빅테크 기업들의 개인정보 보호 강화조치가 시장경쟁에 미치는 영향과 공정거래 정책 방향 검토

빅테크 기업들의 개인정보 보호 강화조치가 시장경쟁에 미치는 영향과
 공정거래 정책 방향 검토

서강대학교 법학전문대학원 교수 ∥ 홍대식

이 글은 한국공정거래조정원 『2022년 공정거래 학술연구 지원사업 연구보고서』 (2023. 1. 6.)에 실려 있는 글입니다.

(원문 보러 가기)

가. 디지털 경제에서의 플랫폼 비중의 증대 및 지배적 사업자 등장

플랫폼 기반의 양면시장은 지난 30년간 인터넷- 경제를 유지·발전시켜왔다. 플랫폼은 경제시스템의 신뢰를 보증하는 중개인의 역할을 하면서 일정한 수수료와 광고 수입을 창출한다. 반면에 플랫폼이 생태계 구성의 중심이 되는 시장구조는 네트워크 외부효과를 가져왔고, 승자독식의 구조를 가져오는 문제를 야기할 수 있다. 플랫폼 중심적인 생태계 내부에서 플랫폼 사업자는 양면시장형 사업모델을 통하여 이용자에게 혜택을 주는 제로 가격(zero-price) 서비스를 다양하게 공급하는 장점이 있다. 반면에 그와 같은 서비스 제공의 재원이 되는 상거래 또는 광고 서비스 영역에서 플랫폼에 의존하는 이용사업자에게 부과되는 가격 책정을 주도하고 이용사업자에게 불공정한 이용조건을 제시하는 등 플랫폼 생태계 내부에서 정보, 이용조건에 대한 협상과 결정에서의 힘의 균형을 자신에게 유리한 방식으로 유도할 능력을 가질 수 있다.

플랫폼 사업자가 자신을 둘러싼 플랫폼 생태계 내부에서 영향력을 행사할 능력을 갖는 것으로 보이더라도 역동적이고 혁신적인 디지털 경제의 현황에 비추어 그렇게 할 유인이 있는지를 살피는 것도 중요하다. 플랫폼 사업자가 실제로 그 영향력을 행사할 유인을 갖는지 여부는 생태계 간의 경쟁의 정도나 역동성, 플랫폼 생태계를 구성하는 이해당사자들의 의존성 등 여러 요인을 고려해서 판단하여야 한다. 다만 디지털 경제에서의 플랫폼 비중이 증대하고 특정 플랫폼으로의 쏠림(tipping) 현상이 발생하며 지배적 사업자가 등장함에 따라 최근 들어 디지털 경제의 상당한 부분에서 시장의 경합가능성과 공정성이 자율적으로 달성되기 어려울 것이라는 정책적인 우려가 높아지고 있다. 또한 플랫폼에서의 생산자와 이용자에 대한 권리보호뿐만 아니라 일부 플랫폼 노동자에 대한 보호에 미흡한 부분이 생길 수 있다.

나. 개인정보의 경제적 중요성 증대와 개인정보보호 이슈

플랫폼 중심적인 양면시장의 운영은 이용자의 개인정보를 필요로 한다. 데이터 경제의 출현과 활성화를 위한 개인정보의 경제적 중요성이나 가치가 높아지면서 수집하는 개인정보가 다양해지고 있다. 개인정보가 포함된 데이터의 수집과 상업적 이용의 단계에서 사업자와 소비자 간의 정보 비대칭과 그로 인한 소비자 이익 저해 우려에 대하여 개인정보보호법으로 대처하기 어려운 상황에서 소비자법 내지는 경쟁법의 역할에 대한 논의가 제기된다. 페이스북의 부당한 개인정보 수집․이용행위가 데이터 착취남용행위가 될 수 있다는 잠정적 판단을 전제로 하여 연방카르텔청의 처분에 대한 하급심법원의 집행정지 결정을 파기환송한 2020년 독일 연방대법원의 결정이 대표적인 사건이다. 우리나라에서도 메타(페이스북)가 국내 이용자의 최소 330만 명에 대한 학력, 경력, 출신지, 결혼·연애 여부 등을 이용자의 동의 없이 제3자에게 제공한 행위에 대하여 2020년 10월 개인정보보호위원회로부터 67억 원의 과징금이 부과되었다.

개인정보보호 수준은 경쟁법의 관점에서 비가격(non-price) 경쟁변수의 하나인 소비자 선택 가능성으로 인식될 수도 있고 품질을 구성하는 요소로 논의될 수 있다. 독일의 페이스북 사건은 개인정보보호 수준을 낮추는 행위를 소비자 선택 가능성 침해행위 또는 품질 저하로 인한 소비자이익 침해행위로서 경쟁법의 영역으로 포섭하기 위한 시도라고 볼 수 있다. 그러나 경쟁법은 실제적 또는 가상적 경쟁 상황에서 형성될 수 있는 개인정보보호 수준을 상정하여 이를 침해하는 행위를 사후적으로 규제할 수 있을 뿐 개인정보보호 수준을 특정한 수준 이상으로 개선하도록 유도하는 기능을 하기는 어렵다.

개인정보의 수집․활용을 사업모델의 원천으로 하는 사업자가 개인정보 보호 수준을 특정한 수준 이상으로 개선하도록 유도하는 제도적인 기반은 개인정보보호법제가 된다. 애플이나 구글과 같은 빅테크 기업이 개인정보보호를 강화하기 위한 새로운 정책을 도입하려고 하는 것도 다양한 개인정보보호 관련 법제의 발전과 관련이 있다. 유럽연합(EU)의 「일반데이터보호법」(General Data Protection Regulation, GDPR)에서 설계 단계부터 기술적으로 개인정보를 보호하는 구조를 갖출 것을 요구하고(data protection by design) 미국에서도 빅테크 기업들의 본사가 많이 소재하고 있는 캘리포니아에서 2020년 7월 「캘리포니아 소비자 프라이버시 보호법」(California Consumer Privacy Act, CCPA)이 시행되는 등 입법 환경의 변화가 빅테크 기업의 정책 변경에 영향을 주었다.

다. 빅테크의 개인정보보호 강화 움직임과 새로운 경쟁 문제의 대두

개인정보의 유출 사고나 미흡한 개인정보 관리로 인하여 기업의 리스크도 증대하고 있어 기업들은 개인정보보호를 강화하는 정책을 도입하고 있다. 빅테크 기업은 개인정보 처리에 관하여 보호 수준을 높이는 것에서 더 나아가 개인정보보호 강화를 명분으로 한 새로운 정책을 도입하거나 도입하려고 하고 있다. 대표적인 것이 애플과 구글의 ‘사용자 동의 없는 개인정보 추적 금지’ 정책 도입이다.

이처럼 개인정보보호를 강화하는 움직임에 대해서 개인정보보호와 데이터 시장의 독점적 지배력 강화의 두 가지 상충하는 문제가 발생할 수 있다. 개인정보보호 강화를 위한 새로운 정책이 이용자의 개인정보보호 수준을 높이더라도 이용사업자의 상업적 데이터 접근을 어렵게 할 경우 데이터 시장의 독점화 도구로 활용될 위험성이 제기될 수 있다. 온라인 서비스의 경쟁 과정에서 데이터의 중요성을 고려할 때, 개인정보보호 강화 정책이 데이터 경쟁우위를 갖지 못한 사업자의 데이터 접근 제한을 초래한다면 빅테크 기업의 데이터 독점과 맞물린 문제가 될 수 있다.

따라서 개인정보보호 강화를 위한 빅테크 기업들의 새로운 정책이 이용자의 개인정보보호 수준을 높이더라도 이용사업자의 상업적 데이터 접근을 어렵게 할 경우 데이터 시장의 독점화 도구로 활용될 위험성에 대한 연구가 필요하다. 우리나라의 경우 그동안 개인정보보호와 공정거래의 규제기관의 권한과 역할이 분리되어 있었다고 볼 수 있으나, 차후 두 영역에서 발생하는 문제는 혼재될 가능성이 있어 이에 대한 연구도 필요하다.

라. 개인정보를 내포한 데이터 접근 제한행위에 대한 경쟁법적 평가

데이터 접근 제한행위를 경쟁법적으로 평가하기 위하여 참고가 될 수 있는 사례는 이미 존재한다. EU의 Magill 사건, IMS Health 사건과 Microsoft 사건은 저작권에 의하여 보호되는 정보의 보유자가 그 정보에 대한 접근 허락을 거절한 행위가 문제 된 사건인데, 여기서 제시된 법리는 지식재산권과 같은 법적인 배타적 지배권으로 보호되지 않고 사실상 배타적 지배권이 인정되는 데이터에도 일정한 선행문제가 해결되는 것을 전제로 할 때 유추될 수 있다. 저작권에 의하여 보호되는 정보에 대한 접근 제한행위가 그 행위의 경쟁 관련성(relevance to competition)으로 인하여 경쟁법적 문제가 되는 것과 유사하게 개인정보를 내포한 데이터 접근 제한행위도 경쟁 관련성을 가질 수 있다는 점에서 경쟁법적 문제가 될 수 있다.

일반적으로 데이터 접근 제한행위가 경쟁 관련성을 갖는다는 점은 이미 경쟁법학계와 실무계에서도 폭넓게 받아들여지고 있다. 데이터의 경쟁 관련성은 기업의 경쟁력이 관련 데이터에 대한 적시의 접근 그리고 데이터를 이용하여 새롭고 혁신적인 애플리케이션과 상품을 개발하는 능력에 더욱더 의존하게 되는 상황과 연결된다. 이를 토대로 데이터 주도의 경제(data-driven economy)에 특유한 경쟁침해이론을 발전시키기 위한 이론적 시도가 일어나고 있다.

데이터 중에서도 개인정보가 내포된 데이터 접근 제한행위에 대한 경쟁법적 평가는 저작권에 의하여 보호되는 정보 접근 제한행위의 경우와 유사한 쟁점을 제기한다. 접근 제한행위의 대상이 되는 정보가 저작권에 의하여 보호되는 경우 저작권과 경쟁법의 교차 영역에서 가치 형량의 문제가 발생하는 것처럼 접근 제한행위의 대상이 되는 데이터에 개인정보가 내포된 경우 개인정보보호법과 경쟁법의 교차 영역에서 가치 형량의 문제가 발생할 수 있기 때문이다. 예를 들어 상업적 가치가 있는 데이터세트 보유자의 데이터 접근 제한행위가 경쟁법적으로 문제가 되더라도 그 보유자가 자신의 행위가 개인정보보호 조치를 위한 것이라고 주장하는 경우이다.