55.

데이터 부정사용

• 새 탭 열기
• 작성 이력 보기

<AI 핵심 요약>

* 본 법률위키는 저자의 허락을 받아 『지식재산권법』(제6판)의 원문을 수록하였습니다. 본 저서의 전체 목차와 체계적인 분류는 [지식재산권법] 목차 및 전체 가이드: 정상조·박준석 공저 (제6판) 페이지에서 열람하실 수 있습니다.

가. 데이터자산의 보호를 위한 입법

데이터자산이 비밀로 유지, 관리되고 있다면 부정경쟁방지법상 영업비밀로 보호될 수 있음은 물론이다. 최근에는 데이터자산의 무단이용이 성과물 무단사용이라고 하는 부정경쟁행위에 해당한다고 본 하급심 사례가 나와서 그 해석론의 타당성에 관한 논란이 제기되고 있다. 2021년에 개정된 부정경쟁방지법은 ‘데이터 부정사용’ 등을 새로운 부정경쟁행위의 하나로 추가했다. 데이터는 4차 산업혁명과 디지털 대전환의 핵심이자 원유라고 불리는 중요성을 갖게 되어, 데이터로부터 경제적 가치를 창출하고 데이터산업 발전의 기반을 조성하기 위한 법률로 ‘데이터 산업진흥 및 이용촉진에 관한 기본법(데이터기본법)’이 제정되었다. 데이터기본법은 상당량 축적, 관리되고 있는 기술상 또는 영업상의 디지털 정보를 데이터라고 개념정의하면서, 데이터자산을 공정한 상거래 관행이나 경쟁질서에 반하는 방법으로 부정하게 사용하여 데이터생산자의 경제적 이익을 침해하여서는 아니된다고 규정하고, 데이터자산의 보호에 관한 사항은 부정경쟁방지법에서 정한 바에 따른다고 규정하고 있다.183) 데이터기본법의 제정에 이어서 개정된 부정경쟁방지법 제2조 제1호는 ‘데이터 부정사용’ 등에 관한 새로운 부정경쟁행위를 ‘카’목으로 신설하게 된 것이다.

데이터 부정사용의 위법성을 인정하고 불법행위법리를 적용한 국내외 판례는 있었지만, 데이터 부정사용에 관한 위법행위 유형을 성문법에 의해서 명시적으로 규정하고 금지청구 등의 구제수단을 부여하는 입법례는 일본의 경우를 제외하고 찾아보기 어렵다. 일본은 2018년 부정경쟁방지법의 개정을 통해서, 패스워드 등에 의해 관리하면서 상대방을 한정하여 제공하는 데이터 (“한정제공데이터”)를 부정하게 취득, 사용, 제공하는 행위는 부정경쟁행위로 규정하고 그에 대한 민사적 구제수단을 제공하고 있다. 일본은 저작권법에 데이터베이스제작자의 권리를 별도로 보호하기 위한 규정을 두지 않고 있기 때문에 부정경쟁방지법에 의한 데이터의 보호가 필요했을지 모르지만 우리나라와 같이 저작권법이 이미 데이터베이스를 보호하고 있는데 부정경쟁방지법에 의한 데이터보호를 추가로 규정하는 입법례는 전세계적으로 그 유례를 찾아보기 어려운 중복입법에 해당한다.

나. 성과물 무단사용에 관한 일반조항

부정경쟁방지법은 2013년 개정에 의해서 타인의 상당한 투자나 노력으로 만들어진 성과물의 무단사용을 부정경쟁행위로 보는 보충적 일반조항을 두었고,184) 그 일반조항에 따라서 데이터의 무단사용을 부정경쟁방지법 위반으로 본 하급심 사례들도 있었다. 예컨대, 출구조사를 통하여 얻은 당선자 예측 조사결과 정보를 일정한 이용조건에 위반하여 방송에 이용함으로써 경쟁상 부당한 이익을 얻은 경우에 영업비밀의 침해일 뿐만아니라 성과물 무단사용의 부정경쟁행위에도 해당한다고 판시된 바 있다.185)

또한, ‘사람인’이 ‘잡코리아’의 채용정보를 크롤링과 같은 기계적인 방법으로 대량 복제해 자신의 웹사이트에 게재하고 경쟁적인 서비스를 제공한 사안에서, 서울중앙지방법원은 ‘잡코리아’의 웹사이트에 게재된 채용정보는 잡코리아가 마케팅 및 개발 비용을 들여 만들어낸 노력의 성과물이라는 점을 인정하면서 ‘사람인’이 그러한 채용정보를 상거래 관행이나 경쟁질서에 반하는 방법으로 자신들의 영업을 위해 무단으로 이용한 행위는 부정경쟁행위에 해당한다고 판시했다.186) 이 사건에서 법원은 무단복제한 채용정보의 폐기 이외에 손해배상을 인정하면서 무단복제한 채용정보 1건당 50만원씩 배상하라고 판시해서, 부정경쟁방지법의 성과물 무단사용에 관한 일반조항이 데이터자산 그 자체의 보호를 위해서도 활용될 수 있다는 점을 명백히 보여주었다.

부정경쟁방지법에 도입된 ‘성과물 무단사용’에 관한 일반조항은 후술하는 바와 같이 그 보충성으로 인해 해석 및 적용에 신중을 기해야 한다. 예컨대, 네이버부동산 및 매경부동산의 매물정보와 직방웹 및 직방앱에서 제공되는 매물정보 중 다수 가 중복된 것으로 보이기는 하지만, 원피고 모두 중개업소로부터 매물정보를 제공 받는다는 점 그리고 직방이 크롤링 방식으로 매경부동산 및 네이버부동산의 매물 정보 전체 또는 일부를 무단복제하였다고 인정하기도 어려운 사안에서, 서울중앙지방법원은 데이터베이스제작자의 권리침해를 인정하지 않았을 뿐만아니라 더 나아가 직방이 '공정한 상거래 관행이나 경쟁질서에 반하는 방법'으로 매경부동산 및 네이버부동산 및 더비즈의 상당한 투자나 노력으로 만들어진 성과를 사용한 것으로 볼 수 없다고 판시했다. 이 판결에서 가장 흥미로운 부분은 서울중앙지방법원이 부정경쟁방지법의 '성과물 무단사용'에 관한 보충적 일반조항은, 종래의 지식재산권 관련 제도 내에서는 예상할 수 없어 기존 법률로는 미처 포섭할 수 없었던 유형의 행위를 금지할 필요성이 발생할 경우에 적용되는 것이라는 점을 명백히 하면서, 저작권법 위반에 해당되지 않는 행위를 부정경쟁방지법 위반으로 해석하는 경우에 저작권법이 요구하는 보호요건의 존재를 무의미하게 만들 뿐 아니라, 자신의 행위 가 기존의 다른 법률 조항에서 금지되는 행위에 해당하지 아니한다고 판단한 시장 참여자에게 불측의 제재를 가하는 것이 되어 법적 안정성을 저해할 우려가 있으므로, '성과물 무단사용'에 관한 일반조항은 매우 예외적으로 신중하게 적용해야 한다는 점을 지적한 것이다.187)

다. 부정경쟁행위로서의 데이터 부정사용

2021년에 개정된 부정경쟁방지법은 부정경쟁행위의 하나로 ‘데이터 부정사용’을 명시적으로 추가함으로써 기존의 일반조항 적용에 따른 어려움은 없어진 셈이다. 부정경쟁방지법은 데이터 가운데 기술상 또는 영업상의 디지털정보로서 ‘특정인 또는 특정 다수에게 제공되는 데이터를 부정하게 사용하는 4가지 유형의 행위를 부정경쟁행위로 규정하고 있다. 부정경쟁행위에 해당하는 데이터 부정사용으로 는 ① 접근권한 없는 자에 의한 데이터의 부정취득, 사용, 공개, ② 신의칙에 반하는 사용, 공개, 제3자제공, ③ 악의 취득, 사용, 공개, ④ 기술적보호조치 무력화 장치 등 제공과 같은 4가지 유형을 나열하고 있다.

부정경쟁방지법의 ‘데이터 부정사용’은 그 적용범위에 있어서 ‘특정인 또는 특정 다수에게 제공되는’ 데이터에 한정되는 것으로 규정되어 있다. 따라서, 불특정 다수 또는 일반공중에 제공된 데이터는 저작권법에 의해서 보호되지 않는 한 자유로운 이용이 가능한 공공의 영역으로 남는다. 여기에서 ‘특정 다수에게 제공되는’ 데이터가 일본의 입법례처럼 패스워드 등의 방법으로 상대방을 한정하여 제공하는 ‘한정제공데이터’를 뜻하는 것인지 아니면 보다 넓은 범위의 특정 다수인에게 제공되는 데이터를 널리 포함하는 것인지는 다소 불명확하다.

인터넷처럼 공개된 통신망에서 크롤러나 스파이더와 같은 다양한 도구로 데이터를 취득하고 사용하는 환경 속에서 ‘접근권한이 없는 자’의 개념도 불명확하다. 접근권한이 없는 자에 의한 데이터의 부정취득 및 사용 여부에 관해서 미국의 판례변화를 보면 그 판단의 어려움을 짐작할 수 있다. 미국 사례 가운데 eBay v. Bidder's Edge188)에서 Bidder’s Edge (“BE”)가 온라인상거래업체 eBay의 상품정보를 무단복제해서 자신의 가격비교사이트에 게시한 사안에서, 캘리포니아북부연방지방법원은 eBay가 BE의 크롤러를 차단했음에도 불구하고 BE가 프록시서버를 통해서 접근권한 없이 평균 하루에 10만회 이상 eBay 서버에 ‘무단침입(trespass)’ 해서 상품정보를 무단복제함으로써 eBay 서버에 부담을 초래한 것은 ‘동산의 무단침입(trespass to chattel)’에 해당된다고 판시했다. BE의 크롤러가 상품정보를 복제하기 위해서 eBay 서버를 방문한 시간과 활동은 eBay 사이트에서의 전체 활동의 1.5%에 불과해서 현실적으로 서버의 기능에 커다란 부담이 되지 않았지만 캘리포니아북부연방지방법원은 BE가 ‘접근권한 없이’ 크롤러에 의한 기계적인 방식으로 서버에 접근해서 데이터를 복제해 가는 것은 동산에 대한 무단침입으로 볼만한 위법성을 인정하기에 충분하다고 본 것이다.

eBay 사건에서 확대적용한 동산무단침입의 법리는 그 이후 많은 비판을 받았고, 서버에 현실적인 손해를 끼치지 않는 한 인터넷 환경에서 그대로 적용하기 어렵다고 하는 평가를 받고 있다. 예컨대, Intel v. Hamidi 사건에서, 캘리포니아북부연방지방법원은 크롤러나 스파이더를 활용한 데이터의 복제나 전송이 서버에 물리적 손해나 회복할 수 없는 손해를 가한다고 단정할 수는 없다고 전제하고, 무단으로 다량의 이메일을 발송하는 행위만으로 인텔의 서버에 해를 가하는 동산무단침입이 있었다고 말할 수는 없다고 판시했다.189)

LinkedIn v. hiQ 사건에서, ‘링트인(LinkedIn)’은 이용자들이 자신의 이력사항을 게시해서 전문가들의 네트워크를 넓히고 구인 및 구직으로 연결될 수 있도록 이용자들의 이력사항을 공개한 소셜사이트이고, hiQ는 링트인 등 인터넷에 공개된 이력사항을 무단복제해서 분석한 후 기업들에 그 종업원의 능력분야(Skill mapper)및 이직확률(Keeper) 등의 분석결과를 유상으로 공급하는 서비스를 제공했다. 링트인은 hiQ의 봇에 의한 이력사항 무단수집을 금지했음에도 불구하고 hiQ가 봇으로 이력사항을 무단복제해가는 것은 ‘접근권한없이’ 서버에 침입하는 것으로 ‘컴퓨터사기 및 남용방지법 (CFAA)’의 위반에 해당한다고 주장했다. 그러나, 캘리포니아를 관할하는 연방항소법원은 법위반 주장을 받아들이지 않았고, 패스워드 등에 의해서 접근이 차단된 데이터가 아니라면 누구나 접근할 수 있는 공개된 데이터를 봇으로 수집하는 것은 적법하다고 판시했다.190) 우리나라에서 링트인처럼 크롤러와 같은 봇의 접근을 금지했음에도 불구하고 데이터를 수집하면 부정경쟁행위에 해당하는지 심각하게 고민해야 할 때가 되었다.

인터넷처럼 공개된 통신망에서 크롤러나 스파이더와 같은 다양한 도구로 데이터를 취득하고 사용하는 환경 속에서 ‘접근권한’ 유무의 판단기준이 더 중요해지고 있다. 정보통신망법에서의 접근권한에 관한 해석이지만 대법원이 상당히 구체적인 판단기준을 제시한 바 있다. ‘야놀자’와 ‘여기어때’ 사이에서 크롤링에 의한 숙박정보의 수집과 이용이 위법한 것인지 문제된 사안에서, 대법원은 이용자들이 ‘야놀자’의 서버에 자유롭게 접근할 수 있다면 ‘여기어때’의 크롤링이 접근권한 없는 정보 수집이라고 말할 수 없다고 판시했다. 대법원은 서비스제공자가 이용자들에게 부여 한 접근권한의 범위는 기술적 보호조치나 이용약관 등을 고려하여 판단하여야 한다고 기본원칙을 제시하고, ‘야놀자’의 이용자들 ‘바로예약 어플리케이션’을 야놀자 의 서버에 자유롭게 접근할 수 있었고, 이용약관에서 데이터의 무단복제를 금지하고 있지만 그러한 이용제한이 이용자의 접근권한을 제한한 것으로 볼 수 없다고 판시했다.191) 따라서 대법원은 ‘야놀자’의 서버공개 정도와 이용약관 규정만으로 ‘여기어때’의 크롤링이 접근권한없이 위법한 접근을 한 것이라고 말할 수 없다고 판단한 것이다.

라. 데이터기본법 등 관련법

부정경쟁방지법의 데이터 부정사용에 관한 규정은 데이터자산의 보호를 규정한 저작권법, 콘텐츠산업진흥법, 데이터기본법, 산업디지털전환촉진법의 관련 규정과 유사하지만 상당한 차이가 있다. 첫째, 저작권법에 의해서 보호되는 데이터베이스제작자의 권리는 데이터베이스의 제작을 완료한 다음 해부터 5년간 존속하고 (저작권법 제95조), 콘텐츠산업진흥법에 의해서 보호되는 콘텐츠는 최초로 제작한 날로부터 5년까지 보호되는데 (콘텐츠산업진흥법 제37조), 부정경쟁방지법은 그와 같은 기간제한을 두지 않았다. 저작권법과 콘텐츠산업진흥법은 데이터베이스제작자 또는 콘텐츠제작자의 권리를 배타적권리로 보호하되 새로운 기업의 시장진입과 경쟁을 통한 데이터/콘텐츠의 생산과 유통의 필요성을 고려하여 5년 정도의 보호기간을 정해두고 있다. 반면에, 부정경쟁방지법은 데이터에 대한 배타적 지위를 부여하기 위한 것이 아니라 접근권한이 없는 자에 의한 부정사용과 같은 위법행위를 금지하고 규제하기 위한 것이기 때문에 기간제한없이 위법행위에 대한 구제수단을 부여한 것으로 이해된다. 그러나, 데이터경제에서 데이터 자체의 지나친 보호는 데이터활용을 위축시키는 부작용이 있다는 전제 위에서 5년의 보호기간을 정한 저작권법의 취지에 비추어 볼 때, 아무런 기간제한없이 데이터 부정사용을 금지한 부정경쟁방지법의 해석과 적용에 있어서는 신중을 기할 필요가 있다.

둘째, 저작권법은 데이터베이스제작자의 권리에도 공정이용을 비롯한 대부분의 저작권제한 규정이 준용된다고 규정하고 있는데 반해서, 부정경쟁방지법에는 공정이용이나 위법성예외 등에 관한 아무런 규정이 없다. ‘정보분석을 위한 복제·전송’이 저작권침해에 해당되지 않는다면, 그러한 한도에서 부정경쟁방지법상 ‘부정취득’ 등의 예외로 인정될 수 있을지 앞으로의 해석론이 고민해야 할 이슈로 남는다. 저작권법과 부정경쟁방지법이 데이터의 보호를 통해서 데이터 생산을 촉진하는 것도 중요하지만 양법 모두 데이터의 이용을 활성화함으로써 데이터경제의 발전에 기여하는 것도 중요하기 때문에 ‘부정취득’ 등의 범위를 고민해볼 필요가 절실하다. 인공지능기술이 발전하면서 무엇을 부정취득으로 규제하는 것이 바람직한지 신중하게 판단할 필요가 있고, 그래서 부정경쟁방지법도 데이터의 자유로운 활용이 지나치게 위축되지 않도록 하기 위해서 데이터의 부정취득은 형사처벌의 대상에 포함시키지 않는 신중한 입법론을 선택했다.192)

셋째, 데이터기본법과 산업디지털전환촉진법은 데이터 부정사용 또는 산업데이터 권리침해가 “공정한 상거래 관행이나 경쟁질서”에 반하는 경우에만 손해배상 등의 구제수단을 부여하고 있다.193) 이와는 달리 부정경쟁방지법은 데이터 부정사용에 관한 규정에서 “공정한 상거래 관행이나 경쟁질서”를 언급조차 하지 않는다. 그러나, 데이터의 보호와 이용의 합리적인 균형점을 찾아야 데이터경제의 발전에 기여할 수 있다고 하는 공통의 법목적을 고려해볼 때, 부정경쟁방지법에서의 “부정한 수단”이나 “부정한 이익” 여부를 판단함에 있어서 공정한 상거래 관행이나 경쟁질서를 고려해서 판단할 필요가 있을 것으로 생각된다.

*출처: 정상조, 박준석,『지식재산권법』 (제6판, 홍문사, 2024년) 제5장 부정경쟁방지법 Ⅱ. 부정경쟁행위 8. 데이터 부정사용