페이스북 모기업 메타가 유럽연합(EU)에서 일반개인정보보호법(GDPR) 위반으로 약 1조7100억원의 벌금 폭탄을 맞았다. 이번 조처로 유럽에서 활동하는 다른 미국 기업들에도 불안감이 퍼지는 모양새다.
22일(현지시간) 워싱턴포스트(WP)와 로이터통신 등에 따르면 메타 유럽 지역 본부가 있는 아일랜드의 데이터보호위원회(DPC)는 이날 메타에 12억 유로(약 1조7100억원)의 벌금을 부과한다고 밝혔다.
메타가 EU 시민권자들의 개인정보를 허가없이 미국으로 이전해 GDPR을 위반했다는 이유에서다. 이에 DPC는 5개월 내 미국으로의 개인 정보 이전을 중단하고 옮겨진 데이터의 저장 및 처리도 6개월 안에 멈추라고 명령했다.
메타에 부과된 벌금은 EU가 GDPR 위반으로 관련 기업에 부과한 벌금 중 역대 최대 규모다. 종전 기록액은 룩셈부르크 당국이 2021년 아마존에 부과한 벌금 7억4600만 유로(약 1조6000억원)이었다.
이번 판결은 관련 업계에서 거센 비판을 받았다. 특히 국제적으로 사용자 데이터를 전송하는 정보기술(IT) 플랫폼들과 글로벌 공급망 데이터를 구축하는 농업 부문에서 우려가 나왔다.
닉 클레그 메타 글로벌 이슈 부문 대표와 제니퍼 뉴스테드 최고법무책임자(CLO)는 성명을 내고 “이번 결정은 결함이 있고 정당화될 수 없으며 EU와 미국 간 데이터를 전송하는 수많은 기업에 위험한 선례를 남길 것”이라며 불복한다는 뜻을 밝혔다.
특히 이번 판결로 메타의 광고 수익 모델이 타격을 입을 것으로 보인다. 메타의 전 세계 광고 수익의 약 10%가 유럽 페이스북 사용자를 대상으로 한 사용자 데이터 기반의 ‘타기팅 광고’에서 발생하는 것으로 알려졌다.
조니 라이언 아일랜드 시민자유위원회의 선임연구원은 메타가 EU에서 페이스북 방대한 양의 사용자 데이터를 삭제해야 할 가능성에 직면했다며 상호 연결된 인터넷 기업의 특성을 고려할 때 기술적인 어려움을 야기할 수 있다고 뉴욕타임스(NYT)에 전했다.
메타 등 미국 IT 기업들은 미국과 EU 사이 데이터 이전을 가능하게 하는 2016년 ‘프라이버시 실드’ 협정을 따르고 있었다. 하지만 유럽사법재판소(ECJ)는 2020년 이에 대해 무효 판결을 내렸고 DPC도 이에 근거해 메타에 벌금을 물었다.
그러다 2022년 3월 조 바이든 미국 대통령은 미국 정보기관의 EU 시민 개인 정보 수집에 대한 견제를 강화하고 데이터의 불법 이전에 대한 구제를 요청할 수 있게 하는 행정명령을 발표했지만 아직 EU 승인은 나지 않았다.
일각에서는 이처럼 관련 법 공백으로 IT 기업들의 데이터 이전 규정이 모호해져 혼란이 발생하고 있다는 지적이 나온다.
기업소프트웨어연합(BSA)의 애런 쿠퍼 글로벌 정책 담당 부사장은 “대서양 양쪽 경제의 모든 부분에 데이터 이전이 활용되고 있다는 사실이 종종 간과되는 경우가 있다”며 “메타 판결은 명확한 개인정보보호 규정의 존재가 기업과 개인에게 확실성을 제공하기 때문에 중요하다는 것을 보여준다”고 설명했다.
미국 상공회의소의 국제규제 및 반독점 담당 수석 부사장인 션 헤더도 미국과 EU가 신속히 새로운 개인정보보호 규정에 합의해 불확실성을 해소해야 한다며 “대서양 양측의 경제 관계와 사회, 국제 협력을 뒷받침하는 데이터 흐름에 확실성을 되찾아야 할 때다”고 강조했다.
댓글 0