블로그

displaying 1 - 2 blog_post in total 2

C2C 플랫폼의 사업모델과 개인정보보호의 문제

2023-05-24 16:09:45 0 comments

C2C 플랫폼의 사업모델과 개인정보보호의 문제

 

최 요 섭 (한국외국어대학교 국제지역대학원)

 

(전문 보러가기)





1. 들어가며

 

최근 C2C(consumer to consumer)형태의 개인 간 중고거래가 증가하면서, 지난 몇 년 동안 전자상거래법 개정을 통해 구매자를 보호하자는 논의가 있었다. 공정거래위원회의 전자상거래법 전부개정안에 소비자로서의 구매자 보호를 위해 중개플랫폼이 개인 판매자 정보를 획득하도록 강제하는 규정이 포함되었고, 2022년에 이에 대한 찬반논의가 많았다. 이 글은 플랫폼 중심의 중고거래 관련 소비자보호의 문제를 플랫폼의 특징 및 규제의 문제를 중심으로 논의하는 것을 목적으로 한다.

 

 

2. C2C 디지털 플랫폼의 분석 및 관련 규제의 문제점

 

2.1. 디지털 플랫폼과 네트워크효과

 

디지털 플랫폼의 성장 및 성공과 관련하여 네트워크효과는 중요한 요건이 된다. 특히, ‘메카프의 법칙(Metcalf’s law)’은 네트워크효과가 네트워크 참여자들뿐만 아니라 네트워크를 소유하거나 관리하는 사업자가 어떻게 가치를 창출하는 지를 설명하는 중요한 이론이 된다. 예를 들어, 전화망의 가치는 가입자 수가 증가할수록 비선형적으로 증가하게 되는데, 이는 가입자들을 통해 더 많은 망의 연결을 만들어 낸다. 이러한 경우, 시장에 최초 참여하거나 발전시킨 사업자에게 최초 가치는 없거나 매우 낮으며, 이는 최초 시장에 진출한 사업자가 상당한 사업 리스크를 감수한다는 것을 의미한다(밴 엘스타인 외). 네트워크효과를 크게 네 가지 내용 또는 형태로 구분할 수 있으며, 그 내용은 다음과 같다:

1. 직접 네트워크효과(direct network effect 또는 one-side network effect)

2. 간접 네트워크효과(indirect network effect 또는 cross-side network effect)

3. 긍정적 네트워크효과(positive network effect)

4. 부정적 네트워크효과(negative network effect)  

   위 네 종류의 네트워크효과에서 디지털 플랫폼이 중요하게 고려하는 부분은 간접 네트워크효과와 긍정적 네트워크효과이다. 무엇보다 최종이용자인 개인이 자유롭게 참여 또는 시장진입이 가능하게 하는 것이 C2C 사업모델에서 중요한 내용과 고려요소가 된다. 간접네트워크효과의 경우, 다면시장에서 한 면 그룹의 이용자의 수가 증가하면 다른 면 그룹의 이용자 또는 참여자 수의 증감에 영향을 주는 것을 의미한다. 긍정적 네트워크효과의 경우, 위와 같은 양면의 효과에서 긍정적인 효과가 발생하여 참여자 수의 증가가 가능한 경우를 의미한다. 따라서 중개플랫폼은 간접 네트워크효과와 긍정적 네트효과의 증진을 통해 수익을 발생시키는 것을 사업의 목적으로 하는 경우가 많다.

   C2C 플랫폼을 포함하여 대부분의 디지털 플랫폼은 큐레이션(curation)의 방법을 통해 간접 네트워크효과와 긍정적 네트워크효과를 유지한다(밴 앨스타인 외). 플랫폼의 큐레이션은 관련 서비스의 품질을 유지하여 플랫폼에 참여하는 이용자가 탈퇴하지 않고 관련 서비스를 이용하도록 유도하는 방법이라 할 수 있다. 따라서 불법콘텐츠 또는 불법거래 등을 사전에 차단하거나 관련 문제를 빠르게 해결하여 참여하는 이용자의 수를 증진시키는 데에 큐레이션의 방법과 내용은 중요하다. 이러한 큐레이션의 예로는 자율규제가 있는데, 최근 당근마켓이 알고리즘을 사용하여 사기거래 및 불법거래를 사전에 확인하는 방법이 이에 해당할 수 있다.

 

 

2.2. 디지털 플랫폼의 등장과 중고거래의 발전

 

최근 국내 매체들이 젊은 세대들의 소비경향에 대해서 많이 논의하고 있다. 소위 MZ세대(밀레니엄 세대와 Z세대를 통칭)들이 소유가 아닌 순환으로서의 소비형태를 추구하는 것으로 보이며, 이는 중고거래의 활성화를 의미한다. 무엇보다 C2C 플랫폼의 등장과 발전은 자원의 순환과 활용을 가능하게 하였으며 사회 전체 후생의 증진으로 이어진다. 이러한 긍정적인 효과를 보장하기 위해 디지털 플랫폼은 어느 정도의 거래 통제를 하고 있다. 예를 들어, 플랫폼은 사업모델로서 개방형 또는 폐쇄형 그리고 중간형태의 통제 모델을 유지하거나 변경하기도 한다. 위에서 언급한 큐레이션의 정도에 따라 개방형 혹은 폐쇄형으로 구분할 수 있으나 대부분의 경우 중간형태의 모델을 가지는 것이 일반적이다.

   최근 이용자의 소비행태를 반영하는 C2C의 경우에도 중간 형태의 모델을 채택하는 것으로 보인다. 앞서 설명한 바와 같이, C2C 거래에서의 불만과 분쟁해결의 방법으로 품질이 좋은 중개서비스를 보장하여 네트워크효과를 증진시키는 것이 중요한 서비스 제공 목적이 되며, 이를 위해 자율규제가 관련 분야에서 논의되고 있다.

   자율규제 중심의 큐레이션은 완전한 폐쇄형 또는 개방형은 아니지만, 애플(Apple)사와 같은 폐쇄형보다는 구글 안드로이드와 같은 개방형의 성격이 좀 더 강하다고 할 수 있다. 그 이유는 양면 혹은 다면시장의 이용자 그룹에 무료 서비스를 제공하면서, 과도한 의무를 부과하지 않아야 긍정적 네트워크효과를 발생시킬 수 있기 때문이다. 따라서 구매자인 이용자보호를 목적으로 플랫폼이 과도하게 개인 판매자의 개인정보를 수집하고 이를 개인 구매자에게 제공하게 할 경우, 긍정적 네트워크효과 보다는 부정적 네트워크효과가 발생할 가능성이 높아지게 된다. 일반적으로 플랫폼의 무료 서비스(freemium) 관련 데이터 프라이버시 문제가 자주 발생할 수 있는데 이러한 상황을 무시하고 개인정보를 과도하게 수집하는 경우, 부정적 네트워크효과가 발생할 수 있다. 따라서 장기적인 측면에서 이용자의 민감한 개인정보를 수집하고 제공하도록 강제하는 규제는 플랫폼과 이용자 모두에게 부정적으로 작용할 수 있다.

 

 

2.3. 거래플랫폼과 비거래플랫폼

 

유튜브, 에이비앤비, 위키피디아와 같은 플랫폼은 제공하는 서비스의 품질 관리에 많은 비용과 노력을 할애하고 있다. 이는 이용자의 신뢰를 구축하는 측면에서 매우 중요하다. 관련하여 중고나라와 당근마켓과 같은 C2C 플랫폼의 큐레이션은 플랫폼의 서비스 품질관리 역량과 관련이 깊다. 다시 말해, 소비자의 매칭 서비스 품질에 대한 신뢰가 사업모델 성패에 중요하며, 이는 네트워크효과 유지와 관련이 있다. 서비스 품질의 정도는 매칭의 정도와 연관된다.

   디지털 플랫폼을 서비스의 내용에 따라 유형을 구분하는 경우가 많다. 예를 들어, 거래관여형 또는 매칭형 등으로 구분하는 경우도 있으나, 거래를 중심으로 크게 두 가지 유형으로 구분이 가능하다. 먼저 거래플랫폼의 경우, 둘 이상의 이용자 그룹의 구성원(이용자) 사이를 중개하여 두 그룹 사이에서 직접 거래가 이루어지도록 하는 플랫폼(: 마켓컬리, 쿠팡과 같은 오픈마켓)이 있다. 이러한 플랫폼은 전자상거래법상 통신판매중개자에 해당되며, 이들 플랫폼은 주로 중개수수료로 수익을 창출한다. 두 번째로 비거래플랫폼이 있다. 비거래플랫폼은 양면 그룹의 이용자들이 비정형적인 상호작용을 통해 가치를 얻는 플랫폼(: SNS 또는 신문사)이며, 광고를 통해 수익을 창출한다. 따라서 데이터, 맞춤형 광고 및 알고리즘 이슈가 비거래플랫폼에서 중요한 주제가 된다. 당근마켓과 같은 C2C의 경우, 비거래플랫폼의 사업모델을 가지고 있다(혹은 매칭 플랫폼으로 구분할 수도 있음). 최근에는 플랫폼들이 다양한 사업에 진출하면서 수익을 창출하고 있기 때문에, 두 유형의 경계가 모호한 경우가 많아지고 있다.

 

 

2.4. 비거래플랫폼의 사업모델 규제에 대한 문제점

 

위에서 언급한 전자상거래법 개정안은 거래를 중개하지만 거래플랫폼이 아닌 비거래플랫폼의 사업모델특징을 가지고 있는 C2C 플랫폼에 대해서 잘못된 규제방법이 문제가 되었다고 할 수 있다. 비거래플랫폼의 사업(수익)모델을 가지고 있는 C2C 플랫폼 분야에 행태적인 접근방법(formalistic approach)의 거래플랫폼 규제를 적용하는 것이 근본적인 문제점이다. 가치교환 혹은 거래가 발생하는 경우에, 이를 무조건 거래플랫폼으로 인식해서는 안 되며 실제 수익모델을 기준으로 규제정책의 틀을 설계할 필요가 있다. 전자상거래법은 비대면 거래로 인한 정보비대칭의 문제를 해결하기 위한 것으로, 이는 중요한 소비자보호 규제정책의 목적이 된다. 그러나 인접지역에서의 대면을 통한 중고거래 플랫폼의 경우 소비자보호 측면에서의 전자상거래라고 할 수 없으며, 비거래플랫폼 서비스로 정의 또는 획정할 필요가 있다.

   디지털 경제 관련, 시장실패 해결을 위한 정부개입은 오히려 정부실패를 발생시킬 수 있으며, 이는 플랫폼 사업모델 규제에서도 반복될 수 있다. 특히 최근 긍정적 네트워크효과를 위해 플랫폼 사업자 사이에서 데이터 보안을 포함하여 데이터 프라이버시 보호의 경쟁이 발생하고 있다. 대규모 플랫폼은 다양한 방법으로 데이터 프라이버시 보호를 위한 정책을 수립하고 있는데, 구글의 프라이버시 샌드박스와 애플의 App Tracking Transparency(ATT)가 중요한 예로 논의되기도 한다. 이러한 플랫폼 생태계를 이해하지 못하고 과도하게 규제하는 경우, 오히려 비효율적인 규제포획 또는 규제덤불의 문제가 발생하게 된다.

   C2C 플랫폼이 개인정보를 과도하게 수집했을 때의 다양한 문제점이 발생할 수 있다. 무엇보다 양면시장에서 각 그룹의 상호작용을 창출하거나 유지하기 위해 플랫폼 사업자는 개인정보를 보호하는 것이 매우 중요하다. 소비자 또는 이용자들의 프라이버시보호의 요구가 지속적으로 증가하고 있으며, 플랫폼에게는 소비자들의 요구에 부합하기 위해 긍정적 네트워크효과와 관련된 큐레이션 또는 거버넌스를 발전시킬 수밖에 없다. 플랫폼 사이에서 데이터수집의 경쟁데이터보호의 경쟁이 동시에 이루어지고 있는 상황에서 민감한 개인정보 수집 및 제공을 강제하는 소비자보호정책은 경쟁정책과 개인정보보호정책과 충돌할 수 있다.

Read More

개인정보를 유출한 경우의 보호조치 위반행위에 대한 과징금 부과 기준

2022-01-20 19:06:35 0 comments


개인정보를 유출한 경우의 보호조치 위반행위에 대한 과징금 부과 기준



홍대식 서강대 법학전문대학원 교수


2022. 1. 13자 NAVER 개인정보 칼럼에 실려있는 글입니다.

(원문보러가기)



합리적인 과징금 액수를 구하기 위한 험난한 여정

현재의 개인정보보호법에는 모두 3가지 유형의 과징금 규정이 있다. 그 차이는 과징금의 법적 상한이다. 2020년 2월 데이터 3법 개정의 일환으로 개인정보보호법에 정보통신망법에 있던 정보통신서비스 제공자등의 개인정보보호에 관한 규정이 이관되기 전부터 개인정보보호법에 있던 과징금 규정(개인정보처리자의 주민등록번호 유출 등 행위)은 법적 상한이 5억 원이다. 정보통신망법에서 이관된 과징금 규정(정보통신서비스 제공자 등의 개인정보 제공 등 관련 금지의무 위반)은 기존의 법적 상한인 위반행위 관련 매출액의 100분의 3을 유지하고 있다. 여기에 2020년 2월 법 개정으로 가명정보 처리에 관한 규정이 생기면서 관련된 과징금 규정(개인정보처리자의 가명정보 처리시 금지의무 위반)이 추가되었는데, 이 규정에는 앞의 두 유형과 다르게 전체 매출액의 100분의 3이라는 법적 상한이 도입되었다. 이처럼 현재의 개인정보보호법은 명확한 근거 없이 단순한 연혁상의 이유로 과징금의 법적 상한을 달리하는 3가지 유형의 과징금 규정이 혼재해 있다.

정부는 데이터 3법 개정의 후속 작업으로 2021년 9월 개인정보보호법 개정안을 국회에 제출하였는데, 이 법안에는 3가지 유형의 과징금의 법적 상한을 통합하는 내용이 포함되어 있다. 논란이 되는 것은 통합한 기준이 외형상 법적 상한이 가장 높은 전체 매출액의 100분의 3으로 되어 있다는 점이다. 우리나라에서 과징금은 위반행위의 억제 목적을 수행하는 효과적인 행정적 집행수단으로 많이 활용된다. 그만큼 과징금 산정이 위반행위에 비례하는 합리적이고 적정한 수준인가 하는 점은 수많은 법적 다툼의 대상이 된다. 과징금의 법적 상한은 이론적인 상한선을 설정하는 것이므로 실제 부과기준을 잘 설계하면 된다고 생각할 수도 있다. 그런데, 과징금의 법적 상한과 부과기준은 위반행위의 효과적인 억제라는 과징금 제도의 목적상 일정한 내적 연관성을 가질 수밖에 없다.

합리적인 과징금을 구하기 위한 험난한 여정에서 길잡이가 되는 단서를 얻기 위해서 과거 실제 과징금이 부과된 사례를 검토, 분석해볼 필요가 있다. 문제는 전체 매출액 기준은 일부 도입된 후 아직 한 번도 적용된 적이 없고, 관련 매출액 기준이 적용된 사례에서 과징금 부과의 적정성이 법원에서 판단된 사례도 많지 않다는 점이다. 사례 경험과 논리가 축적되지 않은 상황에서 실증적인 근거를 갖고 합리적인 과징금 제도를 설계하기란 매우 어려운 일이다. 그럼에도 불구하고 몇 안 되는 법원 판결들을 찾아 분석하는 작업은 그 자체로 의미가 있다. 이 글에서는 그 중 인터넷 쇼핑몰 사업자 해킹 사건에 대해서 살펴보기로 한다.


사건의 개요와 법원의 판단

원고는 인터넷 쇼핑몰인 A를 운영하는 법인인데, 이용자의 개인정보를 저장하고 있는 HQDB 서버에 대한 해커의 공격을 받아 2016. 5. 5.부터 2016. 5. 6.까지 사이에 이용자의 개인정보가 유출되었다. 피고인 방송통신위원회는 이 사건이 원고가 이용자의 개인정보를 유출한 경우로서, 원고가 개인정보처리시스템에 최대접속시간 제한조치 등 접근통제를 소홀히 한 행위와 HQDB 서버 등을 포함한 시스템 비밀번호 관리를 소홀히 한 행위가 구 정보통신망법 제28조 제1항 제2호, 제4호에 정한 조치를 하지 아니한 경우에 해당한다고 판단하였다. 방통위가 2016. 12. 6. 원고에 대하여 시정명령과 함께 부과한 과징금 액수는 44억 8,000만 원이다.

원고는 방통위 처분에 불복하여 행정소송을 제기하였으나 서울행정법원(서울행정법원 2018. 7. 5. 선고 2017구합53156 판결)과 서울고등법원(서울고등법원 2019. 11. 1. 선고 2018누56291 판결)에서 모두 패소하였다. 대법원은 원고의 상고를 심리불속행 판결로 기각하였다(대법원 2020. 3. 12. 선고 2019두60851 판결). 대법원의 심리불속행 판결은 대법원이 상고기록을 받은 날부터 4개월 이내에 심리를 하지 않고 상고를 기각하는 판결로, 판결 이유가 적혀 있지 않아 하급심에서 다투어진 쟁점에 대해 대법원이 어떤 판단을 하는지 판결문으로는 알 수 없다.

하급심 판결에는 방통위가 과징금을 부과하기 위하여 적용한 기준이 나타나 있다. 방통위는 원고가 인터넷쇼핑몰을 운영하면서 발생한 매출액을 위반행위 관련 매출액으로 보았다. 이에 반해 원고의 매출액 중 원고의 홈페이지를 이용하지 않고 현장판매나 외부판매 등에 의한 매출액은 제외한 것으로 보인다. 방통위는 위반행위의 중대성의 정도를 ‘중대한 위반행위’로 평가하여 산정된 위반행위 관련 매출액(약 3,000억 원)에 부과기준율 1,000분의 21을 곱하여 기준금액(약 63억 원)을 산출한 후, 이 금액에 필수적 가중․감경과 추가적 가중․감경을 거쳐 최종 과징금으로 44억 8,000만 원을 결정하였다.

법원은 구 정보통신망법상 과징금 규정은 개인정보의 유출 등으로 인한 이익이 직접적으로 존재하지 않더라도, 그 개인정보의 보유를 통하여 얻은 이익을 박탈함과 동시에 행정제재 측면에서 그 개인정보와 관련된 매출액 중 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 정한 규정이라고 보았다. 법원 판결에 따르면, 개인정보 보호조치 위반행위는 그 개인정보가 사용되는 서비스의 운영에 관하여 위험을 증가시키는 영향을 직․간접적으로 미치게 된다. 따라서 개인정보를 이용한 서비스를 통해 얻은 매출액을 기준으로 과징금을 산정․부과한 것을 두고 법령에 위반한 것이라거나 재량권을 일탈․남용한 위법이 있다고 할 수 없다. 또한 위반행위의 중대성을 판단하기 위하여 고의․중과실의 평가를 함에 있어 개인정보 유출 건수를 고려할 수 있고, 원고가 자신의 이익을 위한 영리목적으로 개인정보를 수집․활용하는 행위가 영리목적에 포함된다고 봄이 상당하다. 따라서 이런 점을 고려한 피고의 위반행위 중대성 판단에도 위법이 없다.


판결의 의의

구 정보통신망법은 이용자의 개인정보를 분실․도난․유출․변조 또는 훼손한 경우로서 개인정보 보호조치를 이행하지 않은 경우에 해당 정보통신서비스 제공자등을 과징금 부과 대상으로 하고 있었고, 이 규정은 개인정보보호법에 그대로 이관되었다. 2020년 9월 국회에 제출된 개정안은 이 규정의 적용범위를 개인정보처리자로 넓히고 과징금의 법적 상한을 위반행위 관련 매출액 기준에서 전체 매출액 기준으로 변경하고 있다. 법이 정한 요건이 ‘이용자의 개인정보 유출등’과 ‘개인정보 보호조치 미이행’인데, 판례는 법에서 두 요건 사이의 인과관계를 요구하지 않고 ‘관련성’으로 충분한 것으로 보고 있다. 따라서 사업자 입장에서는 내부적 부주의든 외부로부터의 불법적인 접근(해킹)에 의한 것이든 이용자의 개인정보 유출등이 발생하지 않도록 최선을 다해야겠지만, 만에 하나 유출 사고가 발생한 경우 그와 관련된 개인정보 보호조치 미이행으로 인정될 사유가 있는지가 신경 쓰일 수밖에 없을 것이다.

과징금은 위반행위자가 개인정보보호법 위반행위로 얻은 경제적 이익 또는 적어도 그 행위로 인한 사회적 피해에 비례하면서 수범자가 위반행위를 할 유인을 억제하는 효과성을 가질 수 있는 금액으로 산정되어야 한다. 현재 사용되고 있는 과징금 산정식은 ‘위반행위 관련 매출액 x 부과기준율’로 기준금액을 산정한 후 이 금액을 기준으로 가중․감경을 하는 방식이다. 따라서 출발점이 되는 기준금액을 어떻게 산정할 것인지가 최종 과징금액 결정에 큰 영향을 미친다. 위반행위 관련 매출액은 위반행위의 전체 규모에 대응하는 것으로, 위반행위의 효과적인 억제라는 면을 고려하여 위반행위의 크기와 비례하도록 설정하는 것이 원칙이다. 이 사건에서 원고가 정보통신서비스 제공자로서 수집한 이용자 개인정보는 인터넷쇼핑몰을 이용하는 회원에 관한 개인정보이고 이 개인정보가 유출된 것이 이 사건 행위와 관련된 사실이므로, 관련 매출액을 인터넷쇼핑몰에 한정하여 산정한 것은 타당하다. 인터넷쇼핑몰을 운영하면서 발생하는 매출 중에는 인터넷쇼핑몰을 이용하는 회원에 의하여 발생하는 거래 매출도 있고 인터넷쇼핑몰을 이용하는 회원을 대상으로 광고하는 광고주에 의하여 발생하는 광고 매출도 있는데, 방통위는 이 두 매출을 구별하지 않고 모두 관련 매출액에 포함하였다.

이처럼 위반행위 관련 매출액 기준을 사용하는 경우 관련성을 판단하는 데 어려움이 따르고 논란도 커질 수 있다. 그러나 이런 작업을 통하여 위반행위의 크기에 비례하는 과징금 액수를 구하는 목표에 비교적 가까운 출발점을 설정하게 될 수 있다. 이에 비하여 관련 매출액을 전체 매출액으로 대체해버리면 목표에 도달하기 위한 출발점은 더 멀어질 수밖에 없다. 더 멀리서 출발하면서 어떤 제도 운용 수단을 배치하여 목표에 도달하기 위한 지도를 그릴 수 있을 것인가? 이미 전체 매출액 기준을 도입하여 운용하고 있는 유럽연합(EU) 회원국들의 사례를 보면, 방법이 없지는 않을 것으로 보이기도 하지만. 과연 그럴까?


Read More