개인정보보호공정이용빅테크위치추적인터넷거버넌스

빅테크와 정보인권(6) 디지털서비스법 패키지 시행{/}유럽연합의 빅테크 규제

By 2022/10/12 10월 31st, 2022 No Comments
빅테크와정보인권

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

유럽연합은 빅테크 온라인플랫폼을 규제하기 위해 2020년 디지털서비스법패키지를 제안하였습니다.
디지털서비스법패키지는 디지털서비스법(DSA)와 디지털시장법(DMA)으로 구성되어 있습니다. 디지털서비스법은 온라인콘텐츠 관리 등에 대한 이용자 권리를 보장하고 안전한 서비스를 제공하기 위하여 온라인플랫폼서비스에 대하여 그 규모별로 투명성, 권리구제, 민감정보 및 아동 프로파일링 금지 등의 의무를 규정하였습니다. 디지털시장법은 공정한 경쟁시장을 보장하기 위하여 게이트키퍼 핵심플랫폼서비스에 대한 엄격한 의무를 두었습니다. 특히 유럽연합은 빅테크에 대하여 “정보 공유 및 온라인 거래를 위한 유사 공공 공간(quasi-public spaces)이 되었다”고 지적하며 이용자 권리 등에 미치는 위험을 공적으로 관리해야 한다고 강조하였습니다. 두 법은 모두 2022년 유럽의회와 이사회를 통과하여 2024년 시행을 앞두고 있습니다.

유럽연합 집행위원회, 디지털서비스법 패키지 제안 (2020)

  • 디지털서비스법 패키지는 디지털서비스법(DSA)와 디지털시장법(DMA)의 2개 입법안으로 구성되었으며, 유럽연합 회원국에 직접 구속력을 가지는 규정(regulation)으로 제안됨
  • 디지털서비스법 패키지의 핵심 목표는 ①모든 이용자 기본권이 보호되는 보다 안전한 디지털 공간 창출 ②혁신, 성장, 경쟁력을 육성하는 통일적 경쟁 시장 창출이라고 밝혔으며, 이는 각각 디지털서비스법과 디지털시장법의 제정 목표에 해당함

왜 새로운 규정이 필요한가?

“디지털 전환의 이점에 대해서는 폭넓은 공감대가 형성되어 있지만, 우리 사회와 경제에 많은 문제를 야기하기도 한다. 핵심적인 우려사항은 온라인에서 불법 상품, 서비스 및 콘텐츠가 거래되고 교환되는 것이다. 또한 온라인 서비스는 허위 정보의 확산을 증폭시키거나 기타 유해한 목적으로 사용되는 조작적인 알고리즘시스템에 의해 오용되고 있다. 이러한 새로운 문제에 플랫폼이 대응하는 양상은 온라인 기본권에 큰 영향을 미친다.

유럽연합 수준에서 부문별로 다양하게 개입해 왔지만, 빈 곳이 상당하고 법적 책임 문제도 해결될 필요가 있다.
사회와 경제의 디지털화가 가속화되면서 몇몇 대형 플랫폼이 디지털 경제의 중요한 생태계를 통제하는 상황이 발생했다. 이들이 디지털 시장의 문지기(게이트키퍼, gatekeepers)로 부상하면서, 민간 부문의 규칙 제정자로서 권력을 갖게 되었다. 대형 플랫폼의 규칙은 때때로 이들의 플랫폼을 사용하는 기업에게 불공평한 상황을 초래하고 소비자의 선택권을 좁힌다.

이러한 동향을 고려해 보았을 때, 유럽에 필요한 것은 온라인에서 이용자의 안전을 보장하고, 기본권 보호를 최우선하는 거버넌스를 수립하며, 온라인플랫폼 환경을 공정하고 개방적으로 관리하는 현대적 법률 체계이다.

디지털서비스법 (DSA)

20년 만에 전자상거래 지침에서 디지털서비스법으로

  • 디지털 서비스법은 2000년 유럽연합 전자상거래 지침(Directive 2000/31/EC)을 대체하는 규정임
    • 유럽연합 전자상거래 지침은 온라인 중개자의 문제를 다루어 왔지만, 회원국 국내 입법 과정에서 서비스 규제 내용이 국가별로 상이해지는 결과를 낳았음. 이에 유럽연합 전역으로 서비스를 확장하려는 기업들에게 장벽이 생기고, 유럽 시민에 대한 보호 수준 역시 제각각 달라지는 문제가 발생하였음
  • 전자상거래 지침의 적용 대상은 유럽연합에 주소가 있는 온라인 서비스 제공자였지만, 디지털서비스법은 유럽연합에 거주하는 이용자에게 제공되는 온라인 서비스로도 그 적용 대상을 추가 확대함
  • 디지털서비스법은 소비자를 상품, 서비스 및 콘텐츠와 연결하는 중개자 역할을 하는 온라인 서비스 일반에 주의의무(Due-diligence)를 부여함
    • ‘오프라인에서 불법인 것은 온라인에서도 불법’이란 원칙에 의거, 불법 콘텐츠와 전자상거래 불법상품에 대해 조치하고, 이용자에 대한 투명성과 플랫폼 책임성을 제고하며, 법집행 협력 체계를 마련하고, 특히 대규모 플랫폼의 위험을 완화하고자 함
    • 다만 서비스 규모별로 단계적 의무를 누적적으로 부여하고 규모가 큰 온라인플랫폼일수록 높은 의무가 부과됨. 위반시에는 관할당국이 높은 과징금을 부과할 수 있음
  • 디지털서비스법의 국내 관할당국은 각국 디지털서비스 조정관(Digital Service Coordinator)으로서, 독립적으로 업무를 수행하고, 조사권, 집행권, 진정 처리 등의 권한을 보유함
    • 프랑스는 기존의 방송위원회(CSA)와 저작권감독기구 아도피(Hadopi)를 합쳐 시청각·디지털통신규제기구(아르콤)를 신설하여 디지털서비스법을 집행할 예정임
    • 디지털서비스법을 위반하는 일반 온라인서비스에 대하여 각국 디지털 서비스 조정관은 연소득/매출액 6% 까지 과징금 또는 일평균 매출액 5% 까지 이행강제금을 부과할 수 있음
  • 대규모온라인플랫폼의 위반 행위는 집행위원회가 직접 조사하고 동의의결이나 데이터베이스 및 알고리즘에 대한 접근명령을 집행할 수 있음
    • 디지털서비스법을 위반하는 대규모온라인플랫폼에 대하여 집행위원회는 연소득/매출액 6% 까지 과징금 또는 일평균 매출액 5% 까지 이행강제금을 부과할 수 있음
    • 신설되는 유럽디지털서비스이사회(European Board for Digital Service)가 협력하도록 함

콘텐츠 면책과 조치 의무

  • 디지털서비스법은 온라인 서비스에 전자상거래 지침의 콘텐츠 책임면제 원칙을 유지함
    • 온라인 서비스는 타인의 콘텐츠 불법성에 대하여 책임을 부담하지 않음
    • 일반적인 모니터링 또는 적극적인 조사 의무는 존재하지 않음
    • 그러나 온라인 서비스의 자발적인 불법 콘텐츠 탐지, 식별, 제거, 차단 조치는 책임을 면제함 (선한 사마리아인 원칙)
  • 다만 다음과 같은 경우 콘텐츠 조치 의무가 있음
    • 온라인 서비스는 사법/행정기관의 명령에 따라 법률상 불법 콘텐츠에 대하여 조치를 하여야 함
    • 온라인 서비스는 사법/행정기관의 명령에 따라 이용자 정보를 제공하여야 함. 다만 이 정보는 서비스 제공 목적으로 이미 수집하였고 그 통제 범위 내 정보만 해당함
    • 다만 ‘유해하지만 불법이 아닌 콘텐츠’가 디지털서비스법에 정의되어서는 안되며, 삭제·차단 의무의 대상이 되어서도 안된다는 일반적인 합의가 있었음 (제안 설명 메모)

디지털서비스법 적용 대상 사업자

 

 

  • 중개서비스 : 모든 온라인 서비스 (단순 전달/캐싱 포함)
  • 호스팅서비스 : 이용자가 제공/요청하는 콘텐츠를 저장하는 서비스
  • 온라인플랫폼 : 이용자 요청 콘텐츠를 저장 및 일반에 공개/배포하는 서비스
  • 대규모온라인플랫폼 : 월 4,500만명 이상 이용하는 온라인플랫폼서비스

중개서비스 의무

  • 중개서비스는 단일한 연락창구를 지정하고 공개할 의무가 있음
    • 관할당국과 협력을 위한 단일 연락창구를 지정하고 통지하여야 함
    • 이용자를 위한 단일 연락창구 또한 지정하고 공개하여야 함. 이때 이용자가 소통 수단을 선택할 수 있어야 하고, 자동화된 수단만 제공되어서는 안 됨
    • 제3국 서비스는 유럽연합 내 법률대리인을 지정하고 관할당국에 통지하여야 함
  • 중개서비스는 투명한 이용약관에 대한 의무가 있음
    • 이용약관은 이용자 표현의 자유, 언론의 자유와 다양성, 기타 기본권과 자유를 존중해야 함
    • 이용약관은 콘텐츠 관리(삭제/차단 등), 알고리즘 의사결정 및 인적 검토 등 이용자에 대한 모든 제한 사항을 포함하여야 함
    • 약관은 이용자가 명확하게 이해할 수 있고 평이한 용어로, 이용자 친화적으로 제공되어야 함. 아이콘 등 그래픽을 사용할 수 있으며, 요약본도 제공되어야 함
    • 특히 아동을 대상으로 하는 서비스의 경우 아동이 이해할 수 있도록 이용약관을 설명하여야 함
  • 중개서비스에는 투명성 보고 의무가 있음
    • 연 1회 이상 보고하여야 함
    • 콘텐츠 관련 명령, 신고, 자체 관리, 고충, 자동화 도구(정확성 지표 및 오류율 등) 및 관련 조치에 대한 정보가 포함되어야 함

호스팅서비스 의무

  • 호스팅서비스는 기본권을 고려하여야 함 (입법이유 41)
    • 이용자 권리: 표현의 자유/정보의 자유, 사생활의 권리, 개인정보 보호권, 차별 금지권, 효과적인 권리 구제를 받을 수 있는 권리 등
    • 서비스 제공자 권리: 계약의 자유를 비롯한 영업의 자유
    • 불법 콘텐츠의 영향을 받을 자의 권리: 인간의 존엄권, 아동의 권리, 지적재산권, 차별금지권
  • 호스팅서비스는 신고와 조치(notice and action)에 대한 의무가 있음
    • 전자상거래 지침상 신고와 삭제/차단  절차(notice and take-down)를 확대함
    • 호스팅서비스는 불법 콘텐츠 URL와 이유 등을 신고할 수 있는 시스템을 구축하고, 신고에 따라 콘텐츠를 인지한 후에는 조치하여야 함
    • 호스팅서비스는 신고자에게 신고 접수를 확인하여야 하며, 그 결과를 신고자에 지체없이 통지하여야 함
  • 호스팅서비스는 조치 대상에게 조치 이유를 통지하여야 함
    • 통지에는 삭제 등 해당하는 조치, 조치 이유 및 이의를 제기하는 구제책이 포함되어야 함
  • 호스팅서비스에는 범죄 신고 의무가 있음
    • 사람의 생명 또는 안전을 위협하는 범죄 의심정보를 발견한 때 관련 수사기관에 신고하고 정보를 제공하여야 함

온라인플랫폼 의무

  • 온라인플랫폼은 고충처리 및 구제에 대한 의무가 있음
    • 온라인플랫폼은 내부 고충처리시스템을 운영하며 이용자에 대하여 내린 결정에 대해 6개월 동안 이용자가 무료로 쉽게 이의를 제기할 수 있도록 보장하여야 함
    • 고충은 적절한 기간 내 자의적이지 않은 방식으로 처리되어야 하며 그 결과와 이의제기 방법을 지체없이 민원인에게 알려야 함
    • 완전히 자동화된 시스템을 이용한 고충처리는 금지되며, 적절한 자격을 갖춘 직원이 처리하여야 함
  • 온라인플랫폼은 이용자가 제기한 소송외 분쟁해결 절차에 협력하여야 함
    • 관할당국이 독립성, 전문성을 갖춘 분쟁해결기구를 인증함
    • 이용자가 분쟁에서 이긴 경우 온라인플랫폼 측에서 이용자의 비용을 부담하지만, 이용자가 진 경우에도 명백한 악의가 없는 한 상대방 비용 부담이 면제됨
  • 온라인플랫폼은 지정신고자 사건을 우선적으로 처리하여야 함
    • 지정신고자(신뢰할 수 있는 신고자, trusted flaggers)는 개인이 아닌 기관/단체로서, 불법 콘텐츠 탐지, 식별, 신고에 전문성과 능력을 갖추고, 플랫폼으로부터 독립적이며, 관할당국이 허가한 기관을 의미함
    • 예를 들어 테러/범죄 콘텐츠에 대해서는 법집행기관 또는 유로폴이, 아동성폭력 콘텐츠에 대해서는 INHOPE이, 인종차별/혐오 표현에는 관련 단체 등 비정부기구, 민간기업 및 준공공기관이 지정신고자가 될 수 있음
  • 온라인플랫폼은 상습 신고 등 부정한 이용행위에 대해 서비스를 중단하는 조치를 취해야 함
    • 부정한 이용행위(misuse)란 불법 콘텐츠를 계속 게시하거나, 근거 없는 신고나 고충을 자주 제기하여 정상적인 서비스 운영을 방해하는 행위를 의미함
    • 서비스 중단 조치를 위해서는 사전 경고, 게시수치, 게시비율, 심각성, 의도 등을 고려하고,  이용약관에 명시하여야 함
  • 온라인플랫폼은 투명성보고서에 다음 사실을 공개할 의무가 추가됨
    • 분쟁해결 통계: 분쟁수, 결과, 소요시간
    • 부정한 이용 통계: 부정한 이용에 대한 조치수, 신고수, 고충수
    • 콘텐츠 관리 통계: 목적, 자동화 도구 사용/정확성, 안전장치
    • 월평균 이용자수
  • 온라인플랫폼은 다크패턴을 사용하여서는 안 됨
    • 온라인플랫폼은 이용자의 결정 능력을 기만, 조작 또는 실질적으로 왜곡하거나 손상시키는 방식으로 온라인 인터페이스를 설계, 구현 또는 운영해서는 안 됨
    • 집행위원회는 특히 다음의 관행에 대하여 지침을 발간할 수 있음
      (1) 이용자에게 결정을 요청할 때 특정 선택을 더 두드러지게 제시하는 행위 (2) 이용자 선택이 이미 이루어진 경우에도 팝업등으로 반복 요청하는 행위 (3) 서비스 가입보다 해지를 어렵게 만드는 행위
  • 온라인플랫폼은 온라인 광고의 투명성을 보장할 의무가 있음
    • 이용자들이 광고를 식별할 수 있도록 실시간으로 △해당 정보가 광고라는 사실 △광고게시자 △광고주 △광고 대상 이용자를 결정하는데 사용된 주요 매개변수(가장 중요한 결정 기준과 중요성 포함)와 그 변경방법을 알리고 쉽게 변경 기능을 이용할 수 있도록 하여야 함
    • 온라인플랫폼은 정치적 견해 등 민감정보를 이용하여 프로파일링에 기반한 광고를 이용자에게 표시해서는 안 됨
  • 온라인플랫폼은 추천시스템의 투명성을 보장할 의무가 있음
    • 온라인플랫폼은 이용약관에 콘텐츠 추천에 사용되는 주요 매개변수와 그 변경방법을 알려야 함
  • 온라인플랫폼은 아동을 보호하여야 함
    • 아동이 접근할 수 있는 온라인플랫폼은 높은 수준의 개인정보보호, 안전 및 보안을 보장하기 위해 적절한 조치를 취해야 함
    • 아동 이용자에게 개인정보의 프로파일링에 기반한 광고를 표시해서는 안 됨
  • 온라인플랫폼은 판매자 추적성과 제품안전을 보장하는 노력을 하여야 함
    • 판매자가 서비스를 사용하기 전에 (1) 판매자 성명, 주소, 전화번호, 전자우편, (2) 신분증 사본, (3) 판매자의 지불 계좌, (4) 사업자등록번호 또는 등록증, (5) 자체적인 법준수 인증서 등의 정보를 제출받고 정확성을 확인하여야 함
    • 판매자 정보 중 (1) (4) (5)는 이용자에도 공개함
    • 판매자가 부정확한 신원정보를 제공하거나 수정요청에 불응하는 경우 서비스 제공을 중단하여야 함
    • 판매자 정보는 계약 종료 후 6개월간 보관하여야 함
    • 온라인플랫폼은 판매자가 제품안전 등에 대한 의무를 준수할 수 있도록 온라인 인터페이스를 설계하고 운영하여야 함
    • 불법 제품 및 서비스 제공 사실을 알게 된 경우, 온라인플랫폼은 지난 6개월간 구입한 소비자에게 판매자의 신원 및 관련 구제책을 알려야 함

대규모 온라인플랫폼 의무

  • 대규모온라인플랫폼은 월평균 활성 이용자 4,500만명 이상에 서비스를 제공한 온라인플랫폼을 말함
    • 대규모온라인플랫폼의 일부 의무는 대규모온라인검색엔진도 적용됨
  • 대규모온라인플랫폼에는 다음과 같은 체계적 위험이 있음
    • (1) 불법적 서비스 오남용 (아동성폭력 콘텐츠, 불법 혐오표현 유포, 위조품 등 법률에서 금지하는 상품과 서비스 제공 등)
    • (2) 기본권에 미치는 부정적 영향 (인간 존엄성, 사생활권과 개인정보에 대한 권리, 표현의 자유와 정보의 자유, 언론의 자유와 다양성, 차별받지 않을 권리, 아동 권리와 소비자 권리 등에 대한 위험 등)
    • (3) 시민 담론, 선거 과정 및 공공 안전에 미치는 실제적 또는 잠재적 영향
    • (4) 젠더 폭력, 공중 보건, 아동 보호 및 개인의 신체적, 정신적 건강에 미치는 실제적이고 예상되는 부정적인 영향
  • 대규모온라인플랫폼은 연 1회 이상 또는 중대한 위험을 미치는 기능을 배치하기 전에, 알고리즘시스템 등에 대한 설계, 서비스 기능 및 사용에서 기인하는 체계적인 위험을 식별, 분석, 평가하는 위험평가를 실시하여야 함
    • 식별된 체계적 위험에 대하여 서비스, 약관, 절차, 시스템 변경 등 합리적이고 비례적이며 효과적인 위험 완화조치를 취해야 함. 특히 아동 보호를 위한 조치와 딥페이크 구별에 대한 조치가 포함됨
    • 평가 문서는 3년간 보관하며 관할당국 요청시 제출하여야 함. 유럽연합 디지털서비스이사회는 대규모온라인플랫폼이 보고한 위험평가 및 여러 정보를 종합하여 가장 두드러지고 반복적인 체계적 위험을 식별하고 평가하여 보고서로 공개하고 완화조치 이행에 대한 지침을 마련함.
    • 공공 안전 및 공중보건에 심각한 위기(crisis)가 발생한 경우 집행위원회는 대규모온라인플랫폼에 조치를 취하도록 요구할 수 있음
  • 대규모온라인플랫폼에는 독립적 감사 의무가 있음
    • 자체 비용으로 연 1회 이상 의무 준수에 대한 감사를 받아야 함
    • 대규모온라인플랫폼은 1개월 이내 감사 이행보고서를 채택하고, 감사의 권고를 이행하지 않은 경우 정당한 사유 또는 대안을 제시하여야 함
  • 대규모온라인플랫폼에는 추천시스템에 대한 추가 의무가 있음
    • 추천시스템은 검색결과 또는 순위결정에서 우선순위 등을 정하는 자동화된 시스템을 의미함
    • 대규모온라인플챗폼은 이용자에게 프로파일링에 기반하지 않는 하나 이상의 옵션을 반드시 제공하여야 함
  • 대규모온라인플랫폼은 온라인 광고의 투명성에 대한 추가 의무가 있음
    • 광고가 마지막으로 표시된 후 1년 이내에 다음의 정보를 저장소에 공개하여야 함 (1) 광고 내용, (2) 광고게시자, (3) 광고주, (4) 광고 표시 기간, (5) 광고가 특정 이용자집단을 맞춤하였는지 여부 및 (특정 이용자를 배제하기 위해) 사용된 주요 매개변수, (6) 온라인플랫폼 투명성의무에 따른 공지내용 (7) 광고가 표시된 총 이용자수 및 광고가 맞춤한 이용자집단수 등
  • 대규모온라인플랫폼은 특정한 경우 정보 접근과 조사를 허용하여야 함
    • 관할당국 요청시 법준수 관련 데이터를 제공하여야 함
    • 관할당국 요청시 체계적 위험의 탐지, 식별 및 이해와 위험평가의 적절성에 대한 검사 연구를 수행하는 지정된 독립 학술연구자에게도 데이터를 제공하여야 함. 연구비와 연구 결과는 공개됨
  • 대규모온라인플랫폼은 독립적으로 업무하는 준법 감시인을 지정하여야 함
  • 대규모온라인플랫폼은 투명성 보고에 대한 추가 의무가 있음
    • 앞서 투명성보고서를 6개월마다 발행하고 언어별 컨텐츠관리 인력과 그 전문성, 국가별 월평균 이용자수를 추가하여야 함
    • 위험평가결과/완화 조치, 감사보고서/감사이행보고서를 공개하고 관할당국에 제출하여야 함
    • 비밀, 보안 위협, 국가안보 위해, 이용자 피해 정보는 삭제가 가능하지만, 관할당국에는 완전한 보고서를 제출하여야 함
  • 온라인서비스에는 연성법이 적용되며, 특히 대규모온라인플랫폼에 대한 제정과 준수 요구가 높음
    • 대규모온라인플랫폼에 행동강령 제정과 준수가 장려됨
    • 온라인 광고 가치사슬 행위자들의 행동강령 제정과 준수가 장려됨
    • 온라인서비스에 장애인 접근성을 보장하는 행동강령의 제정이 장려됨
    • 위기대응(지진, 허리케인, 감염병 및 공중 보건, 전쟁 및 테러 행위 등)을 위한 협력 프로토콜의 준수가 장려됨

디지털시장법(DMA)

  • 디지털시장법은 디지털 시장에서 “게이트키퍼(gatekeeper, 문지기)” 역할을 하는 대규모온라인플랫폼의 시장지배력 남용을 방지하고, 디지털 시장의 공정한 경쟁 환경을 조성하고자 함
    • 사업이용자(business user)에게는 더 공정한 사업 환경과 시장의 혁신 및 경쟁 환경 보장 (p2b)
    • 최종이용자(end user)에게는 다양한 서비스에 대한 접근과 공정한 가격 보장 (p2c)
  • 기존의 경쟁법이 위반 사건 처리에 장기간 소요되고 디지털 시장의 빠른 변화 속도에 대응이 어려운 데 비하여, 대규모온라인플랫폼에 명확한 작위(dos) 및 부작위(don’ts) 의무를 선제적으로 제시함
  • 디지털시장법의 집행권한은 집행위원회에 두었으며, 집행위원회의 업무를 지원하고 촉진하기 위해 ‘고위전문가그룹(High-Level Group for Digital Markets Act)’을 설치함. 고위전문가그룹에는 유럽통신당국, 경쟁당국, 소비자보호당국, 시청각미디어규제당국은 물론 유럽개인정보보호감독관(EDPS)와 유럽정보보호이사회(EDPB)도 함께 참여함
    • 회원국 경쟁당국은 게이트키퍼 위반행위에 대하여 조사를 개시할 수 있으며, 집행위원회와 협의하고 협력함.
    • 법 위반시 집행위원회는 전년도 글로벌 매출의 최대 10%, 반복적 위반시 최대 20%의 과징금을 부과할 수 있음
  • 집행위원회는 2023년 8월까지 게이트키퍼 플랫폼사업자를 확정할 예정임.
    • 게이트키퍼 플랫폼으로 지정되면 2024년부터 디지털시장법 의무를 완전하게 이행하여야 함

디지털시장법 적용대상

  • 적용대상 서비스는 ‘핵심플랫폼서비스’로서, 온라인 중개서비스, 온라인 검색엔진, 온라인 소셜네트워킹서비스, 영상공유 플랫폼서비스, 메신저 등 개인간 통신서비스, 운영체제, 웹브라우저, 가상비서, 클라우드컴퓨팅서비스, 온라인 광고서비스 등임
  • 디지털시장법의 적용대상 기업은 핵심플랫폼서비스 중 3가지 요건을 충족하여 게이트키퍼로 지정된 기업임
    • (a) 역내 시장에 상당한 영향을 미치는 경우 : 3개년 사업연도 각각 유럽연합 연매출액 75억 유로 이상 또는 마지막 사업연도 평균시가총액 750억 유로 이상인 경우로서 3개 이상 회원국에 동일한 핵심플랫폼서비스를 제공하는 경우
    • (b) 사업이용자가 최종이용자에게 접근하는 데 중요한 게이트웨이 역할을 하는 핵심플랫폼서비스 제공자 : 직전 사업연도에 유럽연합 월평균  활성 이용자수 4,500만 명 이상 및 연간 활성 사업이용자수 10,000개사 이상인 경우
    • (c) 운영하는 서비스 관련 확고하고 견고한 지위를 갖고 있거나 가까운 장래에 그러한 지위를 누릴 것으로 예견되는 경우 : 지난 3개 사업연도 각각 (b)의 기준이 충족될 경우
  • 구글, 아마존, 페이스북, 애플, 마이크로소프트 등 미국 거대플랫폼이 포함될 것으로 예상됨

게이트키퍼 플랫폼의 의무

  • 게이트키퍼가 핵심플랫폼서비스를 사용하는 제3자 서비스의 최종이용자 개인정보를 온라인 광고 서비스 제공을 목적으로 처리하는 것을 금지함
  • 게이트키퍼가 핵심플랫폼서비스에서 취득한 개인정보를 게이트키퍼의 다른 서비스에서 취득한 개인정보 또는 제3자 서비스에서 취득한 개인정보와 결합하는 것을 금지함
    • 예시 : 페이스북이 최종 이용자의 동의 없이 페이스북이라는 SNS에서 얻은 개인정보를 페이스북 마켓 플레이스, 인스타그램, 왓츠앱과 같은 다른 서비스에서 얻은 데이터와 결합할 수 없음
  • 게이트키퍼가 관련 핵심플랫폼서비스에서 취득한 개인정보를 게이트키퍼가 별도로 제공하는 다른 서비스에서 교차 이용하는 것을 금지함
  • 게이트키퍼가 GDPR(유럽연합 일반개인정보보호규정)에 부합하는 실질적 동의 없이는 이용자가 게이트키퍼의 다른 서비스에 로그인하여 개인정보를 결합하게 하는 것을 금지함
  • 게이트키퍼는 사업이용자가 게이트키퍼 서비스를 통해 제공되는 것과 동일한 제품 및 서비스를 다른 서비스에서 다른 가격 및 조건으로 최종이용자에게 제공할 수 있도록 허용하여야 함
    • 예시 : 아마존은 전자책 출판사가 동일한 전자책을 다른 전자상거래 플랫폼에서 더 낮은 가격에 제공하는 것을 막거나 요구할 수 없음
  • 게이트키퍼는 사업이용자가 게이트키퍼 서비스를 사용하는지 여부와 관계없이 게이트키퍼 또는 다른 경로를 통해 최종이용자에게 상품을 홍보하고 계약을 체결하는 행위를 무료로 허용하여야 함
    • 예시 : 애플은 스포티파이가 스포티파이 웹사이트를 통해 유료결제 등을 진행한다고 하여 앱에서 이용자에게 홍보/정보를 주는 행위를 막을 수 없음
  • 게이트키퍼는 최종이용자가 게이트키퍼 플랫폼 외부에서 사업이용자의 콘텐츠, 구독, 기능 또는 기타 아이템을 취득한 경우에도 이에 접근하고 사용할 수 있도록 허용하여야 함
    • 예시 : 애플은 스포티파이 앱 외부에서 구독권을 결제한 사용자가 해당 구독권을 앱에서 사용하는 걸 제한할 수 없음
  • 게이트키퍼는 사업이용자가 문제제기를 위해 법원을 포함한 관련 당국 기관에 연락하는 것을 방지하거나 제한할 수 없음
    • 예시 : 아마존은 아마존 마켓플레이스에서 아마존의 불공정한 사업 관행을 신고하는 판매자를 (계약에 따라) 처벌할 수 없음
  • 게이트키퍼는 서비스를 이용하는 사업이용자나 최종이용자에게 게이트키퍼의 ID 서비스, 웹브라우저 엔진, 인앱결제 등의 결제서비스 등을 사용, 제공, 상호운용하도록 요구할 수 없음
    • 예시 : 애플은 앱 개발자가 앱 스토어에 접근할 수 있는 조건으로 애플의 자체 로그인 서비스인 ‘Apple로 로그인’ 서비스를 통합시킬 것을 요구할 수 없음
  • 게이트키퍼는 사업이용자 또는 최종이용자에게 서비스 접근 조건으로 자신의 다른 서비스에 등록 또는 가입하도록 강요할 수 없음
    • 예시 : 구글은 유튜브의 광고 인벤토리에 입찰하는 광고주들에게 구글의 광고 플랫폼인 Google Ads를 사용하도록 요구할 수 없음
  • 게이트키퍼는 광고주 및 광고주가 승인한 제3자에게 게재 광고에 대한 정보를 매일 무료로 제공하여야 함. 여기에는 광고주가 지불하는 가격 및 수수료, 퍼블리셔가 받는 보수, 그리고 각 가격, 수수료 및 보수가 계산되는 기준이 포함됨.
    • 예시 : 구글은 광고주가 Google Ads에 지불한 금액 중 퍼블리셔가 얼마를 받는지 등에 대한 정보를 요구했을 때 이를 거절해서는 안 됨
  • 게이트키퍼는 온라인광고서비스를 제공하는 퍼블리셔 및 퍼블리셔가 승인한 제3자에게 인벤토리에 표시되는 각 광고에 대한 정보를 매일 무료로 제공하여야 함. 여기에는 해당 퍼블리셔가 받는 보수 및 수수료, 광고주가 지불하는 가격, 그리고 각 가격과 보수가 계산되는 기준이 포함됨.

특정 게이트키퍼에 추가될 수 있는 의무

  • 사업이용자와 경쟁하는 게이트키퍼는 사업이용자의 공개되지 않은 데이터를 사용하여 사업이용자와 경쟁할 수 없음.
    • 예시 : 아마존은 온라인 마켓플레이스의 제3자 판매자로부터 수집한 데이터(상품 페이지 방문, 판매 패턴 및 수익 데이터)를 자사 판매자로서 이와 경쟁하기 위해 사용할 수 없음.
  • 게이트키퍼는 최종이용자가 운영체제에 사전 설치된 애플리케이션을 쉽게 제거할 수 있도록 허용하여야 하고, 운영체제, 가상비서, 웹브라우저, 온라인 검색엔진의 기본설정을 쉽게 변경하고 선택할 수 있도록 허용하여야 함
    • 예시 : 애플은 애플 뮤직이나 iBooks 처럼 아이폰에 사전 설치된 앱을 이용자가 삭제할 수 있게 허용하여야 함
  • 게이트키퍼는 이용자가 제3자 앱 또는 제3자 앱 스토어를 운영체제에 설치하고 사용할 수 있도록 기술적으로 허용해야 함. 또한 게이트키퍼 외부에서 이러한 앱 및 앱 스토어에 접근할 수 있어야 함. 다운로드된 앱 및 앱 스토어를 기본값으로 설정할지 여부를 최종이용자가 결정하고 변경할 수 있어야 함.
    • 예시 : 애플은 아이폰 사용자가 애플 앱 스토어 외부에서 즉 제3자 앱 개발자로부터 직접 설치한 앱을 설치할 수 있도록 해야 함
  • 게이트키퍼는 순위ranking 또는 관련 색인 및 크롤링에서 제3자와 유사한 자사의 제품 및 서비스를 우대해서는 안 되며, 순위 서비스에서 투명하고 공정하며 비차별적인 조건을 적용해야 함
    • 예시 : 구글은 구글 검색 결과 순위에서 자사의 가격 비교 쇼핑 서비스(구글 쇼핑)을 제3자 가격 비교 쇼핑 서비스에 비해 우대할 수 없음
  • 게이트키퍼는 최종이용자가 다른 앱과 서비스로 갈아타는 걸 제한할 수 없음
    • 예시 : 애플은 아이폰 이용자가 애플과 독점 계약을 체결한 인터넷서비스제공자(ISP)외 다른 공급자로 전환하는 걸 막을 수 없음
  • 게이트키퍼는 서비스 제공자 및 하드웨어 제공자, 사업이용자에게 상호운용성을 무료로 허용하고 동일한 하드웨어 및 소프트웨어 기능에 접근할 수 있도록 허용해야 함.
    • 예시 : 애플은 자사의 음성 비서 시리가 자사의 애플뮤직과 상호운용되는 경우 (음성 명령어를 사용해 애플 뮤직 앱을 제어하는 등) 스포티파이가 음성 비서 시리에 접근하고 이를 활용하는 것을 제한할 수 없음
  • 게이트키퍼는 광고주 및 퍼블리셔와 광고주 및 퍼블리셔가 허가한 제3자에게 성능 측정 도구에 접근하고 광고 서비스가 제대로 제공되고 있는지 독립적으로 판단할 수 있도록 필요 데이터를 무료로 제공해야 함
    • 예시 : 페이스북은 특정 광고 캠페인의 영향 (특정 광고를 표시하여 거래/방문 등이 발생한 횟수)을 확인하고 평가하는 데 필요한 도구 및 정보에 대한 접근 권한을 광고주에게 제공해야 함
  • 게이트키퍼는 최종이용자가 게이트키퍼의 서비스를 이용하며 제공하거나 생성한 데이터에 대해 효과적인 이동성을 무료로 제공해야 함
    • 예시 : 페이스북은 이용자가 페이스북에서 생성한 데이터를 다른 소셜 네트워크로 이전할 수 있도록 허용해야 함
  • 게이트키퍼는 사업이용자(또는 그 최종이용자)가 게이트키퍼의 서비스나 부가 서비스를 사용하여 제공 또는 생성한 데이터에 대하여 무료로 지속적으로 실시간으로 접근하고 이용할 수 있도록 해야 함. 개인정보의 경우 사업이용자가 최종이용자의 동의를 받은 경우에 한함
    • 예시 : 애플은 최종이용자가 명시적으로 동의한 경우 iOS앱을 통해 서비스를 구독한 최종이용자에 대한 정보를 앱 서비스 제공자(사업이용자)에게 제공하는 걸 거부할 수 없음
  • 게이트키퍼는 온라인 검색 엔진의 최종이용자가 생성한 순위, 쿼리, 클릭 및 방문(view) 데이터를 제3자 온라인 검색 엔진에 제공해야 함. 개인정보에 해당하는 쿼리, 클릭, 방문 데이터에 대해서는 익명처리하여야 함
    • 예시 : 구글은 경쟁 온라인 검색 엔진의 공급자의 구글 검색의 쿼리 데이터 요청을 완전히 거부할 수 없음
  • 게이트키퍼는 앱스토어, 온라인 검색엔진, 온라인 소셜네트워킹서비스에서 사업이용자에 대하여 공정하고 합리적이며 비차별적인 일반 접근 조건을 적용해야 함. 이 일반 접근 조건에는 대안적 분쟁해결절차가 포함됨
    • 예시 : 애플은 명확한 설명 없이 앱 스토어에 있는 앱 개발자들에게 서로 다른 수수료를 부과할 수 없음
  • 게이트키퍼는 서비스의 종료에 과도한 일반 조건을 부과하지 않아야 함
  • 게이트키퍼는 개인간 통신서비스가 다른 개인간 통신 서비스 제공자의 서비스와 상호운용될 수 있도록 무료로 허용해야 함.
    • 예시 : 왓츠앱은 다른 인스턴트 메신저 서비스(텔레그램 등)와 상호연결을 허용해야 함. (메타는 자사 메신저 서비스인 왓츠앱과 또 다른 자사 서비스인 페이스북 메신저와 인스타그램 메신저를 상호연결하여 제공할 것을 밝힌 바 있음)

게이트키퍼의 기타 준수 의무

  • 게이트키퍼는 게이트키퍼 지정을 우회하기 위해 계약적, 상업적, 기술적 및 기타 수단을 이용해 서비스를 세분화 및 분할할 수 없음. 게이트키퍼는 의무의 효과적인 준수를 저해하는 행위에 관여하거나, 이용자의 권리나 선택권 행사를 어렵게 해서는 안 됨
  • 모든 게이트키퍼는 다른 핵심플랫폼서비스 제공업체 또는 기타 서비스를 인수하는 경우 결합 이행 전에 집행위원회나 관할경쟁당국에 신고해야 함.
  • 게이트키퍼는 게이트키퍼로 지정된 날로부터 6개월 안에 소비자 프로파일링 기술에 대해 독립적으로 감사 설명서를 집행위원회에 제출해야 함. 집행위원회는 이 설명서를 유럽정보보호이사회(EDPB)에 전달함.
    • 게이트키퍼는 영업비밀을 고려하면서도 감사 설명서의 개요를 일반에 공개해야 함.
  • 게이트키퍼는 독립적인 준수 기능을 도입하고, 한명 이상의 준수 담당관을 두어야 하며, 준수담당관의 이름과 연락처를 집행위원회에 제출하여야 함.