● 2020년 7월 16일, 유럽 사법재판소(CJEU)는 유럽연합(EU)와 미국 간 프라이버시 쉴드 프레임워크 (EU-US Privacy Shield Framework)가 무효라고 판결함

- (개요) 프라이버시 쉴드 프레임워크는 EU 정보보호지침(95/46/EC)이 정하고 있는 제3국으로의 정보이전(개인정보 역외이전)과 관련하여 정보주체의 권리를 확대하고 정보를 관리하는 기업에 더 강한 의무를 부과하기 위한 합의로 EU와 미국이 2016년 체결함¹⁾
 ∙ 프라이버시 쉴드는 CJEU의 ‘슈렘스 1 판결(the Schrems I judgment)’²⁾에서 무효로 선언한 미국-EU 세이프하버(Safe Harbor)³⁾ 원칙을 대체함
 ∙ 프라이버시 쉴드는 EU 회원국 국민의 개인정보에 대해 미국 정보기관 접근을 규율하기 위해 미국정부가 정보에 접근할 경우 명확한 안전장치를 제공하고 투명성 의무를 이행할 것을 제시함

- (주요내용) CJEU는 ① GDPR상 개인정보 역외이전에 있어서 보호 수준과 감독기관의 의무가 무엇인지, ② 표준 데이터 보호 조항에 관한 결정의 유효 및 ③ 프라이버시 쉴드 결정 무효를 판결함

 ∙ (GDPR 개인정보 역외이전) 개인정보 역외이전에 있어서 제3국은 EU와 본질적으로 동등한 수준의 데이터 보호를 보장해야 하며, EU에 있는 데이터 제공자(exporter)가 정보의 전송을 중단하거나 종료하지 않는 한 다른 수단으로 정보이전 중단 및 금지를 보장할 수 없으므로 정보이전 감독기관이 개인정보를 제3국으로 이전하는 것을 중단하거나 금지할 수 있음
 ∙ (표준 데이터 보호 관련 2010/87 결정⁴⁾) 표준 데이터 보호 조항(standard data protection clauses)에 근거한 개인정보 역외이전은 적절한 보호조치(appropriate safeguards)를 구비한 경우 감독기구의 승인이 없어도 가능한데, 이 조항 자체가 EU 법률에서 요구하는 보호 수준을 준수하고 이에 따른 개인정보 이전이 규정에 위반되는 경우 일시 중지되거나 금지될 수 있는 효과적인 메커니즘을 포함하므로 유효함
 ∙ (프라이버시 쉴드 관련 2016/1250 결정⁵⁾) 미국에서 국내법 등에 의해 개인정보에 대한 정보기관의 접근 감시 프로그램을 실행하는 권한이나 보증을 제한하지 못하는 한 비례원칙에 의거하여 EU법에서 요구하는 본질적인 동등성을 충족하지 못하므로 무효임
 

1) EU 정보보호지침(95/46/EC)은 2015년 5월 제정된 유럽 일반개인정보보호법(General Data Protection Regulation, GDPR)의 시행된 2018년 5월 25일 폐지됨, 2016년 체결한 프라이버시 쉴드는 GDPR을 바탕으로 작성됨.
2) C-362/14, Maximillian Schrems v Data Protection Commissioner.
3) 미국-EU 세이프하버에서 정한 원칙을 준수하는 미국의 기업은 EU 정보보호지침의 적정성 요건을 충족하는 것이며, 미국과 EU국가 간의 개인정보의 이전을 허용함.
4) Decision 2010/87/EU.
5) Decision 2016/1250/EU.