본문 바로가기 주메뉴 바로가기 검색 바로가기
獨 함부르크, 예상치 못한 유럽의 데이터 보호 혁신 지역으로 거듭나게 된 이유는?
상태바
獨 함부르크, 예상치 못한 유럽의 데이터 보호 혁신 지역으로 거듭나게 된 이유는?
전직 데이터 보호 위원장인 요하네스 카스퍼의 관리에 따라 함부르크가 브뤼셀부터 실리콘밸리까지 여러 지역에 충격을 주었다.
By CATHRIN SCHAER, WIRED UK

독일에서는 이 사람을 페이스북 저격수라고 부른다. 이 사람은 유럽에서 가장 강력한 데이터 프라이버시 권한을 지닌 인물 중 한 명이며, 과거 미국 테크 업계 대기업과의 갈등을 벌인 적이 있다. 또, 유럽 전역에서는 문제를 일으킨 인물이라는 명성을 얻었다.

지난 10년간 독일 함부르크의 데이터 보호 위원장으로 활동한 요하네스 카스퍼(Johannes Caspar)는 독일 현지 데이터 보호 당국의 역할을 재정의하려 했다. 독일은 16개 주에 별도의 데이터 보호 부처를 두고 있으며, 연방 소속 데이터 보호 부처도 별도로 두고 있다. 12년간 함부르크 데이터 보호 위원장직을 지낸 카스퍼는 2021년 6월로 은퇴했다. 목표 달성과 관련해 두 가지 측면의 법적 한계에 도달했기 때문이다. 카스퍼는 위원장으로 역임하는 동안 논란의 여지는 있지만, 독일에서 가장 직설적인 데이터 보호 위원장이라는 평가를 받았다. 그와 동시에 유럽 전역의 데이터 보안 관련 주요 인사 중 데이터 보호 노력을 가장 활발하게 펼치는 인물이라는 평가도 받았다. 카스퍼는 “친구를 사귀고자 한다면, 데이터 보호 위원장이라는 자리는 맞지 않을 것이다. 문제를 겪게 되기 때문이다”라고 말했다.

변호사인 카스퍼는 2009월 5월 4일 자로 함부르크의 데이터 보호 위원장이 되었다. 위원장이 되고 2주도 지나지 않아 바로 구글에 중재 설득을 했다. 당시 구글은 함부르크에서 스트리트뷰(StreetView) 프로젝트를 시작했으며, 스트리트뷰가 제공하는 사진에는 함부르크 길거리를 이동하는 교통수단 사진이 담겨있었다. 카스퍼의 집무실에는 구글의 스트리트뷰 사진에 분노한 프라이버시 인식 수준이 높은 시민의 항의 전화가 빗발쳤다. 당시 항의 전화를 한 시민 모두 미국 기업이 차량과 시민 얼굴이 드러나는 사진을 촬영한 것에 불만을 제기했다. 카스퍼는 구글이 원자료(raw data)를 행인의 얼굴을 모두 인식할 수 없도록 처리하는 것과 항의한 건물주의 요청에 따라 건물 정보도 식별할 수 없을 정도로 흐릿하게 변경하지 않는다면, 함부르크에서 스트리트뷰 프로젝트를 계속 진행할 수 없다고 거듭 주장했다. 결국, 구글은 카스퍼의 중재에 굴복했다. 카스퍼는 당시 상황을 “일종의 문화 전쟁과 같았다”라고 회상하며, 아날로그 세계와 새로이 도착한 디지털 미래 간의 다툼이라고 묘사했다.

구글 스트리트뷰 프로젝트 사건은 다국적 테크 대기업을 상대로 한 여러 차례의 다툼 중 첫 번째 다툼이었다. 페이스북과 왓츠앱, 클리어뷰(Clearview), 핌아이즈(PimEyes), 아마존 모두 함부르크 데이터 보호 규제 기관과 갈등을 빚었다. 환자 기록 파일을 부주의하게 관리한 현지 병원과 자동화된 안면 인식 소프트웨어를 이용해 세계화 반대 시위 참석자 신원을 파악하려 한 현지 경찰 모두 카스퍼의 감시망을 피할 수 없었다. 이미 프라이버시를 중시하는 것으로 유명한 국가인 독일에서 함부르크는 가장 강력한 프라이버시 수준과 함께 살기 좋은 도시로 주목받았다.
 
[사진=Unsplash]
[사진=Unsplash]

독일 남부 도시 카를스루에에 자리 잡은 라이브니즈 정보 인프라 연구소(Leibniz Institute for Information Infrastructure)의 교수인 프란지스카 보엠(Franziska Boehm)은 “공개적으로 알려진 것은 아니지만, 많은 국민이 프라이버시 보호에 필요한 조처를 하는 것에 동의할 것이다. 그러나 카스퍼는 실제로 프라이버시를 철저히 보호하기 위한 모든 조처를 했다. 그리고, 카스퍼는 데이터 보호를 위해 항상 수많은 비판 여론에 맞서야 했다”라고 설명했다.

카스퍼는 “페이스북과 같은 대기업에 맞서는 상황을 받아들이기 위해 갑자기 사무실을 찾아온 변호사 무리와 대면해야 한다. 데이터 보호 위원장이라는 자리는 편안한 자리가 아니다”라고 밝혔다.

카스퍼는 지난 12년간 여러 대기업과의 다툼에서 승리하기도 하고 패배하기도 했으나 그동안의 모든 갈등과 함께 카스퍼가 악명 높은 인사가 된 것은 확실하다. 2020년, 미국 정치 매체 폴리티코는 카스퍼를 유럽에서 가장 권위 있는 인사 중 한 명으로 선정했다. 폴리티코는 카스퍼를 “세계에서 데이터 프라이버시를 가장 옹호하면서 강력한 힘을 지닌 프라이버시 강경 인사”라고 설명하며, 앙겔라 메르켈 독일 총리와 블라디미르 푸틴 러시아 대통령, 보리스 존슨 영국 총리와 함께 유럽 내 가장 권위 있는 인사로 뽑았다.

유럽 디지털 권리(EDRi) 네트워크의 수석 정책 보좌관인 얀 펜프라트(Jan Penfrat)는 “카스퍼가 이끈 데이터 보호 규제 당국의 규모는 상대적으로 작지만, 카스퍼는 다른 여러 데이터 보호 당국보다 더 강력하게 데이터 보호에 적극적으로 나섰다. 이는 카스퍼가 데이터 보호 위원장이 된 큰 이유이다. 카스퍼는 테크 업계 대기업 규제를 두려워하지 않았다. 다른 여러 데이터 프라이버시 당국도 카스퍼와 똑같이 규제할 수 있었으나 실제로 규제하지는 않았다”라고 말했다.

펜프라트는 데이터 보호 사무국 총괄 개인과 행동에 나설 의지가 중요하다고 말한다. 카스퍼의 후임 데이터 보호 위원장은 8월 중반에 임명되었다. 카스퍼의 뒤를 이을 신임 데이터 보호 위원장인 토마스 푸치스(Thomas Fuchs)는 전직 국영 언론 당국 수장이다. 푸치스 신임 위원장을 임명한 정치인 모두 푸치스가 데이터 권리와 디지털 상업 간 균형을 찾을 훌륭한 역할을 할 것이라고 주장하자 프라이버시 운동가인 막스 쉬렘스(Max Schrems)는 결국 “푸치스 신임 위원장에 대한 불신이 커지도록 확신한다”라는 트윗을 게재했다.

카스퍼는 다른 규제 당국 모두 빅테크에 맞서 싸우는 것을 두려워하는 이유와 유럽의 프라이버시 규제가 효과가 없다고 생각하는 이유를 노골적으로 주장했다. 2018년, 개인정보보호 규정(GDPR)이 처음 도입됐을 당시 획기적인 변화를 가져올 규정이라는 평가를 받았다. 카스퍼는 “많은 이들이 유럽의 GDPR을 여러 차례 이야기한다. 그러나 GDPR의 권력을 얻어 법률 집행을 할 수 없다면, 무용지물이 될 것”이라고 주장했다.

GDPR은 법률 집행 때문에 위기에 처했다. 유럽 전역 각국의 규제 당국 모두 자국민을 대변할 수는 있으나 다국적 기업에 대한 불만이 제기될 때는 해당 기업의 유럽연합 본부가 있는 국가가 문제를 다루게 된다. 일례로 독일 규제 당국은 독일의 주요 컴퓨터 기업 SAP의 주요 감독 당국으로 알려졌으며, 아마존의 유럽 본사가 있는 룩셈부르크의 규제 당국은 아마존을 상대로 제기한 GDPR 관련 불만 사항을 처리한다. 만약, 어떠한 결정이든 불만이 있다면, 유럽 모든 국가의 데이터 프라이버시 기관 대표가 소속된 유럽 데이터 보호 위원회(EDPB)가 사건 중재에 나선다.

2021년 5월, 카스퍼는 퇴임 직전 페이스북과 그 계열사인 메시지 서비스 기업 왓츠앱에 두 플랫폼 간의 데이터 전송 행위가 소비자의 권리를 침해한다고 판결했다. 그리고, 3개월간의 긴급 명령을 내리고 독일 사용자 데이터만 전송할 수 없도록 금지했다.

이후 사건은 EDPB로 넘겨져 유럽연합 전역에 걸친 페이스북과 왓츠앱 간 사용자 데이터 전송 금지 범위 확대를 고려하게 되었다. 그러나 2021년 7월, EDPB는 아일랜드 데이터 보호 위원회(Irish Data Protection Commission)가 더블린에 유럽 본사를 둔 페이스북을 조사할 자격이 있다는 이유로 사건을 기각했다. 아일랜드 데이터 보호 위원회는 유럽의회 소속 의원과 아일랜드 최고 법원을 포함한 많은 이의 거센 비판 여론을 직면했다. 페이스북과 구글, 틱톡, 트위터, 페이팔 등 아일랜드에 유럽 본사를 둔 세계 최대 테크 기업의 데이터 프라이버시 위반 사례를 재빨리 조사하지 않았기 때문이다. 2021년 3월, 독일 연방 데이터 보호 위원회장인 울리치 켈버(Ulrich Kelber)는 2018년부터 아일랜드 당국에 페이스북의 계열사 왓츠앱 문제를 두고 50차례나 불만 소송을 전달했으나 단 한 건도 해결되지 않았다는 불만을 표출했다.

감시와 데이터 권리를 주로 담당하는 아일랜드 시민 자유 위원회의 수석 펠로인 조니 라이언(Johnny Ryan)은 “주요 감시 당국이 지도력을 강조한다면, 법률상 그 어떤 기관도 개입할 수는 없다. 초기 지도력 주장이 중요하다. 그리고, 어떤 이유이든 주장한 것과 같은 지도력을 펼치지 못한다면, 카스퍼 전직 위원장이나 다른 프라이버시 당국 위원장 모두 어떤 조처도 할 수 없다”라고 설명했다.

라이언은 함부르크 데이터 보호 규제 기관의 가장 중요한 행보는 주요 기관의 규제 행동 문제라는 사실에 주목하도록 한 점이라고 말한다. 그는 “영향을 미칠 다른 방법이 없어, 법률 집행 담당자가 서로 회의하고 형식적인 만족감을 드러내기만 할 뿐 집단행동의 메커니즘은 망가졌다”라고 지목했다.

카스퍼는 “함부르크 데이터 보호 규제 당국에서는 확실히 올바른 방향으로 일을 추진할 수 있었다. 그러나 결과적으로 유럽 차원에서 더 빨리 사건을 처리하는 결과로 이어지지는 못했다”라고 인정했다. 이어, “많은 상황에서 서로 다소 불리하게 작용하는 장애물이 있었다. 결정을 내리는 데 걸리는 시간이 길면서 현재의 체계가 제대로 작동하지 않을수록 유럽의 중앙 당국 필요성은 더 커진다”라고 말했다.

그러나 규제 당국이 꼭 현지 프라이버시 위원장을 대체하는 것은 아니다. 보완하는 역할을 할 수 있다. 라이언은 “그동안 강력한 국가별 데이터 규제 분산 기관과 각국의 전문가와 영구적인 사무국 등을 두어 현지 당국의 규제 준수 사건을 처리하는 데 도움을 주도록 권고받았다”라고 말했다. 라이언은 현지 프라이버시 사무국의 더 많은 인력 자원 배치 지지와 GDPR이 실제로 거두는 성과 기록 향상, 더 전면적인 GDPR 활용 등을 옹호한다는 의사를 밝혔다. 펜프라트는 EDPB가 사건을 통제할 권리를 준다면 타당할 것이라고 덧붙여 말했다.

한편, 카스퍼는 대중의 데이터 프라이버시에 대한 태도 진화를 여전히 낙관적으로 바라본다. 그는 대중이 흡연이 건강에 미치는 악영향을 인지하게 된 것처럼 데이터 프라이버시가 의미하는 바를 이해하고 있다고 생각한다. 다만, 데이터 프라이버시의 중요성을 인지하더라도 현재 분명한 결과가 없다면 유럽의 데이터 보호 규정이 더는 신뢰성을 얻지 못할 것이라고 우려한다. 카스퍼는 “유럽연합이 법적 권한을 전적으로 행사하지 않는다면, 데이터 보호 관련 규정의 권한 자체를 망치게 될 것”이라고 주장했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How Hamburg became Europe’s unlikely data protection trailblazer
이 기사를 공유합니다
RECOMMENDED