블로그

C2C 플랫폼의 사업모델과 개인정보보호의 문제

 

최 요 섭 (한국외국어대학교 국제지역대학원)

(전문 보러가기)

1. 들어가며

최근 C2C(consumer to consumer)형태의 개인 간 중고거래가 증가하면서, 지난 몇 년 동안 전자상거래법 개정을 통해 구매자를 보호하자는 논의가 있었다. 공정거래위원회의 전자상거래법 전부개정안에 소비자로서의 구매자 보호를 위해 중개플랫폼이 개인 판매자 정보를 획득하도록 강제하는 규정이 포함되었고, 2022년에 이에 대한 찬반논의가 많았다. 이 글은 플랫폼 중심의 중고거래 관련 소비자보호의 문제를 플랫폼의 특징 및 규제의 문제를 중심으로 논의하는 것을 목적으로 한다.

2. C2C 디지털 플랫폼의 분석 및 관련 규제의 문제점

2.1. 디지털 플랫폼과 네트워크효과

디지털 플랫폼의 성장 및 성공과 관련하여 네트워크효과는 중요한 요건이 된다. 특히, ‘메카프의 법칙(Metcalf’s law)’은 네트워크효과가 네트워크 참여자들뿐만 아니라 네트워크를 소유하거나 관리하는 사업자가 어떻게 가치를 창출하는 지를 설명하는 중요한 이론이 된다. 예를 들어, 전화망의 가치는 가입자 수가 증가할수록 비선형적으로 증가하게 되는데, 이는 가입자들을 통해 더 많은 망의 연결을 만들어 낸다. 이러한 경우, 시장에 최초 참여하거나 발전시킨 사업자에게 최초 가치는 없거나 매우 낮으며, 이는 최초 시장에 진출한 사업자가 상당한 사업 리스크를 감수한다는 것을 의미한다(밴 엘스타인 외). 네트워크효과를 크게 네 가지 내용 또는 형태로 구분할 수 있으며, 그 내용은 다음과 같다:

1. 직접 네트워크효과(direct network effect 또는 one-side network effect)

2. 간접 네트워크효과(indirect network effect 또는 cross-side network effect)

3. 긍정적 네트워크효과(positive network effect)

4. 부정적 네트워크효과(negative network effect)  

   위 네 종류의 네트워크효과에서 디지털 플랫폼이 중요하게 고려하는 부분은 간접 네트워크효과와 긍정적 네트워크효과이다. 무엇보다 최종이용자인 개인이 자유롭게 참여 또는 시장진입이 가능하게 하는 것이 C2C 사업모델에서 중요한 내용과 고려요소가 된다. 간접네트워크효과의 경우, 다면시장에서 한 면 그룹의 이용자의 수가 증가하면 다른 면 그룹의 이용자 또는 참여자 수의 증감에 영향을 주는 것을 의미한다. 긍정적 네트워크효과의 경우, 위와 같은 양면의 효과에서 긍정적인 효과가 발생하여 참여자 수의 증가가 가능한 경우를 의미한다. 따라서 중개플랫폼은 간접 네트워크효과와 긍정적 네트효과의 증진을 통해 수익을 발생시키는 것을 사업의 목적으로 하는 경우가 많다.

   C2C 플랫폼을 포함하여 대부분의 디지털 플랫폼은 큐레이션(curation)의 방법을 통해 간접 네트워크효과와 긍정적 네트워크효과를 유지한다(밴 앨스타인 외). 플랫폼의 큐레이션은 관련 서비스의 품질을 유지하여 플랫폼에 참여하는 이용자가 탈퇴하지 않고 관련 서비스를 이용하도록 유도하는 방법이라 할 수 있다. 따라서 불법콘텐츠 또는 불법거래 등을 사전에 차단하거나 관련 문제를 빠르게 해결하여 참여하는 이용자의 수를 증진시키는 데에 큐레이션의 방법과 내용은 중요하다. 이러한 큐레이션의 예로는 자율규제가 있는데, 최근 당근마켓이 알고리즘을 사용하여 사기거래 및 불법거래를 사전에 확인하는 방법이 이에 해당할 수 있다.

2.2. 디지털 플랫폼의 등장과 중고거래의 발전

최근 국내 매체들이 젊은 세대들의 소비경향에 대해서 많이 논의하고 있다. 소위 MZ세대(밀레니엄 세대와 Z세대를 통칭)들이 소유가 아닌 순환으로서의 소비형태를 추구하는 것으로 보이며, 이는 중고거래의 활성화를 의미한다. 무엇보다 C2C 플랫폼의 등장과 발전은 자원의 순환과 활용을 가능하게 하였으며 사회 전체 후생의 증진으로 이어진다. 이러한 긍정적인 효과를 보장하기 위해 디지털 플랫폼은 어느 정도의 거래 통제를 하고 있다. 예를 들어, 플랫폼은 사업모델로서 개방형 또는 폐쇄형 그리고 중간형태의 통제 모델을 유지하거나 변경하기도 한다. 위에서 언급한 큐레이션의 정도에 따라 개방형 혹은 폐쇄형으로 구분할 수 있으나 대부분의 경우 중간형태의 모델을 가지는 것이 일반적이다.

   최근 이용자의 소비행태를 반영하는 C2C의 경우에도 중간 형태의 모델을 채택하는 것으로 보인다. 앞서 설명한 바와 같이, C2C 거래에서의 불만과 분쟁해결의 방법으로 품질이 좋은 중개서비스를 보장하여 네트워크효과를 증진시키는 것이 중요한 서비스 제공 목적이 되며, 이를 위해 자율규제가 관련 분야에서 논의되고 있다.

   자율규제 중심의 큐레이션은 완전한 폐쇄형 또는 개방형은 아니지만, 애플(Apple)사와 같은 폐쇄형보다는 구글 안드로이드와 같은 개방형의 성격이 좀 더 강하다고 할 수 있다. 그 이유는 양면 혹은 다면시장의 이용자 그룹에 무료 서비스를 제공하면서, 과도한 의무를 부과하지 않아야 긍정적 네트워크효과를 발생시킬 수 있기 때문이다. 따라서 구매자인 이용자보호를 목적으로 플랫폼이 과도하게 개인 판매자의 개인정보를 수집하고 이를 개인 구매자에게 제공하게 할 경우, 긍정적 네트워크효과 보다는 부정적 네트워크효과가 발생할 가능성이 높아지게 된다. 일반적으로 플랫폼의 무료 서비스(freemium) 관련 데이터 프라이버시 문제가 자주 발생할 수 있는데 이러한 상황을 무시하고 개인정보를 과도하게 수집하는 경우, 부정적 네트워크효과가 발생할 수 있다. 따라서 장기적인 측면에서 이용자의 민감한 개인정보를 수집하고 제공하도록 강제하는 규제는 플랫폼과 이용자 모두에게 부정적으로 작용할 수 있다.

2.3. 거래플랫폼과 비거래플랫폼

유튜브, 에이비앤비, 위키피디아와 같은 플랫폼은 제공하는 서비스의 품질 관리에 많은 비용과 노력을 할애하고 있다. 이는 이용자의 신뢰를 구축하는 측면에서 매우 중요하다. 관련하여 중고나라와 당근마켓과 같은 C2C 플랫폼의 큐레이션은 플랫폼의 서비스 품질관리 역량과 관련이 깊다. 다시 말해, 소비자의 매칭 서비스 품질에 대한 신뢰가 사업모델 성패에 중요하며, 이는 네트워크효과 유지와 관련이 있다. 서비스 품질의 정도는 매칭의 정도와 연관된다.

   디지털 플랫폼을 서비스의 내용에 따라 유형을 구분하는 경우가 많다. 예를 들어, 거래관여형 또는 매칭형 등으로 구분하는 경우도 있으나, 거래를 중심으로 크게 두 가지 유형으로 구분이 가능하다. 먼저 거래플랫폼의 경우, 둘 이상의 이용자 그룹의 구성원(이용자) 사이를 중개하여 두 그룹 사이에서 직접 거래가 이루어지도록 하는 플랫폼(예: 마켓컬리, 쿠팡과 같은 오픈마켓)이 있다. 이러한 플랫폼은 전자상거래법상 통신판매중개자에 해당되며, 이들 플랫폼은 주로 중개수수료로 수익을 창출한다. 두 번째로 비거래플랫폼이 있다. 비거래플랫폼은 양면 그룹의 이용자들이 비정형적인 상호작용을 통해 가치를 얻는 플랫폼(예: SNS 또는 신문사)이며, 광고를 통해 수익을 창출한다. 따라서 데이터, 맞춤형 광고 및 알고리즘 이슈가 비거래플랫폼에서 중요한 주제가 된다. 당근마켓과 같은 C2C의 경우, 비거래플랫폼의 사업모델을 가지고 있다(혹은 매칭 플랫폼으로 구분할 수도 있음). 최근에는 플랫폼들이 다양한 사업에 진출하면서 수익을 창출하고 있기 때문에, 두 유형의 경계가 모호한 경우가 많아지고 있다.

2.4. 비거래플랫폼의 사업모델 규제에 대한 문제점

위에서 언급한 전자상거래법 개정안은 거래를 중개하지만 거래플랫폼이 아닌 비거래플랫폼의 사업모델특징을 가지고 있는 C2C 플랫폼에 대해서 잘못된 규제방법이 문제가 되었다고 할 수 있다. 비거래플랫폼의 사업(수익)모델을 가지고 있는 C2C 플랫폼 분야에 행태적인 접근방법(formalistic approach)의 거래플랫폼 규제를 적용하는 것이 근본적인 문제점이다. 가치교환 혹은 거래가 발생하는 경우에, 이를 무조건 거래플랫폼으로 인식해서는 안 되며 실제 수익모델을 기준으로 규제정책의 틀을 설계할 필요가 있다. 전자상거래법은 비대면 거래로 인한 정보비대칭의 문제를 해결하기 위한 것으로, 이는 중요한 소비자보호 규제정책의 목적이 된다. 그러나 인접지역에서의 대면을 통한 중고거래 플랫폼의 경우 소비자보호 측면에서의 전자상거래라고 할 수 없으며, 비거래플랫폼 서비스로 정의 또는 획정할 필요가 있다.

   디지털 경제 관련, 시장실패 해결을 위한 정부개입은 오히려 정부실패를 발생시킬 수 있으며, 이는 플랫폼 사업모델 규제에서도 반복될 수 있다. 특히 최근 긍정적 네트워크효과를 위해 플랫폼 사업자 사이에서 데이터 보안을 포함하여 데이터 프라이버시 보호의 경쟁이 발생하고 있다. 대규모 플랫폼은 다양한 방법으로 데이터 프라이버시 보호를 위한 정책을 수립하고 있는데, 구글의 프라이버시 샌드박스와 애플의 App Tracking Transparency(ATT)가 중요한 예로 논의되기도 한다. 이러한 플랫폼 생태계를 이해하지 못하고 과도하게 규제하는 경우, 오히려 비효율적인 규제포획 또는 규제덤불의 문제가 발생하게 된다.

   C2C 플랫폼이 개인정보를 과도하게 수집했을 때의 다양한 문제점이 발생할 수 있다. 무엇보다 양면시장에서 각 그룹의 상호작용을 창출하거나 유지하기 위해 플랫폼 사업자는 개인정보를 보호하는 것이 매우 중요하다. 소비자 또는 이용자들의 프라이버시보호의 요구가 지속적으로 증가하고 있으며, 플랫폼에게는 소비자들의 요구에 부합하기 위해 긍정적 네트워크효과와 관련된 큐레이션 또는 거버넌스를 발전시킬 수밖에 없다. 플랫폼 사이에서 “데이터수집의 경쟁”과 “데이터보호의 경쟁”이 동시에 이루어지고 있는 상황에서 민감한 개인정보 수집 및 제공을 강제하는 소비자보호정책은 경쟁정책과 개인정보보호정책과 충돌할 수 있다.

생성형 인공지능(AI)이 가져올 미래 변화와 우리 기업의 대응방안

 

홍대식 교수(서강대학교 법학전문대학원, ICT법경제연구소장)

이 글은 2023. 5. 9. 오후에 대한상공회의소와 테크앤트레이드 포럼(Tech & Trade Forum)이 같은 주제로 개최한 세미나에서 필자가 Session 2 토론문으로 준비한 원고입니다.

이 세미나에 관한 언론 보도는 테크앤트레이트 연구원  홈페이지 미디어센터(보러가기) 참조.

  챗GPT 등장은 GPT와 같은 초거대 AI를 기반으로 한 생성형 AI 서비스의 출현을 알리는 서막이라고 할 수 있습니다. 우리는 이미 주로 디지털 플랫폼 사업자를 통해서 제공되는 다양한 디지털 서비스를 일상적으로 누리고 있지만, 챗GPT가 등장하기 전까지 AI는 온라인 검색엔진, 온라인 동영상 서비스 등 일상화된 디지털 서비스의 성능을 향상시키기 위한 기술적 기반으로 작용하였을 뿐, 그 자체가 새로운 서비스로 인식되지는 못했습니다. 따라서 산업과 시장의 관점에서는 디지털 플랫폼 사업분야별로 특정 사업자가 시장지배적 지위를 갖거나 관문지킴이(gatekeeper)로서 쏠림(tipping) 현상을 초래한다는 우려를 자아내던 기존의 디지털 서비스의 판도를 바꿀 수 있는 위협으로 보이지는 않았습니다. 챗GPT가 등장하여 역사상 가장 빠른 기간 내에 전세계 이용자의 선택을 받는 서비스가 되면서, 디지털 세상에서 AI 기술이 갖는 위상 자체가 결정적으로 변했습니다. 바야흐로 초거대 AI와 이를 기반으로 하는 생성형 AI 서비스는 모바일 OS와 이를 기반으로 하는 앱마켓 서비스 이후 디지털 시장에서 가장 유력한 전복자(disruptor)가 되고 있습니다.  

  챗GPT의 서비스 제공 주체는 오픈AI라는 스타트업 기업이지만, 그 기업에 대한 주요 투자자로서 새로운 사업모델 설계와 출시의 동반자가 기존 빅테크 중 하나인 마이크로소프트라는 점은 흥미롭습니다. 마이크로소프트는 모바일 혁명으로 구글과 애플이 디지털 시장의 강자로 부상하기 전까지 PC 시장을 장악하면서 난공불락으로 보이던 독점기업이었기 때문입니다. 오픈AI와 마이크로소프트가 제휴하여 선발자의 우위를 차지한 생성형 AI 분야에서 구글과 마이크로소프트 사이의 게임 역학의 변화는 향후 디지털 시장의 진로에 대한 예측을 어렵게 만들고 있습니다. 여기서 두 가지 질문이 제기될 수 있습니다. 첫째, 초거대 AI가 기존 디지털 플랫폼 시장에 주는 충격은 디지털 시장에서의 경쟁의 경로를 바꾸고 새로운 경쟁 구도를 만들어낼 것인가? 둘째, 만일 그런 경쟁 구도 변화가 현실화된다면 기존의 경쟁 구도를 전제로 도입, 강화되고 있는 디지털 플랫폼 규제를 재검토할 여지는 없는가?

  챗GPT의 등장으로 가장 직접적으로 영향을 받는 기존 디지털 서비스 시장은 일반검색 서비스 시장입니다. 구글과 같이 검색창을 통해 이용자가 입력하는 검색어에 대응하여 검색결과로 정보를 제공하고 그렇게 수집, 축적된 데이터를 토대로 한 광고 기반 사업모델로 성장한 구글과 같은 일반검색 서비스 사업자는 AI 챗봇의 성장에 따라 그 사업모델에 위협을 받게 될 것으로 보입니다. 구글은 AI 챗봇의 성장에 대응하기 위해 자체적인 초거대 AI의 개발에 박차를 가하게 될 수밖에 없는데 그로 인해 이용자가 검색엔진에서 AI 챗봇을 전환할 경우 기존 수익원의 일부가 잠재적으로 잠식될 수 있기 때문입니다. 예를 들어 AI 챗봇을 장착한 마이크로소프트의 Bing은 광고 기반 모델이 아닌 구독 모델을 채택하고 검색 우선순위를 차지하기 위한 광고를 필요로 하지 않는 서비스로 변모하면서 구글의 광고 기반 모델을 잠식할 수 있습니다. 이런 현상은 우선 온라인 검색엔진에서 두드러지게 나타나고 있으나, AI 챗봇 외에 GPT 언어 모델을 기반으로 한 다른 유형의 파생적 서비스가 출현할 경우 핵심 플랫폼으로 여겨지는 온라인 중개 서비스, 온라인 SNS 등 다른 온라인 플랫폼 서비스 분야에도 유사한 충격이 올 수 있습니다.

  챗GPT 서비스를 출시한 사업자가 기존 빅테크가 아닌 오픈AI라는 것은 새로운 경쟁자의 출현이라는 점에서 의미가 있으나, 오픈AI가 기존 빅테크 중 하나인 마이크로소프트와 배타적 거래관계에 있다는 점은 경쟁 이슈가 될 수 있습니다. 마이크로소프트와 오픈AI의 제휴 서비스가 구글이 주도하는 일반검색 서비스 시장의 외연을 확장하면서 경쟁을 촉진하는 것은 긍정적인 측면이지만, 챗GPT의 기술적 기반인 GPT 언어 모델과 그 훈련에 사용된 데이터에 대한 접근성이 줄어드는 것은 부정적인 측면입니다. 초거대 AI는 디지털 세상에서 새로운 시장을 얻기 위한 경쟁(competition for the market)의 새 지평을 열 것으로 기대되지만, 새로 형성하게 될 시장은 과연 경쟁적으로 형성될 것인지, 기존 디지털 플랫폼 사업분야에서 문제가 되고 있는 자사우대, 결합판매 등을 통한 시장지배력 전이 전략, 데이터 집중의 이슈가 자생적으로 해소될 것인지는 불투명합니다. 경우에 따라서는 GPT 언어 모델과 그 훈련 데이터에 대한 접근성을 높이기 위한 상호운용성(interoperability) 규제 도입이 논의될 수도 있습니다.

  초거대 AI를 기반으로 한 생성형 AI 서비스 사업자가 기존 디지털 플랫폼 사업모델 및 수익 확보 전략과 다른 어떤 사업모델 및 수익 확보 전략을 취할 것인지도 관전 포인트입니다. 생성형 AI 서비스도 플랫폼화를 통하여 양면적 또는 다면적 사업모델로 진화할 수 있는데, 이때 요금 부과의 대상, 요금 책정의 방법 등 수익 확보 전략의 다변화가 예상됩니다. 또한 오픈AI와 그 제휴관계에 있는 마이크로소프트는 이미 선발자의 우위를 갖고 있으므로, 후발주자인 기존 빅테크가 경쟁 기술을 개발하는 다른 스타트업과 협력 또는 제휴관계를 맺거나 이를 인수할 경우 이에 대해서 경쟁법이 어떤 역할을 해야 할 것인지도 논의가 필요합니다.

  구글이 전세계 온라인 검색서비스 시장을 빠르게 장악해가면서 우려의 목소리가 높아지자 구글은 경쟁은 “한 클릭 밖에(One Click Away)” 있다고 주장하면서, IT 역사에서 영원한 승자는 없으니 섣부른 규제는 불필요하다고 했습니다. 그러나 온라인 검색서비스 시장에서의 구글 말고도 온라인 SNS 시장에서의 메타, 온라인 상거래 시장에서의 아마존 등 여러 디지털 시장에서 미국의 빅테크가 시장을 장악해가자 유럽연합(EU)은 일반데이터보호법(GDPR), 디지털시장법(DMA), 디지털서비스법(DSA)을 제정하는 등 빅테크 규제에 앞장서 왔습니다. 우리나라는 검색엔진, 모바일 메신저, 온라인 상거래 등 몇몇 주요 핵심 플랫폼 사업분야에서 국내 기업이 글로벌 경쟁의 위협에 대항하여 국내 시장을 비교적 잘 방어해왔으나, 국내적인 상황 때문에 EU의 규제를 벤치마킹한 새로운 규제 도입 시도가 끊임없이 일어나고 있습니다. EU에서는 초거대 AI 분야에서도 이렇다 할 경쟁력 있는 기업이 없으므로, 초거대 AI도 DMA에 정한 핵심 플랫폼 서비스의 하나로 추가하여 그 서비스 분야에서의 게이트키퍼를 지정하여 규제하겠다고 나올 수도 있습니다. 우리가 이런 흐름을 쫓아가야 할까요? 초거대 AI 분야에서 저만치 앞서가고 있는 미국의 기업들은 초거대 AI가 형성하는 새로운 시장에서의 경쟁이 “한 프롬프트 밖에(One Prompt Away)” 있다고 외치면서, 일반적인 경쟁 또는 소비자 보호 규제 외에 특별한 추가적인 규제를 받지 않고 경쟁력을 높여갈 때 우리 국회와 정부가 어떤 입법적, 정책적 선택을 할 것인지가 매우 중요한 시기가 도래하고 있는 것 같습니다. 잘못된 선택을 할 경우 돌이킬 수 있는 시간은 주어지지 않을지도 모릅니다. 

디지털 미디어 발전을 위한 미디어법 개편

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 전자신문 『전문테마 칼럼』 (2023. 2. 20.)에 실려 있는 글입니다.

(원문보러가기)

사외이사 책임 강화 동향: 최근 사례를 중심으로

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 삼일PwC 거버넌스센터 『거버넌스 포커스 Vol.20』 (2023. 2.)에 실려 있는 글입니다.

(원문 보러 가기)

1. 대규모 상장회사 사외이사의 책임을 강화하는 최근 판례 동향

가. 이사의 감시의무의 구체화로서 내부통제시스템 구축 및 운영의무

  주식회사의 이사는 이사의 선관주의의무의 하나로서 상호간에 다른 이사의 업무집행을 감시할 의무, 즉 감시의무가 인정된다. 상법에서 이사의 감시의무를 명시적으로 규정하고 있지는 않으나, 이를 인정하는 학계의 통설과 판례가 확립되어 있다. 판례는 이사의 감시의무에 관하여, 주식회사의 이사는 담당업무는 물론 다른 업무담당이사의 업무집행을 감시할 의무가 있으므로 스스로 법령을 준수해야 할 뿐 아니라 다른 업무담당이사들도 법령을 준수하여 업무를 수행하도록 감시·감독하여야 할 의무를 부담한다고 설명한다(대법원 2021. 11. 11. 선고 2017다222368 판결). 감시의무의 주체는 회사의 모든 이사가 된다. 회사의 이사는 사내이사, 사외이사, 그 밖에 상무에 종사하지 않는 이사, 그리고 대표이사로 구분되는데(상법 제317조 제2항 제8호, 제9호), 대표이사나 업무담당이사는 물론 상무에 종사하지 않는 사외이사, 기타 비상무이사와 같은 평이사에게도 감시의무가 인정된다.

  이사의 감시의무의 내용은 회사의 업무집행 상황에 대해 정확하게 조사할 의무와 위법 및 부당한 행위가 될 우려가 있음을 발견한 경우 즉시 시정조치를 강구해야 할 의무로 구성된다. 이사가 감시의무를 위반하였는지 판단하는 일반적인 기준으로 판례는 "업무집행이 위법하다고 의심할 만한 사유"라는 기준을 제시한다. 그에 따르면, 주식회사의 이사가 대표이사나 업무담당이사의 업무집행이 위법하다고 의심할 만한 사유가 있음에도 고의 또는 과실로 인하여 감시의무를 위반하여 이를 방치한 때에는 그 업무가 자신의 담당 업무가 아니거나 업무집행을 전혀 담당하지 않는다고 하더라도 감시의무 위반이 인정되어 회사가 입은 손해에 대한 배상책임을 부담한다(대법원 1985. 6. 25. 선고 84다카1954 판결 등 다수). 다만 이러한 기준은 이사가 업무집행 관여 여부와 관계없이 감시의무를 부담한다는 점에 초점이 있고, 적어도 합리적인 이사가 다른 업무담당이사의 업무집행에 있어서 조사의 필요성을 인정할 수 있는 계기가 되는 상황이 존재하는 것을 전제로 하는 점에 일정한 한계가 있었다.

  일반적인 기준 적용만으로는 이사의 감시의무 위반 여부를 판단하기 어려운 경우는 고도로 분업화되고 전문화된 대규모 회사에서 내부적인 사무분장에 따라 각자의 전문분야를 전담하여 처리하는 경우이다. 2008년 대법원의 대우 분식회계 사건(대법원 2008. 9. 11. 선고 2006다68636 판결 등)에서 이런 경우에는 “업무집행이 위법하다고 의심할 만한 사유”라는 기준만으로는 이사의 감시의무 위반 여부를 판단하기 어렵다는 문제가 법적 쟁점이 되었다. 대우기업집단의 계열회사 전반에서 이를 지시한 김우중 회장과 회계업무담당이사의 주도로 분식회계가 발생하였는데, 소송에서 계열회사의 대표이사나 다른 업무담당이사들은 내부적인 대규모 사무분장을 핑계로 분식회계를 의심할 만한 사정을 접하지 못했다는 항변이 제기되었다. 이에 대하여 법원은 감시의무의 구체적인 내용은 회사의 규모나 조직, 업종, 법령의 규제, 영업상황 및 재무상태에 따라 크게 다를 수 있는데, 고도로 분업화되고 전문화된 대규모의 회사에서 공동대표이사와 업무담당이사들이 내부적인 사무분장에 따라 각자의 전문 분야를 전담하여 처리하는 것이 불가피한 경우라 할지라도 그러한 사정만으로 다른 이사들의 업무집행에 관한 감시의무를 면할 수는 없다고 판단하였다. 이런 경우에는 업무집행이 위법하다고 의심할 만한 사유의 인식 계기가 있는지 여부와 관계없이 감시의무가 구체화될 수 있는데, 판례가 제시한 감시의무의 내용은 내부통제시스템의 구축 및 운영의무이다.

  내부통제시스템의 구축 및 운영의무는 합리적인 정보 및 보고시스템과 내부통제시스템, 통칭하여 내부통제시스템을 구축하고 그것이 제대로 작동하도록 배려할 의무를 말하고, 이런 의무는 대규모 회사의 이사회를 구성하는 개개 이사들에게 주어진다. 대규모 회사의 이사가 ① 내부통제시스템을 구축하고 그것이 제대로 작동되도록 하기 위한 노력을 전혀 하지 않거나 ② 위와 같은 시스템이 구축되었다 하더라도 회사 업무 전반에 대한 감시·감독의무를 이행하는 것을 의도적으로 외면한 결과, 다른 이사의 위법하거나 부적절한 업무집행 등 이사들의 주의를 요하는 위험이나 문제점을 알지 못하였다면, 이사의 감시의무 위반으로 인한 손해배상책임을 진다. 대우 분식회계 사건에서는 대우 계열회사들이 내부적으로 회계조직을 담당한 임직원들의 회계분식 시도를 방지하기 위하여 그 어떠한 합리적인 정보 및 보고시스템이나 내부통제시스템도 갖추지 못하였고, 분식 과정에 직접 관여하지 아니한 대우의 이사들이 분식회계의 가능성에 대비한 그 어떠한 주의도 기울인 바 없었다는 점, 그에 따라 분식 과정에 직접 관여한 임직원들은 다른 임직원들로부터 그 어떠한 제지나 견제도 받지 아니하였던 점 등이 문제가 되어 이사의 감시의무 위반으로 인한 회사에 대한 배상책임이 인정되었다.

 나. 내부통제시스템의 구축 및 운영의무의 내용, 정도와 범위

  대우 분식회계 사건에서 대규모 회사의 경우 내부통제시스템의 구축 및 운영의무 위반이 감시의무 위반이 될 수 있다는 점이 인정되었으나, 문제된 사안은 분식회계에 관한 것이었다. 회사의 회계부정을 방지하기 위한 제도로는 2003년에 「주식회사 등의 외부감사에 관한 법률」(‘외감법’)에 도입된 내부회계관리제도가 존재하기 때문에 회계 업무와 관련한 내부통제시스템에 관해서는 법에 정한 조직을 갖추고 그 기준과 절차를 준수하는 것으로 이사의 감시의무 위반으로 문제될 수 있는 리스크를 많이 줄일 수 있다. 그에 비해 회계 업무 외의 업무 영역에서 이사의 감시의무 위반이 성립할 수 있는 컴플라이언스 리스크(compliance risk)가 어떤 것이고 이에 어떻게 대처해야 하는지는 명확하지 않았다.

  2021년 대법원의 유니온스틸 사건(대법원 2021. 11. 11. 선고 2017다222368 판결)과 2022년 대법원의 대우건설 사건(대법원 2022. 5. 12. 선고 2021다279347 판결)은 이 쟁점에 대한 하나의 방향성을 제시해주는 사건이다. 두 사건은 회사의 업종은 다르지만(유니온스틸은 철강산업, 대우건설은 건설산업) 두 회사 다 가격담합, 입찰담합과 같은 부당한 공동행위라는 높은 법적 위험이 있는 위법한 업무집행이 문제되었다는 점에 공통점이 있다. 부당한 공동행위는 「독점규제 및 공정거래에 관한 법률」(‘공정거래법’)에 위반한 행위이므로 외감법상 회계정보의 작성 및 공시, 오류 통제를 위한 제도로서 회계분야에 한정되는 내부회계관리제도에서 다루어지는 사항이 아니다. 따라서 내부회계관리제도를 구축하였다고 하여 이러한 위법행위를 방지하기 위하여 합리적인 내부통제시스템을 갖추었다고 보기는 어렵다.

  대법원은 내부통제시스템은 비단 회계의 부정을 방지하기 위한 회계관리제도에 국한되는 것이 아니라, 회사가 사업운영상 준수해야 하는 제반 법규를 체계적으로 파악하여 그 준수 여부를 관리하고, 위반사실을 발견한 경우 즉시 신고 또는 보고하여 시정조치를 강구할 수 있는 형태로 구현되어야 한다고 판시하여, 대규모 회사의 이사의 감시의무를 이행하기 위하여 갖추어야 할 내부통제시스템의 내용과 그 형태를 분명히 하였다. 즉 내부통제시스템은 회계관리제도에 국한되지 않고 ① 제반 법규의 체계적 파악 및 준수 여부 관리(위법행위에 대한 사전 방지), 그리고 ② 위법행위 탐지 관련 정보 수집·보고 및 통제(위법행위에 대한 사후 복원) 장치로서 기능해야 한다. 이를 위해서는 먼저 회사의 목적이나 규모, 영업의 성격 및 법령의 규제 등에 비추어 높은 법적 위험이 있는 중대한 법률행위가 무엇인지를 파악하여야 한다. 대법원은 유니온스틸의 경우 영위하는 사업인 철강산업의 특수성에 비추어, 대우건설의 경우 공공기관이 발주하는 대규모 공사를 수주할 수 있는 대형 건설회사가 한정되어 있는 사정에 비추어 부당한 공동행위의 가능성이 상시 존재하므로 이런 위법행위를 방지하기 위한 합리적인 내부통제시스템을 갖출 필요성이 있다고 보았다.

  법원은 이사의 감시의무 위반의 정도를 판단할 때 대표이사, 업무담당이사와 사외이사와 같은 평이사에 대하여 다른 판단기준을 적용하는 것으로 보인다. 대표이사와 업무집행이사는 회사의 업무집행을 전혀 담당하지 아니하는 평이사에 비하여 보다 높은 주의의무를 부담한다는 것(대법원 2008. 9. 11. 선고 2007다31518 판결)이 판례의 입장이다. 대표이사만이 관여된 유니온스틸 사건과 대표이사, 업무담당이사뿐만 아니라 사외이사도 관여된 대우건설 사건에서도 내부통제시스템 구축 및 운영의무의 정도와 범위에 관하여 그 차이가 나타난다.

  특히 회사 업무의 전반을 총괄하여 다른 이사의 업무집행을 감시·감독하여야 할 지위에 있는 대표이사가 회사의 목적이나, 규모, 영업의 성격 및 법령의 규제 등에 비추어 높은 법적 위험이 예상되는 경우임에도 이와 관련된 내부통제시스템을 구축하고 그것이 제대로 작동되도록 하기 위한 노력을 전혀 하지 않거나 위와 같은 시스템을 통한 감시·감독의무의 이행을 의도적으로 외면한 결과 다른 이사 등의 위법한 업무집행을 방지하지 못하였다면, 이는 대표이사로서 회사 업무 전반에 대한 감시의무를 게을리한 것이라고 할 수 있다. 즉 대표이사와 관련된 업무담당이사는 업무집행의 일환으로 내부감시시스템을 구축할 기회와 권한이 주어지므로, 법적 위험이 예상되는 경우 내부시스템을 직접 구축하고 작동되도록 하여야 하는 강화된 의무를 부담한다. 법적 위험이 인정되는 회사의 사업분야에서 지속적이고 조직적으로 가격담합이 이루어졌음에도, 가격담합에 직접 관여한 임직원들이 대표이사를 비롯한 다른 임직원들로부터 그 어떠한 제지나 견제도 받지 않았음이 인정될 경우, 이는 그 자체로 회사의 업무 전반에 대한 감시·감독의무를 이행하여야 하는 대표이사가 가격담합 행위를 의도적으로 외면하였거나 적어도 가격담합의 가능성에 대비한 그 어떠한 주의도 기울이지 않았음을 의미한다.

  이에 대하여 회사의 업무집행을 담당하지 않는 사외이사 등은 내부통제시스템이 전혀 구축되어 있지 않는데도 내부통제시스템 구축을 촉구하는 등의 노력을 하지 않거나 내부통제시스템이 구축되어 있더라도 제대로 운영되고 있지 않다고 의심할 만한 사유가 있는데도 이를 외면하고 방치하는 등의 경우에 감시의무 위반으로 인정될 수 있다. 즉 사외이사의 의무는 내부통제시스템 구축 및 운영을 촉구하여야 하는 의무이다. 사외이사는 내부통제시스템에 대해서 인식하거나 논의할 수 있는 기회가 매우 제한적이고 회사의 내부조직을 통하여 내부통제시스템을 직접 구축할 수는 없기 때문이다. 다만 대우건설 사건에서 대법원은 사외이사를 포함한 이사들이 임직원의 입찰담합 시도를 방지, 차단하기 위한 어떠한 보고 또는 조치도 요구하지 않았고, 이와 관련한 내부통제시스템의 구축 또는 운영에 관하여도 전혀 주의를 기울이지 않았다는 점에서 이사의 감시의무 위반을 인정하였다. 

빅테크 기업들의 개인정보 보호 강화조치가 시장경쟁에 미치는 영향과
 공정거래 정책 방향 검토

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 한국공정거래조정원 『2022년 공정거래 학술연구 지원사업 연구보고서』 (2023. 1. 6.)에 실려 있는 글입니다.

(원문 보러 가기)

가. 디지털 경제에서의 플랫폼 비중의 증대 및 지배적 사업자 등장

플랫폼 기반의 양면시장은 지난 30년간 인터넷- 경제를 유지·발전시켜왔다. 플랫폼은 경제시스템의 신뢰를 보증하는 중개인의 역할을 하면서 일정한 수수료와 광고 수입을 창출한다. 반면에 플랫폼이 생태계 구성의 중심이 되는 시장구조는 네트워크 외부효과를 가져왔고, 승자독식의 구조를 가져오는 문제를 야기할 수 있다. 플랫폼 중심적인 생태계 내부에서 플랫폼 사업자는 양면시장형 사업모델을 통하여 이용자에게 혜택을 주는 제로 가격(zero-price) 서비스를 다양하게 공급하는 장점이 있다. 반면에 그와 같은 서비스 제공의 재원이 되는 상거래 또는 광고 서비스 영역에서 플랫폼에 의존하는 이용사업자에게 부과되는 가격 책정을 주도하고 이용사업자에게 불공정한 이용조건을 제시하는 등 플랫폼 생태계 내부에서 정보, 이용조건에 대한 협상과 결정에서의 힘의 균형을 자신에게 유리한 방식으로 유도할 능력을 가질 수 있다.

플랫폼 사업자가 자신을 둘러싼 플랫폼 생태계 내부에서 영향력을 행사할 능력을 갖는 것으로 보이더라도 역동적이고 혁신적인 디지털 경제의 현황에 비추어 그렇게 할 유인이 있는지를 살피는 것도 중요하다. 플랫폼 사업자가 실제로 그 영향력을 행사할 유인을 갖는지 여부는 생태계 간의 경쟁의 정도나 역동성, 플랫폼 생태계를 구성하는 이해당사자들의 의존성 등 여러 요인을 고려해서 판단하여야 한다. 다만 디지털 경제에서의 플랫폼 비중이 증대하고 특정 플랫폼으로의 쏠림(tipping) 현상이 발생하며 지배적 사업자가 등장함에 따라 최근 들어 디지털 경제의 상당한 부분에서 시장의 경합가능성과 공정성이 자율적으로 달성되기 어려울 것이라는 정책적인 우려가 높아지고 있다. 또한 플랫폼에서의 생산자와 이용자에 대한 권리보호뿐만 아니라 일부 플랫폼 노동자에 대한 보호에 미흡한 부분이 생길 수 있다.

나. 개인정보의 경제적 중요성 증대와 개인정보보호 이슈

플랫폼 중심적인 양면시장의 운영은 이용자의 개인정보를 필요로 한다. 데이터 경제의 출현과 활성화를 위한 개인정보의 경제적 중요성이나 가치가 높아지면서 수집하는 개인정보가 다양해지고 있다. 개인정보가 포함된 데이터의 수집과 상업적 이용의 단계에서 사업자와 소비자 간의 정보 비대칭과 그로 인한 소비자 이익 저해 우려에 대하여 개인정보보호법으로 대처하기 어려운 상황에서 소비자법 내지는 경쟁법의 역할에 대한 논의가 제기된다. 페이스북의 부당한 개인정보 수집․이용행위가 데이터 착취남용행위가 될 수 있다는 잠정적 판단을 전제로 하여 연방카르텔청의 처분에 대한 하급심법원의 집행정지 결정을 파기환송한 2020년 독일 연방대법원의 결정이 대표적인 사건이다. 우리나라에서도 메타(페이스북)가 국내 이용자의 최소 330만 명에 대한 학력, 경력, 출신지, 결혼·연애 여부 등을 이용자의 동의 없이 제3자에게 제공한 행위에 대하여 2020년 10월 개인정보보호위원회로부터 67억 원의 과징금이 부과되었다.

개인정보보호 수준은 경쟁법의 관점에서 비가격(non-price) 경쟁변수의 하나인 소비자 선택 가능성으로 인식될 수도 있고 품질을 구성하는 요소로 논의될 수 있다. 독일의 페이스북 사건은 개인정보보호 수준을 낮추는 행위를 소비자 선택 가능성 침해행위 또는 품질 저하로 인한 소비자이익 침해행위로서 경쟁법의 영역으로 포섭하기 위한 시도라고 볼 수 있다. 그러나 경쟁법은 실제적 또는 가상적 경쟁 상황에서 형성될 수 있는 개인정보보호 수준을 상정하여 이를 침해하는 행위를 사후적으로 규제할 수 있을 뿐 개인정보보호 수준을 특정한 수준 이상으로 개선하도록 유도하는 기능을 하기는 어렵다.

개인정보의 수집․활용을 사업모델의 원천으로 하는 사업자가 개인정보 보호 수준을 특정한 수준 이상으로 개선하도록 유도하는 제도적인 기반은 개인정보보호법제가 된다. 애플이나 구글과 같은 빅테크 기업이 개인정보보호를 강화하기 위한 새로운 정책을 도입하려고 하는 것도 다양한 개인정보보호 관련 법제의 발전과 관련이 있다. 유럽연합(EU)의 「일반데이터보호법」(General Data Protection Regulation, GDPR)에서 설계 단계부터 기술적으로 개인정보를 보호하는 구조를 갖출 것을 요구하고(data protection by design) 미국에서도 빅테크 기업들의 본사가 많이 소재하고 있는 캘리포니아에서 2020년 7월 「캘리포니아 소비자 프라이버시 보호법」(California Consumer Privacy Act, CCPA)이 시행되는 등 입법 환경의 변화가 빅테크 기업의 정책 변경에 영향을 주었다.

다. 빅테크의 개인정보보호 강화 움직임과 새로운 경쟁 문제의 대두

개인정보의 유출 사고나 미흡한 개인정보 관리로 인하여 기업의 리스크도 증대하고 있어 기업들은 개인정보보호를 강화하는 정책을 도입하고 있다. 빅테크 기업은 개인정보 처리에 관하여 보호 수준을 높이는 것에서 더 나아가 개인정보보호 강화를 명분으로 한 새로운 정책을 도입하거나 도입하려고 하고 있다. 대표적인 것이 애플과 구글의 ‘사용자 동의 없는 개인정보 추적 금지’ 정책 도입이다.

이처럼 개인정보보호를 강화하는 움직임에 대해서 개인정보보호와 데이터 시장의 독점적 지배력 강화의 두 가지 상충하는 문제가 발생할 수 있다. 개인정보보호 강화를 위한 새로운 정책이 이용자의 개인정보보호 수준을 높이더라도 이용사업자의 상업적 데이터 접근을 어렵게 할 경우 데이터 시장의 독점화 도구로 활용될 위험성이 제기될 수 있다. 온라인 서비스의 경쟁 과정에서 데이터의 중요성을 고려할 때, 개인정보보호 강화 정책이 데이터 경쟁우위를 갖지 못한 사업자의 데이터 접근 제한을 초래한다면 빅테크 기업의 데이터 독점과 맞물린 문제가 될 수 있다.

따라서 개인정보보호 강화를 위한 빅테크 기업들의 새로운 정책이 이용자의 개인정보보호 수준을 높이더라도 이용사업자의 상업적 데이터 접근을 어렵게 할 경우 데이터 시장의 독점화 도구로 활용될 위험성에 대한 연구가 필요하다. 우리나라의 경우 그동안 개인정보보호와 공정거래의 규제기관의 권한과 역할이 분리되어 있었다고 볼 수 있으나, 차후 두 영역에서 발생하는 문제는 혼재될 가능성이 있어 이에 대한 연구도 필요하다.

라. 개인정보를 내포한 데이터 접근 제한행위에 대한 경쟁법적 평가

데이터 접근 제한행위를 경쟁법적으로 평가하기 위하여 참고가 될 수 있는 사례는 이미 존재한다. EU의 Magill 사건, IMS Health 사건과 Microsoft 사건은 저작권에 의하여 보호되는 정보의 보유자가 그 정보에 대한 접근 허락을 거절한 행위가 문제 된 사건인데, 여기서 제시된 법리는 지식재산권과 같은 법적인 배타적 지배권으로 보호되지 않고 사실상 배타적 지배권이 인정되는 데이터에도 일정한 선행문제가 해결되는 것을 전제로 할 때 유추될 수 있다. 저작권에 의하여 보호되는 정보에 대한 접근 제한행위가 그 행위의 경쟁 관련성(relevance to competition)으로 인하여 경쟁법적 문제가 되는 것과 유사하게 개인정보를 내포한 데이터 접근 제한행위도 경쟁 관련성을 가질 수 있다는 점에서 경쟁법적 문제가 될 수 있다.

일반적으로 데이터 접근 제한행위가 경쟁 관련성을 갖는다는 점은 이미 경쟁법학계와 실무계에서도 폭넓게 받아들여지고 있다. 데이터의 경쟁 관련성은 기업의 경쟁력이 관련 데이터에 대한 적시의 접근 그리고 데이터를 이용하여 새롭고 혁신적인 애플리케이션과 상품을 개발하는 능력에 더욱더 의존하게 되는 상황과 연결된다. 이를 토대로 데이터 주도의 경제(data-driven economy)에 특유한 경쟁침해이론을 발전시키기 위한 이론적 시도가 일어나고 있다.

데이터 중에서도 개인정보가 내포된 데이터 접근 제한행위에 대한 경쟁법적 평가는 저작권에 의하여 보호되는 정보 접근 제한행위의 경우와 유사한 쟁점을 제기한다. 접근 제한행위의 대상이 되는 정보가 저작권에 의하여 보호되는 경우 저작권과 경쟁법의 교차 영역에서 가치 형량의 문제가 발생하는 것처럼 접근 제한행위의 대상이 되는 데이터에 개인정보가 내포된 경우 개인정보보호법과 경쟁법의 교차 영역에서 가치 형량의 문제가 발생할 수 있기 때문이다. 예를 들어 상업적 가치가 있는 데이터세트 보유자의 데이터 접근 제한행위가 경쟁법적으로 문제가 되더라도 그 보유자가 자신의 행위가 개인정보보호 조치를 위한 것이라고 주장하는 경우이다.