미국 대법원이 '트럼프 대 슬로터(Trump v. Slaughter)' 사건에서 연방거래위원회(FTC)의 독립성이 위헌이라고 판결하면서, 유럽연합(EU)과 미국 간의 개인 데이터 전송 협정인 'EU-미 데이터 프라이버시 프레임워크'가 사실상 무효화될 위기에 처했습니다. EU는 개인 정보 보호를 위해 역외 데이터 전송 시 독립적인 감독 기관의 존재를 필수 요건으로 삼아왔으며, 그동안 미국의 FTC를 이 요건을 충족하는 기관으로 인정해왔기 때문입니다.
EU 조약법에 따르면 데이터 보호 감독은 반드시 '독립적인' 기관에 의해 이루어져야 합니다. 유럽위원회(European Commission)는 2023년 발효된 현행 EU-미 데이터 프라이버시 프레임워크에서 FTC의 독립성을 259번이나 언급하며 그 중요성을 강조했습니다. 그러나 미 대법원이 '단일 행정부 이론(unitary executive theory)'에 따라 대통령이 모든 행정 기관에 권한을 가져야 한다고 판단, FTC의 독립성이 위헌이라고 결정하면서 이 전제 자체가 무너졌습니다. 이는 과거 유럽사법재판소(CJEU)가 미국의 감시법과 사법적 구제책 부족을 이유로 '세이프 하버(Safe Harbour)'와 '프라이버시 실드(Privacy Shield)' 등 이전 협정들을 무효화했던 사례와 유사하게, 이번 프레임워크 역시 법적 기반을 잃게 된 것입니다.
이번 판결은 EU 기업들이 미국 클라우드 서비스 등 개인 데이터를 미국으로 이전하는 방식에 광범위한 영향을 미칠 수 있습니다. 비록 유럽위원회의 공식적인 철회나 유럽사법재판소의 무효화 판결이 있기 전까지는 현행 프레임워크가 유효하지만, 데이터 보호 옹호 단체인 NOYB는 유럽위원회에 질서 있는 협정 철회를 촉구하고 있습니다. 이는 단순히 EU-미 프레임워크에 직접 의존하는 기업뿐 아니라, 표준 계약 조항(SCCs)이나 구속력 있는 기업 규칙(BCRs)을 사용하는 기업들도 미국의 독립적인 감독 기관 부재를 고려하여 데이터 전송의 적법성을 재평가해야 할 상황에 놓이게 되었음을 의미합니다. 결과적으로 많은 유럽 기업들이 미국 서비스 제공업체로부터 데이터를 분리하거나 유럽 내 데이터 처리를 모색하는 '디지털 주권(digital sovereignty)' 접근 방식을 가속화할 것으로 보입니다.
