브뤼셀 효과: EU의 디지털 규제를 중심으로

IT 업종에서의 브뤼셀 효과

‘브뤼셀 효과’란 유럽연합(EU) 의회가 위치한 브뤼셀에서 이루어진 의사결정이 전 세계 국가와 기업에 관철되는 ‘규제의 세계화 현상’을 말한다. 다시 말해 EU가 소비자 보호, 제품 안전, 환경 보호 등 보편적 가치를 바탕으로 규범을 만들면 역내·외 기업들이 이를 따르게 되는 현상을 의미한다. EU는 자신들이 가지고 있는 규제 능력을 통해 역내 기업 혹은 역내 진출을 희망하는 기업에 규제를 수용하게 함과 동시에 이 과정에서 내재화된 규제를 다시 국제 표준으로 전파하고 있는 것이다. 즉, EU의 규제는 EU 역내 영향을 미치는 것으로 그치지 않고 글로벌 기업에 막대한 재무적·비재무적 영향력을 행사하는 만큼 그 내용을 면밀히 살펴보고, 대응할 필요가 있다.

이른바 브뤼셀 효과로 불리는 EU의 규제 능력은 2050년 탄소중립을 목표로 하는 유럽 그린딜(European Green Deal)과 그 정책 수단인 ‘Fit for 55*’추진 중 발휘된 바 있다. 유럽 그린딜 발표 이후 글로벌 기업들은 탄소중립 로드맵 수립· 이행 등 기후변화에 대응하도록 강력한 요구를 받았는데, 특히 철강 및 시멘트 등의 업종이 동 정책에 큰 영향을 받았다. 해당 정책 패키지에서 EU는 EU 대비 탄소배출 규제가 약한 국가가 EU를 상대로 수출할 경우, 추가 비용을 지출하거나 수출 과정상 배출되는 탄소량을 감축하도록 규정한 탄소국경제도(Carbon Border Adjustment Mechanism, CBAM)를 도입하고, 2023년 10월부터 철강, 시멘트 등 일부 업종에 대해 CBAM을 시범 적용하였기 때문이다. *2030년까지 탄소배출량을 1990년 대비 55% 감축하기 위해 기후, 에너지, 토지 사용, 운송 그리고 과세 관련 정책 및 법령을 수정 또는 제정하는 것을 주된 내용으로 함

브뤼셀 효과는 IT 업종에서도 주목할 만하게 나타났는데, 대표적인 사례로 18년부터 시행된 EU의 일반정보보호규정(General Data Protection Regulation, 이하 GDPR)을 들 수 있다. 글로벌 기술 회사들은 유럽 시장을 위해 GDPR의 기준에 맞추기 시작했고, 결과적으로 개인정보보호 부문에서 GDPR의 규제가 글로벌 표준처럼 자리 잡았다. GDPR 이후로도 EU는 디지털 시장의 규범 주도권을 잡고, EU의 엄격한 법/규정 등이 역내 기업의 시장 경쟁력 약화로 연결되지 않도록 1. 디지털서비스법(Digital Service Act, DSA), 2. 데이터거버넌스법(Data Governance Act, DGA)과 데이터법(Data Act, DA), 3. 디지털시장법(Digital Markets Act, DMA), 4. AI법(AI Act, AIA) 등을 잇달아 발표하였다.

해당 법들은 온라인 플랫폼, 검색엔진을 제공하는 디지털 서비스 제공자, AI 시스템 제공자 등이 △개인정보보호 강화, △공정경쟁, △소비자 보호, △사업자의 투명성·책임성 강화 등 보편적 가치를 준수하도록 하기 위해 제정되었고, 동 법/규정들을 기반으로 EU는 빅테크기업을 포함하여 디지털 사업자에 광범위한 규제를 부과하고 있다. 결론적으로, EU는 EU 내에서 시행된 해당 법/규정들을 기반으로 EU 외 지역의 IT 기업에 영향력을 행사하고 있는바, 그 내용을 파악하고 대응할 필요가 있다.

EU 디지털 규제 주요 타임라인 (출처: 삼성SDS)

18년 5월

일반정보보호규정(GDPR) 시행 EU 회원국 거주자의 개인정보보호 강화 및 EU 역내 자유로운 데이터 이동 보장

22년 5월

데이터 별 초안 발표 사회 각 부문의 효율적 데이터 공유를 촉진함으로써 소비자 보호, 공정 경쟁 강화 등 도모

23년 8월

디지털 서비스법(DSA) 시행 디지털 사업자의 책임성과 투명성을 강화하고, 서비스 이용자들의 개인 정보를 보호하기 위한 법으로, 디지털 서비스 사업자에 규제 부과

23년 9월

데이터거버넌스법(DGA) 시행 공공데이터 활용과 접근성 향상을 통한 데이터 시장 참여자의 혁신 촉진, 연구개발 강화 등 도모

24년 4월

EU AI법(EU AIA) EU의회 본회의통과 AI 시스템이 기본권과 안전에 미치는 부작용 방지를 위해 AI 시스템 공급자 및 사용자에 규제 부과

1. EU 디지털서비스법(DSA)

디지털서비스법을 선 시행하였으며, 이후 2024년 2월 17일부터 EU 전역에 전격 시행하였다. 동 법률은 디지털 사업자의 책임성과 투명성을 강화하고, 서비스 이용자들의 개인정보를 적극적으로 보호하는 것을 목표로 한다. 회원국에 직접적인 구속력을 가지는 동시에 온라인 서비스의 이용자(서비스 수신자)가 EU 내에 소재하거나 이용자의 사업장이 EU 내에 있는 경우 서비스 제공자의 사업장 소재지와는 무관하게 적용하여 적용 범위 또한 광범위하다. 아울러 디지털 사업자를 4개(중개 서비스 - 호스팅 서비스 - 온라인 플랫폼 - 초대형 온라인 플랫폼)로 분류하고, 각 사업자별 규제를 차등 적용한 특징이 있다.

디지털서비스법은 기본적으로 디지털 환경의 일상화, 온라인 플랫폼의 범세계적 대중화로 인한 △개인정보 유출, △불법 콘텐츠 양상, △가짜뉴스 확산 등의 문제를 해결하고 디지털 서비스 이용자의 기본 권리(표현 및 정보의 자유에 관한 권리, 사생활 및 개인정보에 관한 권리 등)를 보장하기 위해 제정되었다. 즉, 예측 가능하고 신뢰할 수 있는 투명하고 안전한 온라인 환경을 위하여 온라인 서비스 제공자와 온라인 상품·서비스·콘텐츠를 연결하는 중간 매개 역할을 하는 중개 서비스에 책임성과 투명성을 갖추도록 일정한 의무를 부과하였다.

디지털서비스법은 모든 디지털 중개 서비스에 투명 보고서 공개, 연락처·법적대리인 지정 등과 같은 ‘주의’ 의무를 부과하고 있고, 나아가 호스팅 서비스, 온라인 플랫폼, 초대형 온라인 플랫폼(초대형 온라인 검색엔진 포함)에 대하여 순차적으로 그리고 중첩적으로 ‘추가 의무’를 부과하고 있다. 특히 EU 내 서비스의 월평균 활성 이용자 수가 4,500만 명 이상인 초대형 온라인 플랫폼의 경우, 고의 또는 과실로 해당 법률의 조항을 위반하거나 관련 조치 결정을 주시하지 않는 경우, 집행위원회는 전 회계연도 전 세계 연간 매출의 6%를 최대 과징금으로 부과할 수 있도록 하였다. 단, 소기업의 경우 온라인 플랫폼 제공자에게 부과되는 의무만 적용된다.

디지털서비스법이 온라인 플랫폼 서비스 제공자에 부과한 주요 의무로는 △서비스 이용자의 결정을 왜곡하는 다크패턴 금지, △미성년이용자의 개인정보 혹은 서비스 이용자의 민감정보 온라인 맞춤형 광고에 사용 금지, △온라인 광고 및 추천시스템의 주요 매개변수 공개 등이 있다. 이를 통해 동 법률은 온라인 플랫폼 서비스의 전반적인 투명성을 강화하여 이용자들의 권리를 보다 강하게 보호하고 있다.

해당 법 시행 이후 2024년 2월, EU 집행위원회는 미성년자 보호를 강조하며 틱톡이 EU 디지털서비스법 위반 여부 평가를 실시하겠다고 밝혔으며, 틱톡은 유해 콘텐츠 삭제 조치에 들어간 바 있다.

2. EU 데이터거버넌스법(DGA)과 데이터법(DA)

다음으로 데이터거버넌스법과 데이터법은 신뢰를 바탕으로 한 민-관, 민-민 데이터 거래 기반 사회와 경제와 이익이 되는 연구 개발 확산, 데이터 시장의 공정경쟁 촉진, 데이터 시장 참여자에 의한 혁신 제고 및 소비자 권익 강화를 목표로 한다. 단, 전자가 공공데이터를 중심으로 한 데이터 활용과 접근성에 초점을 맞춘 것이라면, 후자는 민간데이터를 대상으로 데이터 활용을 촉진하는 것을 목표로 한다. 즉, 둘은 상호 보완적이라 할 수 있다.

2023년 9월부터 EU 회원국에 적용되고 있는 데이터거버넌스법(2020년 11월 법안 발표, 2022년 6월 채택)은 데이터 거래에 대한 신뢰를 바탕으로 사회와 경제에 이익이 되도록 여러 부문과 회원국 간에 데이터를 공유할 수 있는 안전한 환경을 조성하는 것을 목표로 한다. 이에, 동 법률은 △공공데이터의 재사용, △데이터 이타주의, △국제 데이터 흐름과 관련된 조치 등을 제정하였다.

상세히 얘기하자면, 먼저 공공기관이 보유한 방대한 양의 데이터를 재사용하는 경우, 비차별적이고, 투명하고, 비례적이며 정당해야 된다는 데이터 재사용에 대한 조건을 설정하였다. 또한 데이터 이타주의를 위한 프레임워크를 규정하였는데 데이터 이타주의는 개인과 기업이 자신이 생성한 데이터를 공익을 위해 자발적으로 보상 없이 사용할 수 있도록 동의하거나 허용할 때 발생하며, 이러한 데이터는 건강, 기후 등의 분야에서 연구를 발전시키고 더 나은 서비스 제품을 개발하는 데 기여하여야 한다. 또한 동 법률에 따르면, 서비스 제공자는 EU 외부의 비개인정보에 대한 불법 접근으로부터 해당 데이터를 보호하기 위한 보호 장치를 마련해야 한다. 이로 인해 EU는 공공기관이 보유한 공공데이터를 민간에서 상업적으로 활용할 수 있게 되었고, 정보 주체의 자발적인 데이터 제공 행위를 확대하여 국경을 초월한 데이터 풀을 만드는 데이터 이타주의를 실현하는 초석을 마련하였다.

이와 더불어, 데이터법이 2024년 1월 11일부터 공식 발효되었으며, 20개월 간의 유예기간을 거쳐 2025년 9월부터 EU 전역에서 시행될 예정이다. 동 법은 공공데이터 중심으로 데이터 가용성과 접근성을 높이기 위한 제정된 데이터거버넌스법을 보완하고, 사회 각 부문에서 효과적이고 효율적인 데이터 공유 촉진을 목표로 한다. 데이터법의 목표를 상세히 살펴보자면, △첫째로 소비자와 기업의 데이터(특히 연결된 사물 및 관련 서비스의 사용으로 생성된 데이터) 접근과 사용을 촉진하고, △둘째로 기업이 보유한 데이터를 공공 부문에서 예외적인 데이터 수요가 있는 경우 특정 상황에서 활용할 수 있도록 제공하며, △셋째로 전환 비용을 점진적으로 폐지하는 등 데이터 처리 서비스 제공자 간의 전환을 활성화하기 위한 조치를 규정하고, △넷째로 불법적인 데이터 유통에 대한 보호조치를 마련하며, △마지막으로 스마트 계약을 포함한 데이터 공유 장벽을 해소할 목적으로 데이터 재활용을 위한 상호운용성 표준 개발을 촉진하는 것이다.

결론적으로 EU 데이터법은 제품사용자에게 제품이 생성한 데이터에 접근할 수 있는 새로운 권한을 부여함으로써 소비자 보호를 이전보다 강화하였다. 지금까지 제품이나 서비스의 제작자나 설계자는 생성되는 데이터에 대해 배타적 통제권을 행사해 왔다. 그러나 제품 사용자의 데이터 접근권 허용을 통하여 소비자 보호를 한층 강화하였다. 또한 EU 데이터법은 정보를 보유한 주체가 대기업이고, 수신자가 중소기업 또는 영세사업자인 경우 대기업이 불공정한 계약 조건을 수신자에 부과하지 못하도록 보호장치를 마련함으로써 중소기업이나 영세사업자의 데이터 기반 시장 진출을 촉진하며, 시장 참여자에 의한 혁신을 꾀하고 있다.

3. EU 디지털시장법(DMA)

EU는 또한 빅테크기업들의 시장 지배력을 억제하기 위한 디지털시장법을 2022년 11월 발표하고 2023년 5월부터 시행하였다. 동 법률은 2020년 12월 초안 발표 당시부터 GDPR 이후 디지털 산업에 가장 큰 영향을 미칠 규제로 평가받은 법률로, 개인정보보호 강화, 사용자 데이터 접근 제고, 보다 경합적이고 공정한 디지털 업계 조성을 목적으로 한다. 2020년 12월 시장 영향력이 큰 기업을 ‘게이트키퍼’로 지정해 규제한다는 내용의 디지털시장법 초안을 발표하였고, 2022년 9월 입법 절차를 완료하였다.

게이트키퍼는 △역내 시장에 상당한 영향을 미치고, △이용사업자가 최종이용자에게 도달하는 중요한 게이트웨이 역할을 하는 핵심 플랫폼 서비스를 운영하며, △견고하고 지속적인 지위를 보유하거나 가까운 장래에 그러한 지위를 보유할 것으로 예상되는 경우 지정되었다. Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft 가 게이트키퍼로 지정되었으며, 이들 기업의 22개 디지털 서비스*가 규제 대상으로 지정되었다.

게이트 키퍼 지정 기업 및 규제대상 서비스 (출처: European Commission)

Gatekeeper Designations

Gatekeeper

• Alphabet
• Amazon
• Apple
• ByteDance
• Meta
• Microsoft

Core Plarform Service

social network

tiktok

facebook

instagram

linkedin

intermediation

google maps

google play

google shopping

amazon markettplace

app store

meta marketplace

ADS

goggle

amazon

meta

N-IICS

whatsapp

messenger

Video sharing

youtube

search

googel search

browser

chrome

safari

OPERATING SYSTEM

Google Android

iOS

Windows PC OS

디지털시장법 시행으로 게이트키퍼는 △결합판매/자사우대/최혜대우요구 금지의 확대 △광고주에게 광고 효과 측정에 필요한 데이터 제공, △사용자 동의 없이 게이트키퍼 자체 서비스/플랫폼 간 사용자 데이터 공유 금지 등을 준수하여야 한다.

상세히 얘기하자면, 게이트키퍼는 신원 확인 서비스, 웹브라우저 엔진, 결제 서비스 및 이를 지원하는 기술을 결합 판매할 수 없고, 자사가 제공하는 재화·용역의 순위 관련 색인화(indexing) 및 크롤링을 더 유리하게 취급해서는 안 되며, 순위에 투명하고 공정하며 비차별적인 조건을 적용해야 한다. 또한 게이트키퍼는 이용사업자가 게이트키퍼의 온라인 중개 서비스를 통해 제공하는 것과 다른 가격·조건으로 최종 이용자에게 동일한 재화·용역을 제공하는 것을 방해할 수 없으며, 게이트키퍼의 운영체제·가상비서·웹브라저의 기본 설정을 최종이용자가 쉽게 변경할 수 있도록 허용하고 기술적으로 가능하게 해야 할 의무가 있다. 또한 광고주와 퍼블리셔에게 온라인 광고 관행에 관한 투명한 가격 및 보수 정보와 함께 성과 측정에 필요한 데이터에 대한 접근을 제공하여야 한다. 아울러, 최종 이용자가 개별적으로 동의하지 않은 경우* 개인정보를 결합하기 위해 게이트키퍼의 다른 서비스에 최종 이용자의 데이터 공유를 할 수 없다. *동의 요청은 1년에 한 번만 가능

기업에 실상 가장 강력한 규제로 작용할 것으로 예상되는 디지털시장법 시행 이후, 2024년 3월 EU 집행위원회는 디지털시장법에 근거해 6개 빅테크기업이 ‘디지털시장법’을 위반한 사례가 없는지 첫 조사에 착수한 바 있다.

디지털시장법에 대응하여 Google(Alphabet)은 광고주로 하여금 광고 목적으로 사용자 데이터를 Google에 전송하는 것과 개인 맞춤 광고에 대한 동의 설정을 의무화하는 등 사용자 동의 정책을 업데이트하였다. 또한 Meta는 Facebook과 Instagram 계정을 연결한 사용자는 이 연결을 유지하거나 별도로 관리할 수 있도록 하였으며, 별도로 관리할 경우 두 서비스 간 데이터가 공유되지 않도록 하면서 사용자에게 Meta의 여러 서비스 간 사용자 개인 정보를 어떻게 공유할지, 특정 서비스들끼리 함께 관리할지 분리할지 선택할 수 있는 옵션을 제공하였다. 마지막으로 Apple도 디지털시장법 기준에 따라 대응 방안을 발표하였는데 가장 눈에 띄는 변화는 iOS에서 새로운 결제 프로세스 옵션을 선택할 수 있도록 한 점, 앱스토어 이외 새로운 마켓플레이스를 통해 앱을 배포할 수 있도록 한 점 및 Safari 이외 다른 브라우저 엔진을 기본으로 설정할 수 있는 기능을 추가한 점 등을 들 수 있다.

4. EU AI법 (AIA)

또한 EU는 AI 기술 대두에 따른 부작용이 강조되자 2021년 4월 EU AI법 초안을 마련하고, 2024년 3월 EU 의회에서 동 법안을 통과시켰다. 아직 회원국 적용을 위해서는 각국 승인이 남아있기는 하나, 큰 관문을 통과한 셈이다.

EU가 2021년 4월 AI법 초안을 발표하기까지 논란이 된 AI 활용 사례가 수차례 보고되었다. 2016년 3월 Microsoft의 AI 기반 챗봇이 인종 차별적이고 공격적인 발언을 쏟아내는 문제가 발생해 13시간 만에 서비스를 중단하였고, 2018년 IBM이 개발한 미래 범죄자 예측 AI 시스템은 흑인에 대해 편향된 것으로 밝혀졌다. 또한 Amazon이 2018년 출시한 안면인식 기술은 용의자를 식별하고 범죄자를 추적하는 데 사용되었는데 개인정보보호, 편향성 등에 대한 우려가 제기되었고 결국 2020년 6월 이후 법 집행기관에 대한 해당 기술 판매가 중단되었다. 마지막으로 2018년 데이터 분석 회사인 Cambridge Analytica가 AI 기반 의사결정시스템을 사용하여 특정 유권자 그룹에 개인화된 광고를 제공함으로써 2016년 미국 대통령 선거 결과에 영향을 미쳤다는 사실이 밝혀지면서 이후 정치 캠페인에서 AI 사용과 AI가 민주주의에 미치는 영향에 대한 심각한 우려가 제기되었다.

이에, EU는 AI 규제가 기술개발의 저해 요인이 되지 않도록 위험 정도를 기반으로 정당한 원인이 존재하는 상황에 대해서만 한정적인 법적 개입을 하는 것을 원칙으로 하는 EU AI법을 발표하였다. 다시 말해, 리스크에 따른 차등 규제 방식을 도입하고, AI 시스템에 대한 위험을 허용불가 위험(Unacceptable risk), 고위험(High risk), 제한적 위험(Limited risk), 최소 위험(Minimal risk)으로 구분하고 이에 따라 각각 다른 의무를 부과하였다.

일단 허용불가 AI 시스템에는 잠재의식 조작, 아동·장애인 착취, “실시간” 원격 생체인식 시스템, 사회적 평점(Social scoring)에 이용되는 시스템, 범죄자 예측 치안 시스템, 감정 인식 시스템 등이 해당된다. 해당 시스템은 원칙적으로 출시·서비스·활용이 전부 금지되나, 실시간 원격 생체인식 시스템의 경우 금지되는 것은 법 집행 목적으로 공공장소에서 실시간으로 활용하는 것에 한하고, 기타 활용의 경우 고위험 AI 시스템으로 분류하고 있다.

다음으로 고위험 AI 시스템은 채용·인사관리, 필수적 공공·민간서비스의 접근, 이민·난민·출입국 관리, 핵심 기반시설의 관리·운영, 생체인증, 교육·직업훈련 등에 활용되는 AI 시스템이 해당된다. 고위험 AI 시스템의 경우 제품 출시 또는 서비스 개시 전에 사업자가 적합성 평가기관에 적합성 평가를 받아야 하는 의무가 추가로 부과되었다. 적합성 평가 내용은 AI 시스템의 잠재적인 위험성 분석, 기본권과 안전에 미칠 수 있는 영향과 편향을 완화하기 위한 조치 여부, 데이터 적절성 등에 관한 평가가 포함된다.

또한 고위험 AI 시스템의 경우 사용자에 대한 의무도 규정하였다. 여기서 사용자는 자체 권한을 바탕으로 AI 시스템을 사용하는 법인, 공공기관, 기관, 그 밖의 기구를 뜻하고, 비전문적인 사적 활동을 수행하는 사용자는 제외된다. 고위험 AI 시스템 사용자는 AI가 기본권을 침해할 수 있는 가능성에 유의하고, AI 시스템의 데이터가 본래 목적과 관련성을 가지는지 확인할 의무가 있다. 아울러, 사용자는 AI 시스템이 인간의 건강, 안전 또는 기본권을 침해할 수 있다면, 사용을 중지하고, AI 사업자 또는 유통업자에게 그 내용을 고지하여야 한다. 이 밖에도 사용자는 AI 시스템의 기본권 침해에 대한 원인을 사후적으로 진단하는 데 활용하기 위해서 고위험 AI 시스템의 운용 기록을 일정 기간 보관하여야 한다.

다음으로 챗봇 등 사람과 상호작용하도록 의도된 AI 시스템 등이 제한적 리스크 AI 시스템에 해당된다. 동 시스템의 경우 제공자나 활용자에게 고지 또는 공개 의무가 부과된다. 예를 들어, 챗봇의 경우 사용자가 AI 시스템과 상호작용 중이라는 사실을 고지받는 방식으로 시스템을 설계·개발해야 한다. 마지막으로 최소 위험의 AI 시스템에 대해서 별다른 규제를 적용하지 않았다. 행동강령 등을 권고할 수 있으나 자발적 준수사항에 불과하다.

이와 같이 EU AI법은 AI 시스템 공급자와 사용자에게 위험 수위별 차등화된 의무를 부과하였으며 의무 위반 시에는 세 가지 유형의 과징금을 부과할 수 있도록 하였다. 첫째로 공급자가 금지 사항을 준수하지 않을 경우, 공급자에게 최대 3,500만 유로와 전년 회계연도 기준 전 세계 매출 7% 중 큰 금액을 과징금으로 부과한다. 둘째로 공급자, 공급자의 공인대리인, 수입업자, 유통업자, 사용자가 의무를 불이행할 경우, 최대 1,500만 유로와 전년 회계연도 기준 전 세계 매출 3% 중 더 큰 금액을 불이행자에게 과징금으로 부과한다. 마지막으로 공급자가 인증기관이나 관할 당국에 부정확, 불완전, 오해의 소지가 있는 정보를 제공한 경우에는 최대 750만 유로와 전년 회계연도 기준 전 세계 매출의 1.5% 중 더 큰 금액을 공급자에 과징금으로 부과한다.

참고로, GDPR을 위반한 기업에는 2천만 유로 혹은 전 세계 매출의 4%를 과징금으로 부과하였고, 2021년 Amazon이 7억4천5백만 유로, 22년 Meta가 4억5백만 불을 과징금으로 부과받았다. 위 사례들을 미루어 보았을 때 AI법 과징금은 GDPR의 과징금과 비교했을 때에도 전혀 가볍지 않은 수준이라 할 수 있다.

EU 디지털 규제 시사점

디지털서비스법, 데이터거버넌스법, AI법 등 최근 EU의 디지털 규제 동향을 보면 개인정보보호, 플랫폼, AI 등 디지털 분야에 대해 강력한 규제를 도입하고, 복잡한 입법 절차에도 불구하고 매우 빠른 속도로 진행하고 있다. 이를 통해 EU는 전 세계의 디지털 규제를 선도하고 있으며, 철강·시멘트 업종에서 그랬듯이 글로벌 IT 시장에서 EU의 영향력을 확산하고자 하고 있는 것으로 보인다.

이들 법/규정은 실질적으로 글로벌 IT 기업의 행태를 제한하고 위반 시 글로벌 매출을 기준으로 벌금을 부과하는 등 강력한 제재를 가하고 있다. 사실 인구 5억 명 이상의 유럽은 Meta, Alphabet 매출의 1/4 이상을 차지하고 있으나, 유럽 내 기업이 시가총액 기준 세계 70대 플랫폼에서 차지하는 비중은 4%에 지나지 않아 미국의 73%, 중국의 18%에 크게 대비되는 상황이다. 따라서 당초부터 동 법/규정들은 유럽 기업보다는 글로벌 IT 기업을 타켓으로 삼았다는 견해가 지배적이다. 일례로 디지털시장법에서 ‘게이트키퍼’로 지정한 6개 사 모두 미·중의 빅테크기업들이고(미국: 5, 중국: 1), 디지털서비스법에서 보다 강력한 규제 적용을 위해 선정한 19개 초대형 플랫폼 중에 역내 기업은 독일의 Zalando 1개 사뿐이다(2024년 4월 30일 기준). 또한 EU의 디지털 규제 대부분은 차등 규제를 선택하고 있다.

앞서 얘기한 바와 같이 디지털시장법은 6개 게이트키퍼 기업을 타겟으로 하고 있고, 디지털서비스법은 디지털 사업자 전반에 규제를 부과하나 초대형 플랫폼에 보다 강력한 규제를 적용하고 있으며, AI법 또한 고위험 AI 시스템 공급자에는 추가 의무를 부과하였다. 따라서 EU에서 사업을 영위하고자 하거나, EU 거주민을 소비자로 두고 있거나 혹은 EU 시장에 진출하고자 하는 디지털 기업, 특히 EU에서 영향력을 확대하고자 하는 IT 기업은 사전에 대응 체제를 구축할 필요가 있다.

첫째로 서비스 설계와 알고리즘 설정 영역에서 투명성 확보에 만전을 기해야 한다. 이전에는 기업들이 해당 영역에서 배타적 통제권을 행사해 왔으나 디지털서비스법, AI법 등으로 필요할 경우 규제 당국은 사업자들의 내부 데이터에 접근할 수 있는 권한을 보장받게 되었다. 예를 들어, 디지털서비스법은 디지털 서비스 제공자로 하여금 온라인 광고 및 추천 시스템의 주요 매개변수를 공개하도록 하였다.

둘째로 공정경쟁 원칙 준수이다. 디지털서비스법, 디지털시장법, AI법 모두 중소기업 및 영세사업자는 일부 또는 전체 규제 적용 대상에서 제외한다는 것을 분명히 했다. 또한 데이터거버넌스법은 데이터 거래 확산 기반 데이터 시장의 공정 경쟁을 촉진하고자 하는 목표를 공표했고, 초안이 발표된 데이터법은 데이터의 수신자가 중소기업 또는 영세사업자인 경우 대기업이 불공정한 계약 조건을 부과하지 못하도록 명시하였다. 이는 모두 중소기업 및 영세사업자의 시장 진입을 촉진하고자 하는 것이다. 일례로 디지털시장법은 게이트키퍼에 자사 기술 결합 판매 등을 금지하는 등 신규 시장 진입자의 장벽을 낮췄다. EU의 일련의 디지털 규제의 목표 중 하나는 공정 경쟁 촉진 및 시장 참여자 다각화 기반 혁신 제고로, 공정 경쟁 원칙 준수 및 상생 협력이 어느 때보다 중요하게 되었다.

또한 EU는 개인정보보호, 기본권 보호 등 소비자 보호를 특히 강조하고 있다. 디지털서비스법은 미성년자 개인정보와 서비스 이용자의 민감정보를 온라인 맞춤형 광고에 활용하는 것을 금지하였으며, AI법은 고위험 AI 시스템에 대해 편향을 완화하기 위한 조치 여부 평가를 의무화함으로써 AI 시스템 사용자의 평등권 등 기본권이 침해되지 않도록 조치하였다. 이에, 불필요한 재원 낭비를 방지하기 위한 소비자 보호 체계 구축이 필요하다. 특히, 가짜 뉴스, 아동 학대, 혐오 발언 등 범죄 행위와 연관된 콘텐츠를 신속하게 제거하고, 허위 정보가 확산하는 것을 막기 위한 자체 대책을 마련해야 할 필요가 있다.

EU가 규제를 바탕으로 글로벌 IT 기업에 큰 영향을 발휘하고 있다. 효율적으로 규제에 대응하여, 막대한 비용을 과징금으로 부담하지 않도록 IT 기업의 철저한 대비가 요구되는 시점이다.

<법적 고지>
삼성SDS의 웹사이트에 있는 모든 내용들은 오로지 일반적인 정보를 위한 것으로서 자격을 갖춘 변호사에 의한 법률 자문을 대신하는 것으로 이용되어서는 안 됩니다. 본 사이트 방문자는 제공되는 정보를 법률 자문으로 이용할 수 없습니다. 본 웹사이트에 게재된 논문 및 자료상의 견해는 저자들의 개인적인 견해이며 당사의 견해가 아님을 유념하시기 바랍니다. 본 웹사이트에 있는 모든 정보에 대해서는 당사 또는 원저작권자가 저작권을 갖습니다. 따라서 사전 서면 허락 없이는 어떤 형태로도 재생, 복사, 배포될 수 없습니다. 당사는 웹사이트의 내용을 보장하거나, 웹사이트에서 검색된 정보에 관하여 책임을 지지 않습니다. 본 웹사이트에서 취득한 정보로 인해 문제가 발생하여 직·간접적으로 손해를 입었다 하더라도 당사는 어떠한 법적 책임도 지지 않으므로 유념 바랍니다.

References
[1] 고학수, 임용, 박상철, 유럽연합 인공지능법안의 개요 및 대응방안, 2021
[2] 김경훈, 이준배, 윤성욱, EU 데이터 거버넌스 법안(Data Governance Act) 주요 내용 및 시사점, 제4유형, 2021
[3] NIA, 「IT & Future Strategy」, https://www.koraia.org/chtml/board.php?template=base&com_board_basic=file_download&com_board_id=12&com_board_idx=143&com_board_file_seq=0
[4] 김일우, 고위험 인공지능시스템의 차별에 관한 연구, 2024
[5] 김지헌, EU '디지털서비스법(안) 입법 동향, 제1유형, 2022
[6] 김현수, 강인규, 유럽연합 디지털 시장법 합의안의 주요 내용 및 시사점, 제4유형, 2022
[7] 법무부, EU 탄소국경제도 “탄소중립” 시대의 신(新) 보호무역 관세 규제, 제4유형, 2024
[8] Euractiv, European Commission pitches data sharing obligations in Data Act proposal,
[9] European Commission, https://ec.europa.eu/commission/presscorner/detail/en/mex_23_4362
[10] The European Data Act, https://www.eu-data-act.com

▶   해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶   해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.