우버(UBER)가 유럽연합의 일반 데이터 보호 규정(GDPR)을 위반한 혐의로 네덜란드의 개인정보 보호 감독 기관으로부터 약 3억 2천 4백만 달러에 해당하는 2억 9천만 유로의 벌금을 부과받았습니다.
이번 벌금은 유럽연합 외부, 특히 우버의 본사가 위치한 미국으로 운전기사들의 개인정보를 전송한 것과 관련이 있습니다. GDPR은 비준수 시 글로벌 연간 매출의 최대 4%까지 벌금을 부과할 수 있도록 규정하고 있습니다.
우버의 2023년 연간 매출은 약 345억 유로였기 때문에, 이번 벌금은 최대 한도에 비해 낮은 수준입니다. 하지만 GDPR이 2018년에 시행된 이후 기술 기업에 부과된 가장 큰 벌금 중 하나로, 여전히 주목할 만한 금액입니다.
이번 벌금은 2021년 프랑스의 170명 이상의 우버 운전기사가 제기한 일련의 불만 사항에서 비롯된 것입니다. 네덜란드 감독 기관인 AP(Autoriteit Persoonsgegevens)가 우버의 유럽연합 내 주요 거점이 네덜란드에 위치해 있는 만큼, GDPR 감독을 주도했습니다. 이들은 우버가 운전기사들의 개인정보를 처리하는 방식에 대한 불만을 조사했습니다. 불만 사항은 인권 단체인 Ligue des droits de l’Homme(LDH)를 통해 프랑스 개인정보 보호 감독 기관에 제출되었고, 이후 AP에 전달되었습니다.
지난 1월, 우버는 동일한 불만과 관련해 데이터 접근 권한 문제로 1천만 유로의 벌금을 부과받은 바 있습니다. 그러나 이번에 발표된 벌금은 이전 벌금보다 훨씬 더 큰 금액으로, GDPR 벌금 중 상위 10위 내에 들어가는 수준입니다.
네덜란드 개인정보 보호 감독 기관에 따르면 이번 벌금의 크기는 위반의 심각성을 반영한 것으로, 우버가 유럽연합 외부로 전송된 데이터를 “적절하게 보호하지 못했다”는 이유에서 비롯되었습니다.
이번 개인정보 보호 문제는 미국 국가안보 정보기관의 감시 프로그램과 관련이 있으며, 이는 2013년 NSA 내부고발자 에드워드 스노든의 폭로 이후 유럽 법원에서 반복적으로 EU 시민들의 데이터 보호와 개인정보 권리를 위협하는 요소로 간주되었습니다. 이는 GDPR 보호 조치가 유럽인의 데이터와 함께 이동해야 한다는 점에서 문제가 됩니다.
데이터 흐름에 의존하는 사업 모델을 가진 미국의 기술 대기업들은 이 문제에서 수년 동안 난처한 상황에 놓여 있습니다. 우버의 경우, 네덜란드 감독 기관에 따르면 수집 및 전송된 데이터에는 계정 정보, 택시 면허, 위치 데이터, 사진, 결제 정보, 신분증, 심지어 운전기사의 범죄 및 의료 데이터까지 포함되었습니다.
우버는 이번 벌금에 대해 불만을 표하며, 비준수 사실을 부인하고 법원에 항소할 것이라고 밝혔습니다.
우버 대변인 캐스퍼 닉슨은 TechCrunch에 보낸 이메일에서 “이 결함 있는 결정과 엄청난 벌금은 전혀 정당하지 않다. 우버의 국경 간 데이터 전송 과정은 유럽연합과 미국 간의 높은 수준의 데이터 전송 협정이 없었던 3년 동안 GDPR을 준수했다. 우리는 항소할 것이며 상식이 승리할 것이라고 확신한다”고 밝혔습니다.
우버는 EU와 미국 간의 데이터 전송 협정이 없었던 기간 동안 AP에 지침을 구했으나, 감독 기관은 절차에 문제가 있다는 명확한 답변을 제공하지 않았다고 주장했습니다.
AP는 우버가 지난해 말부터 Privacy Shield의 후속 도구를 사용하기 시작하면서 GDPR을 준수하고 있다고 언급했습니다. 우버는 현재 GDPR 준수로 간주되는 절차가 이전에 사용한 절차와 동일하다고 주장하며, 법적 목표가 이동했다고 주장합니다.
그러나 높은 수준의 EU-US 전송 협정이 없었던 기간 동안, 유럽연합의 개인정보 보호 규제 기관은 기업들이 데이터 수출이 규칙을 준수하도록 책임을 져야 한다고 경고했습니다. 이 기간 동안 유럽 데이터 보호 위원회는 데이터 보호 수준을 높이기 위해 회사들이 적용해야 할 추가 조치에 대한 지침을 제공했습니다. 추가 조치에는 데이터 로컬화로 전환하거나 수출된 데이터를 접근할 수 없도록 ‘제로 액세스’ 암호화 형태를 적용하는 등의 방법이 포함됩니다.
우버 대변인은 이 기간 동안 이러한 추가 조치가 적용되었는지 즉시 확인할 수 없었습니다.