TLDR : Microsoft France는 클라우드 법에 따라 미국 명령에 반대할 수 없음을 인정했으며, 이는 프랑스의 디지털 주권에 영향을 미칩니다. Health Data Hub는 유럽 내로 이전될 예정입니다.
지난 6월 10일, Microsoft France는 공공 조달의 실제 비용과 방식에 관한 상원 조사 위원회에 출석했습니다. 기업의 대표인 Anton Carniaux(법무 이사)와 Pierre Lagarde(공공 부문 기술 이사)는 데이터 보호 정책에 대해 상원 의원들을 안심시키려 했습니다. 그러나 그들은 우리나라에 호스팅된 데이터를 대상으로 하는 미국의 명령에 반대할 수 없음을 인정했으며, 이는 프랑스의 디지털 주권을 약화시키는 확인입니다.
2018년 3월 23일 트럼프 행정부 하에 제정된 클라우드 법(Cloud Act)은 미국 당국이 미국 관할권 하에 있는 기업이 보유한 데이터를 미국 밖에 저장하더라도 접근을 요구할 수 있도록 허용합니다. Microsoft는 모든 미국 기업과 마찬가지로 이를 준수해야 합니다.
"강제로 요구될 경우, 우리는 데이터를 제출합니다"
청문회에서, Anton Carniaux는 UGAP(공공 구매 단체 연합)의 프레임워크 계약을 통해 관리되는 프랑스 공공 행정의 데이터가 미국 당국에 절대 전달되지 않을 것이라는 보장 여부에 대해 보고자에게 질문을 받았습니다. 그는 미국의 정당한 법적 명령이 발행될 경우, Microsoft는 법적으로 해당 데이터를 제출해야 한다고 인정했습니다.
그러나 그는 현재까지 유럽 기업이나 공공 기관이 이러한 전송으로 영향을 받은 적이 없음을 강조하며, 투명성 보고서의 도입 이후로 이는 없었다고 설명했습니다. 이 보고서는 2013년부터 Microsoft에 의해 발행되었으며, 정부 요청 및 기업이 남용되거나 부적합하다고 판단되는 요청에 대해 법적 이의를 제기한 사례를 설명합니다.
Microsoft 대표들에 이어, 위원회는 Clara Chappaz(디지털 담당 장관)와 Agnès Buzyn(전 보건 장관)을 포함한 여러 정부 관계자를 청취했습니다. 이들은 2019년 이후 Microsoft Azure에 호스팅된 Health Data Hub(HDH)에 대해, 2022년 말까지 데이터를 유럽 플랫폼으로 이전하겠다는 정부의 약속에도 불구하고, 유럽의 대안 솔루션이 없다고 판단한 것에 대해 설명했습니다.
CNIL은 클라우드 법에 따른 미국으로의 데이터 전송 위험에 대한 우려를 표명했습니다. 여러 협회, 보건 전문가 및 연구원들은 Azure에서 운영되는 Health Data Hub가 GDPR을 위반한다고 주장하며 국무회의에 제출했습니다. GDPR의 제48조는 명확하고 합의된 법적 틀이 없는 외국 당국으로의 개인 데이터 전송을 명시적으로 금지하고 있습니다. 이러한 우려에도 불구하고, 고등 법원은 팬데믹 관리에 있어 필수적인 역할을 한다고 판단하여 플랫폼을 유지했습니다.
Clara Chappaz는 2024년에 채택된 SREN(디지털 공간의 보안 및 규제) 법이 민감한 데이터를 주권을 보장하는 인프라에 호스팅해야 한다고 규정하고 있음을 상기시켰습니다. HDH는 따라서 클라우드 법의 적용을 받지 않는 SecNumCloud 자격을 갖춘 클라우드로 이전해야 합니다. 이를 위한 입찰이 7월 1일에 이미 시작되었습니다.