에서 사전 판결을 내리게끔 국내 법원에 관련된 사건을 제소할 수 있다.

유럽 개인정보보호지침은 개인정보를 제3국에 전달하는 것은 원칙적으로 해당국이 개인정보에 대해 적절한 수준의 보호를 보장할 때만 가능하다고 규정하고 있다. 또한 이 지침은 제3국이 국내법이나 국제협약에 따라서 적절한 수준의 보호를 보장하는지 유럽연합 집행위원회가 판단할 수 있도록 규정하고 있다. 마지막으로, 이 지침은 유럽연합 회원국이 ‘국내 개인정보감독기구’ 규정에 따라 국내규정의 영토내 적용을 감시하는 하나 이상의 공공 기관을 지정하도록 규정하고 있다.

오스트리아 시민 막시밀리안 슈렘스는 2008년부터 페이스북 이용자이다. 유럽연합에 거주하는 다른 가입자들과 마찬가지로 슈렘스씨가 페이스북에 제공한 일부 혹은 전부의 정보가 페이스북의 아일랜드 지사로부터 미국에 위치한 서버로 전송되어 처리되었다. 슈렘스씨는 아일랜드 개인정보감독기구(개인정보보호청장)에 진정을 제기하였고, 미국 정보기관(특히 NSA, 국가안보국)의 활동에 관한 2013년 에드워드 스노든의 폭로에 따르면 미국법과 관행이 공공기관의 감시로부터 이 국가로 전송되는 개인정보를 충분히 보호하고 있지 않다고 주장하였다. 아일랜드 감독당국은, ‘세이프하버’ 제도에 따라 미국이 전송되는 개인정보에 대하여 적절한 수준의 보호를 제공하고 있다는 유럽연합 집행위원회의 2000년 7월 26일 결정(세이프하버 결정)을 근거로 진정을 각하하였다.

이 사건이 접수된 아일랜드 고등법원은, 국내 개인정보감독기구가 제3국이 적절한 수준의 보호를 보장하지 않는다고 주장하는 진정을 조사하는 것과 논란이 된 개인정보 전송을 적절히 정지시키는 것을 금지하는 [세이프하버] 결정이 효력이 있는지 여부를 확인하길 희망하였다.

오늘 판결에서 사법재판소는, 유럽연합 기본권헌장과 개인정보보호지침에 의해, 제3국이 전송된 개인정보의 적절한 수준의 보호를 보장하고 있다는 집행위원회 결정의 존재가 국내 개인정보감독기구의 권한을 배제하거나 축소할 수 없다는 입장을 밝혔다. 재판소는 이러한 측면에서 기본권헌장에서 보장하는 개인정보 보호의 권리와 헌장에 따라 국내 개인정보감독기구에 부여된 소임에 대해 강조했다.

재판소는 무엇보다 지침의 어떠한 규정도 유럽연합 집행위원회 결정 사안인 제3국 개인정보 전송에 대해 국내 개인정보감독기구가 감독하는 것을 금지하고 있지 않다고 밝혔다. 따라서, 유럽연합 집행위원회가 어떤 결정을 채택했다 하더라도, 진정사항을 다루게 되는 국내 개인정보 감독기구는 완전히 독립적으로 개인정보의 제3국 전송이 지침상 요건을 준수하는지 여부를 조사할 수 있어야 한다. 그럼에도 불구하고 집행위원회 결정과 같은 유럽연합 법률의 무효를 선언할 수 있는 권한은 사법재판소가 유일하게 보유하고 있다고 재판소는 지적했다. 결과적으로, 국내 개인정보감독기구에 진정을 제기하는 국내 기관이나 개인이 집행위원회 결정이 무효라고 생각할 때 국내 법원에 소송을 제기할 수 있어야 하고, 법원 역시 결정의 효력에 대해 의심스러울 때 이 사건을 사법재판소에 회부할 수 있다. 그러므로 궁극적으로 집행위원회 결정의 효력 여부에 대한 결정 권한을 부여받은 것은 사법재판소이다.

그래서 재판소는 세이프하버 결정이 효력이 있는지 여부를 살펴 보았다. 위와 같은 관련성에 따라, 유럽연합 집행위원회는 미국이 국내법이나 국제협약에 따라 유럽연합 내에서 기본권장전을 고려한 지침에 의해 보장되는 것과 본질적으로 동등한 기본권의 보호 수준을 사실상 보장하는지 판단했어야 했다고 재판소는 말한다. 재판소는 집행위원회가 그런 판단을 하지 않고 단지 세이프하버 제도만 검토했다고 보았다.

이 제도가 유럽연합 내에서 보장받는 바와 본질적으로 동등한 보호 수준을 보장하는지 여부를 규명할 필요성이 없었기에, 이 제도는 이를 준수하는 사업체에만 적용될 수 있고, 미국의 공공기관 자체가 그것의 적용을 받는 것은 아니라고 재판소는 보았다. 나아가, 미국 정보·수사기관들의 요구는 세이프하버 제도를 압도하였고, 미국 사업체들은 이러한 요구들과 이 제도에 규정된 보호 규칙들이 충돌될 때 후자를 제한 없이 무시하게 되었다. 그러므로 미국 세이프하버 제도는 미국 공공기관으로 하여금 개인의 기본권에 대한 간섭을 가능케 했고, 세이프하버 결정은 미국 내에서 그런 간섭을 제한하도록 되어 있는 규칙이나 그런 간섭에 대해 유효한 법적 보호의 존재를 참조하지 않았다.

재판소는 이 제도에 대한 이러한 분석이 집행위원회 내 두 가지 평가에 의거한다고 본다. 이에 따르면 미국 정부는 유럽연합 회원국으로부터 미국으로 전송된 개인정보에 접근할 수 있었고, 이를 국가 안보 보장에 반드시 필수적이고 비례적인 범위를 넘어, 전송된 목적에 부합하지 않는 방식으로 처리할 수 있었다. 또한, 개인이 특히 자신에 대한 개인정보를 열람, 정정하거나 삭제할 수 있도록 허용하는 행정적이거나 사법적인 시정수단을 보유하고 있지 못하다고 집행위원회는 언급한 바 있다.

유럽 내에서 보장되는 기본권 및 자유와 본질적으로 동등한 보호 수준과 관련하여, 유럽연합 법률에 따른 입법은, 자신의 개인정보가 유럽으로부터 미국으로 전송되는 모든 개인의 모든 개인정보의 보관을 일반적인 기준에 의해 허용할 경우에, 즉 목적에 따른 차별, 제한이나 예외가 없이, 또한 공공기관의 개인정보에 대한 접근과 그 이후 사용에 대한 제한을 결정하기 위해 규정된 객관적인 기준이 없이 허용할 경우에, [그 입법의 범위가] 반드시 필수적인 범위에 한정되지 않는다고 재판소는 판단했다. 재판소는 전기통신의 내용에 대해 공공기관이 일반적 기준에 의해 접근할 수 있도록 허용하는 입법은 사생활을 보호하는 기본권의 본질을 위협하는 것으로 간주되어야 한다고 덧붙였다.

마찬가지로, 자신에 관한 개인정보를 열람, 정정, 삭제하기 위해 법적 구제수단을 구하는 개인에게 이를 제공하지 않는 입법은 유효한 사법적 보호를 받을 수 있는 기본권의 본질을 침해하는 것이라고 재판소는 보았다. 그러한 수단의 존재가 법에 의한 지배의 존재에 내재적인 것이기 때문이다.

재판소는 마지막으로 세이프하버 결정은, 이 결정이 프라이버시와 기본권 및 자유에 대한 보호에 부합하는지 여부에 대해 개인이 의문을 제기하였을 때, 그에 대한 국내 개인정보감독기구와 그 권한을 부정한다고 판단했다. 재판소는 유럽연합 집행위원회가 국내 개인정보감독기구의 권한을 그런 방식으로 제한하는 기능을 갖고 있지 않았다는 입장이다.

이러한 모든 이유에 의해, 재판소는 세이프하버 결정이 무효라고 선언한다. 이 판결은 아일랜드 개인정보감독기구가 슈렘스씨의 진정을 상당한 주의를 기울여 조사할 것과, 그 조사 결과에 따라 개인정보보호지침에 의거, 해당국이 적절한 수준의 개인정보 보호를 보장하지 않는다면 페이스북 유럽 가입자의 개인정보를 미국으로 전송하는 것을 정지시켜야 할지 여부를 결정할 것이 요구된다는 결론이다.

 
ECJ 판결문 보기