개요
2013년 FBI는 마약 밀매 사건을 조사를 위해 피조사자의 이메일 수집 영장을 발부받아 마이크로소프트에 데이터를 요청했지만 거부당했다. 마이크로소프트는 통신저장법에 의거 미국이 아닌 타국(아일랜드)에 저장된 데이터이기 때문이었다. 이에 마이크로소프트와 미연방과 다툼이 있었다.
과거에도 유사한 문제가 있었기에 데이터가 저장된 서버의 위치가 영장의 범위를 벗어나는 문제를 개선하고자 시도했던 LEADS(Law Enforcement Access to Data Stored Abroad) Act나 ICPA(International Communications Privacy Act) 모두 통과하지 못했었다.
도널드 트럼프 대통령은 2018년 종합세출법안(omnibus appropriations bill)을 통과시켰고, 동년 3월 23일 법안에 서명했다. 이 법안에 합법적인 해외 데이터 활용의 명확화를 위한 법률(Clarifying Lawful Overseas Use of Data Act)이 포함되었다. 이로 인해 본격적으로 타국에 저장된 데이터를 압수할 수 있게 되었다. 결국 CLOUD Act에 근거한 새로운 영장을 발부받아 마이크로소프트에 집행했고 CLOUD Act로 새로 발부 받은 영장의 효력을 대법원이 인정했다.
CLOUD Act의 주요 내용
개정 배경
이 법안은 다양한 국가적 범죄(테러, 마약, 불법 거래 등)로 부터 공공을 보호하기 위함과 시대적 상황을 고려하였다.
(1) 통신 서비스 제공 업체가 보유한 전자적 데이터에 적시에 접근할 수 있는 것은 것은 테러를 포함한 심각한 범죄로 부터 공공을 보호하고 대처하기 위한 정부 노력의 본질적인 구성 요소다.
(2) 미국 정부의 이러한 노력은 미국 관할권에 속하는 통신 서비스 제공자의 보호, 통제 또는 소유하는 미국 이외의 지역에 저장된 데이터에 접근할 수 없기에 방해 받고있다.
(3) 타국 정부 또한 심각한 범죄를 대처하기 위한 미국의 통신 서비스 제공자가 보유한 전자 데이터에 대한 접근성을 점점 더 높여나가야 한다.
(4) 통신 서비스 제공자는 미국 법에 의해 공개할 수 없는 전자적 데이터를 타국 정부가 요청할 때 잠재적으로 상충되는 법적 의무에 직면하게 된다.
(5) 통신 서비스 제공자가 미합중국법전 제18편 제121장(일반적으로 “Stored Communications Act”로 알려짐)에 의거 전자 자료 공개를 요구하는 경우 Foreign 법에 의해 통신 서비스 제공자가 공개하는 것을 금지되는 경우도 있어 상충되는 법적 의무가 발생할 수 있다.
(6) 국제 협약은 미국 정부와 타국 정부가 시민의 특권과 프라이버시 보호하는 법규를 공유하는 공통된 약속을 통해 상충될 수 있는 법적 의무를 해결하기 위한 방법을 제공한다.
역외 압수 신설
18 U.S. Code § 2713을 Chapter 121에 신설하여 역외 압수의 명시적 근거를 마련했다.
“전자 통신 서비스나 원격 컴퓨팅 서비스 공급자는 미국 내외에 관계없이 제공자의 보호, 통제 또는 소유에 있는 고객이나 가입자와 관련된 유선이나 전자 통신의 내용 그리고 모든 기록이나 기타 정보를 보존, 백업 또는 공개할 의무를 이 규정에 따라 준수해야 한다.”.
서비스 제공자의 영장 각하신청 제도 개정
18 U.S. Code § 2703(h)(2)를 다음 내용으로 개정하여 서비스 제공자의 영장 각하신청 제도를 개정했다.
“(2) 각하 신청이나 변경 요청 ㅡ (A) 타국의 전자 통신 서비스나 원격 컴퓨팅 서비스를 포함하는 공공 또는 원격 컴퓨팅 서비스에 대한 전자 통신 서비스 제공자는 가입자나 고객의 전선이나 전자 통신 내용을 이 섹션에 의거하여 발급된 법적 절차에 따라 공개해야하며, 공급자가 합리적으로 믿을 만한 법적 절차를 수정하거나 각하할 수 있는 동의서를 제출할 수 있다.
행정협정 체결을 통한 외국 정부에 정보제공의 법적 상충 해결
18 U.S. Code § 2511(2)에 (j)를 추가하여 정보제공을 명시화했다.
“(j) 집행 협약의 대상이되는 외국 정보의 명령에 따라 유선이나 전자 통신 내용을 공개하는 공공이나 원격 컴퓨팅 서비스를 운영하는 통신 서비스 제공 업체는 이 섹션에 의거 위배되지 않도록 법무부 장관이 의회에 섹션 2523을 만족한다고 결정했다”
또한 18 U.S. Code § 2523을 Chapter 119에 신설하여 외국 정부가 데이터 접근에 대한 협약을 마련했다.
집행 협정 요구사항 ㅡ Chapter 119, 121, 206의 목적 상 외국 정부가 데이터에 접근하는 규율을 집행하는 협약은 이 챕터의 요구사항을 충족해야하며, 만약 국무부 장관의 동의와 함께 법무부 장관이 결정하고 (1), (2), (3) 그리고 (4)의 서면 증명과 고려사항에 대한 설명을 포함하여 서면 증명서를 의회에 제출한다.
생각
아무리 CLOUD Act가 활성화 되었다고 하더라도, 타국에 위치한 데이터를 압수하기 위해 영장심의가 없으면 불가능하다. 다시 말해서 합당한 법적 근거가 마련되지 않으면 언제나 편하게 데이터를 살펴볼 수 없다는 것이다. 참고로 CLOUD Act가 승인되면서 구글, 마이크로소프트, 애플의 생각이 포스팅되기도 했다. 이들이 이 법안을 처음부터 지지했는지, 아니면 통과된 법안이기에 어쩔 수 없이 수용하고 앞으로 어떻게 대응할 것인지에 대한 부분은 각자가 판단할 몫이다.
참조 사이트
- 미국과 마이크로소프트 간의 법적 공방 내용 - https://www.justsecurity.org/wp-content/uploads/2016/10/Microsoft_14-2985-United-States-Appellee-Petition.pdf
- 미국의 LEADS Act 내용 - http://www.nam.org/Issues/Technology/LEADS-Act/LEADS-Act-Issue-Summary.pdf
- 미국의 ICP Act 내용 - http://www.freedomworks.org/content/support-international-communications-privacy-act-hr-3718
- 미국의 CLOUD Act 내용 - https://docs.house.gov/billsthisweek/20180319/BILLS-115SAHR1625-RCP115-66.pdf#page=2201
- CLOUD Act에 의해 마이크로소프트가 FBI에게 데이터를 넘겨주게 된 판결(CLOUD Act가 실제 적용된 사례) - https://www.supremecourt.gov/opinions/17pdf/17-2_1824.pdf
- 마이크로소프트의 CLOUD Act에 대한 생각 - https://blogs.microsoft.com/on-the-issues/2018/04/03/the-cloud-act-is-an-important-step-forward-but-now-more-steps-need-to-follow/
- 애플의 CLOUD Act에 대한 생각 - https://appleinsider.com/articles/18/03/23/apple-supported-cloud-act-passes-congress-will-change-how-governments-share-data
- 구글의 CLOUD Act에 대한 생각 - https://www.androidcentral.com/cloud-act-and-google