유럽연합 집행위원회 관계자들은 Euractiv가 본 집행위원회 내부 문서에 따르면 Microsoft에 대한 과도한 의존이 EU 데이터 규칙을 명백히 위반하는 것이라고 우려하고 있으며 이는 이 문제에 대한 집행부의 공개 성명과 모순됩니다.
우려 사항은 위원회가 Microsoft365를 디지털 작업 공간으로 사용하는 데 초점이 맞춰져 있습니다. 높은 일부 경영진의 보안 및 개인 정보 보호 문제.
EU의 데이터 보호 감시 기관인 EDPS는 위원회에 Microsoft의 사용이 규정을 준수하도록 명령했습니다. 이는 Microsoft보다 덜 침해적인 대안을 모색한다는 것을 의미하지만 이와 관련하여 수행된 작업은 거의 없습니다.
이 사례는 IT와 같은 매우 민감한 분야에서 자율성을 원하는 유럽의 욕구와 미국 기술에 대한 의존도가 높은 현장 현실 사이의 간극을 보여주는 극명한 예를 제공합니다.
Euractiv가 본 위원회 내부 문서에는 “유럽 제공업체가 제공하는 신뢰할 수 있는 제품이 알려진 바가 없습니다.”라고 나와 있습니다.
특히 프랑스 당국은 이에 대해 우려를 표명했다.그러나 “미국 기반 솔루션 사용과 관련된 잠재적인 위험”이 메모에 추가되어 있습니다.
또 다른 최근 보고서에서는 Euractiv에서도 볼 수 있는 디지털 서비스 사무국(DG DIGIT)은 “몇몇 비유럽 기업의 과도한 권력, 단일 공급업체와 관련된 위험(가격 인상, 마이그레이션 어려움) 및 잠재적 손실에 대한 우려를 표명합니다.” 내부 역량”이 언급되었습니다. 위원회는 우려를 표명했습니다. 아직 공개적으로 인정받지는 못했습니다.
보고서는 또한 Microsoft에 대한 개방적이고 주권적인 대안을 개발하기 위한 회원국 이니셔티브에 대해 매우 긍정적인 설명을 제공하지만 DG DIGIT가 이를 “매우 작은” 이니셔티브에 대한 “가능한 보완책”으로 내부적으로 평가할 “계획”이라고 결론지었습니다. 범위가 제한되어 있습니다.”
내부 검토 계획을 묻는 경우, 위원회는 유럽 연합 전체의 오픈 소스 사용을 광범위하게 추적하고 스스로를 “오픈 소스 소프트웨어 채택자”라고 설명했습니다.
그러나 현재로서는 Microsoft365와 같은 플랫폼과 기능적으로 동등한 대안이 확인되지 않았습니다.라고 위원회 대변인 Thomas Regnier는 Euractiv에 말했습니다.
마이크로소프트는 위원회를 언급하는 대신 후자가 EDPS 조사의 대상이라고 언급하면서 논평을 거부했습니다.
Microsoft의 경우 위원회는 민감하고 기밀인 데이터에 대해 제한적인 통제권을 갖고 있습니다. 대안이 없다면 Microsoft가 현재 진행 중이고 이미 기한이 지난 계약 협상에서 원하는 가격을 설정하는 것을 막을 수 있는 영향력이 거의 없을 것입니다.
11월 21일 위원회의 ICDT 클라우드 및 디지털 작업 공간 하위 그룹은 “부분들이 여전히 내용이나 가격에 수렴되지 않고 있습니다.”, “2월까지 협상이 마무리되지 않으면 문제가 발생할 것입니다.”라고 요약했습니다.
커미션 대 EDPS
위원회의 Microsoft 사용을 면밀히 조사할 수 있는 주요 기관은 EDPS입니다.
2024년 3월, 위원회는 EU의 기관 데이터 보호 규칙(EUDPR)에 맞춰 관행을 개선하기 위해 현재 계약을 검토하도록 위원회에 명령했습니다.
EDPS에 따르면 해당 계약은 개인 정보 보호법이 불충분한 국가로의 불법 전송과 개인 데이터의 무단 공개를 방지하기 위한 충분한 보호 장치를 제공하지 않습니다.
그러나 위원회는 다음과 같이 응답했다. 고소하다 EDPS는 이 명령을 EUDPR의 “잘못된 해석 및 적용”이라고 부릅니다.
결정이 발효되기 3일 전인 12월 6일, 위원회는 준수 여부를 입증하기 위해 보고서와 증빙 문서를 EDPS에 보냈습니다.
상황에 대해 질문을 받자 위원회 대변인은 “Microsoft365 배포는 (EUDPR)의 요구 사항을 준수하며 EDPS 조사 중에 이를 충분히 입증했습니다”라고 반복했습니다.
EDPS는 현재 문서를 검토하고 있지만 12월 10일 보도 자료에서 “2024년 3월 8일의 결정은 여전히 완전히 적용 가능하다”고 반복했습니다.
EDPS는 데이터 개인 정보 보호를 모니터링하는 역할만 담당하지만 위원회의 Microsoft 사용과 관련하여 밝혀진 데이터 통제 부족으로 인해 근본적인 보안 문제도 제기됩니다.
사이버 보안을 위한 EDPS와 같은 기관이 없습니다.
EU 규칙에 따라 Microsoft365에서는 고도로 분류된 문서나 회의를 처리할 수 없습니다.
그러나 유용한 보안 주권 대안이 부족하기 때문에 항목을 실제보다 덜 민감한 항목으로 분류하여 Microsoft 사용의 편의를 허용하려는 인센티브가 생성된다고 EU 기관 관계자는 익명을 전제로 Euractiv에 말했습니다.
개인 데이터 처리와 관련하여 EDPS처럼 사이버 보안이 부족하다고 위원회를 질책할 수 있는 특정 기관은 없습니다.
비슷한 권한을 가진 기관은 EU 기관, 기관 및 기관(CERT-EU)을 위한 기관 간 컴퓨터 비상 대응 팀이 될 것입니다. 사명 “분류되지 않은 ICT 인프라에 대한 위협, 취약점 및 사고에 대한 정보를 수집, 관리, 분석 및 구성원과 공유”하는 것입니다.
그러나 CERT-EU가 행정적, 재정적으로 DG DIGIT 내에 속해 있기 때문에 현재 관행을 공개적으로 비난하는 것은 어려울 수 있습니다.
기관을 평가하는 것이 아니라 지원하는 기관의 역할도 아닙니다.
앞으로 조사가 덜 될까요?
Microsoft 사례 외에도 최근 EDPS는 지배하다 위원회는 2023년 채팅 제어에 대한 논쟁적인 규제에 대한 견해에 영향을 미치기 위해 X의 좌파 사용자를 표적으로 삼아 민감한 데이터 처리를 불법적으로 유발했습니다.
12월 5일까지 전 EDPS 의장이었던 보이치에흐 비에비로프스키(Wojciech Wiewiórowski)가 또 다른 임무를 놓고 세 명의 경쟁자와 맞붙어 재선되지 못할 수도 있기 때문에 EDPS가 미래에 어떻게 자리매김할지는 현재 불분명합니다. 현재 정의 및 소비자 사무국(DG JUST)의 국제 데이터 흐름 및 보호 책임자 Bruno Gencarelli, 전 프랑스 데이터 보호 당국(DPA) 부통령 Francois Pellegrini 및 CERN 데이터 보호 위원회 의장 Anna Pouliou.
프로세스를 따르는 세 사람은 Euractiv에 당선되면 Gencarelli가 현재 위원회 관행을 검토하는 입장에서 직접 나오기 때문에 위원회에 더 우호적일 것으로 기대한다고 말했습니다.
위원회와 연계된 EDPS는 EU에서 GDPR 시행을 안내하는 데 중요한 유럽 데이터 보호 위원회(EDPB)의 문에 발을 들여놓을 것입니다.
이는 최근과 같은 경우에 도움이 될 수 있습니다. 의견 AI 훈련에서 개인 데이터 사용에 대해 여러 이해관계자가 Euractiv에 위원회가 출판 전에 관대한 해석을 원한다는 점을 분명히 표시했다고 말했습니다.
새로운 EDPS는 시민자유, 정의 및 내무위원회(LIBE)가 이끄는 의회와 의회의 공동 승인을 받아야 합니다.
시의회는 1월 15일에 4명의 후보자에 대한 청문회를 가질 예정이며 LIBE 청문회는 다음과 같습니다. 예정된 1월 16일에 선호도에 대한 투표와 함께 진행됩니다.
청문회에서는 Microsoft의 활용이 뜨거운 주제가 될 가능성이 높습니다. 의회와 회원국도 Microsoft 사용자이기 때문에 의회와 LIBE 회원이 IT 시스템을 변경할 필요가 없는 것보다 추가 개인 정보 보호 및 보안을 중시하는지 여부에 따라 선거가 이루어질 수 있습니다.
