2016.11.16.
[유럽연합 경쟁법 동향 시리즈2]
EDPS, 빅데이터 시대 통일적 법집행에 관한 의견서 발표
이태리 반독점 당국, 왓츠앱 메시징 서비스에 대한 조사 착수
* 이번 보고서는 PDF 보기가 제공되지 않습니다.
* 단축 URL: https://bit.ly/2PXcuft
이 상 윤
고려대학교 ICR센터 연구원
1. EDPS, 빅데이터 시대 통일적 법집행에 관한 의견서 발표
□ 개요
- 2016. 9. 23. 유럽 개인정보보호 감독기구(European Data Protection Supervisor, “EDPS”)는 빅데이터 시대 기본권 보호를 위한 통일적 법집행에 관한 의견서를 발표하였음(‘EDPS Opinion on coherent enforcement of fundamental rights in the age of big data’)
EDPS는 이번 의견서를 통해 빅데이터 시대에 개인의 기본권 보장을 위해서는 경쟁, 정보보호, 소비자보호 등 관련 집행 당국 간의 공조가 이루어져야 함을 강조
□ 배경
지난 2014. 3. EDPS는 빅데이터 시대 프라이버시와 경쟁에 관한 예비 의견서(‘Preliminary Opinion on Privacy and Competitiveness in the Age of Big Data’)를 발표하였음
당시 EDPS는 EU의 개인정보 보호 및 시장경쟁의 촉진을 위한 법적 프레임워크에 대해 검토하면서, 디지털 시장에서 경쟁 · 정보보호 · 소비자보호 당국이 협력해서 시너지 효과를 낼 수 있다고 진단하였음
이번 의견서는 그 연장선상에서 이루어진 것으로, EDPS는 디지털 시장에서 정보독점 현상에 따라 개인의 권리 및 후생이 침해될 수 있음을 우려하면서 이를 해결하기 위한 규제당국 간 긴밀한 협력이 중요함을 강조함
2015. 5. 집행위원회(European Commission, “EC”)가 채택한 ‘디지털 단일시장 전략(Digital Single Market Strategy)’ 역시 이번 의견서 발표의 주요한 배경
□ 주요 내용
프라이버시 이슈의 중요성
개인정보는 디지털 시장의 발전에 있어서 가장 핵심적인 역할을 해왔음. 개인정보를 기반으로 하는 기술들의 빠른 발전과 빅데이터 · 사물인터넷 등으로 가능해진 정보처리활동은 정보보호권을 포함한 기본적 권리들에 전례없는 위협이 되고 있음
경쟁의 측면에서, 소비자의 선택권이 감소하였음. 소비자들이 디지털 서비스를 이용하면서 자신의 기록이 트래킹 되지 않는(not to be tracked) 옵션을 선택하는 것은 사실상 불가능해졌음
시장이 집중되는 가운데 웹이 국경따라 분할되고 개인들의 온라인 경험이 몇몇 그룹으로 차별취급됨에 따라(‘walled garden’), 프라이버시, 개인정보, 표현의 자유, 혁신 등이 위협받고 있음
소비자의 수요패턴 분석 · 이용에 따른 불공정한 가격차별(unfair price discrimination)의 우려도 발생하고 있음. 미래에 기업들이 머신러닝 알고리즘을 이용하여 소비자를 개인 단위로 나누어 최대의 지불용의 만큼 가격을 부과할 수 있게 될 경우(1급 가격차별), 소비자의 모든 잉여는 생산자 잉여로 이동하게 되고 이는 개인의 기본적 권리들에 부정적 영향을 주게 될 것임
디지털 시장에서 개인정보의 가치
웹 기반 서비스를 제공하는 기업들의 경우, 이들의 성공은 보유한 정보를 이용해서 가치를 창출해내는 기술뿐만 아니라 보유하고 있던 개인정보의 양과 질 그 자체에도 크게 빚을 지고 있음. 오늘날 개인정보는 제품과 타겟광고를 개선시키는 데 쓰이고 있으며, 기업들의 주요한 경쟁요소로서 디지털 비즈니스 모델을 위한 원자재(raw material)라고 할 수 있음
개인정보는 온라인 서비스를 이용하기 위해 교환되는 일종의 경제적 대가(payment)에 해당함. ‘다면 디지털 플랫폼(multisided digital platform)’의 경우, 돈을 지불하는 광고업체 · 콘텐츠업자 등의 측면(paying side)과 돈을 지불하지 않는 이용자 측면(non-paying side)이 공존하고 있음. 사업자들은 그동안 무료 콘텐츠와 서비스를 제공하면서 많은 양의 개인정보를 바탕으로 성장해왔으나, 경쟁당국은 그동안 시장지배력 등을 측정하면서 주로 ‘paying side’에 집중해왔음. 그러나 앞으로는 기업결합 심사 등에서 매출액(paying side)에 더해 사업자들이 보유한 개인정보의 역할(non-paying side)까지 함께 고려하게 될 것임
물론 개인정보는 경제적 자산(economic asset)의 가치만 갖는 것이 아니고, 유럽 인권 재판소(ECHR)의 판례, 기본권 헌장(Charter) 제8조, 기능조약(TFEU) 제16조, 정보보호법(GDPR) 등에 근거하는 개인의 권리적 성격도 갖고 있음. 디지털 분야의 기업결합 사례에서 개인의 권리가 침해(harm)될 수 있는 경우 소비자 보호 당국과 정보보호 당국은 경쟁당국과 협력할 수 있음
시장집중과 정보독점의 문제
최근 수년간 디지털 시장에서 경쟁이 감소하고 시장이 집중되어 왔으며, 소비자 가격과 기업의 이윤은 높아졌지만 서비스의 질과 혁신은 감소해왔음. 과거의 시장지배력 측정 방식은 이러한 현상을 포착하는데 실패하였음
디지털 분야 소수의 거대기업들은 커뮤니케이션과 인터넷에서의 정보흐름에 대한 상당한 통제권을 갖고 있음. 웹 기반의 서비스를 이용하는 개인들의 온라인 경험은 알고리즘 분석을 통해 필터링 되어 마치 일종의 ‘반향실(echo chambers)’에 갇힌 것과 같은 처지에 있게 되었고, 또한 디지털 분야의 시장집중으로 개인정보의 최소수집 원칙에 반하여 오히려 더 많은 정보를 수집 · 활용하는 상황이 초래되었음
시장독점(monopoly power)과 정보독점(informational power)의 우려가 결합되고 있음. 힘을 가진 기관 · 조직들은, 그 힘의 행사 여부와 큰 관련 없이, 디지털 서비스 소비자의 자유와 프라이버시를 악화시키거나 온라인 컨텐츠 검열관이 될 잠재성을 갖고 있음
규제 간 시너지 효과
정보보호법, 경쟁법, 소비자보호법은 후생을 보호 · 증진하고 유럽 단일시장을 형성한다는 공통의 목표를 갖고 있음. 특히 각각의 법 영역에서 공정성(fairness) 개념이 강조되어 왔음
그동안 각 규제당국 간의 협력은 제한적이었고, 회원국 단계에서 협력한 사례가 있음
2014. 9. 프랑스 경쟁당국은, 에너지· 가스 사업자인 GDF Suez 가 과거 국가독점으로 공공서비스를 제공하며 수집했던 고객들의 개인정보를 시장 개방 이후 상품 판촉에 활용한 것을 시장지배적 지위 남용행위로 판단하고, 경쟁사업자들에게 소비자 데이터베이스의 일부를 공개하는 한편 소비자들이 이러한 공개에 거부할 수 있는 기회(opt-out)를 주도록 결정하였음
2015.9. 벨기에 경쟁당국은, 복권 사업자인 Belgian National Lottery가 공공독점으로서 수집한 개인정보를 인접한 시장에서 마켓팅 목적으로 활용한 행위에 대해 시장지배적 지위를 남용한 것으로 판단하고 약 2백만 유로의 과징금을 부과하였음
2016년 독일 연방카르텔청은 정보보호 당국, 소비자협회 및 다른 국가 경쟁당국과 긴밀히 협력하는 가운데, 독점적 소셜 미디어 사업자인 페이스북의 프라이버시 정책에 대한 조사에 착수하였음
하나의 법이 다른 모든 법 영역까지 침범하여 적용될 수는 없지만, 지난 2016. 5. 독일과 프랑스 경쟁당국이 발표한 보고서(‘Competition Law and Data’)의 표현대로 ‘프라이버시 이슈가 단지 그 속성만으로 경쟁법의 고려대상에서 제외될 수는 없음.’ 관련 지침, 케이스 등이 없는 상황에서 전문성과 조사에 대한 법적 권한이 부족한 영역이라도 감독 당국이 협력하면 시너지 효과를 낼 수 있음
특히 최근 디지털 단일시장 전략이 추진되고 GDPS가 시행을 앞두고 있는 등, 디지털 시대 개인의 권리와 이익을 지키기 위한 규제당국(특히 소비자, 반독점, 정보보호) 간 긴밀한 협력이 중요시되고 있는 상황은 좋은 기회라고 볼 수 있음
집행의 방향
앞으로 관련 규제당국은 프라이버시 친화적 기술(privacy-enhancing technologies) 등 프라이버시를 중시하는 것이 경쟁상의 이점이 될 수 있도록 유도해야함. 이를 위해 규제당국이 고려할 수 있는 사항들은 아래와 같음
첫째, 현재 대기업들은 이용자들의 프라이버시 보호에 있어서 신뢰를 상실하였으며, 소비자들은 이용자 행위를 추적하는 트래킹(tracking)을 피하거나 자신의 개인정보 통제권을 행사하려고 할 때 각종 장벽들에 부딪히고 있는 상황임. 예컨대, 서비스 제공에 필요하지도 않은 광범위한 트래킹에 동의하지 않고서는 웹사이트에 대한 접근이 사실상 어려운 ‘쿠키 장벽(cookie walls)’을 예로 들 수 있음. 디지털 시장의 독점적 사업자들은 프라이버시 친화적인 사업자들(서비스 제공에 기술적으로 필요한 경우에만 트래킹을 하는 사업자)의 시장 진입을 배제시켜 왔음
둘째, 프라이버시는 서비스의 품질을 판단하기 위한 요소가 될 수 있고, 또한 ‘무료’ 서비스의 실제 가격을 판단하는 기준이 될 수 있음. 상품 또는 서비스의 품질을 판단하기 위한 요소로서 프라이버시가 저해되었다면 이는 곧 경쟁법과 소비자법 모두에 관련 있는 소비자 이익의 저해(detriment)로 볼 수 있음. ‘무료’ 서비스의 이용 대가로서 개인정보는 서비스 제공 외의 목적으로 수집되는 만큼 비용이 되고 소비자의 행태를 왜곡시키는 효과도 갖는데, 집행당국은 소비자들이 낮은 비용에 합리적인 선택을 할 수 있도록 해야 함
셋째, 디지털 시장의 정보주체로서 소비자는 힘과 정보에 있어서 매우 불균형한 상황에 있음. 독점적 플랫폼들은 시장에서의 독점력과 수직적 통합을 이용해 얻은 개인정보들을 조합하여 이용자를 차별적으로 취급할 수 있고, 불공정하고 기망적인 행위를 할 수도 있음. 또한 개인이나 중소기업에 비해 가격과 품질에 대한 정보가 충분한 대기업들은 이를 이용하여 소비자의 잉여를 더 많이 가져올 수 있는 상황에 있음
넷째, 프라이버시 친화적인 서비스들을 제공하는 시장은 아직 취약한 상황임. 현재 시장에서 프라이버시 경쟁을 촉진시키기 위한 입법적인 발전들(GDPR의‘프라이버시 친화적 설계(data protection by design) 의무, 정보이동권 보장(right to data portability) 의무 등)이 이뤄지고 있지만, 이러한 노력들이프라이버시와 표현의 자유가 경쟁의 목표가 되는 시장 여건의 조성으로 이어지게 될지 여부는 불확실. 규제 당국들은 각자의 규제수단을 활용하여 이러한 경쟁이 이뤄질 수 있도록 하는 한편, 혁신과 품질로서 프라이버시를 저해하는 반경쟁적 행위들을 제재해야 함
권고사항
EU 집행당국은, 현재 갖고 있는 규제수단을 활용하여 개인의 기본적 권리와 자유가 번성하는 여건을 조성하기 위해 노력해야 하고, 관련 영역들에 시너지 효과를 내기 위해 공조해야 함. EDPS는 이를 위한 세 가지 실천적인 권고사항을 제시함
첫째, 빅데이터 관련 기업결합 사건에서 개인의 이해가 좀 더 반영되도록 해야 함. 단순히 매출액을 기준으로만 판단할 것이 아니라, 상당한 양의 개인정보를 축적해두었지만 아직 수익화 하지 않은 상태에 있는 디지털 회사들(less established digital companies)의 결합에 대해서도 조사할 필요성이 있음. EDPS는 향후 그와 같은 기업결합에서 소비자 후생을 평가하는 방법 등에 대한 전문적인 자문으로 규제 당국들을 지원해줄 것임
둘째, 디지털 분야 법 집행을 위한 클리어링 하우스(clearing house)를 만들 것을 제안함. 클리어링 하우스는 관련 규제당국들이 개별 회원국 및 EU 단계에서 상호간 소통할 수 있도록 하는 임의 네트워크를 의미. 클리어링 하우스는, 하나 이상의 법 영역에 걸쳐있는 사건을 다루기 위해서 어떠한 규제수단이 가장 적절한지에 대해 토의하고, 정보보호 · 소비자보호 · 경쟁법상 기업결합 또는 착취남용의 영역에서 통일적으로 적용되는 위해성 기준(theories of harm)을 결정하는 한편, 당국 상호 간의 협력과 이해 및 시너지 효과를 증진시키는 역할을 할 수 있을 것
셋째, 웹 상에 EU 가치 친화적인 공동지대(Common area)를 만들 것을 제안함. 즉, 개인 이용자가 트래킹 당할 두려움이나 자신에 대한 부당한 추정(inference)이 만들어질 수 있다는 우려가 없이 이용할 수 있는, 프라이버시 친화적인 공간을 웹 상에 만들 것을 제안함. 현재 시민사회와 일부 개발자들이 트래킹과 프로파일링 없는 서비스를 제공하고 있는데, 이러한 것들이 참고 모델이 될 수 있을 것임
□ 결론 및 시사점
EDPS는 이번 의견서를 통해, 빅데이터 시대에서 프라이버시를 보호하고 기본권들을 지키기 위한 조치들이 더 필요하고, 관련 규제당국들 간 긴밀한 협력을 통한 통일적인 법 집행(cohesion)이 필요하다는 입장을 분명하게 표명하였음
9. 29. EC경쟁담당 위원인 Vestager는 이번 EDPS 의견서에 대해 언급하면서, 기업결합 시 해당 사업자의 매출액은 크지 않지만 가치 있는 정보를 갖고 있는 경우 이를 고려대상으로 보아야 하는지 그 필요성에 대해 검토 중이라고 밝히고, 빅데이터 관련 효과적인 경쟁법 집행을 위한 Directive 형식의 새로운 입법을 내년 중에 마련할 수도 있다고 언급
빅데이터와 사물인터넷 등 기술의 발전에 따라 과거의 시각으로는 포착할 수 없는 새로운 이슈들이 생겨나고 있고, 현재 EU에서는 이러한 새로운 유형의 침해 행위들에 대응하기 위한 다양한 논의들이 이뤄지고 있음. 향후 우리나라에서도 충분히 이와 관련된 규제 이슈가 부상할 수 있으므로, 국제적인 법 집행과 논의 동향을 계속적으로 주시할 필요가 있음
※ 참고자료
· 유럽 개인정보보호 감독기구(EDPS) 의견서
https://edps.europa.eu/sites/default/files/publication/16-09-23_bigdata_opinion_en.pdf
· 경쟁담당 집행위원(Margrethe Vestager) EDPS-BEUC 컨퍼런스 발표문
2. 이태리 반독점 당국, 왓츠앱 메시징 서비스에 대한 조사 착수
ㅇ (개요) 2016. 10. 28. 이태리 반독점 당국은, 메시징 서비스 사업자인 WhatsApp이 이용자들에게 모회사인 Facebook과 개인정보를 공유하는 것에 동의하도록 강제하고 부당한(unfair) 서비스 이용 조건을 제시하였는지 여부에 대한 조사에 착수하였음
ㅇ (배경) 2016. 8. 25. WhatsApp과 Facebook 기업결합과 프라이버시 정책 변경*
WhatsApp은 전 세계에서 이용자 수가 가장 많은 메시징 앱으로, 이용자의 전체 주소록 정보를 스캔해서 보유하지만 (Facebook과 달리) 이를 이용하여 마케팅을 하지는 않았음
2014년 Facebook은 WhatsApp을 160억 달러에 인수하고 이용자 개인정보를 수집하지 않겠다고 약속함. 그러나 2016. 8. 25. WhatsApp은 기존의 프라이버시 정책을 변경하여 Facebook과 이용자 개인정보를 공유하고 이를 타겟팅 광고 목적으로 활용한다고 발표
* 변경된 정책에 따르면, 이용자들은 광고 목적의 활용에 대해서는 한 달 이내로 opt-out이 가능하지만, 정보 공유 자체에 대해서는 opt-out이 불가능함
유럽 각 규제당국은 이러한 정책변경에 즉각 부정적 반응을 나타내고 있음. 예컨대 독일 정보보호 당국은 Facebook과 WhatsApp의 이용자 정보 공유 중단 명령을 내렸고, 유럽 각국 정보보호 당국자로 구성된 집행위원회(European Commission, “EC”) 조직인 29조 작업반(Article 29 Working Party)은 WhatsApp에 우려 서한을 전달하였음
ㅇ (내용) 이태리 반독점 당국은 WhatsApp이 이용자들로 하여금, 서비스 이용 조건(개인정보의 공유 포함)에 동의하지 않으면 서비스를 이용할 수 없게 될 것으로 믿도록 했는지 여부에 대해 조사 중이라고 밝힘
또한 WhatsApp 이용 조건에 제공자만 동의를 소멸시킬 수 있는 권리를 갖는 것으로 되어 있고, 서비스에 대해 부당한(unjustified) 방해를 포함하고 있는 것에 대해 검토 중이라고 언급
조사 결과에 따라서 최대 5,000,000 유로까지 과징금을 부과할 수 있음
ㅇ (시사점) 최근 EU를 중심으로 빅데이터에 대한 경쟁법의 관심이 확산되고 있음. 지난 2016년 3월 독일 연방카르텔청이 페이스북에 대해 부당한 프라이버시 정책으로 소셜 네트워크 시장에서의 지배적 지위를 남용했는지 여부에 대한 조사에 착수한 것이 대표적 사례임. 이번 WhatsApp의 정책 변경 사건도 같은 맥락에서 이해할 수 있으며 EC경쟁당국에서도 관심을 보이고 있으므로, 관련 동향을 계속적으로 파악할 필요가 있음
※ 참고자료
WhatsApp의 프라이버시 정책 변경 기사 https://www.theguardian.com/technology/2016/aug/25/whatsapp-to-give-users-phone-number-facebook-for-targeted-ads
유럽 규제당국의 반응에 대한 기사
https://www.ft.com/content/aa8bb7a8-9d2a-11e6-8324-be63473ce146
독일 정보보호 당국의 정보공유 중지명령 기사
이태리 반독점 당국의 페이스북 조사착수 기사
http://www.reuters.com/article/us-italy-antitrust-whatsapp-idUSKCN12S21T