미국-유럽 세이프 하버 편집하기

미국-유럽 세이프 하버(United States–European Union Safe Harbor Framework)는 유럽연합(EU)의 개인정보 보호 요구사항을 충족하기 위해 미국과 EU 간에 체결된 개인정보 전송 협정으로, 미국 기업이 유럽 시민의 데이터를 적절하게 보호한다는 조건하에 데이터를 이전할 수 있도록 한 제도이다.
==개요==
미국-유럽 세이프 하버는 2000년 미국 상무부(U.S. Department of Commerce)와 유럽연합 집행위원회(European Commission) 간 합의로 도입된 정책 프레임워크로, 유럽연합 일반지침(Directive 95/46/EC)에 따라 유럽 시민의 개인정보가 미국으로 이전될 때에도 EU 수준의 보호가 유지됨을 보장하기 위한 장치였다. 미국에는 EU 수준의 포괄적 개인정보 보호법이 존재하지 않기 때문에, 자발적으로 세이프 하버 원칙을 따르겠다고 인증한 미국 기업에 한해 데이터 이전을 허용하였다.
==배경==
*유럽연합은 개인정보를 보호하기 위해 개인정보의 제3국 이전 시 ‘적정성 요건(adequacy)’을 요구함
*미국은 연방 차원의 통합된 개인정보 보호법이 없어 기본적으로 '적정한 보호 수준'을 충족하지 못함
*이에 따라 미국 기업이 자발적으로 세이프 하버 원칙을 수용하면, 유럽 기업이 해당 기업으로 개인정보를 이전할 수 있도록 허용함
==세이프 하버 원칙==
세이프 하버 체계에 참여하는 미국 기업은 다음과 같은 7가지 원칙을 준수해야 했다:
*고지(Notice)
*선택(Choice)
*이전에 대한 안전장치(Onward Transfer)
*접근(Access)
*보안(Security)
*데이터 무결성(Data Integrity)
*집행(Enforcement)
이러한 원칙들은 유럽 개인정보보호법과 유사한 수준의 보호를 자발적으로 제공하도록 설계되었다.
==문제점 및 폐지==
*미국 정부의 정보기관이 자국 내 기업이 보유한 개인정보에 접근할 수 있다는 점이 문제로 지적됨
*2013년 에드워드 스노든의 폭로로 미국 국가안보국(NSA)의 감시 활동이 알려지며 EU 내에서 반발 확산
*2015년 유럽사법재판소(ECJ)는 '''Schrems I 판결'''을 통해 세이프 하버 협정을 무효화함
**주요 사유: 미국 법이 EU 시민의 개인정보에 대해 충분한 보호 수준을 보장하지 않음
==후속 체계==
세이프 하버 협정 폐지 이후, 미국과 EU는 후속 협정으로 '''프라이버시 실드(Privacy Shield)''' 체계를 2016년 도입하였다. 그러나 이 역시 2020년 '''Schrems II 판결'''에서 무효화되었다. 이후 미국과 EU는 새로운 대체 체계를 논의하였고, 2023년에는 EU-U.S. Data Privacy Framework가 그 후속 조치로 채택되었다.
==영향==
*글로벌 IT 기업의 데이터 이전 및 저장 전략에 중대한 영향을 미침
*개인정보 보호 규제의 국제적 확산 및 강화 계기
*미국 내 개인정보보호 입법 필요성에 대한 인식 고조
==같이 보기==
*[[프라이버시 실드]]
*[[GDPR]]
*[[유럽사법재판소]]
*[[개인정보 보호]]
*[[국경 간 데이터 이전]]
==참고 문헌==
*Schwartz, P. M., & Peifer, K. (2017). Transatlantic Data Privacy Law. Georgetown Law Journal, 106(1), 115–179.
*Kuner, C. (2015). Reality and Illusion in EU Data Transfer Regulation Post Schrems. German Law Journal, 16(4), 881–888.
*Court of Justice of the European Union. (2015). Case C-362/14 (Schrems I).
==각주==
[[분류:규제]]