CLOUD Act: 알아두어야 할 사항

내 개인 정보는 어디에 저장되어 있으며, 내가 이에 대해 신경을 써야 할까요? 하나의 디지털 십 년이 끝나고 새로운 십 년이 시작되는 시점으로 향하면서 이 질문은 더욱 중요해지고 있습니다.

2020년대 말의 데이터가 시사하는 점

20세기만 해도 뒤이어 일어날 데이터 전쟁의 규모를 깨달은 사람은 거의 없었습니다. 컴퓨터 기기를 가지고 있거나 인터넷에 접속할 수 있는 사람이라면 누구나 이 게임에 이해관계가 있습니다. 그 대가에는 이익, 영향력, 통제력, 그리고 배후에서 개인이나 기업에 대한 정보에 접근할 수 있는 능력이 포함됩니다.

기업들이 고객 기반과 더욱 통합되고 연결되기 위한 노력을 지속함에 따라, 프라이버시 및 데이터 보호에 대한 필요성이 커지고 있습니다. 웹 주소를 가진 기업에는 명확한 경계가 없기 때문에, 국제 사기 및 사이버 범죄 수준이 급증할 수 있는 환경이 조성되었습니다. 이는 결과적으로 정부가 새로운 법안을 기안하고 데이터 단서를 찾아 국경을 넘나들 수 있는 길을 열어주며, 이들의 행동은 개인 데이터를 보호해야 할 필요성에 의해 정당화됩니다. 따라서 데이터 프라이버시와 데이터 공개 사이의 괴리는 더욱 커집니다. 동시에 국제법의 기초인 영토주의 원칙은 서서히 퇴색해 갑니다.

The CLOUD Act

최근 미국 정부가 도입한 '해외 데이터의 적법한 사용 명확화 법안'(일명 CLOUD Act)은 국경을 넘는 정부 감시의 명분을 강화하는 역할을 합니다. 기본적으로 CLOUD Act는 1986년의 저장통신법(SCA)을 개정합니다. 이 법은 연방 법 집행 기관이 영장이나 소환장을 통해 미국에 기반을 둔 기술 기업에 데이터가 미국에 저장되어 있든 해외 영토에 저장되어 있든 상관없이 서버에 저장된 요청 데이터를 제공하도록 강제할 수 있도록 허용합니다. 2018년 3월 23일 이전까지 미국 정부가 해외 데이터에 접근할 수 있는 유일한 방법은 두 국가가 정보를 공유하고 법적 조사를 해결하기 위해 협력하기로 합의하는 조약인 형사사법공조조약(Mutual Legal-Assistance Treaty)을 체결하는 것뿐이었습니다.

CLOUD Act는 데이터 암호화를 충분히 고려합니다. 또한 정부가 이를 이용해 기업에 암호화 수준을 낮추도록 요구하는 것을 방지합니다. 이는 데이터 보안에 필수적인 과정입니다. 그럼에도 불구하고 많은 이들은 이 법안이 근본적인 수준에서 결함이 있다고 생각합니다. 여러 우려 사항 중에서도 이 법안이 갑작스럽게 기안되었다는 점이 두드러집니다. 또한, 이 법안은 공개적이고 심도 있는 논의 없이 정부의 지출 법안인 Omnibus의 일부로 발표되었습니다. 게다가 CLOUD Act는 외국 정부가 미국 대통령, 국무부 또는 법무장관과 "행정 협정"을 체결하고, 기업에 직접 연락하여 정부의 감시를 효과적으로 우회함으로써 미국에 저장된 데이터를 요청할 수 있도록 합니다. 결과적으로, 인권과 국제법에 미칠 예측 가능한 글로벌 영향에 대한 반응으로 웹상에서 부정적인 피드백이 쏟아졌습니다.

Application of the CLOUD Act

CLOUD Act는 이미 Google, Facebook, Twitter, Instagram과 같은 기술 기업에 적용되고 있습니다. 실제로 Facebook과 Google은 Apple, Microsoft와 함께 새로운 법안 초안 작성에 기여했습니다. 정부와 이들 기업의 협력은 대규모 기술 솔루션 제공업체 쪽으로 균형이 이동하고 있음을 나타냅니다. 모든 기업은 데이터 공개 문제에 대한 법적 대리인을 지정할 책임을 지게 됩니다. 반면, 소규모 기업, 스타트업 및 혁신가들은 추가적인 행정적 부담으로 인해 어려움을 겪을 수 있습니다.

글로벌 의제

Cloud Act의 결과로, 유럽연합 집행위원회는 데이터 정보 요청을 가능하게 하는 입법적 조치를 취했습니다. 집행위원회는 또한 특정 회원국의 개인정보 보호법에 관계없이 EU에 등록된 기업이 저장한 전자 증거의 사용을 위한 길을 열어줄 것입니다. 논리적으로 이 법안은 연쇄 반응을 일으킬 것입니다. 다른 국가들도 데이터 공개법을 모방하고 국경을 넘어 정보를 요구할 것입니다. 결과적으로 이는 전 세계적으로 데이터 프라이버시 수준의 전반적인 저하를 초래할 수 있습니다.

이것이 CloudSigma에 의미하는 바는 무엇일까요?

CloudSigma는 Cloud Act를 둘러싸고 고조되는 불확실성 속에서 독보적인 위치를 차지하고 있습니다. CloudSigma는 각 클라우드 위치를 세계 어느 곳에서 운영하든 격리하여 관리합니다. 예를 들어, 호주 법인은 호주에서 해당 위치를 운영합니다. 따라서 이들은 호주 법의 적용만 받습니다. 마찬가지로 스위스 위치는 스위스를 제외한 EU, 미국 또는 기타 관할권의 적용을 받지 않습니다. 따라서 CloudSigma 고객은 어떤 관할권 하에서 운영할지 쉽게 제어할 수 있습니다.

나아가, 고객은 자신이 관련 데이터 보호 요구사항을 준수하고 있는지 스스로 확인할 수 있습니다. 이는 다른 많은 제공업체의 글로벌화된 접근 방식과 극명한 대조를 이룹니다. 이러한 접근 방식은 고객을 미국을 비롯한 잠재적으로 수많은 관할권에 노출시킵니다. 따라서 고객의 의사에 반하고 현지 데이터 개인정보 보호법을 위반하여 데이터에 접근할 수 있습니다. 결과적으로, 이 데이터는 고객 자신의 잘못이 없음에도 불구하고 법적 책임을 지게 만들 수 있습니다. CloudSigma와 같은 제공업체를 이용하면 이러한 시나리오를 피할 수 있습니다.