[NYT]Meta Fined $1.3 Billion for Violating E.U. Data Privacy Rules
아일랜드의 데이터 보호 위원회가 발표한 이 벌금은 유럽 연합이 일반 데이터 보호 규정으로 알려진 획기적인 데이터 개인 정보 보호 법을 제정한 이후 5년 동안 잠재적으로 가장 중요한 처벌 중 하나입니다. 규제 당국은 회사가 대서양을 가로질러 발송된 페이스북 데이터가 미국 스파이 기관으로부터 충분히 보호되지 않았다는 EU 최고 법원의 2020년 결정을 준수하지 않았다고 말했습니다.
그러나 Meta가 유럽의 Facebook 사용자들의 데이터를 차단할 필요가 있는지 또는 언제가 될지는 여전히 불분명합니다. 메타는 이 결정에 항소할 것이며, 잠재적으로 긴 법적 절차를 마련할 것이라고 말했습니다.
동시에 유럽 연합과 미국 관리들은 메타와 다른 수십 개 회사들이 미국과 유럽 간에 정보를 계속 이동할 수 있도록 법적 보호를 제공하는 새로운 데이터 공유 협정을 협상하고 있습니다. 이 협정은 월요일 유럽 연합의 판결의 상당 부분을 무효화할 수 있습니다. 작년에 예비 계약이 발표되었습니다.
메타가 준수해야 할 필요가 있기 전에 최소 5개월의 유예 기간이 있는 이 판결은 페이스북에만 적용되며 메타도 소유하고 있는 인스타그램과 왓츠앱에는 적용되지 않습니다. 그 회사는 유럽 연합에서 페이스북의 서비스에 즉각적인 중단은 없을 것이라고 말했습니다.
여전히, EU의 결정은 정부 정책이 데이터가 전통적으로 이동해온 국경 없는 방식을 어떻게 뒤집고 있는지 보여줍니다. 데이터 보호 규칙, 국가 보안 법률 및 기타 규정의 결과로 기업은 데이터를 전 세계 데이터 센터로 자유롭게 이동할 수 있도록 허용하기보다는 데이터를 수집하는 국가 내에 저장해야 하는 상황이 점점 늘어나고 있습니다.
메타에 대한 이번 사건은 정보기관들이 디지털 통신을 포함한 해외로부터의 통신을 가로챌 수 있는 능력을 부여하는 미국의 정책에서 비롯되었습니다. 2020년 오스트리아의 개인 정보 보호 활동가인 Max Schrems는 페이스북과 다른 회사들이 두 지역 간에 데이터를 이동할 수 있도록 허용한 프라이버시 실드로 알려진 미국-EU 협정을 무효화하는 소송에서 승소했습니다. 유럽 사법 재판소는 미국의 스누핑 위험이 유럽 사용자들의 기본권을 침해한다고 말했습니다.
슈렘스 씨는 월요일 성명에서 “미국의 감시법이 고쳐지지 않는 한 메타는 시스템을 근본적으로 재구성해야 할 것”이라고 말했습니다. 그 해결책은 유럽인이 미국에 있는 누군가에게 직접 메시지를 보낼 때처럼 “필요한” 이전을 제외하고 대부분의 개인 데이터가 EU에 남아 있는 “연합된 소셜 네트워크”일 가능성이 높다고 그는 말했습니다.
월요일, 메타는 수천 개의 회사가 사용하는 데이터 공유 관행에 대해 부당하게 선별되고 있다고 말했습니다.
“국경을 넘어 데이터를 전송하는 기능이 없으면 인터넷은 국가 및 지역 사일로로 분할되어 세계 경제를 제한하고 서로 다른 국가의 시민들이 우리가 의존하게 된 많은 공유 서비스에 액세스할 수 없게 될 위험이 있습니다.”라고 Meta의 글로벌 담당 사장 Nick Cleg와 Jennifer G는 말합니다. 그 회사의 최고 법률 책임자인 Newstead는 성명서에서 말했습니다.
G.D.P.R.에 따른 기록적인 벌금인 이 판결은 Meta가 저장한 사진, 친구 연결 및 다이렉트 메시지와 관련된 데이터에 영향을 미칠 수 있습니다. 그것은 특히 광고를 목표로 하는 회사의 능력을 손상시킬 경우 유럽에서 Facebook의 사업을 멍들게 할 수 있는 잠재력을 가지고 있습니다. 지난 달, Meta의 최고 재무 책임자인 Susan Li는 투자자들에게 전 세계 광고 수익의 약 10%가 유럽 국가들의 Facebook 사용자들에게 전달된 광고에서 나온다고 말했습니다. 2022년에 Meta는 거의 1,170억 달러의 수익을 올렸습니다.
메타와 다른 회사들은 2020년에 유럽 법원에 의해 무효화된 데이터를 대체하기 위해 미국과 유럽 연합 사이의 새로운 데이터 협정에 기대하고 있습니다. 지난해 바이든 대통령과 우르술라 폰 데어 레이엔 유럽연합 집행위원장이 브뤼셀에서 협상 개요를 발표했지만, 세부 내용은 여전히 협상 중입니다.
거래 없이, 메타에 대한 판결은 기업들이 유럽 연합과 미국 사이에서 데이터를 계속 이동하는 과정에서 직면하는 법적 위험을 보여줍니다.
아일랜드 시민 자유 위원회의 선임 연구원인 조니 라이언은 메타가 유럽 연합의 페이스북 사용자에 대한 방대한 양의 데이터를 삭제해야 할 가능성에 직면했다고 말했습니다. 그것은 인터넷 회사들의 상호 연결된 특성을 고려할 때 기술적인 어려움을 제시할 것입니다.
“그것이 어떻게 이 명령을 준수할 수 있는지 상상하기 어렵습니다,” 라고 더 강력한 데이터 보호 정책을 추진해온 라이언 씨가 말했습니다.
메타에 대한 판결은 거의 정확히 G.D.P.R.의 5주년 기념일에 내려졌습니다. 처음에는 모범적인 데이터 개인 정보 보호법으로 여겨졌지만, 많은 시민 사회 단체와 개인 정보 보호 활동가들은 시행착오 때문에 약속을 이행하지 않았다고 말했습니다.
비판의 대부분은 광범위한 개인 정보 보호법을 시행하기 위해 유럽 연합 본사가 있는 회사의 규제 기관을 요구하는 조항에 초점을 맞추고 있습니다. 메타, 틱톡, 트위터, 애플, 마이크로소프트의 지역 본부가 있는 아일랜드는 가장 정밀한 조사에 직면했습니다.
아일랜드 당국은 월요일, EU 국가들의 대표들로 구성된 이사회에서 부결되었다고 말했습니다. 이사회는 12억 유로의 벌금을 부과하고 Meta가 사용자에 대해 수집한 과거 데이터를 다루도록 강요했으며, 여기에는 삭제가 포함될 수 있습니다.
“전례 없는 벌금은 심각한 침해가 광범위한 결과를 초래한다는 강력한 신호입니다,” 라고 벌금을 부과한 EU 기구인 유럽 데이터 보호 위원회의 의장인 Andrea Jelinek가 말했습니다.
메타는 G.D.P.R. 하에서 규제 기관의 빈번한 표적이 되어 왔습니다. 이 회사는 지난 1월 페이스북 사용 조건으로 사용자에게 개인화된 광고를 받아들이도록 강요한 혐의로 3억 9천만 유로의 벌금을 부과했습니다. 11월에는 데이터 유출로 인해 2억 6500만 유로의 벌금을 추가로 부과했습니다.
Meta on Monday was fined a record 1.2 billion euros ($1.3 billion) and ordered to stop transferring data collected from Facebook users in Europe to the United States, in a major ruling against the social media company for violating European Union data protection rules.
The penalty, announced by Ireland’s Data Protection Commission, is potentially one of the most consequential in the five years since the European Union enacted the landmark data privacy law known as the General Data Protection Regulation. Regulators said the company failed to comply with a 2020 decision by the E.U.’s highest court that Facebook data shipped across the Atlantic was not sufficiently protected from American spy agencies.
But it remains unclear if or when Meta will ever need to cordon off the data of Facebook users in Europe. Meta said it would appeal the decision, setting up a potentially lengthy legal process.
At the same time, European Union and American officials are negotiating a new data-sharing pact that would provide legal protections for Meta and scores of other companies to continue moving information between the United States and Europe — a pact that could nullify much of the European Union’s ruling on Monday. A preliminary deal was announced last year.
The ruling, which comes with a grace period of at least five months before Meta needs to comply, applies only to Facebook and not Instagram and WhatsApp, which Meta also owns. The company said that there would be no immediate disruption to Facebook’s service in the Europe Union.
Still, the E.U. decision shows how government policies are upending the borderless way that data has traditionally moved. As a result of data-protection rules, national security laws and other regulations, companies are increasingly being pushed to store data within the country where it is collected, rather than allowing it to move freely to data centers around the world.
The case against Meta stems from U.S. policies that give intelligence agencies the ability to intercept communications from abroad, including digital correspondence. In 2020, an Austrian privacy activist, Max Schrems, won a lawsuit to invalidate a U.S.-E.U. pact, known as Privacy Shield, that had allowed Facebook and other companies to move data between the two regions. The European Court of Justice said the risk of U.S. snooping violated the fundamental rights of European users.
“Unless U.S. surveillance laws get fixed, Meta will have to fundamentally restructure its systems,” Mr. Schrems said in a statement on Monday. The solution, he said, was likely a ”federated social network” in which most personal data would stay in the E.U. except for “necessary” transfers like when a European sends a direct message to somebody in the United States.
On Monday, Meta said it was being unfairly singled out for data-sharing practices used by thousands of companies.
“Without the ability to transfer data across borders, the internet risks being carved up into national and regional silos, restricting the global economy and leaving citizens in different countries unable to access many of the shared services we have come to rely on,” Nick Clegg, Meta’s president of global affairs, and Jennifer G. Newstead, the company’s chief legal officer, said in a statement.
The ruling, which is a record fine under the General Data Protection Regulation, or G.D.P.R., could affect data related to photos, friend connections and direct messages stored by Meta. It has the potential to bruise Facebook’s business in Europe, particularly if it hurts the company’s ability to target ads. Last month, Susan Li, Meta’s chief financial officer, told investors that about 10 percent of its worldwide ad revenue came from ads delivered to Facebook users in E.U. countries. In 2022, Meta had revenue of nearly $117 billion.
Meta and other companies are counting on a new data agreement between the United States and the European Union to replace the one invalidated by European courts in 2020. Last year, President Biden and Ursula von der Leyen, the president of the European Commission, announced the outlines of a deal in Brussels, but the details are still being negotiated.
Without a deal, the ruling against Meta shows the legal risks that companies face in continuing to move data between the European Union and United States.
Meta faces the prospect of having to delete vast amounts of data about Facebook users in the European Union, said Johnny Ryan, senior fellow at the Irish Council for Civil Liberties. That would present technical difficulties given the interconnected nature of internet companies.
“It is hard to imagine how it can comply with this order,” said Mr. Ryan, who has pushed for stronger data-protection policies.
The decision against Meta comes almost exactly on the five-year anniversary of G.D.P.R. Initially held up as a model data privacy law, many civil society groups and privacy activists have said it has not fulfilled its promise because of lack of enforcement.
Much of the criticism has focused on a provision that requires regulators in the country where a company has its European Union headquarters to enforce the far-reaching privacy law. Ireland, home to the regional headquarters of Meta, TikTok, Twitter, Apple and Microsoft, has faced the most scrutiny.
On Monday, Irish authorities said they were overruled by a board made up of representatives from E.U. countries. The board insisted on the €1.2 billion fine and forcing Meta to address past data collected about users, which could include deletion.
“The unprecedented fine is a strong signal to organizations that serious infringements have far-reaching consequences,” said Andrea Jelinek, the chairwoman of the European Data Protection Board, the E.U. body that set the fine.
Meta has been a frequent target of regulators under the G.D.P.R. In January, the company was fined €390 million for forcing users to accept personalized ads as a condition of using Facebook. In November, it was fined another €265 million for a data leak.