온라인 데이터 저장이 인기를 끌고 있습니다. 시장의 리더는 물론 미국 기업들입니다. Google Drive, iCloud, 또는 Dropbox와 같은 서비스 제공업체와 함께, 미국의 기업들이 선두를 달리고 있습니다.
그렇지만 그들의 서비스가 높은 품질임에도 불구하고, 그들이 자신의 국적 때문에 문제가 없다고 확신할 수는 없습니다. 미국 제공업체를 통해 회사 데이터를 온라인으로 저장하는 것은 심각한 실수가 될 수 있습니다.
미국은 오늘날 군사적, 경제적, 산업적 관점에서 세계 최고의 강국입니다. 이로 인해 정부는 국제 사회 전체에 강제로 부과할 수 있는 특권을 주장합니다.
이 경우, 미국의 법률, 특히 애국법(Patriot Act)이나 클라우드 법(Cloud Act)은 비미국 시민에게 적용되는 거버넌스 정책의 무장된 팔입니다. 다시 말해, 귀하의 선택에 따라 미국 정부와 사법부는 귀하와 귀하의 데이터에 대한 권한을 가집니다.
미국이 세계 민주주의의 선두주자로서 최고의 정치 시스템을 가지고 있다고 생각할 수 있습니다. 특히 권력 분립의 이론과 헌법적 실천에서 말이죠. 즉, 몽테스키외와 같은 국가 이론가들에게 소중한 권력 분립의 가장 완벽한 형태입니다.
현실은 그리 간단하지 않습니다. 20세기 후반부터 시작된 미국의 대량 감시 법률은 2018년 클라우드 법안으로 절정을 이루며, 그들은 단지 그들의 헌법에 반할 뿐만 아니라 법치주의의 고전적인 비전에도 반하는 것으로 보입니다. 다시 말해, 그러한 입법 장치를 마련하는 다른 국가는 아마 즉시 경찰 국가로 분류될 것입니다.
왜냐하면, Patriot Act와 Cloud Act 외에도, 미국은 여전히 법률과 대통령 행정명령에 의존하고 있습니다: Foreign Intelligence Surveillance Act와 Executive order. 따라서 우리는 이러한 법률의 맥락에서 미국 기업이 관리하는 클라우드에 데이터를 저장하는 것이 왜 위험한 선택인지 설명할 것입니다. 이를 위해, 여러분이 선택을 하게 되는 순간부터 적용될 법률을 살펴보겠습니다.
패트리어트 법이란 무엇이며 그 외국 적용 조건은 어떻게 작동합니까?
패트리어트 법은 2001년 9월 11일 테러 공격 이후 단 45일 만에 통과된 미국의 국내 보안 법률입니다. 뉴욕 사건으로 인해 여전히 트라우마에 시달리고 있는 의회에서 급하게 통과되었다고 할 수 있습니다.
결과는 경찰 당국이 조사를 수행할 수 있도록 허가된 것입니다. 왜냐하면? 판사의 영장이 필요하지만, 판사는 더 이상 “합리적인 이유”가 없다고 주장하며 반대할 수 없기 때문입니다 (probable cause).
따라서 귀하의 모든 데이터는 귀하가 알지 못하는 사이에 입력될 수 있으며 미국 판사가 이에 반대할 수 없습니다. 미국 헌법이 큰 도움이 된다고 생각하지 마십시오. 왜냐하면 미국 법무부에 따르면, 애국자법은 대법원에서 이미 인정된 법적 관행을 단지 법제화하는 것에 불과하기 때문입니다.
예를 들어 1979년에 판결을 내렸습니다, 비밀 수색의 위헌성 주장은 “사소하다”고 판단했습니다. 12년 전, 그녀는 이미 경찰관들이 피의자에게 수색의 이유를 알려줄 필요가 없다고 판단했습니다.
그럼에도 불구하고, 프랑스 또는 유럽 기업에 대한 애국법의 새로운 점은 그 적용이 해외에서도 이루어진다는 것입니다. 즉, 귀하의 활동이 미국 영토나 그 이익을 위협하는 개인 또는 테러 집단과의 연관성을 의심받는 순간, 모든 행정적 수단이 귀하를 향해 작동할 수 있습니다.
당신이 테러리스트 그룹과의 연관을 맺을 생각이 없더라도, 또는 급진적인 생각을 가진 고객과의 연관이 당신의 눈을 피했더라도, 당신이 이 상황에서 벗어날 수 있다고 생각하지 마십시오. 우리는 애국자 법의 시행이 겉보기보다 훨씬 덜 명확하다는 것을 알게 될 것입니다. 그 전에, 다른 보안 측면인 클라우드 법에 대해 알아보겠습니다.
클라우드 법이란 무엇인가요?
클라우드 법안은 2018년에 통과되어 미국 당국이 온라인 데이터 저장 솔루션 사용자 데이터에 자유롭게 접근할 수 있도록 강화되었습니다.
공식적으로, 그는 제3국 정부가 데이터를 호스팅하는 모든 미국 회사에 요청할 수 있도록 허용한다고 법무부에서 설명하고 있습니다. 이는 범죄 절차의 일환으로 정보를 얻기 위한 것입니다.
보다 자세히 말하자면, 이는 모든 미국 행정 기관이 다음과 같은 데이터를 얻을 수 있도록 합니다 :
– 미국에 저장되어야 하며,
– 미국의 회사에 의해 전 세계의 어떤 나라에든 저장될 수 있습니다,
– 모든 사람이 알지 못하게, 요구된 회사와 관련된 행정 기관을 제외하고.
이 최신 미국 법률은 미국 정부의 유일한 도구가 아닙니다.
FISA(외국 정보 감시법)란 무엇인가요?
FISA는 1978년에 연방 당국의 감시 활동을 규제하고자 하는 의회에 의해 통과되었습니다. Patriot Act와 마찬가지로, 이 법은 이미 존재하는 관행을 법제화하려는 경향이 있었습니다.
2008년에 추가된 702조는 미국 외부에 있는 사람에 대한 표적 감시를 용이하게 하도록 미국 기업에 의무를 부여합니다.
이 법은 정보 수집, 수신 또는 반첩보와 관련된 정보를 전달하는 것으로 의심되는 비미국 시민을 특히 겨냥합니다. 그 적용 범위는 패트리어트 법과 마찬가지로 공식적으로 국제 테러리즘과의 전투를 목표로 합니다.
행정명령, 또는 대통령령 12333
1981년 로널드 레이건이 서명한 대통령령 12333은, 워싱턴 포스트가 상기시키듯이, 애국자법의 215조보다 더 많은 가능성을 제공하는 문서입니다.
그러나 대통령령 12333은 이번에는 해외에 거주하는 미국 시민에게만 적용됩니다. 그럼에도 불구하고 미국 정보 기관은 귀하의 미국 고객 중 한 명에게 관심이 있을 경우 귀하의 데이터에 접근할 수 있습니다.
이 법령에 따라, 미국 정보 기관이 입력한 모든 데이터는 어떤 영장도 없이, 따라서 판사나 심지어 의회의 통제 없이 수집됩니다.
그러므로 당신은 이해했을 것입니다. 법은 항상 약자를 강자의 힘으로부터 보호하는 보장이 아닙니다. 법은 개인의 자유나 더 넓게는 공공의 자유를 항상 보호하는 것은 아닙니다. 특히 그 적용과 해석에 관심을 가지게 될 때 더욱 그렇습니다.
법은 우리가 해석하는 방식에 의해서만 존재한다
법을 잘 이해하는 것은 단순히 법률을 읽는 것만으로는 결코 이루어질 수 없습니다. 왜냐하면 그 문자 그대로의 적용은 항상 불가능하기 때문입니다. 다시 말해, 법률 텍스트의 의미를 이해하기 위해서는 그 적용을 잘 파악해야 합니다. 여기서 문제는 미국의 애국법(Patriot Act)과 클라우드법(Cloud Act)이 제기하는 모든 문제입니다.
패트리어트 법(Patriot Act)이 “의심스러운 활동”이라는 용어를 언급할 때, 그러한 활동은 어떻게 정의됩니까? 이 개념은 무엇을 목표로 합니까? 어떤 활동이 의심스럽다고 평가되는지는 해석에만 의존합니다. 문제는 각 행정부가 이 법에 대한 자체 해석을 수행하며, 완전히 비밀리에 진행된다는 것입니다.
이는 미국 회사에 의해 귀하의 데이터가 저장되면 모든 데이터가 CIA, NSA, 재무부와 같은 기관의 재량에 따라 접근 가능하다는 것을 의미합니다. 귀찮지 않나요? 그리고 당신이 범죄자나 테러리스트가 아니기 때문에 어떤 조사에서도 안전하다고 생각하지 마세요.
이 법적 무기의 주요 용도는 테러리스트를 추적하는 것이 아니라 자유 경쟁에서 왜곡을 만드는 것입니다. 당신은 미국을 자유 무역의 전형으로 생각했습니까? 당신은 완전히 잘못되었습니다.
그렇습니다, 데이터 수집은 고객 데이터만을 포함하지 않습니다. 미국 재무부가 데이터 수집에 관심을 가지는 이유가 있습니다. FCPA는 귀하의 디지털 데이터를 저장하는 것이 확실히 비용이 많이 들 수 있음을 보여줄 것입니다.
FCPA 법, 또는 비미국 기업의 새로운 세금
국제 공무원 부패 방지법(Foreign Corrupt Practice Act)은 1977년에 제정되어 미국 법원이 기업에 상당한 금액의 벌금을 부과할 수 있도록 허용합니다. 따라서 2014년에는 알스톰이 7억 7천 2백만 달러를, 지멘스가 2008년에 8억 달러를, 다임러가 2010년에 1억 8천 5백만 달러를, 알카텔-루센트가 2010년에 1억 3천 7백만 달러를 지불했습니다. 이는 가장 큰 금액의 일부에 불과합니다.
증거가 어떻게 보고된다고 생각하십니까? 귀하의 클라우드에 있는 데이터를 포함하여 모든 수단을 통해서입니다. 미국에 자회사나 직원이 없다고 해서 안전하다고 생각하신다면, FCPA는 미국의 이해관계가 관련될 때 적용된다는 점을 아셔야 합니다. 다시 말해, “미국의 이해관계”라는 개념은 해석의 여지가 있으며, 귀하의 해석은 중요하지 않습니다.
미국 법률에 대한 모든 정보를 바탕으로, 유럽 영토 내에서 프랑스 또는 유럽 회사가 관리하는 클라우드 옵션은 매우 매력적으로 보입니다. 그러나 유명한 GDPR에 대해 점검할 필요가 있습니다.
GDPR, 프랑스 법과 유럽 법의 관점에서
유럽연합이 유럽 내에서 운영되는 회사에 사용자들이 인터넷에 맡기는 데이터의 안전성을 보장하기 위해 채택한 일반 데이터 보호 규정 (GDPR)입니다.
사용자의 데이터 처리 책임이 있는 회사에 대한 의무와 관련된 제재에 관심을 가지는 것이 중요하며, 특히 미국으로의 데이터 전송에서의 그 구조를 이해하기 전에 이러한 사항을 알아야 합니다.
데이터 처리 책임자의 의무
GDPR는 특히 데이터 수집의 맥락에서 아동의 권리를 보호하는 데 주의합니다. 13세 미만 아동에 대한 데이터 수집은 여전히 금지되어 있지만, 13세에서 16세 사이의 아동에 대해서는 부모의 허가가 있을 경우에만 허용되며, 아동을 직접 대상으로 하는 서비스와 관련이 있을 때만 허용됩니다.
GDPR는 데이터 처리 책임자에게 수집 목적에 엄격히 필요한 데이터만 수집하고, 해당 데이터가 요청 시 삭제될 수 있도록 보장해야 한다고 요구합니다.
GDPR에 의해 부과된 모든 의무를 준수하면 감독 기관에서 인증서를 부여할 수 있습니다. 이 인증서는 3년 동안 유효하며 갱신 가능합니다.
RGPD에 대한 자세한 정보는 CNIL(국가 정보 및 자유 위원회) 가이드를 온라인에 게시했습니다. 이 가이드는 매우 작은 기업(TPE) 및 중소기업(PME)을 대상으로 합니다. 이 가이드는 특히 파일 목록을 작성하고, 데이터를 정리하며, 데이터를 보호하는 방법을 배울 수 있습니다.
RGPD에서 규정한 의무를 위반할 경우, 잘못된 기업은 매우 중대한 재정적 제재에 처해질 수 있습니다.
위반 시 적용 가능한 제재
프랑스와 관련하여, CNIL은 세 가지 방법으로 사건을 처리합니다 :
– CNIL 사이트에 직접 사용자 불만이 접수된 후,
– 사이트 또는 회사의 검사 후,
– 데이터 유출로 인해.
CNIL은 그러면 légifrance 및 CNIL 웹사이트에 대한 공개 성명에서부터 이전 회계 연도에 발생한 전 세계 매출의 4% 또는 최대 20,000,000 유로에 이를 수 있는 재정적 제재에 이르기까지 모든 제재 패널을 갖게 됩니다.
따라서, CNIL은 구글에 대해 구글과 유튜브에서 시행한 쿠키 정책으로 인해 1억 5천만 유로의 벌금을 부과했습니다. CNIL은 미국 회사가 사용자가 쿠키를 수락하는 것과 동일한 용이성으로 쿠키를 거부할 수 있도록 허용하지 않았다고 비난했습니다.
같은 날인 2021년 12월 31일, CNIL은 Facebook에 대해서도 유사한 이유로 6천만 유로의 제재를 가했습니다.
이러한 강력한 제재는 유럽에서 데이터 보호 문제의 중요성을 드러냅니다. 그러나 글로벌화된 세계에서, 특히 인터넷에서는 모든 네트워크가 서로 얽혀 있기 때문에 데이터 공유는 데이터 보호의 조정을 다소 복잡하게 만듭니다.
프라이버시 쉴드에서 Shrem II까지, 판사는 개인 데이터의 수호자로 나선다
유럽에서 수집된 데이터는 제3국으로의 데이터 전송 대상이 될 수 있습니다. 이는 특히 유럽과 미국 간의 경우에 해당하며, 모회사가 자회사 또는 다른 서버로 개인 데이터를 전송할 때 발생합니다.
2016년부터 2020년까지 유럽연합에서 미국으로의 데이터 전송에 적용되는 규정은 프라이버시 쉴드에 의해 규제되었습니다. 이는 미국에서 개인 데이터 처리에 대한 유럽 사용자에게 보장을 제공하는 양자 조약이었습니다.
그러나 이 데이터 보호 보장은 조약이 암시하던 것만큼 미국 측에서 효과적이지 않았습니다. 따라서 슈렘이라는 이름의 오스트리아 변호사는 페이스북 아일랜드 회사를 상대로 소송을 제기하며 자신의 개인 데이터가 미국으로 전부 또는 일부 전송되는 것에 대한 보호 부족을 주장했습니다. 이는 이 소셜 네트워크의 모든 사용자와 마찬가지입니다.
유럽연합 사법재판소는 Schrems II라는 이름으로 알려진 판결에서 청구인에게 유리한 판결을 내리며 프라이버시 쉴드를 종료시켰습니다. 이 결정의 주요 논점은 미국 공공 당국과 정보 기관이 전송된 개인 데이터에 접근하는 용이성에 관한 것입니다.
프랑스 내에서 정부의 데이터 수집에 반대하는 단체들이 생겨났습니다. 따라서, 국가 평의회는 Covid 19 백신 접종 예약과 관련하여 국가와 Doctolib 플랫폼 간의 파트너십에 대해 의견을 제시해야 했습니다.
국가평의회는 의료 데이터가 수집되지 않았다는 이유로 데이터 보안의 품질을 확인한 후 협회의 요청을 기각했습니다.
같은 맥락에서, La Quadrature du Net과 같은 단체는 국가 평의회 앞에서 2011년 2월 25일의 법령에 대해 공격했습니다. 이 법령은 인터넷 서비스 제공업체에 디지털 데이터 보존을 의무화하고 있습니다.
행정 판사들은 국가 안보, 국가의 기본 이익 방어, 범죄와의 싸움과 관련된 이유로 그들의 주장을 기각했습니다.
그러나 유럽의 법 집행 기관이 인터넷 서비스 제공업체나 회사를 사전 판사의 허가 없이 요구하는 것은 불가능합니다. 이 요청의 유용성을 평가하는 것은 바로 이 판사입니다 조사관들이 그에게 보고하는 조사와 관련하여.
결론
결론적으로, 데이터 처리 및 이러한 데이터에 대한 접근성에 관한 유럽의 상황은 유럽 연합 회원국의 내무부 또는 사법부의 관할권에 속하는 행정 기관에 의해 강력하게 규제되고 있습니다. 유럽에는 이와 관련하여 미국의 법률과 비교할 만한 법률이 존재하지 않습니다.
따라서, 만약 한 회사가 클라우드 유형의 솔루션을 통해 온라인으로 데이터를 저장하고자 한다면, 유럽에 데이터를 저장하는 유럽 제공업체를 선택하는 것이 중요합니다.
이 경우, 이 회사가 유럽 연합 외부의 국가에 있는 자회사로 이러한 데이터를 전송하지 않는지 확인하는 것도 중요합니다. 미국이 그 중 하나입니다. 따라서 미국의 초국가적 법률은 이 지역과 아무런 연관이 없는 회사에 적용되기 매우 어렵습니다.
미국 회사를 통해 데이터를 저장하는 것은 산업 스파이와 가장 첨단의 불공정 경쟁 관행에 대한 문을 활짝 여는 것입니다. 우리는 Siemens, Alcatel-Lucent, 또는 Alstom과 같은 사례에서 보았듯이, 미국 정부는 사법부의 지원을 받아 이러한 기업에 대한 경쟁을 약화시키기 위해 어떤 것도 주저하지 않습니다.
그러므로 우리를 때리기 위해 막대기를 주지 말자.
