외국계기업 : 미국정부가귀사의해외데이터에접근할수 있습니까? Jonathan E. Meyer 작성 올해봄에제정된 CLOUD 법안에따라미국정부는해외에저장된데이터에접근할수있는강력한수단을보유하게되었습니다. 만약귀사가미국외국가에소재하며미국에상당한영향을미치는클라우드서비스제공업체를이용하는경우, 미국정부는귀사의고객데이터와정보를쉽게입수할수있게되었습니다. CLOUD 법에대한배경 1986 년부터제 3자가보유한전자데이터에대한미국당국의접근은전자커뮤니케이션개인정보보호법 (Electronic Communications Privacy Act, 이하, ECPA ) 에의해규제되었습니다. 본법안의목표중하나는전화통화뿐만이아닌컴퓨터를통한전자데이터전송및저장된전자통신과관련된도청에대한정부의규제를확대하기위해제정되었습니다. 본이슈는저장커뮤니케이션법 (Stored Communication Act, 이하, SCA ) 으로알려진 ECPA 제 II장에서다뤄집니다. 1986년이후 ECPA와 SCA는여러번개정되었지만주요조항은동일하게유지된바, 제3자가보유한전자데이터에대한미정부의접근에적용되는주요법은이메일이일반적으로사용되고 World Wide Web이생성되기전에제정되었습니다. SCA에따라미정부는제3자의 " 저장된유선및전자커뮤니케이션및거래기록 " 의제출을강제할수있습니다. 의무적으로공개해야하는데이터의기준은데이터저장소제공업체의유형, 데이터가콘텐츠인지비-콘텐츠 ( 예 : 메타데이터 ) 인지, 고객에게사전통지를하였는지여부에따라달라집니다. 이러한요소들을종합적으로 본백서는 CLOUD 법의조항및효과에대한전반적인요약을제공하기위한것이며, 법률자문을제공하지않습니다. 또한, 동법안의모든사항을다루지않습니다. 귀하의기업이 CLOUD 법에따라조치를취하기전, 본법안과관련된특정사항에대한법률자문을구해야합니다. 1
고려하여, 미정부가데이터를접근하는데있어영장, 소환장또는특수법원명령을 받아야하는지가결정됩니다. 최근몇년사이미정부와민간기업간논쟁이증가한이슈는 SCA의치외법권입니다. 즉, 미국에소재한기업의해외데이터에대한 SCA 적용가능성이이슈가되고있습니다. 본이슈와관련된주요판례상미정부는 SCA에따라해외에소재한제3자제공업체가보유한데이터를정부에제출해야한다고주장하였고, 해당기업은 SCA는미국외국가에적용되지않는다고주장하였습니다. 본소송사건은미국대법원까지이르렀으며, 2018년 2월소송이진행되었습니다. 현재본사건은대법원에계류중이지만, 지난 3월 23일의회는일괄세출안의일부로 Clarifying Lawful Overseas Use of Data (CLOUD) 법을통과시켰으며, 이에따라동소송사건의논쟁은더이상의미가없어졌습니다. CLOUD 법은무엇을의미하는가 CLOUD 법의주요조항들은 ECPA 를개정하여, 서비스제공자로하여금 제공자의 " 소유, 관리또는통제하미국내외에소재한커뮤니케이션, 기록또는기타 정보 를저장한전자데이터를제출하도록요구합니다. 본법은 SCA의치외관할권및 SCA가미국이외지역에소재한데이터에도적용될수있다는것을명확히하며, 기본적인커뮤니케이션과그외제한된유형의서비스뿐만이아닌고객이나이용자에관한모든정보에적용된다는점을분명히합니다. 예시로, 본법안은이메일에만적용되는것이아니라일반클라우드스토리지에도적용됩니다. 또한 CLOUD 법은미국정부로하여금다른국가들과데이터공유와관련된 " 행정계약 " 을체결하는것에대한권한을부여합니다. 행정계약이란미행정부가체결한구속력있는국제협약으로이미법을통해의회로부터사전승인을받은계약이며, 국제조약과는달리의회비준을요구하지않습니다. CLOUD 법은무엇보다도미국이소유한해외데이터에대한접근을용이하게하기위해이러한계약을재가하였습니다. 기업들이데이터저장관행과관련하여 CLOUD 법이미치는영향을더잘 이해할수있도록다음질의사항에대한답변을제공해드립니다. 2
1. CLOUD 법이외국기업에게어느정도까지적용되는가? 모든연방법과마찬가지로, CLOUD 법은미국기업뿐만아니라미국에소재한외국기업에도적용될수있으며, 미국법원은해당법원이소속된된주와최소관련성 (Minimum Contacts) 이있는개인또는기업에대해관할권을행사할수있습니다. 최소관련성은해당주내에서의특정활동수행, 물품및용역계약또는비즈니스활동을통한수혜등다양한형태로존재할수있습니다. 나아가, 해당주내에서의재산소유, 은행계좌유지또는해당주에물품이배포될수있도록상거래흐름에물품을배치하는행위등도포함될수있습니다. 특정주와의최소관련성을증명할수없을경우에도, 연방법원은헌법제 5 조에따른절차요건을위반하지않는한외국회사에대한관할권을행사할수있습니다. 즉, 서비스제공업체가미국에서중요한역할을할경우 CLOUD 법의적용을받을수있습니다. 2. " 소유, 관리또는통제 " 라는기준은기업자회사및관련기업에게어떻게 적용되는가? 위에서언급한바와같이, CLOUD 법은한기관의 " 소유, 관리또는통제 " 에있는데이터에적용됩니다. 국회는 " 소유, 관리또는통제권 " 이라는영미법에서수세기동안사용되었으며 1937 년이후미국연방민사소송절차에서사용된문구를인용하였습니다. 기업이해당정보를 소유, 관리또는통제 하는지판단할때, 법원은한기업의관련기업에대한소유권및통제의정도를고려하며, 두기업이하나의기업으로운영되는지, 두기업이공통된정책을가지고있는지, 한기업이다른기업의자료를정상적인업무과정에서접근할수있는지, 대행관계가있는지, 두기업의경영진이겹치는지등을고려합니다. 예를들어, 모기업이자회사의일상업무에거의개입하지않고, 재무제표를수령하지않으며, 직원이나사무소를자회사와공유하지않고자회사의자료에접근하는경우가거의없으며, 해당자료를얻기위한 " 법적권리, 권한또는자격 " 이없을경우, 법원은모기업이자회사의자료에대한소유, 관리또는통제가없다고판결하였습니다. 3. 치외법권적데이터요청에이의를제기할수있는가? CLOUD 법은서비스제공자가데이터요청수령후 14 일이내에이를 3
파기하거나변경하는것에대한신청서를제출하는것을허가합니다. 본조항에따라 제공자는다음상황에서데이터요청을파기하거나변경하기위한신청서를제출할수 있습니다 : 해당요청의대상자가미국인이아니며, 미국에거주하지않는다고합리적으로 판단될경우 ; 해당자료공개를통해외국법을위반하게될상당한리스크가있다고 합리적으로판단될경우 ; 및 해당자료공개에따라외국법위반이초래될경우해당외국국가와미국간 CLOUD 법에의해승인된행정계약을체결되어있을경우. 상기조건들이충족될경우, 법원은데이터요청에대한이의제기를받아드릴것입니다. 이러한이의제기를승인하기위해서는다음세가지조건이충족되어야합니다 : 해당공개가외국법을위반하고 ; 정의에의해해당요청을파기또는변경해야하며 ; 자료공개대상자는미국인이아니며, 미국에거주하지않을경우. 본질적으로, 위사항은간소화된국제예양분석으로서미국과행정계약을맺은 국가에거주하는기업으로하여금해당국가의법을위반하는특정상황에서데이터 공개를거절하는것을허용합니다. 4. 미국과행정계약을맺지않았을경우는어떠한가? 미국과행정계약을맺지않은국가들은다음질문을제기하고있습니다 : 행정 계약이없을경우데이터요청에이의를제기할수있는가? 본질문에대한답변은 그렇다 이지만, 실제적으로는더복잡합니다. 첫번째로, 해당회사는명령을거부하고해당이슈에대한소송을진행해야하며이는법원모독죄를초래할수있습니다. 두번째로, 그러한경우법원은 CLOUD 법에기재된간소화된법칙을따르지않고, 보다모호하고전통적인국제예양법을적용해야합니다. 4
5. 누가이의제기를할수있는가? CLOUD 법상미국과행정계약을맺은경우, 데이터서비스 제공자 를 대상으로이의제기하는것은제한되어있습니다. 다만위에서언급한바와같이, 본법은그외강제절차또는 SCA 및 CLOUD법에따른강제절차와관련하여기존국제예양분석의기준을보존합니다. 따라서이용자또는 " 중간관계자 " ( 예 : 고객데이터를저장하는은행 ) 는국제예양에따른조치를취할수있지만, 이는데이터요청에대해알고있을경우에만해당됩니다. 6. 데이터요청자체는기밀인가? 보통데이터요청자체는기밀사항이아닙니다. 그러나정부는영장을발급받아당사자 ( 서비스이용자 ) 에게통지를방지하거나, 소환장또는일반법원명령을받아 90일간서비스이용자에게통지하는것을지연할수있습니다. 이는해당서비스이용자에게통지할경우다음과같은결과가초래된다고판단될경우입니다 : 개인의신체적안전위협 ; 기소도피 ; 증거의파괴또는변조 ; 잠재적증인의위협 ; 또는 그외조사과정을심각하게위협하거나재판을과도하게지연하는경우. 7. 일반적으로요구되는데이터의유형은무엇인가? 대부분의 SCA에따른데이터요청의경우, 미정부가개인과관련된전자메일또는기타커뮤니케이션 ( 또는해당커뮤니케이션과관련된데이터 ) 를취득하려는것으로보고되었습니다. 일반적인요구는해당개인의계정에서특정날짜및주제범위내개인의활동과관련된이메일에대한정보를요구합니다. 일반적으로는영장을발부하여특정개인에대한다음정보를요구합니다 : 사용자계정에저장된모든이메일의내용 ; 5
사용자의신원과관련된모든기록또는기타정보 ( 이름, 주소, 전화번호등 ); 주소록, 연락처목록, 사진및파일을포함하여계정에저장된모든기록 또는정보 ; 및 사용자와제공자간의모든커뮤니케이션관련기록. 데이터요청의대상자는일반적으로사기, 사이버해킹또는영업비밀절도와같은 범죄로조사되는과정에있었습니다. 또한, ISP 가발표한투명성보고서에따르면다음사항이요구됩니다 : 대부분의데이터요청은커뮤니케이션내용을제출하도록하지않으며, 오히려날짜 / 시간정보또는기타메타데이터와같은비 - 콘텐츠정보를 요구합니다. 비 - 콘텐츠정보가아닌저장된콘텐츠는일반적으로소환장또는일반 명령이아닌법원에서명령한영장에의해서만제공됩니다. 소환장 ( 법원조치가요구되지않으나, 고객에게공개를방지하기어려운 조치 ) 에따른데이터요청이법원명령및영장에따른데이터요청보다훨씬 많습니다. 8. CLOUD 법안의통과는 SCA 데이터요청권한의영역적확장뿐만이아닌 실제적인확장을의미하는가? 현재까지미당국은 SCA를커뮤니케이션, 특히이메일과관련된데이터제출을강제하기위하여주로사용하였습니다. 그러나, 앞으로는 SCA를사용하여커뮤니케이션과관련되지않은데이터를얻는상황도늘어날것으로보입니다. 치외법권관련조항에언급된 모든기록또는기타정보 라는문구와더불어본법의약어 - CLOUD 법 는향후본법의광범위한사용을나타내는것으로보입니다. 따라서데이터를외부및해외에저장하는회사는본법에따른리스크를평가하는것이중요합니다. 6
결론 CLOUD 법은아직새로운법이기때문에이를분석하는법또는판례는거의없습니다. 그러나, 본법의통과는클라우드공급업체와같은제3자가해외에서보유하고있는데이터를얻기위한미당국권한의영역적확장및실제적인범위확장을의미하는것으로보입니다. 기업들은본사항을바탕으로클라우드및전자메일저장관련지침을고안해야한다고판단됩니다. 7