내일부터 전면 적용되는 유럽의 디지털 서비스법 - 알아야 할 사항은 다음과 같습니다.
오늘부터 유럽연합 내 온라인 상거래에 대한 업데이트된 규정이 전면 시행되어 해당 조항의 적용을 받는 수많은 디지털 플랫폼과 기업에 새로운 법적 요건이 부과될 예정입니다.
유럽연합에서 발의한 디지털 서비스법은 디지털 플랫폼에 대한 포괄적인 규제 프레임워크를 구축하는 동시에 역내 인터넷의 불법성과 관련된 문제를 효과적으로 해결하기 위한 수단으로 투명성 요건을 활용하는 것을 목표로 하는 중요한 사업입니다.
디지털 수단을 통해 특정 회원국 내에서 특정 활동에 부과된 법적 제한을 우회하는 것은 방지되어야 한다는 기본 개념이 제시되어 있습니다. 따라서 유럽 국경을 넘어 운영되는 인터넷 기반 플랫폼은 해당 시장의 관할권에서 총기류와 같은 품목의 조달이 금지된 경우 거래를 허용하지 않아야 하며, 소셜 네트워크 사이트는 해당 국가에서 표현의 자유에 관한 기존 규정을 위반하는 경우 불쾌하거나 차별적인 것으로 간주되는 콘텐츠를 근절할 의무가 있습니다.
아동 복지 보호는 중요한 목표이며, 해당 법안에 따라 디지털 미디어 매체 및 솔루션은 청소년에 대한 “높은 수준의 기밀성, 복지 및 사이버 보안"을 보장하는 동시에 광고 목적으로 청소년의 정보를 활용하는 것을 금지해야 합니다.
새로운 디지털 플랫폼의 지속적인 출현으로 인해 조사 대상 기업의 총 수를 정확히 파악하기는 어렵지만, 최소 1,000개 이상의 기업이 이 규정의 적용을 받을 것으로 예상하고 있습니다.
디지털 서비스법(DSA)을 준수하지 않으면 해당 범위 내에서 운영되는 플랫폼, 마켓플레이스 및 기타 서비스 제공업체에 중대한 결과를 초래할 수 있으며, 입증된 위반에 대해 전 세계 연간 매출의 6%에 해당하는 벌금이 부과될 수 있습니다.
이 규제 프레임워크는 디지털 플랫폼에서 콘텐츠 중재 가이드라인을 시행하고 마켓플레이스에 대한 고객 확인 기대치를 준수하는 것 외에도 호스팅 서비스 및 인터넷 서비스 제공업체, 도메인 이름 등록기관, 네트워크 인프라 제공업체와 같은 기타 온라인 중개자에게도 특정 책임을 부과합니다.
아직 규모가 크지 않은 초기 단계의 스타트업과 같은 소규모 플랫폼(직원 수가 50명 미만이고 연간 매출액이 1천만 유로 미만인 ‘마이크로’ 또는 ‘소규모’ 기업으로 정의)은 대부분의 조항에서 제외됩니다. 하지만 여전히 명확하고 간결한 T&C를 설정하고 당국에 연락할 수 있는 연락처를 제공해야 합니다. (마이크로/소규모 기준을 초과하는 고속 확장 스타트업은 모든 일반 규정이 즉시 적용되는 것은 아니지만, 위원회 에 따라 12개월 동안 일부 조항에 대한 ‘대상 면제’를 받게 됩니다.)
법의 적용 범위에 해당하는 기업은 2022년 10월에 법안이 전면적으로 발표되었기 때문에 규정 준수를 준비할 충분한 시간을 가졌습니다. 그러나 규제 당국이 운영을 시작하고 지침을 발표하기 시작하면서 규정의 세부 사항에 대해서는 아직 모호한 부분이 많습니다. 따라서 수많은 조직이 각자의 상황에 맞게 규정을 정확히 적용하기 위해 계속해서 고심할 것으로 예상됩니다.
빅테크에도 더 많은 규정 적용
가장 중요한 기술 플랫폼과 마켓플레이스는 가장 높은 수준의 디지털 서비스법(DSA) 규정을 적용받습니다. 8월 말부터 초대형 온라인 플랫폼(VLOP) 및 초대형 온라인 검색 엔진(VLOSE)으로 알려진 대형 플랫폼과 검색 엔진을 포함한 이러한 기업들은 알고리즘 투명성과 체계적인 위험 완화에 중점을 둔 DSA의 특정 측면을 준수해야 합니다. 또한 유럽위원회는 지난해 12월 Elon Musk의 X(이전 명칭: 트위터)의 잠재적 위반 가능성에 대한 조사를 시작했습니다.
오는 토요일부터 X와 같은 주요 플랫폼은 초대형 온라인 플랫폼(VLOP) 및 유사 서비스(VLOSE)에 적용되는 규정을 준수해야 할 뿐만 아니라 디지털 쇼트폼 콘텐츠 서비스 협회(DSA)가 정한 일반 의무 요건도 충족해야 합니다. 따라서 그동안 DSA 규정 준수 기준을 충족하는 데 어려움을 겪어온 엘론 머스크는 가까운 미래에 추가적인 책임에 직면하게 되면서 더욱 큰 어려움을 겪게 될 것입니다.
이러한 이니셔티브의 한 예로, 사용자가 플랫폼에서 불쾌한 자료를 쉽게 식별하고 신고할 수 있는 콘텐츠 신고 도구를 구현하는 것이 있습니다. 또한, 잠재적으로 유해하거나 불법적인 콘텐츠에 대한 신고 권한을 부여받은 ‘신뢰할 수 있는 신고자’로 알려진 제3자 기관과 소셜 미디어 기업 간의 협력을 촉진하는 데 중점을 두고 있습니다.또한, 이러한 기업은 콘텐츠 조정을 위한 노력을 자세히 설명하는 투명성 보고서를 게시하여 사용자의 책임과 신뢰를 높일 것을 권장합니다. 마지막으로, 이 업계에서 활동하는 기업은 ‘고객 알기’ 규칙이라고 하는 엄격한 규정 준수 조치를 준수하여 책임 있는 행동을 보장하고 사용자 안전을 증진해야 합니다.
검토 관행에 따라 온라인 플랫폼은 콘텐츠 삭제 또는 강등과 같이 사용자 경험에 영향을 미칠 수 있는 콘텐츠 검토 결정에 직면할 때마다 사용자에게 포괄적인 근거를 제공해야 합니다.
유럽연합은 현재 자발적 지역 조직 개인정보 보호 감독 프로그램(VLOP) 규정의 적용을 받는 유명 온라인 플랫폼의 40억 개 이상의 진술이 포함된 포괄적인 데이터베이스를 작성하고 있습니다. 소규모 웹사이트의 추가 데이터가 이 데이터베이스에 입력됨에 따라 위원회는 다양한 디지털 플랫폼에서 사용되는 콘텐츠 중재 전략에 대한 광범위한 이해를 얻을 수 있을 것으로 예상하고 있습니다. 또한, 디지털 서비스법(DSA)은 대규모 온라인 서비스의 의사 결정 과정에 대한 귀중한 통찰력을 제공한 것으로 알려졌으며, 이는 추가 분석을 위한 탄탄한 토대가 될 것입니다.
주요 가이드라인에 따라 플랫폼 사업자는 자신이 집행하는 광고와 사용 중인 컴퓨터 추천 메커니즘에 관한 세부 정보를 제공해야 합니다.
데이터 보호법(DPA)은 판촉 목적으로 아동의 개인 데이터를 활용하는 것을 명백히 금지하고 있습니다. 따라서 미성년자의 정보가 현재의 광고 타겟팅 프레임워크에 얽매이지 않도록 하는 조치가 반드시 시행되어야 합니다. 그러나 개인의 프라이버시 권리를 침해하지 않는 방식으로 성인과 미성년자를 식별하고 구분하는 것은 어려운 문제입니다. 유럽위원회는 이러한 복잡성을 인정하고 이 문제를 해결하기 위한 실행 가능한 해결책을 모색하고 있습니다.
유럽위원회 관계자의 최근 배경 브리핑에 따르면 내년부터 ‘미성년자를 위한 효과적인 보호 조치’의 시행이 의무화되지만, 규제 당국이 허용할 수 있는 구체적인 기술적 접근 방식에 대한 불확실성이 남아 있습니다. 따라서 플랫폼은 이러한 지침을 준수하기 위해 이러한 모호성을 잘 파악해야 합니다.
실제로 한 관계자의 솔직한 인정에서 알 수 있듯이 이 문제를 해결하는 데는 수많은 어려움이 있습니다. 연령 확인 조치를 시행하는 것이 개인정보 보호에 미치는 영향은 잘 알고 있으며, 저희는 개인의 프라이버시를 침해하는 어떠한 행위도 절대 용납하지 않습니다.따라서 우리의 대응은 미묘한 차이가 있어야 합니다. 기본적으로 저희는 회원국 및 전담 태스크포스 내 디지털 서비스 코디네이터와 긴밀히 협력하여 사용자의 권리를 보호하는 동시에 당면한 문제를 효과적으로 해결하는 균형을 이루는 실현 가능한 대안을 모색하고 있습니다.
디지털 서비스 코디네이터
더 넓은 관점에서 보면, 일반화된 데이터 보호 규정 가이드라인과 관련하여 거대 기술 기업들 간의 규정 준수를 보장할 책임은 이미 초대형 온라인 플랫폼 및 서비스 제공업체(VLOP/VLOSE)에만 적용되는 특정 요건을 유지하는 데 집중하고 있는 유럽위원회가 아닌 디지털 서비스 코디네이터(DSC)로 지정된 각 국가 당국에 있음이 명백해집니다. 따라서 디지털 서비스 법이 완전히 시행되면 유럽 전역의 온라인 활동을 감독하고 관리하기 위해 지역 차원에서 추가적인 규제 조사 계층이 등장할 것입니다.
블록의 입법 기관의 권한에 따라 유럽 연합의 이전 전자상거래 체제의 규제 프레임워크와 유사한 ‘원산지’ 원칙이 유지되었습니다. 따라서 디지털 서비스법(DSA)에 따른 기술 기업에 대한 감독 및 규제는 해당 플랫폼이 설립된 관할권 내에 위치한 관련 당국에서 수행하게 됩니다.
예를 들어 X의 경우 아일랜드의 미디어 규제 기관인 Coimisiún na Meán 이 일반 DSA 규정 준수를 감독하는 관할 기관이 될 가능성이 높습니다. 아일랜드에 유럽 본사를 두고 있는 Apple, Meta, TikTok도 마찬가지입니다. 반면, 아마존의 일반 DSA 규정 준수 여부는 룩셈부르크의 경쟁 당국인 Autorité de la concurrence 이 지역 거점을 선택했기 때문에 감시하게 될 가능성이 높습니다.
여러 회원국에서 운영되는 플랫폼에 대해 지역 사무소가 설립되지 않았거나 현지 법적 대리인이 임명되지 않은 경우, 이러한 플랫폼은 회원국 내 관련 당국으로부터 집행 조치를 받을 수 있습니다. 이러한 당국은 해당 규정에 따라 미준수 사항과 관련된 정보를 요구하거나 절차를 개시할 수 있는 권한을 가집니다.
이러한 플랫폼은 운영의 결과로 규제 위험이 증가할 수 있습니다.그러나 유럽 당국이 정해진 규칙을 준수하지 않는 외국 기업에 대해 규정을 효과적으로 집행할 수 있을지는 아직 미지수이며, 이는 클리어뷰 AI와 같은 기업의 GDPR 준수를 보장하기 위해 EU 데이터 보호 기관이 직면한 문제에서 잘 드러납니다.
한편, EU에 위치한 소규모 플랫폼과 스타트업은 자국 시장에서 지정된 DSC의 일반적인 DSA 감독을 받게 될 가능성이 높습니다. 예를 들어 프랑스의 인기 사진 공유 플랫폼인 BeReal은 프랑스의 통신 및 시청각 규제 기관인 ARCOM 가 DSA 준수를 감독하게 될 가능성이 높습니다(프랑스가 DSC로 지정할 것으로 보이는 통신 및 시청각 규제 기관).
현재까지 확정된 디지털 서비스 컴플라이언스(DSC) 당국은 통신, 미디어, 소비자 보호, 반독점 감독을 포괄하는 기존 규제 기관과 개별 회원국이 감독 역량 내에서 적절한 주제 지식을 확보하기 위해 지정한 추가 기관으로 구성됩니다.
EU는 웹페이지에서 각 회원국이 를 지정한 DSC를 찾을 수 있도록 제공했지만, 작성 시점에 모든 지정이 완료된 것은 아니므로 아직 일부 공백이 있습니다.
코디네이터로서 설명적 사회 특성(DSC)의 임무는 다양한 범위 내 플랫폼 및 단체에 대한 포괄적인 감독에 필요한 전문 지식에 접근하기 위한 협력 노력을 포함합니다. 또한, 이들은 대규모 플랫폼으로 인한 시스템적 위험에 대한 유럽위원회의 조치를 지원할 것으로 기대됩니다. 단, 초대형 온라인 플랫폼(VLOP)/대형 온라인 판매 기업(VLOSE)에 대한 집행 결정 권한은 집행위원회가 보유한다는 점에 유의해야 합니다.
또한, 규제 프레임워크는 지정 마켓플레이스(“DMC”)가 정기적으로 모여 데이터를 교환하고 협력하는 “유럽 디지털 서비스 위원회"라는 새로운 단체를 설립합니다. 이 위원회는 법률 준수를 위한 권고 및 가이드라인을 발표하는 등의 책임도 수행합니다.
위원회에 따르면 지금까지 여러 차례 이사회를 개최하여 연구자에게 데이터 접근 권한을 부여하기 위한 가이드라인 수립, 신뢰할 수 있는 신고자 및 분쟁 해결 기관 선정 기준 결정, 사용자 불만 관리 절차 간소화 등 다양한 문제를 다루었습니다.
데이터 주체 동의(DSC) 결정을 위한 권장 관행 및 규제 가이드라인 제작에 대한 보편적인 합의에 도달하기 전에, 규제 대상 플랫폼과 서비스가 GDPR 요건을 이행하는 방법을 독립적으로 결정해야 합니다.
DSC는 개인이 DSA와 관련된 불만을 제기하는 수단으로 사용되며, 개인의 불만이 해당 기관의 관할권 밖의 영역과 관련된 경우 해당 기관이 해당 문제를 해당 관할 기관에 전달할 책임이 있습니다.
유럽연합 소비자는 규제 조치를 통해 구제책을 찾는 것 외에도 집단 구제 소송을 제기할 수 있는 옵션도 있습니다. 이 법적 소송은 기업이 소비자 보호와 관련하여 GDPR에 명시된 규정을 준수하지 않을 때 사용할 수 있습니다. 따라서 법 준수를 소홀히 하는 기업은 소송에 직면할 수 있는 잠재적 위험에 노출됩니다.
다가오는 토요일의 임박한 마감일 이전에 관련 당국에 의해 정식으로 지정 및 임명된 개인은 이르면 내일부터 관할 온라인 플랫폼에서 조사를 시작하거나 정보를 요청할 수 있다고 규제 기관의 공인 대표자가 밝혔습니다. 그러나 새로 임명된 디지털 집행관이 얼마나 신속하게 조치를 개시할지는 아직 결정되지 않았습니다.
이전 EU 디지털 규정 시행의 선례에 따르면, 플랫폼이 새로운 요건에 적응할 수 있도록 과도기를 부여하여 집행 기관에 필요한 교육이나 숙지 등 규제 프레임워크가 확립될 수 있는 충분한 시간을 허용할 수 있을 것으로 보입니다. 그러나 회원국 간의 분산된 집행 특성을 고려할 때 지역 당국 간에 긴급성의 정도가 다를 수 있으며, 이로 인해 유럽연합 전역에서 지침의 집행이 불균일하게 이루어질 수 있습니다.
이번 주말부터 유럽 데이터 보호 당국은 GDPR 미준수에 대해 조직의 글로벌 연간 매출의 최대 6%에 해당하는 과징금을 부과할 수 있는 권한을 갖게 되며, 이는 ‘VLOP’ 또는 ‘VLOSE’로 분류되는 대규모 조직에 부과할 수 있는 과징금과 일치하는 수준입니다. 따라서 이제 기업은 GDPR에 따른 규제 리스크가 크게 증가할 가능성이 있으며, 이에 대응해야 합니다.
규정이 완전히 시행되면 X와 같은 높은 수준의 VLOP는 두 가지 요건을 모두 충족하지 못할 경우 유럽 위원회와 데이터 보호 감독자(DSC)가 부과하는 벌금을 물게 될 수 있습니다. 그러나 유럽 연합 내에서 이러한 추가적인 규제 위험이 궁극적으로 엘론 머스크가 규정 준수를 우선시하도록 동기를 부여할지는 불확실합니다.
의심할 여지 없이 디지털 서비스법(DSA)은 일반 데이터 보호 규정, 개인정보보호 지침, 데이터법, 곧 시행될 인공지능법뿐만 아니라 디지털 기업에 적용되는 기존의 다른 법적 프레임워크까지 포함하여 이러한 규정을 준수할 책임이 있는 규제 당국의 범위를 확대하는 동시에 새로운 요구사항을 부과함으로써 역내에서 작동하는 디지털 플랫폼의 복잡성을 증가시키고 있습니다.
종종 서로 충돌하는 복잡한 규정의 상호 작용을 탐색하려면 다양한 지역의 법률 전문가와 조언자에 대한 포괄적인 이해가 필요합니다.
변화와 도전
최근 아일랜드의 규제 기관인 코이미시언 나 메안(Coimisiún na Meán)은 아일랜드 시장에서 프로파일링 기반 콘텐츠 피드를 기본 설정으로 비활성화하도록 요구하는 동영상 공유 플랫폼에 적용되는 규제에 관한 논의를 시작했습니다.
이 정책 제안이 디지털 서비스법(DSA)이 아닌 EU 시청각 규제와 관련이 있다는 점을 고려할 때, 통신규제위원회(Coimisiún na Meán)가 데이터 보호 위원(DPC)으로서 DSA의 범위 내에서 혁신적인 규제 심사를 수행할 가능성이 있으며 특히 Meta, TikTok 등과 같이 아일랜드에 상당한 사업 기반을 두고 있는 유명 기술 기업과 관련해서는 그 가능성이 더욱 높아질 수 있습니다.
또 다른 흥미로운 질의는 빠르게 발전하는 인공 지능 기술과 관련하여 DSA의 잠재적 적용 가능성에 관한 것입니다.
OpenAI의 ChatGPT와 같은 인공지능 챗봇의 등장은 유럽연합의 디지털 서비스법(DSA) 개발과 맞물려 있습니다. 그러나 이 법안을 만들 때 가장 중요한 목표는 계속 진화하는 기술과 디지털 플랫폼을 수용할 수 있는 적응성을 보장하는 것이었습니다.
초대형 온라인 플랫폼(VLOP)이 검색 엔진이나 추천 시스템에 통합하는 등 해당 범위 내에 이러한 AI 기능을 통합하는 경우, 이미 디지털 서비스법(DSA)이 적용될 수 있습니다.이 관계자는 또한 DSA의 조항을 준수하기 위해 관련 당사자들과 대화에 참여하고 있다고 언급했습니다.
‘AI 도구’가 독립적으로 존재하고 이미 규제 감독 대상으로 간주되는 기존 디지털 서비스에 통합되지 않은 경우, 규정 준수 여부에 대한 결정은 집행 공무원의 몫입니다. 이러한 결정은 해당 기술을 규정 자체에서 정의하는 용어인 ‘플랫폼’ 또는 ‘검색 엔진’으로 분류할 수 있는지 여부에 따라 달라집니다.
법률 전문가가 기준을 검토하여 해당 용어가 검색 엔진의 분류에 해당하는지 또는 수신자의 요청에 따라 자료를 호스팅하여 일반 대중에게 배포하는 기능을 하는지 여부를 결정합니다. 이러한 조건이 충족되는 경우 개인은 양식에서 적절한 옵션을 선택해야 하며 그에 따라 디지털 서비스법(DSA)이 적용됩니다. 절차는 매우 간단합니다.
특정 데이터 억제 조항(DSC)이 특정 정보를 비공개로 유지해야 하는지 여부를 신속하게 결정하는 데 어느 정도 역할을 하는지는 완전히 명확하지 않으며, 그 효과는 관련된 특정 DSC에 따라 달라질 수 있습니다.
규제 기관의 가이드라인에 따라 디지털 서비스법에 따른 온라인 플랫폼 또는 검색 엔진의 기준을 충족하면서 동시에 월 4,500만 명의 사용자 기반을 초과하는 인공지능 도구는 결국 초대형 온라인 플랫폼 또는 검색 엔진(VLOP/VLOSE)으로 분류될 수 있습니다. 이 경우 알고리즘 투명성 및 시스템적 위험 관리에 관한 추가 요건이 적용되며, 감독 및 집행에 대한 책임은 위원회에 있습니다. 그러나 이러한 의무의 정확한 윤곽은 곧 제정될 인공지능법의 최종 문구에 따라 해석될 수 있으며, 이는 인공지능법과 DSA가 해당 도구에 적용되는 범위에 영향을 미칠 수 있습니다.