August 16, 2025
2 min read
2023년 7월 10일 EU-미국 데이터 개인정보보호 프레임워크(DPF)의 제정은 대서양 간 데이터 전송에 있어 중대한 변화를 의미합니다. 유럽연합 집행위원회의 적정성 결정은 미국이 일반 개인정보 보호법(GDPR)에서 요구하는 개인정보에 대해 “실질적으로 동등한” 수준의 보호를 제공한다고 인정합니다. 이 새로운 프레임워크는 무효화된 EU-미국 프라이버시 쉴드를 대체하며, Schrems II (CJEU, 2020) 판결에서 제시된 요건을 준수합니다.
주요 결과는 다음과 같습니다:
인증 및 준수:
자격을 갖춘 미국 기업은 미국 상무부 포털을 통해 DPF 원칙 준수를 자체 인증할 수 있습니다. 인증을 받으려면 매년 재서약하고 준수 사실을 공개적으로 선언해야 하므로 투명성과 책임성이 강화됩니다(European Commission, 2023).
자동 이전:
이전에 EU-미국 프라이버시 쉴드에 따라 인증받은 조직은 자동으로 DPF 프로그램에 통합되어 전환기 준수 위험을 완화합니다.
구제 메커니즘:
이 프레임워크는 독립적인 데이터 보호 검토 법원(DPRC)을 도입하여 EU 개인이 미국 당국에 의한 데이터 오용 혐의에 대해 구제를 요청할 수 있도록 합니다. 이는 사법적 구제 수단 부족에 대한 이전 CJEU의 우려를 해결합니다(Schrems II, 2020).
미국 정부의 접근:
행정명령 14086호는 미국 정보 기관의 EU 개인 데이터 접근을 제한하는 법적 구속력이 있는 보호 장치를 설정합니다. 이러한 보호 장치는 GDPR 기준에 맞춰 “필요하고 비례적인” 것으로 설계되었습니다(White House, 2022).
지속적인 모니터링:
유럽연합 집행위원회는 EU 데이터 보호 당국과 협력하여 DPF의 효과와 준수 여부를 평가하기 위해 정기적인 검토를 수행할 것입니다.
주요 결과:
그러나 데이터 개인정보보호 옹호 단체들은 여전히 회의적입니다. 이들은 미국 내 근본적인 감시 개혁이 여전히 부족하며, 추가적인 법적 도전이 예상된다고 주장합니다. DPRC의 실질적인 효력과 미국 감시 활동의 비례성이 이 프레임워크의 장기적인 존속 가능성을 결정할 것입니다.
참고 문헌
