'페이스북을 이긴 대학생'이 또 다시 칼을 빼들었다. 유럽에서 25일(현지시간) 일반정보보호법(GDPR)이 발효되자마자 곧바로 구글과 페이스북을 상대로 소송을 제기했다.
화제의 주인공은 비영리단체인 Noyd.eu를 이끌고 있는 막스 슈렘스다.
슈렘스는 법대 재학중이던 지난 2014년 유럽사법재판소(ECJ)에서 유럽과 미국 간의 ‘세이프 하버’ 협정이 무효란 판결을 이끌어낸 주인공이다.
세이프 하버 협정은 2000년 미국와 유럽연합(EU)이 맺은 개인정보 전송에 관한 협정이다. 미국 기업이 미국 상무성의 세이프 하버에 등록하고, 이를 지키는 기업은 개인정보보호 조치를 취한 것으로 간주돼 취득한 개인정보를 미국으로 전송할 수 있도록 한 것이다.
이 협정은 지난 2015년 10월 무효화 됐다.
■ 구글·페북, 프랑스·독일·오스트리아·벨기에 등서 제소 당해
씨넷 등 주요 외신은 구글, 페이스북, 인스타그램, 와츠앱 등이 지난 25일 유럽연합 일반 데이터 보호규칙(GDPR)이 시행된 직후 프라이버시 침해 사유로 프랑스·독일·오스트리아·벨기에 등에서 제소 당했다고 보도했다.
개인정보보호 단체인 noyb.eu는 4개 회사가 개인정보보호에 대해 “동의하거나, 동의 하지 않을 경우 이용하지 말라”는 방침을 사용자에게 떠넘기고 있다고 지적했다. 즉, 서비스 약관에 대한 동의를 사용자에게 강요한다는 주장이다.
GDPR 위반 사실이 인정될 경우 전 세계 매출의 4%나 2천만 유로 중 더 높은 금액을 벌금으로 물어야 한다. 외신들은 두 회사가 벌금을 물게 될 경우 총 90억 달러에 이를 것으로 추산했다.
■막스 슈렘스, 2011년 페북 제소...‘세이프 하버’ 협정 무효 이끌어
noyb.eu를 운영하는 막스 슈렘스 의장은 대학 재학 시절 페이스북을 상대로 승소하면서 유명세를 얻은 인물이다.
그는 2011년 페이스북 유럽본부가 있는 아일랜드 법정에 페이스북이 유럽 정보보호법을 위반했다고 소송을 제기, ‘세이프 하버’ 협정 무효 판결을 이끌어냈다.
막스 슈렘스는 학생 시절인 2011년 8월 페이스북 등을 프라이버시 침해 혐의로 소송을 제기했다. 당시 그는 유럽연합(EU) 내에서 사업을 하는 외국 기업도 EU의 정보보호법을 따라야 한다고 주장, 페이스북이 미국으로 개인정보를 보내는 것을 막아달라고 요구했다.
그러나 아일랜드 법원은 2013년 8월 페이스북이 세이프 하버 협정을 준수하고 있다는 이유로 기각 결정을 내렸다.
그러자 막스 슈렘스는 2014년에 다시 2만5천명의 새로운 고소인단을 모아 유럽사법재판소에 페이스북 상대의 집단 소송을 제기했다. 이는 세이프 하버 협정 이슈로까지 확대됐고, 결국 2015년 10월 법원은 EU 시민의 개인정보를 충분히 보호하기 어렵다는 사유로 세이프 하버 협정을 무효 판결했다.
법원은 2013년 에드워드 스노든이 폭로한 미 국가안보국(NSA)의 무차별한 통신정보 수집 행위 등을 고려했을 때, 미국으로 전송된 정보가 쉽게 악용될 수 있다는 이유 등을 제시했다.
■ 막스 슈렘스 “매출 4% 과징금 물려야”
수년 전 유럽인들의 개인정보를 미국으로 전송하던 페이스북을 궁지로 몰았던 슈렘스 의장이 GDPR 시행 직후 구글, 페이스북 등을 제소하고 나서면서 그 결과에 이목이 집중된다.
noyb.eu는 성명에서 “많은 동의 창이 온라인이나 응용프로그램(앱)에 갑자기 나타났으며, 사용자가 동의하지 않으면 더 이상 서비스를 사용할 수 없다고 위협하는 경우가 많다”고 지적했다.
이에 noyb.eu는 프랑스, 벨기에, 함부르크, 오스트리아 등 규제 당국에 GDPR 규칙이 정한 연간 매출의 최대 4%까지 과징금을 물리도록 요구하고 나섰다.
유럽 규제 당국이 noyb.eu의 주장을 인정하고 GDPR 규칙이 정한 벌금의 상한인 연매출액 최대 4%를 부과하면 구글과 페이스북은 총 수십억 달러 규모의 과징금을 물게 된다.
GDPR은 2년 간의 유예 기간을 거쳐 이달 25일 시행됐다. 그 결과 유럽연합 거주자는 25일부터 일부 미국 뉴스 사이트를 볼 수 없게 되기도 했다.
구글은 새로운 규제가 시행되기 전부터 확실한 준수를 위해 주요 대책을 강구해 왔다는 입장이다.
구글의 대변인은 성명에서 “우리의 제품은 가장 초기 단계에서 개인정보보호와 보안을 통합하고 있으며 EU의 GDPR 준수에 노력하고 있다”고 말했다.
관련기사
- 유럽 GDPR 시행...국내 중소게임사 매출에 직격탄2018.05.28
- 전세계 IT업계, 유럽 GDPR '비상'2018.05.28
- KISA "GDPR 이렇게 대응하세요"...가이드북 공개2018.05.28
- GDPR, 탁상공론 아닌 기술해법 찾자2018.05.28
인스타그램과 와츠앱을 산하에 두고 있는 페이스북은 GDPR 요구 사항을 충족하기 위해 이전부터 준비해 왔다고 설명했다.
페이스북의 에린 이건(Erin Egan) 최고 프라이버시 책임자는 “18개월 간 당사의 서비스 정책, 절차를 업데이트 해 왔다”면서 “사용자 정책을 보다 투명하게 하고, 사용자들이 자신의 사생활 설정을 보가 쉽게 관리할 수 있는 대책을 강구해 왔다”고 밝혔다.
