블로그

생성형 인공지능(AI)이 가져올 미래 변화와 우리 기업의 대응방안

 

홍대식 교수(서강대학교 법학전문대학원, ICT법경제연구소장)

이 글은 2023. 5. 9. 오후에 대한상공회의소와 테크앤트레이드 포럼(Tech & Trade Forum)이 같은 주제로 개최한 세미나에서 필자가 Session 2 토론문으로 준비한 원고입니다.

이 세미나에 관한 언론 보도는 테크앤트레이트 연구원  홈페이지 미디어센터(보러가기) 참조.

  챗GPT 등장은 GPT와 같은 초거대 AI를 기반으로 한 생성형 AI 서비스의 출현을 알리는 서막이라고 할 수 있습니다. 우리는 이미 주로 디지털 플랫폼 사업자를 통해서 제공되는 다양한 디지털 서비스를 일상적으로 누리고 있지만, 챗GPT가 등장하기 전까지 AI는 온라인 검색엔진, 온라인 동영상 서비스 등 일상화된 디지털 서비스의 성능을 향상시키기 위한 기술적 기반으로 작용하였을 뿐, 그 자체가 새로운 서비스로 인식되지는 못했습니다. 따라서 산업과 시장의 관점에서는 디지털 플랫폼 사업분야별로 특정 사업자가 시장지배적 지위를 갖거나 관문지킴이(gatekeeper)로서 쏠림(tipping) 현상을 초래한다는 우려를 자아내던 기존의 디지털 서비스의 판도를 바꿀 수 있는 위협으로 보이지는 않았습니다. 챗GPT가 등장하여 역사상 가장 빠른 기간 내에 전세계 이용자의 선택을 받는 서비스가 되면서, 디지털 세상에서 AI 기술이 갖는 위상 자체가 결정적으로 변했습니다. 바야흐로 초거대 AI와 이를 기반으로 하는 생성형 AI 서비스는 모바일 OS와 이를 기반으로 하는 앱마켓 서비스 이후 디지털 시장에서 가장 유력한 전복자(disruptor)가 되고 있습니다.  

  챗GPT의 서비스 제공 주체는 오픈AI라는 스타트업 기업이지만, 그 기업에 대한 주요 투자자로서 새로운 사업모델 설계와 출시의 동반자가 기존 빅테크 중 하나인 마이크로소프트라는 점은 흥미롭습니다. 마이크로소프트는 모바일 혁명으로 구글과 애플이 디지털 시장의 강자로 부상하기 전까지 PC 시장을 장악하면서 난공불락으로 보이던 독점기업이었기 때문입니다. 오픈AI와 마이크로소프트가 제휴하여 선발자의 우위를 차지한 생성형 AI 분야에서 구글과 마이크로소프트 사이의 게임 역학의 변화는 향후 디지털 시장의 진로에 대한 예측을 어렵게 만들고 있습니다. 여기서 두 가지 질문이 제기될 수 있습니다. 첫째, 초거대 AI가 기존 디지털 플랫폼 시장에 주는 충격은 디지털 시장에서의 경쟁의 경로를 바꾸고 새로운 경쟁 구도를 만들어낼 것인가? 둘째, 만일 그런 경쟁 구도 변화가 현실화된다면 기존의 경쟁 구도를 전제로 도입, 강화되고 있는 디지털 플랫폼 규제를 재검토할 여지는 없는가?

  챗GPT의 등장으로 가장 직접적으로 영향을 받는 기존 디지털 서비스 시장은 일반검색 서비스 시장입니다. 구글과 같이 검색창을 통해 이용자가 입력하는 검색어에 대응하여 검색결과로 정보를 제공하고 그렇게 수집, 축적된 데이터를 토대로 한 광고 기반 사업모델로 성장한 구글과 같은 일반검색 서비스 사업자는 AI 챗봇의 성장에 따라 그 사업모델에 위협을 받게 될 것으로 보입니다. 구글은 AI 챗봇의 성장에 대응하기 위해 자체적인 초거대 AI의 개발에 박차를 가하게 될 수밖에 없는데 그로 인해 이용자가 검색엔진에서 AI 챗봇을 전환할 경우 기존 수익원의 일부가 잠재적으로 잠식될 수 있기 때문입니다. 예를 들어 AI 챗봇을 장착한 마이크로소프트의 Bing은 광고 기반 모델이 아닌 구독 모델을 채택하고 검색 우선순위를 차지하기 위한 광고를 필요로 하지 않는 서비스로 변모하면서 구글의 광고 기반 모델을 잠식할 수 있습니다. 이런 현상은 우선 온라인 검색엔진에서 두드러지게 나타나고 있으나, AI 챗봇 외에 GPT 언어 모델을 기반으로 한 다른 유형의 파생적 서비스가 출현할 경우 핵심 플랫폼으로 여겨지는 온라인 중개 서비스, 온라인 SNS 등 다른 온라인 플랫폼 서비스 분야에도 유사한 충격이 올 수 있습니다.

  챗GPT 서비스를 출시한 사업자가 기존 빅테크가 아닌 오픈AI라는 것은 새로운 경쟁자의 출현이라는 점에서 의미가 있으나, 오픈AI가 기존 빅테크 중 하나인 마이크로소프트와 배타적 거래관계에 있다는 점은 경쟁 이슈가 될 수 있습니다. 마이크로소프트와 오픈AI의 제휴 서비스가 구글이 주도하는 일반검색 서비스 시장의 외연을 확장하면서 경쟁을 촉진하는 것은 긍정적인 측면이지만, 챗GPT의 기술적 기반인 GPT 언어 모델과 그 훈련에 사용된 데이터에 대한 접근성이 줄어드는 것은 부정적인 측면입니다. 초거대 AI는 디지털 세상에서 새로운 시장을 얻기 위한 경쟁(competition for the market)의 새 지평을 열 것으로 기대되지만, 새로 형성하게 될 시장은 과연 경쟁적으로 형성될 것인지, 기존 디지털 플랫폼 사업분야에서 문제가 되고 있는 자사우대, 결합판매 등을 통한 시장지배력 전이 전략, 데이터 집중의 이슈가 자생적으로 해소될 것인지는 불투명합니다. 경우에 따라서는 GPT 언어 모델과 그 훈련 데이터에 대한 접근성을 높이기 위한 상호운용성(interoperability) 규제 도입이 논의될 수도 있습니다.

  초거대 AI를 기반으로 한 생성형 AI 서비스 사업자가 기존 디지털 플랫폼 사업모델 및 수익 확보 전략과 다른 어떤 사업모델 및 수익 확보 전략을 취할 것인지도 관전 포인트입니다. 생성형 AI 서비스도 플랫폼화를 통하여 양면적 또는 다면적 사업모델로 진화할 수 있는데, 이때 요금 부과의 대상, 요금 책정의 방법 등 수익 확보 전략의 다변화가 예상됩니다. 또한 오픈AI와 그 제휴관계에 있는 마이크로소프트는 이미 선발자의 우위를 갖고 있으므로, 후발주자인 기존 빅테크가 경쟁 기술을 개발하는 다른 스타트업과 협력 또는 제휴관계를 맺거나 이를 인수할 경우 이에 대해서 경쟁법이 어떤 역할을 해야 할 것인지도 논의가 필요합니다.

  구글이 전세계 온라인 검색서비스 시장을 빠르게 장악해가면서 우려의 목소리가 높아지자 구글은 경쟁은 “한 클릭 밖에(One Click Away)” 있다고 주장하면서, IT 역사에서 영원한 승자는 없으니 섣부른 규제는 불필요하다고 했습니다. 그러나 온라인 검색서비스 시장에서의 구글 말고도 온라인 SNS 시장에서의 메타, 온라인 상거래 시장에서의 아마존 등 여러 디지털 시장에서 미국의 빅테크가 시장을 장악해가자 유럽연합(EU)은 일반데이터보호법(GDPR), 디지털시장법(DMA), 디지털서비스법(DSA)을 제정하는 등 빅테크 규제에 앞장서 왔습니다. 우리나라는 검색엔진, 모바일 메신저, 온라인 상거래 등 몇몇 주요 핵심 플랫폼 사업분야에서 국내 기업이 글로벌 경쟁의 위협에 대항하여 국내 시장을 비교적 잘 방어해왔으나, 국내적인 상황 때문에 EU의 규제를 벤치마킹한 새로운 규제 도입 시도가 끊임없이 일어나고 있습니다. EU에서는 초거대 AI 분야에서도 이렇다 할 경쟁력 있는 기업이 없으므로, 초거대 AI도 DMA에 정한 핵심 플랫폼 서비스의 하나로 추가하여 그 서비스 분야에서의 게이트키퍼를 지정하여 규제하겠다고 나올 수도 있습니다. 우리가 이런 흐름을 쫓아가야 할까요? 초거대 AI 분야에서 저만치 앞서가고 있는 미국의 기업들은 초거대 AI가 형성하는 새로운 시장에서의 경쟁이 “한 프롬프트 밖에(One Prompt Away)” 있다고 외치면서, 일반적인 경쟁 또는 소비자 보호 규제 외에 특별한 추가적인 규제를 받지 않고 경쟁력을 높여갈 때 우리 국회와 정부가 어떤 입법적, 정책적 선택을 할 것인지가 매우 중요한 시기가 도래하고 있는 것 같습니다. 잘못된 선택을 할 경우 돌이킬 수 있는 시간은 주어지지 않을지도 모릅니다. 

디지털 미디어 발전을 위한 미디어법 개편

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 전자신문 『전문테마 칼럼』 (2023. 2. 20.)에 실려 있는 글입니다.

(원문보러가기)

사외이사 책임 강화 동향: 최근 사례를 중심으로

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 삼일PwC 거버넌스센터 『거버넌스 포커스 Vol.20』 (2023. 2.)에 실려 있는 글입니다.

(원문 보러 가기)

1. 대규모 상장회사 사외이사의 책임을 강화하는 최근 판례 동향

가. 이사의 감시의무의 구체화로서 내부통제시스템 구축 및 운영의무

  주식회사의 이사는 이사의 선관주의의무의 하나로서 상호간에 다른 이사의 업무집행을 감시할 의무, 즉 감시의무가 인정된다. 상법에서 이사의 감시의무를 명시적으로 규정하고 있지는 않으나, 이를 인정하는 학계의 통설과 판례가 확립되어 있다. 판례는 이사의 감시의무에 관하여, 주식회사의 이사는 담당업무는 물론 다른 업무담당이사의 업무집행을 감시할 의무가 있으므로 스스로 법령을 준수해야 할 뿐 아니라 다른 업무담당이사들도 법령을 준수하여 업무를 수행하도록 감시·감독하여야 할 의무를 부담한다고 설명한다(대법원 2021. 11. 11. 선고 2017다222368 판결). 감시의무의 주체는 회사의 모든 이사가 된다. 회사의 이사는 사내이사, 사외이사, 그 밖에 상무에 종사하지 않는 이사, 그리고 대표이사로 구분되는데(상법 제317조 제2항 제8호, 제9호), 대표이사나 업무담당이사는 물론 상무에 종사하지 않는 사외이사, 기타 비상무이사와 같은 평이사에게도 감시의무가 인정된다.

  이사의 감시의무의 내용은 회사의 업무집행 상황에 대해 정확하게 조사할 의무와 위법 및 부당한 행위가 될 우려가 있음을 발견한 경우 즉시 시정조치를 강구해야 할 의무로 구성된다. 이사가 감시의무를 위반하였는지 판단하는 일반적인 기준으로 판례는 "업무집행이 위법하다고 의심할 만한 사유"라는 기준을 제시한다. 그에 따르면, 주식회사의 이사가 대표이사나 업무담당이사의 업무집행이 위법하다고 의심할 만한 사유가 있음에도 고의 또는 과실로 인하여 감시의무를 위반하여 이를 방치한 때에는 그 업무가 자신의 담당 업무가 아니거나 업무집행을 전혀 담당하지 않는다고 하더라도 감시의무 위반이 인정되어 회사가 입은 손해에 대한 배상책임을 부담한다(대법원 1985. 6. 25. 선고 84다카1954 판결 등 다수). 다만 이러한 기준은 이사가 업무집행 관여 여부와 관계없이 감시의무를 부담한다는 점에 초점이 있고, 적어도 합리적인 이사가 다른 업무담당이사의 업무집행에 있어서 조사의 필요성을 인정할 수 있는 계기가 되는 상황이 존재하는 것을 전제로 하는 점에 일정한 한계가 있었다.

  일반적인 기준 적용만으로는 이사의 감시의무 위반 여부를 판단하기 어려운 경우는 고도로 분업화되고 전문화된 대규모 회사에서 내부적인 사무분장에 따라 각자의 전문분야를 전담하여 처리하는 경우이다. 2008년 대법원의 대우 분식회계 사건(대법원 2008. 9. 11. 선고 2006다68636 판결 등)에서 이런 경우에는 “업무집행이 위법하다고 의심할 만한 사유”라는 기준만으로는 이사의 감시의무 위반 여부를 판단하기 어렵다는 문제가 법적 쟁점이 되었다. 대우기업집단의 계열회사 전반에서 이를 지시한 김우중 회장과 회계업무담당이사의 주도로 분식회계가 발생하였는데, 소송에서 계열회사의 대표이사나 다른 업무담당이사들은 내부적인 대규모 사무분장을 핑계로 분식회계를 의심할 만한 사정을 접하지 못했다는 항변이 제기되었다. 이에 대하여 법원은 감시의무의 구체적인 내용은 회사의 규모나 조직, 업종, 법령의 규제, 영업상황 및 재무상태에 따라 크게 다를 수 있는데, 고도로 분업화되고 전문화된 대규모의 회사에서 공동대표이사와 업무담당이사들이 내부적인 사무분장에 따라 각자의 전문 분야를 전담하여 처리하는 것이 불가피한 경우라 할지라도 그러한 사정만으로 다른 이사들의 업무집행에 관한 감시의무를 면할 수는 없다고 판단하였다. 이런 경우에는 업무집행이 위법하다고 의심할 만한 사유의 인식 계기가 있는지 여부와 관계없이 감시의무가 구체화될 수 있는데, 판례가 제시한 감시의무의 내용은 내부통제시스템의 구축 및 운영의무이다.

  내부통제시스템의 구축 및 운영의무는 합리적인 정보 및 보고시스템과 내부통제시스템, 통칭하여 내부통제시스템을 구축하고 그것이 제대로 작동하도록 배려할 의무를 말하고, 이런 의무는 대규모 회사의 이사회를 구성하는 개개 이사들에게 주어진다. 대규모 회사의 이사가 ① 내부통제시스템을 구축하고 그것이 제대로 작동되도록 하기 위한 노력을 전혀 하지 않거나 ② 위와 같은 시스템이 구축되었다 하더라도 회사 업무 전반에 대한 감시·감독의무를 이행하는 것을 의도적으로 외면한 결과, 다른 이사의 위법하거나 부적절한 업무집행 등 이사들의 주의를 요하는 위험이나 문제점을 알지 못하였다면, 이사의 감시의무 위반으로 인한 손해배상책임을 진다. 대우 분식회계 사건에서는 대우 계열회사들이 내부적으로 회계조직을 담당한 임직원들의 회계분식 시도를 방지하기 위하여 그 어떠한 합리적인 정보 및 보고시스템이나 내부통제시스템도 갖추지 못하였고, 분식 과정에 직접 관여하지 아니한 대우의 이사들이 분식회계의 가능성에 대비한 그 어떠한 주의도 기울인 바 없었다는 점, 그에 따라 분식 과정에 직접 관여한 임직원들은 다른 임직원들로부터 그 어떠한 제지나 견제도 받지 아니하였던 점 등이 문제가 되어 이사의 감시의무 위반으로 인한 회사에 대한 배상책임이 인정되었다.

 나. 내부통제시스템의 구축 및 운영의무의 내용, 정도와 범위

  대우 분식회계 사건에서 대규모 회사의 경우 내부통제시스템의 구축 및 운영의무 위반이 감시의무 위반이 될 수 있다는 점이 인정되었으나, 문제된 사안은 분식회계에 관한 것이었다. 회사의 회계부정을 방지하기 위한 제도로는 2003년에 「주식회사 등의 외부감사에 관한 법률」(‘외감법’)에 도입된 내부회계관리제도가 존재하기 때문에 회계 업무와 관련한 내부통제시스템에 관해서는 법에 정한 조직을 갖추고 그 기준과 절차를 준수하는 것으로 이사의 감시의무 위반으로 문제될 수 있는 리스크를 많이 줄일 수 있다. 그에 비해 회계 업무 외의 업무 영역에서 이사의 감시의무 위반이 성립할 수 있는 컴플라이언스 리스크(compliance risk)가 어떤 것이고 이에 어떻게 대처해야 하는지는 명확하지 않았다.

  2021년 대법원의 유니온스틸 사건(대법원 2021. 11. 11. 선고 2017다222368 판결)과 2022년 대법원의 대우건설 사건(대법원 2022. 5. 12. 선고 2021다279347 판결)은 이 쟁점에 대한 하나의 방향성을 제시해주는 사건이다. 두 사건은 회사의 업종은 다르지만(유니온스틸은 철강산업, 대우건설은 건설산업) 두 회사 다 가격담합, 입찰담합과 같은 부당한 공동행위라는 높은 법적 위험이 있는 위법한 업무집행이 문제되었다는 점에 공통점이 있다. 부당한 공동행위는 「독점규제 및 공정거래에 관한 법률」(‘공정거래법’)에 위반한 행위이므로 외감법상 회계정보의 작성 및 공시, 오류 통제를 위한 제도로서 회계분야에 한정되는 내부회계관리제도에서 다루어지는 사항이 아니다. 따라서 내부회계관리제도를 구축하였다고 하여 이러한 위법행위를 방지하기 위하여 합리적인 내부통제시스템을 갖추었다고 보기는 어렵다.

  대법원은 내부통제시스템은 비단 회계의 부정을 방지하기 위한 회계관리제도에 국한되는 것이 아니라, 회사가 사업운영상 준수해야 하는 제반 법규를 체계적으로 파악하여 그 준수 여부를 관리하고, 위반사실을 발견한 경우 즉시 신고 또는 보고하여 시정조치를 강구할 수 있는 형태로 구현되어야 한다고 판시하여, 대규모 회사의 이사의 감시의무를 이행하기 위하여 갖추어야 할 내부통제시스템의 내용과 그 형태를 분명히 하였다. 즉 내부통제시스템은 회계관리제도에 국한되지 않고 ① 제반 법규의 체계적 파악 및 준수 여부 관리(위법행위에 대한 사전 방지), 그리고 ② 위법행위 탐지 관련 정보 수집·보고 및 통제(위법행위에 대한 사후 복원) 장치로서 기능해야 한다. 이를 위해서는 먼저 회사의 목적이나 규모, 영업의 성격 및 법령의 규제 등에 비추어 높은 법적 위험이 있는 중대한 법률행위가 무엇인지를 파악하여야 한다. 대법원은 유니온스틸의 경우 영위하는 사업인 철강산업의 특수성에 비추어, 대우건설의 경우 공공기관이 발주하는 대규모 공사를 수주할 수 있는 대형 건설회사가 한정되어 있는 사정에 비추어 부당한 공동행위의 가능성이 상시 존재하므로 이런 위법행위를 방지하기 위한 합리적인 내부통제시스템을 갖출 필요성이 있다고 보았다.

  법원은 이사의 감시의무 위반의 정도를 판단할 때 대표이사, 업무담당이사와 사외이사와 같은 평이사에 대하여 다른 판단기준을 적용하는 것으로 보인다. 대표이사와 업무집행이사는 회사의 업무집행을 전혀 담당하지 아니하는 평이사에 비하여 보다 높은 주의의무를 부담한다는 것(대법원 2008. 9. 11. 선고 2007다31518 판결)이 판례의 입장이다. 대표이사만이 관여된 유니온스틸 사건과 대표이사, 업무담당이사뿐만 아니라 사외이사도 관여된 대우건설 사건에서도 내부통제시스템 구축 및 운영의무의 정도와 범위에 관하여 그 차이가 나타난다.

  특히 회사 업무의 전반을 총괄하여 다른 이사의 업무집행을 감시·감독하여야 할 지위에 있는 대표이사가 회사의 목적이나, 규모, 영업의 성격 및 법령의 규제 등에 비추어 높은 법적 위험이 예상되는 경우임에도 이와 관련된 내부통제시스템을 구축하고 그것이 제대로 작동되도록 하기 위한 노력을 전혀 하지 않거나 위와 같은 시스템을 통한 감시·감독의무의 이행을 의도적으로 외면한 결과 다른 이사 등의 위법한 업무집행을 방지하지 못하였다면, 이는 대표이사로서 회사 업무 전반에 대한 감시의무를 게을리한 것이라고 할 수 있다. 즉 대표이사와 관련된 업무담당이사는 업무집행의 일환으로 내부감시시스템을 구축할 기회와 권한이 주어지므로, 법적 위험이 예상되는 경우 내부시스템을 직접 구축하고 작동되도록 하여야 하는 강화된 의무를 부담한다. 법적 위험이 인정되는 회사의 사업분야에서 지속적이고 조직적으로 가격담합이 이루어졌음에도, 가격담합에 직접 관여한 임직원들이 대표이사를 비롯한 다른 임직원들로부터 그 어떠한 제지나 견제도 받지 않았음이 인정될 경우, 이는 그 자체로 회사의 업무 전반에 대한 감시·감독의무를 이행하여야 하는 대표이사가 가격담합 행위를 의도적으로 외면하였거나 적어도 가격담합의 가능성에 대비한 그 어떠한 주의도 기울이지 않았음을 의미한다.

  이에 대하여 회사의 업무집행을 담당하지 않는 사외이사 등은 내부통제시스템이 전혀 구축되어 있지 않는데도 내부통제시스템 구축을 촉구하는 등의 노력을 하지 않거나 내부통제시스템이 구축되어 있더라도 제대로 운영되고 있지 않다고 의심할 만한 사유가 있는데도 이를 외면하고 방치하는 등의 경우에 감시의무 위반으로 인정될 수 있다. 즉 사외이사의 의무는 내부통제시스템 구축 및 운영을 촉구하여야 하는 의무이다. 사외이사는 내부통제시스템에 대해서 인식하거나 논의할 수 있는 기회가 매우 제한적이고 회사의 내부조직을 통하여 내부통제시스템을 직접 구축할 수는 없기 때문이다. 다만 대우건설 사건에서 대법원은 사외이사를 포함한 이사들이 임직원의 입찰담합 시도를 방지, 차단하기 위한 어떠한 보고 또는 조치도 요구하지 않았고, 이와 관련한 내부통제시스템의 구축 또는 운영에 관하여도 전혀 주의를 기울이지 않았다는 점에서 이사의 감시의무 위반을 인정하였다. 

빅테크 기업들의 개인정보 보호 강화조치가 시장경쟁에 미치는 영향과
 공정거래 정책 방향 검토

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 한국공정거래조정원 『2022년 공정거래 학술연구 지원사업 연구보고서』 (2023. 1. 6.)에 실려 있는 글입니다.

(원문 보러 가기)

가. 디지털 경제에서의 플랫폼 비중의 증대 및 지배적 사업자 등장

플랫폼 기반의 양면시장은 지난 30년간 인터넷- 경제를 유지·발전시켜왔다. 플랫폼은 경제시스템의 신뢰를 보증하는 중개인의 역할을 하면서 일정한 수수료와 광고 수입을 창출한다. 반면에 플랫폼이 생태계 구성의 중심이 되는 시장구조는 네트워크 외부효과를 가져왔고, 승자독식의 구조를 가져오는 문제를 야기할 수 있다. 플랫폼 중심적인 생태계 내부에서 플랫폼 사업자는 양면시장형 사업모델을 통하여 이용자에게 혜택을 주는 제로 가격(zero-price) 서비스를 다양하게 공급하는 장점이 있다. 반면에 그와 같은 서비스 제공의 재원이 되는 상거래 또는 광고 서비스 영역에서 플랫폼에 의존하는 이용사업자에게 부과되는 가격 책정을 주도하고 이용사업자에게 불공정한 이용조건을 제시하는 등 플랫폼 생태계 내부에서 정보, 이용조건에 대한 협상과 결정에서의 힘의 균형을 자신에게 유리한 방식으로 유도할 능력을 가질 수 있다.

플랫폼 사업자가 자신을 둘러싼 플랫폼 생태계 내부에서 영향력을 행사할 능력을 갖는 것으로 보이더라도 역동적이고 혁신적인 디지털 경제의 현황에 비추어 그렇게 할 유인이 있는지를 살피는 것도 중요하다. 플랫폼 사업자가 실제로 그 영향력을 행사할 유인을 갖는지 여부는 생태계 간의 경쟁의 정도나 역동성, 플랫폼 생태계를 구성하는 이해당사자들의 의존성 등 여러 요인을 고려해서 판단하여야 한다. 다만 디지털 경제에서의 플랫폼 비중이 증대하고 특정 플랫폼으로의 쏠림(tipping) 현상이 발생하며 지배적 사업자가 등장함에 따라 최근 들어 디지털 경제의 상당한 부분에서 시장의 경합가능성과 공정성이 자율적으로 달성되기 어려울 것이라는 정책적인 우려가 높아지고 있다. 또한 플랫폼에서의 생산자와 이용자에 대한 권리보호뿐만 아니라 일부 플랫폼 노동자에 대한 보호에 미흡한 부분이 생길 수 있다.

나. 개인정보의 경제적 중요성 증대와 개인정보보호 이슈

플랫폼 중심적인 양면시장의 운영은 이용자의 개인정보를 필요로 한다. 데이터 경제의 출현과 활성화를 위한 개인정보의 경제적 중요성이나 가치가 높아지면서 수집하는 개인정보가 다양해지고 있다. 개인정보가 포함된 데이터의 수집과 상업적 이용의 단계에서 사업자와 소비자 간의 정보 비대칭과 그로 인한 소비자 이익 저해 우려에 대하여 개인정보보호법으로 대처하기 어려운 상황에서 소비자법 내지는 경쟁법의 역할에 대한 논의가 제기된다. 페이스북의 부당한 개인정보 수집․이용행위가 데이터 착취남용행위가 될 수 있다는 잠정적 판단을 전제로 하여 연방카르텔청의 처분에 대한 하급심법원의 집행정지 결정을 파기환송한 2020년 독일 연방대법원의 결정이 대표적인 사건이다. 우리나라에서도 메타(페이스북)가 국내 이용자의 최소 330만 명에 대한 학력, 경력, 출신지, 결혼·연애 여부 등을 이용자의 동의 없이 제3자에게 제공한 행위에 대하여 2020년 10월 개인정보보호위원회로부터 67억 원의 과징금이 부과되었다.

개인정보보호 수준은 경쟁법의 관점에서 비가격(non-price) 경쟁변수의 하나인 소비자 선택 가능성으로 인식될 수도 있고 품질을 구성하는 요소로 논의될 수 있다. 독일의 페이스북 사건은 개인정보보호 수준을 낮추는 행위를 소비자 선택 가능성 침해행위 또는 품질 저하로 인한 소비자이익 침해행위로서 경쟁법의 영역으로 포섭하기 위한 시도라고 볼 수 있다. 그러나 경쟁법은 실제적 또는 가상적 경쟁 상황에서 형성될 수 있는 개인정보보호 수준을 상정하여 이를 침해하는 행위를 사후적으로 규제할 수 있을 뿐 개인정보보호 수준을 특정한 수준 이상으로 개선하도록 유도하는 기능을 하기는 어렵다.

개인정보의 수집․활용을 사업모델의 원천으로 하는 사업자가 개인정보 보호 수준을 특정한 수준 이상으로 개선하도록 유도하는 제도적인 기반은 개인정보보호법제가 된다. 애플이나 구글과 같은 빅테크 기업이 개인정보보호를 강화하기 위한 새로운 정책을 도입하려고 하는 것도 다양한 개인정보보호 관련 법제의 발전과 관련이 있다. 유럽연합(EU)의 「일반데이터보호법」(General Data Protection Regulation, GDPR)에서 설계 단계부터 기술적으로 개인정보를 보호하는 구조를 갖출 것을 요구하고(data protection by design) 미국에서도 빅테크 기업들의 본사가 많이 소재하고 있는 캘리포니아에서 2020년 7월 「캘리포니아 소비자 프라이버시 보호법」(California Consumer Privacy Act, CCPA)이 시행되는 등 입법 환경의 변화가 빅테크 기업의 정책 변경에 영향을 주었다.

다. 빅테크의 개인정보보호 강화 움직임과 새로운 경쟁 문제의 대두

개인정보의 유출 사고나 미흡한 개인정보 관리로 인하여 기업의 리스크도 증대하고 있어 기업들은 개인정보보호를 강화하는 정책을 도입하고 있다. 빅테크 기업은 개인정보 처리에 관하여 보호 수준을 높이는 것에서 더 나아가 개인정보보호 강화를 명분으로 한 새로운 정책을 도입하거나 도입하려고 하고 있다. 대표적인 것이 애플과 구글의 ‘사용자 동의 없는 개인정보 추적 금지’ 정책 도입이다.

이처럼 개인정보보호를 강화하는 움직임에 대해서 개인정보보호와 데이터 시장의 독점적 지배력 강화의 두 가지 상충하는 문제가 발생할 수 있다. 개인정보보호 강화를 위한 새로운 정책이 이용자의 개인정보보호 수준을 높이더라도 이용사업자의 상업적 데이터 접근을 어렵게 할 경우 데이터 시장의 독점화 도구로 활용될 위험성이 제기될 수 있다. 온라인 서비스의 경쟁 과정에서 데이터의 중요성을 고려할 때, 개인정보보호 강화 정책이 데이터 경쟁우위를 갖지 못한 사업자의 데이터 접근 제한을 초래한다면 빅테크 기업의 데이터 독점과 맞물린 문제가 될 수 있다.

따라서 개인정보보호 강화를 위한 빅테크 기업들의 새로운 정책이 이용자의 개인정보보호 수준을 높이더라도 이용사업자의 상업적 데이터 접근을 어렵게 할 경우 데이터 시장의 독점화 도구로 활용될 위험성에 대한 연구가 필요하다. 우리나라의 경우 그동안 개인정보보호와 공정거래의 규제기관의 권한과 역할이 분리되어 있었다고 볼 수 있으나, 차후 두 영역에서 발생하는 문제는 혼재될 가능성이 있어 이에 대한 연구도 필요하다.

라. 개인정보를 내포한 데이터 접근 제한행위에 대한 경쟁법적 평가

데이터 접근 제한행위를 경쟁법적으로 평가하기 위하여 참고가 될 수 있는 사례는 이미 존재한다. EU의 Magill 사건, IMS Health 사건과 Microsoft 사건은 저작권에 의하여 보호되는 정보의 보유자가 그 정보에 대한 접근 허락을 거절한 행위가 문제 된 사건인데, 여기서 제시된 법리는 지식재산권과 같은 법적인 배타적 지배권으로 보호되지 않고 사실상 배타적 지배권이 인정되는 데이터에도 일정한 선행문제가 해결되는 것을 전제로 할 때 유추될 수 있다. 저작권에 의하여 보호되는 정보에 대한 접근 제한행위가 그 행위의 경쟁 관련성(relevance to competition)으로 인하여 경쟁법적 문제가 되는 것과 유사하게 개인정보를 내포한 데이터 접근 제한행위도 경쟁 관련성을 가질 수 있다는 점에서 경쟁법적 문제가 될 수 있다.

일반적으로 데이터 접근 제한행위가 경쟁 관련성을 갖는다는 점은 이미 경쟁법학계와 실무계에서도 폭넓게 받아들여지고 있다. 데이터의 경쟁 관련성은 기업의 경쟁력이 관련 데이터에 대한 적시의 접근 그리고 데이터를 이용하여 새롭고 혁신적인 애플리케이션과 상품을 개발하는 능력에 더욱더 의존하게 되는 상황과 연결된다. 이를 토대로 데이터 주도의 경제(data-driven economy)에 특유한 경쟁침해이론을 발전시키기 위한 이론적 시도가 일어나고 있다.

데이터 중에서도 개인정보가 내포된 데이터 접근 제한행위에 대한 경쟁법적 평가는 저작권에 의하여 보호되는 정보 접근 제한행위의 경우와 유사한 쟁점을 제기한다. 접근 제한행위의 대상이 되는 정보가 저작권에 의하여 보호되는 경우 저작권과 경쟁법의 교차 영역에서 가치 형량의 문제가 발생하는 것처럼 접근 제한행위의 대상이 되는 데이터에 개인정보가 내포된 경우 개인정보보호법과 경쟁법의 교차 영역에서 가치 형량의 문제가 발생할 수 있기 때문이다. 예를 들어 상업적 가치가 있는 데이터세트 보유자의 데이터 접근 제한행위가 경쟁법적으로 문제가 되더라도 그 보유자가 자신의 행위가 개인정보보호 조치를 위한 것이라고 주장하는 경우이다.

데이터 독점 관련 경쟁법 이슈 연구

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 한국공정거래조정원 『2020년 LEG 연구보고서 』 (2022. 12. 30.)에 실려 있는 글입니다.

(원문 보러 가기)

데이터는 오프라인 경제 시대에도 상품의 생산 또는 서비스의 제공 과정에서 중요한 역할을 해왔다. 데이터는 사업자가 어떤 상품 또는 서비스를 생산 또는 제공하여 어떤 가격 기타 거래조건으로 어떤 고객을 대상으로 제공할 것인지에 관한 의사결정 과정에서 중요한 역할을 하기 때문이다. 사업자가 의사결정 과정에 참조하기 위하여 데이터를 얻고 이를 내부적으로 처리하는 것이 그 자체로 문제가 되지는 않지만, 가격 기타 거래조건 결정에 민감한 경쟁자의 데이터를 교환하거나 부당한 방법으로 취득하는 것은 경쟁법적 문제를 야기할 수 있다. 또한 데이터가 개인정보의 성격을 갖는 것이라면 그 데이터의 수집, 이용, 제3자 제공 등의 처리가 개인정보보호법의 적용 대상이 될 수 있는데, 이는 특별한 상황이 아니면 경쟁법적 이슈는 아니다.

그러나 오프라인 경제에서의 데이터와 관련된 사업자의 활동을 데이터 경제(data economy) 또는 데이터 주도 경제(data-driven economy)와 연결시키지는 않는다. 오프라인 경제에서는 데이터가 사업자의 의사결정 과정에 도움을 주는 보조적인 역할을 할 뿐이지 그 자체가 독자적인 경제활동으로 인식되지는 않았기 때문이다. 데이터 경제 또는 데이터 주도 경제라는 용어가 본격적으로 등장하고 널리 사용된 것은 온라인서비스의 확대와 밀접한 관련이 있다. 온라인 서비스에서는 데이터가 단순히 의사결정 과정의 수단에 그치는 것이 아니라 서비스의 중요한 투입요소(input)가 되기 때문이다. 그에 따라 온라인 세계에서는 데이터 수집, 가공, 분석 등 처리하는 과정이 그 자체로 경제활동이 되고 있을 뿐만 아니라 이런 데이터를 투입요소로 하는 다양한 경제활동이 활발하게 일어나고 있다.

데이터 경제와 데이터 주도 경제라는 용어는 서로 구분 없이 사용되고 있지만, 굳이 구분하자면 데이터 처리 과정이 경제활동이 되는 경우를 데이터 경제로, 이런 데이터를 투입요소로 하는 경제활동이 이루어지는 경우를 데이터 주도 경제로 볼 수 있다. 데이터 경제 또는 데이터 주도 경제가 온라인 서비스와 밀접한 관련이 있다는 점에서, 여기서 말하는 데이터는 주로 디지털 데이터이다. 디지털 데이터는 기계 판독이 가능한 형태의 데이터를 말한다.

데이터 경제와 관련된 데이터를 단순한 데이터와 구별하여 빅데이터(big data)라고 부르고 특별한 의미를 부여하는 논의도 많이 발전하였다. 빅데이터는 표현 그대로 대용량의 데이터를 전제로 한 것이지만 단순히 용량이 많다는 것에 그치지 않고 그 안에 종전에 데이터베이스, 전자화된 파일 등의 형태로 이용되었던 정형(structured) 데이터뿐만 아니라 반정형(semi-structured) 데이터와 비정형(unstructured) 데이터도 포함되고, 이런 다양한 데이터가 분석 대상이 되어 가치 창출의 원천이 된다는 데 그 의의가 있다. 그런 점에서 빅데이터는 과거 시스템으로는 처리할 수 없었던 다양한 형태의 대용량의 데이터세트(dataset)와 그로부터 가치를 추출하고 결과를 분석하는 기술을 포함하는 의미로 이해할 필요가 있다.이런 의미에서의 빅데이터는 공정거래위원회('공정위')의 '기업결합심사기준'에서 정의하는 정보자산을 형성할 수 있다. 또한 빅데이터 기술의 발전은 지능정보서비스를 생산하고 이를 제공 또는 거래하는 시장을 창출하는 기반이 된다는 점에서 시장의 창출을 전제로 하는 경쟁법 분야에서 중요한 의미가 있다.

데이터 경제 또는 데이터 경제 시대에서의 경쟁법적 관점에서의 과제는 다음과 같은 몇 가지 측면에서 제기된다. 첫째, 데이터 경제의 출현과 그 활성화를 위해서는 온라인 서비스의 경쟁 과정에서의 데이터의 중요성이 강조되므로, 개인정보의 보호와 활용의 조화를 위한 법적 기준을 정립하기 위한 경쟁법의 역할이 요구된다. 둘째, 개인정보의 보호와 활용의 조화를 위한 법제가 어느 정도 정비된 것을 전제로 할 때, 개인정보가 포함된 데이터의 수집과 상업적 이용의 단계에서 사업자와 소비자 간의 정보 비대칭과 그로 인한 소비자 이익 저해 우려에 대처하기 위한 경쟁법의 역할이 검토될 수 있다. 셋째, 온라인 서비스의 경쟁 과정에서의 데이터의 중요성을 고려할 때, 데이터 경쟁우위를 갖고 있는 사업자와 그렇지 못한 사업자 간에 데이터 접근성 측면에서 경쟁자가 필적할 수 없는 경쟁 기반의 격차가 형성되는 것은 아닌지, 그로 인한 경쟁제한행위 발생 가능성은 없는지 경쟁법적으로 검토될 필요가 있다. 

첫째, 개인정보의 보호와 활용의 조화를 위한 법적 기준을 정립하기 위한 경쟁법의 역할은 경쟁법의 집행보다는 경쟁주창(competition advocacy)과 관련된 역할이다. 너무 엄격한 개인정보보호법제가 시행될 경우 빅데이터의 수집과 분석의 가능성이 영향을 받고 그로 인하여 데이터 수집, 활용을 통한 사업자들 간의 경쟁 과정이 저해될 수 있다. 유럽연합(EU)은 2016년 5월 「일반개인정보보호법(General Data Protection Regulation, ‘GDPR’)」을 제정하고 이 법은 2018년 5월부터 시행되고 있는데, 이 법의 제정 과정에서 데이터 경제에서의 국제적 경쟁의 왜곡을 회피하고 경쟁적인 평평한 운동장(level playing field)을 조성할 필요성이 회원국 경쟁당국에서 제기되었다. 우리나라에서도 기존의 개인정보보호법제가 데이터 주도의 양면시장형 사업모델에 잘 맞지 않고 데이터 경제 시대에 경쟁제한적인 규제로 작용할 수 있다는 문제가 제기되기도 하였으나, 실제로 2020년 2월 개정된 「개인정보보호법」 등 이른바 데이터 경제 3법의 개정 작업 과정에서 경쟁당국인 공정위나 경쟁법학계가 경쟁법적 관점에서 어떤 기여를 하였는지는 분명하지 않다. 

둘째, 개인정보가 포함된 데이터의 수집과 상업적 이용의 단계에서 사업자와 소비자 간의 정보 비대칭과 그로 인한 소비자 이익 저해 우려에 대처하기 위한 경쟁법의 역할이다. 개인정보보호법은 사업자가 개인정보처리자로서 정보주체인 개인으로부터 개인정보를 수집, 이용하거나 제3자에게 제공할 때 적용되는 사전동의 규칙과 사후통제 규칙을 마련하고 있는데, 이는 정보주체의 개인정보자기결정권이라는 헌법적 권리를 보호하기 위한 제도이지만 이를 통하여 소비자로서의 정보주체의 이익도 보호될 수 있다. 그러나 개인정보보호법은 데이터 거래와 이를 통한 시장의 형성을 전제로 한 법은 아니므로, 개인정보보호법만으로는 개인정보가 포함된 데이터의 상업적 이용에 따른 문제에 충분히 대처하기 어렵다는 문제 제기가 있어 왔다. 그에 따라 개인정보보호의 문제는 비단 개인정보보호법의 문제에 국한되지 않고 소비자 보호의 문제로, 더 나아가 경쟁 보호의 문제로 진화되었다.

특히 2013년 6월 유럽 데이터 보호 감독기관(European Data Protection Supervisor, 'EDPS')에서 주최한 워크숍은 빅데이터 문제를 경쟁법적 관심사로 인식하려는 시도가 국제적으로 공식화되는 계기가 되었다.EDPS는 2014년 3월 워크숍에서의 논의를 정리하여 보고서를 발간하였는데, 이 보고서는 2014년 2월 Facebook이 Whatsapp을 190억 달러에 인수하고 미국과 유럽의 경쟁당국이 이 기업결합 사건에 대한 심사를 하는 도중에 발표되어 미국과 유럽의 경쟁법 학자 및 실무자들 사이에 이 보고서에서 제시된 의견과 관련된 수많은 논쟁을 불러일으켰다. 미국에서는 이미 2007년 미국 연방거래위원회(Federal Trade Commission, 'FTC')에서 Google/DoubleClick 기업결합 사건의 결정과 이 사건에서의 Harbour 위원의 반대의견을 계기로 비가격 경쟁요소로서의 데이터의 중요성에 관한 유사한 논쟁이 진행되어왔다.

독일 연방카르텔청(Bundeskartellamt)이 2019년 2월 페이스북(Facebook)의 개인정보 수집과 이용에 관한 개인정보처리방침과 이용약관의 운영 방식을 문제삼아 이에 대하여 독일 경쟁법상 시장지배적 지위 남용행위 규정을 적용하여 규제한 사건은 데이터의 수집·이용 단계에서의 경쟁법 적용의 가능성을 보여준 대표적인 사례이다. 이 사건에서 독일 연방카르텔청은 문제되는 행위가 개인정보보호법에 위반한다는 성격 자체를 착취남용과 연결한 데 반하여, 연방카르텔청의 결정에 대한 법원의 집행정지 사건에서 연방대법원은 경쟁법 고유의 기준으로서 소비자 선택 기준을 적용하려고 시도하고 있다.

이에 비해 「약관의 규제에 관한 법률」('약관규제법')에 의하여 공정위가 약관에 대한 추상적 통제 권한을 갖고 있는 우리나라에서는 개인정보보호 수준이 문제된 온라인 서비스 사업자들의 약관조항이 약관규제법에 의한 제재를 받은 사례가 있을 뿐이다. 이 사건에서의 공정위의 판단에서 주목되는 부분은  문제되는 약관조항을 사용한 행위가 2020년 2월 개정 전 개인정보보호법이나 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(‘정보통신망법’)에 정한 원칙에 위배되거나 그 법률들에 정한 사업자의 의무를 준수하지 않은 행위의 성격을 갖고 있다는 점을 약관규제법상 불공정성 판단에서 매우 비중 있게 고려하고 있다는 점이다.