EU의 "Digital Markets Act"

집행위원회의 디지털 시장법 초안(proposal) 공개

* 아래 글의 내용은 정리·보완되어 ICR센터 집행 동향 보고서로 발표되었습니다. 인용하시는 경우 ICR센터 보고서의 출처를 꼭 표기해주시기를 부탁드립니다.
이상윤, "디지털 시장법(Digital Markets Act) 초안(proposal)의 주요 내용과 의의", 「ICR센터 유럽연합 경쟁법 동향 시리즈21 」, 2020. 12. 23. <https://www.icr.re.kr/blank-clrv/report21/dma>   

DMA 초안을 발표하는 Margrethe Vestager 부위원장(Photo from CartEgg)

유럽 시각(CET)으로 12월 15일 오후, 그리고 한국 시각(KST)으로 16일 새벽, EU의 집행위원회(European Commission)는 전 세계가 주목하고 기다리던 '디지털 시장법(Digital Markets Act, "DMA")'의 초안(proposal)을 발표하였다. 원래 DSA(Digital Services Act)는 시장 경쟁과 불법 컨텐츠 유통 관리 등에 대한 부분을 함께 포괄하고 있었는데, DSA에서 시장 경쟁과 관련된 부분이 NCT(New Competition Tool)와 묶여서(관련 뉴스) 이번 DMA 초안으로 발표된 것이다. DSA에서 남은 부분은 그대로 DSA란 이름으로 이번에 함께 발표되었다. 발표 당시 기자회견 영상은 이곳에서 확인할 수 있고, 보도자료는 이곳에서 확인할 수 있으며, Q&A로 구성한 DMA의 핵심 내용은 이곳에서 확인할 수 있다. 그리고 보다 자세한 설명이 나온 Staff working document(SWD(2020) 363 final)는 여기, Impact Assessment는 여기서 확인할 수 있다. 국내에서도 잠깐 구글링해보니 조선일보, MBC 등 '메이져'라고 할 만한 매체들의 보도가 검색되는데, 이런 언론의 관심이 이번 정부에서 과연 어떤 결과(긍정적? 부정적?)로 이어질지는 모르겠지만 아무튼 EU의 플랫폼 규제 동향은 국내에서도 인기다.

"Digital sovereignty"

EU의 새로운 입법 추진 배경에 대해서는 특별한 설명이 필요 없을 것 같다. 지난 6월 디지털 서비스법(Digital Services Act, "DSA")과 새로운 경쟁법 툴(New Competition Tool, "NCT")의 로드맵이 발표된 이후부터 다양한 문헌, 세미나에서 소개가 이뤄졌기 때문이다(지난 ICR센터 세미나 참고). 나 역시 지난 8월 관련 논문을 발표했었고, 이후에도 여기 블로그에 몇 차례 관련 진행 상황에 대해서 포스팅을 했었다.

다만 한 가지 꼭 짚고 넘어가야 할 점은 현재 EU의 일련의 규제 움직임들은 반드시 디지털 플랫폼 정책 차원에서만 이뤄지고 있는 것이 결코 아니라는 점이다. 최근 프랑스 마크롱 대통령이 인터뷰에서 "[European] digital sovereignty"라는 표현으로 강조했듯이, 거대 디지털 플랫폼 사업자들에 대한 규제는 'EU'의 정체성을 확고히 하기 위한 거대한 프로젝트 중 일부로서 수행되고 있는 측면이 있다. 만약 우리가 플랫폼 규제를 만들면서 이런 측면을 도외시하고 'EU가 하니 우리도 하자' 이런 식으로 EU의 움직임에 부화뇌동한다면 돌이킬 수 없는 실수를 저지르게 될 수도 있다. 물론 EU 특유의 규제 중에서도 데이터 프라이버시나 기후 환경 변화 대응과 같은 보편적 가치(value)에 기초한 규제는 보다 적극적으로 수용할 여지도 있고, 또 좋든 싫든 오늘날 EU가 사실상 글로벌 규범 제정자로서 역할하는 현실("Brussels effect")도 무시할 수 없을 것이다. 하지만 디지털 플랫폼 규제는, GDPR이나 AI관련 가이드들, 환경 규제들처럼 '인간 중심 가치 회복'이나  '글로벌 규범 확립'에 기초한 접근이라기보다는 뭐랄까... '유럽의 주권 찾기' 성격이 좀 더 강하기 때문에 좀 더 신중하게 접근할 필요가 있다.

"Contestable and Fair Markets"

이번 DMA의 공식 명칭은 "(Proposal for a) Regulation on contestable and fair markets in the digital sector (COM(2020) 842 final)"이다. 직역하면 '디지털 부문에서 좀 더 경쟁적이고 공정한 시장들을 만들기 위한 규칙'이라는 뜻이고, 의역하면 '너무 강력한 GAFA의 독과점을 견제하고, 유럽의 상대적으로 작은 플랫폼들이 좀 더 활동할 수 있게 해주면서, 동시에 GAFA에 의존하고 있는 유럽의 플랫폼 이용업체들의 이익을 보장하기 위한 법'이라는 뜻으로 이해할 수 있다. 사실 이와 같은 의도는 이전 정책 문서들에서도 그랬듯 이번 입법 제안서에서도 별로 숨김 없이 드러나고 있다

"The objective of the proposal is therefore to allow platforms to unlock their full potential by addressing at EU level the most salient incidences of unfair practices and weak contestability so as to allow end users and business users alike to reap the full benefits of the platform economy and [the] digital economy at large, in a contestable and fair environment" (pp.2-3).

참고로 초안 명칭에도 그렇고 제안서 내용에도 계속  "weak constestability"가 계속 나오는데, 이는 아마도 GAFA처럼 소수 독과점 기업들이 꽉 잡고 있는 상황에서는 더 이상 슘페터의 파괴적 혁신이 나올 수 없다는 그런 문제 의식을 담은 표현이 아닌가 생각된다(Jorge Padilla 박사 설명). 이렇게 보면 DMA와 현재 미국의 구글, 페이스북 등에 대한 반독점 소송과도 어느 정도는 공유되는 철학은 있는 것으로 보이는데, 다만 여기서 '유럽도 미국처럼 경쟁법이 있는데 왜 또 새로운 규제가 필요한 것이냐?'라는 질문이 나올 수는 있다. 이에 대해 초안은 경쟁법은 '행위(conduct)'에서 비롯되는 경쟁 왜곡을 방지하는 데 목표가 있는 반면, 이번 DMA는 그와 관련 없이 시장을 "contestable"하고 "fair"한 환경으로 조성하는 데 목표를 두고 있다는 점에서 다르다고 설명한다(recital 10). 쉽게 말해서 GAFA가 지배하는 시장들은 경쟁법으로는 돌이킬 수 없는 환경이 되어버렸기 때문에 경쟁법과 다른(더 나아간) 새로운 조치가 필요해졌고 그래서 마치 극약처방과 같은 DMA를 도입하게 되었다는 설명이다. 그렇다면 과연 DMA는 어떤 내용을 담고 있을까.

"Gatekeepers"?

아무리 DMA의 실질적 타깃이 GAFA라고 하더라도(예전 보도에 따르면, GAFA와 Microsoft 등을 포함한 20개 사업자가 타깃이었다고 한다), 법에서 이들만 콕 집어서 수범자로 특정할 수는 없다. 따라서 그동안 이들을 포섭하는 "Gatekeeper"라는 개념이 구체적으로 어떻게 정해질 것인가는 초미의 관심사였는데, 현재 초안은 gatekeeper 판단을 위한 기준으로서 크게 세 가지를 제시하고 있다.

첫째, 규모에 관한 요건으로서 '단일 시장에 대한 상당한 영향을 미칠 것(a significant impact on the internal market)', 둘째, '플랫폼이 제공하는 서비스가 이용업체들과 최종이용자들 간 중요한 "gateway"로서 기능하고 있을 것(operates a core platform service which serves as an important gateway)', 그리고 셋째, '관련 활동에 있어서 확고하고도 지속적인 지위를 향유하고 있을(또는 향유할 것으로 예상될) 것(enjoys an entrenched and durable position in its operations)' 등이다(Art.3(1)(a)-(c)).

어떤 사업자가 제2조 제2항 a호부터 h호까지 열거하고 있는 핵심 플랫폼 서비스(core platform services)를 제공하면서(Art.2(1))('핵심 플랫폼 서비스'는 대부분 GAFA + Microsoft가 하는 플랫폼 서비스들), 위 세 가지 기준을 모두 충족하는 경우 집행위원회는 해당 사업자를 gatekeeper로 지정(delegate)할 수 있다(Art.3(4)).

그렇다면 구체적으로 gatekeeper 지정을 위한 위 세 가지 기준은 언제 충족되는가? 집행위원회는 먼저 아래의 세 가지 정량적 요소들을 충족하는 경우 위 기준을 만족하는 것으로 추정하는 방안을 제시한다(Art.3(2)). 정확하진 않지만, 아마도 이러한 추정은 특히 GAFA를 상대로 효율적 법 집행을 하기 위한 게 아닐까 싶다.

최소 3개 이상 EU 회원국에서 활동하면서 (plus) 유럽경제권역(EEA)에서의 최근 3개 사업연도 동안의 연매출액이 65억 유로 이상 또는 시가총액이 직전 사업연도를 기준으로 평균 650억 유로(또는 그에 상당하는 가치가 인정되는 경우) 이상인 경우 (Art.3(1)(a) and Art.3(2)(a))

EU에서 월 기준으로 활동이 있는 최종이용자(monthly active end users) 수가 4천 5백만명 이상 그리고 직전 사업연도 기준으로 연간 이용업체(yearly active business users)가 10,000개 이상인 경우 (Art.3(1)(b) and Art.3(2)(b))

위 두 번째 요건이 최근 3개 사업연도 동안 계속 충족되는 경우 (Art.3(1)(c) and Art.3(2)(c))

초안에 따르면, 사업자들은 위 정량지표에 자신이 해당할 경우 관련 정보를 직접 집행위원회에 제출해야 한다(Art.3(3)). 물론 추정이 되거나 정보를 제출한다고 무조건 gatekeeper로 지정되는 것은 아니고, 사업자는 자신이 비록 정량지표는 충족하지만 실질적으로 gatekeeper의 기준(Art.3(1))에는 부합하지 않는다고 주장할 수 있다. 만약 이러한 주장이 "충분히 신빙성 있는 주장(sufficiently substantiated arguments)"으로 받아들여질 경우 추정이 번복될 수도 있지만(Art.3(4))... 만약 GAFA가 타깃이라면 GAFA가 이러한 추정 번복을 받아낼 수 있을지 잘 모르겠다.

만약 위의 추정 기준에 부합하는 gatepeeker가 있는 시장을 이미 티핑이 발생해버린 시장(tipped market)이라고 한다면(Wesseling, 2020), 아직 티핑이 일어나기 전이거나 일어나고 있는 중인 시장(tipping markets)에 대해서는 어떻게 대처할까? 즉, 위 세 가지 정량적 기준에 하나라도 부합하지 않는 경우 또는 추정이 번복된 경우는 어떻게 되는가?

이때는 집행위원회가 새롭게 도입한 시장조사(Market Investigation, "MI")(Art.15)를 통하여 개입할 수 있도록 하고 있다. 즉, 추정이 안되는 경우에는 케이스 바이 케이스로 문제된 사업자의 gatekeeper 여부를 판단하고 지정할 수 있도록 하는 것이다(Art.3(6)). 이때 집행위원회는 사업 규모, 이용자 수, 진입장벽, 사업자(플랫폼)가 데이터 등으로부터 얻는 이득의 규모와 범위, 이용자들의 고착(lock-in) 정도, 기타 시장의 구조적 특징들을 고려하여 판단한다고 한다(Art.3(6)(a)-(f)). 이런 질적 판단 기준이 포괄할 수 있는 범위가 지나치게 넓다고 비판을 받고 있으므로 이에 대해서는 추후 법적 기준이 추가될 가능성이 높아 보인다. 하지만 지금 상태로도 우리의 거래상지위 포섭 범위에 비하면 굉장히 제한적이다. 참고로 일본의 특정 디지털 플랫폼 법도 독일의 제10차 경쟁법 개정법(안)의 제19a조도 EU와 비슷하게 제한적 접근을 취하고 있는데 우리나라 플랫폼 공정화법(안)만 유독 광범위하지 않나 싶다.

Market Investigation

드디어 MI다. 집행위원회의 새로운 경쟁법 집행 수단인 MI는 영국의 MI 제도를 본 딴 것으로 로드맵 공개 당시부터 NCT라는 이름으로 크게 주목을 받았다. 비록 영국 MI와 유사한 초기 NCT의 모습은 이번 DMA에서는 아주 일부만 반영되었다는 (실망 섞인 혹은 안도하는) 반응이 대부분인 것으로 보이지만, 아무튼 결과와 상관 없이 DMA 초안 마련 과정에서 영국식 MI 제도가 EU에 많은 영감을 준 것은 부인할 수 없는 사실이다. 영국 MI가 무엇이고 어떻게 작동하는지에 대해서는 최근 발표된 류시원 변호사님의 영국 MI에 관한 논문("영국의 시장조사제도에 관한 연구 - 공정거래법과 전기통신사업법에 대한 시사점을 포함하여", 경쟁법 연구 제42호)을 꼭 읽어보길 바란다. 다만 류변호사님께 여쭤보니 현재 최종안의 모습은 지금까지 이야기가 나오던 NCT와 달리 영국 MI와 상당히 다르다고 한다.

NCT 도입은 실패한 것으로 보이지만, 어쨌든 중요한 족적을 남기고 떠나는 UK...

집행위원회의 MI는 현재 초안 제14조에서 제17조까지 규정되어 있다. 제14조는 MI의 개시와 관련된 내용을 담고 있고(류변호사님께 방금 들었는데 회원국들이 3개 이상 모여서 제15조의 MI 개시를 요청할 수 있다는 내용이 제33조에 있다), 제15조는 gatekeeper 사업자를 지정하기 위한 MI, 제16조는 시스템적인 위반행위에 대한 MI, 제17조는 DMA 적용 범위(대상 플랫폼 서비스 또는 금지 대상 행위)를 추가하기 위한 MI에 관한 내용을 규정하고 있다(금지 대상 행위 추가와 관련해서는 Art.10도 참고). 제안이유서의 관련 부분은 대략... recital 62부터 recital 67까지로 보인다.

현재 언론에서 가장 주목을 받고 있는 기업분할 명령(break-up) 명령의 가능성은 제16조에 규정되어 있다(Art.16(1)-(3)). 기업분할 명령에 대해서는 그동안 집행위원회 내부에서도 약간 의견 차이가 있었기 때문에 도입되지 않을 줄 알았는데(지난 10월 Euractiv 보도 참고) 나도 초안에 위 권한이 포함된 것을 보고 약간은 놀랐다.

그럼 기업분할 명령은 언제 가능한가? 현재 초안은 MI를 통해 gatekeeper가 ① 자신의 의무(Art.5 and Art.6)를 "시스템적으로(systematically)" 위반해왔고 ('이로써'? - 원문에는 이런 표현이 없고 그냥 "and"라고만 한다) ② 자신의 gatekeeper 지위를 계속해서 더욱 강화 또는 확장해온 경우가 발견되면 집행위원회가 필요한 행태적 또는 구조적(structural) 조치(remedies) 명령을 부과할 수 있도록 하고 있다(Art.16(1)).

'시스템적인 위반(systematical non-compliance)'이 구체적으로 무엇을 뜻하는지에 대해서는 (아직) 설명을 못찾겠는데, 초안은 일단 5년 내에 3회 이상 법 위반 결정(Art.25 - Art.26)을 받은 경우는 시스템적 위반으로 간주하는 것으로 제안하고 있다(Art.16(3)). 이런 체계적, 조직적 위반이 확인되더라도 집행위원회는 MI로써 문제된 사업자의 gatekeeper 지위가 강화 또는 확장되어 왔다(further strengthened or extended)는 점을 또 보여야 하는 것으로 이해되는데, 이에 대해서 제안이유서(Recitals)는 '사업자의 역내 시장에서의 규모가 커지고 이용업체 및 최종이용자들의 수가 증가하면서 플랫폼 서비스에 대한 경제적 의존(economic dependence)이 심화되며(네트워크 효과를 말하나?) 그리고 사업자의 그러한 지위 공고화로부터 얻는 이득(데이터 등)이 증대되는 경우(recital 64)'라고 설명한다(그리고 Art.16(4) 참고).

시스템적 위반 및 gatekeeper 지위의 강화, 확장으로 인해서 행태적, 구조적 조치가 이뤄지는 경우 그 조치의 내용은 비례적이어야 하고 필요한 최소한도에 머물러야 한다(Art.16(1)). 특히 구조적 조치의 경우 동등하게 효과적인 또는 덜 부담되는 행태적 조치가 없는 경우임에 입증되어야 한다(Art.16(2)). 그리고 제안이유서에는 이와 같은 비례성 요건은 "문제된 시스템적 위반 행위가 사업자의 사업 구조로부터 발생하는 그런 상당한 리스크(substantial risk that this systematic non-compliance results from the very structure of the undertaking concerned)"를 지닌다는 점이 입증되는 경우에만 충족된다고 설명한다(recital 64).

하지만, 과연 유럽의 희망 노키아도 DMA 규제를 받게 될까...?

집행위원회 초안 MI는 길어도 1-2년 내에 끝내는 것을 제안하고 있다. Art.15(1), Art.16(1)의 경우는 1년.  16조 MI는 Art.16(5)에 의하여 최장 6개월 연장 가능하다. 다만 Art.17에 의한 MI는 2년이 최대다.

EU가 준비 중인 MI는 영국 MI처럼 광범위한 시장 조사라기보다는 gatekeeper로 지칭되는 (GAFA든 GAFA+a든) 극소수의 거대 플랫폼 사업자들만을 대상으로 한다는 점에 있어서 차이가 있다. 그리고, 글쎄... 어떻게 보면 gatekeeper 사업자에 대해서는 제3조 제2항의 정량적 기준을 통해서 추정이 쉽게 이뤄질 수 있고, 이번 규칙안은 이미 상당히 광범위한 플랫폼 서비스와 문제 행위를 규율 범위에 포섭시키고 있기 때문에(Art.2(2)-(16), Art.5 - Art.6), EU 집행위원회의 MI는 영국 MI와 달리 활용도가 그리 크지 않을 수도 있겠다는 생각도 들었다. 구체적인 운용 방식과 내용에 대해서는 유럽의회(European Parliament)와 각료이사회(the Council)에서의 핑퐁 논의를 좀 더 지켜볼 필요가 있을 것 같다.

M&A Control

언론에서는 기업분할이 많이 나오지만, 사실 실무상 기업분할이 크게 문제되지는 않을 것이다. 그보다 gatekeeper로서 지정되면 곧바로 부담하게 되는 수 많은 법적 의무들이 더 중요하다고 볼 수 있는데, 이들은 제5조와 제6조에 나온다. 물론 이게 다가 아니며 앞에서도 잠깐 언급했지만 제17조의 MI를 통해 '심각한 권리와 의무의 불균형'이 있거나 'gatekeeper의 행위로 시장의 "contestability"가 약화될 수 있는 경우'에 새로운 의무가 추가될 수 있다(Art.10(2)(a)-(b)). 이 외에도 많은 의무들이 따라오는데 가장 가장 흥미롭고 중요한 의무는 제12조에 규정된 gatekeeper의 기업 인수에 대한 무조건 통지 의무다.

제5조와 제6조를 살펴보기에 앞서 먼저 초안 제12조(그리고 recital 31)를 보면, 동조는 gatekeeper로 지정된 사업자가 디지털 서비스 관련 사업체를 인수할 때(굉장히 엉뚱한 사업체를 인수하는 경우는 빼고) 연합 차원이든 회원국 차원이든 기업결합 심사기준과 전혀 상관 없이("irrespective of") 인수 실행 전에("prior to implementation") 집행위원회에 신고해야 한다(inform)(Art.12(1)). 이러한 신고(notification)는 인수대상 기업의 연매출액, 이용자 수 등에 관한 내용을 반드시 포함하고 있어야 하는데(Art.12(2)), 제안이유서에 따르면 신고할 때 포함되는 정보들은 단지 기업결합 심사식의 검토만을 위한 것은 아니며, 좀 더 향후 MI와 관련한 맥락에서 유용한 고려 요소들을 제공할 수 있는, 해당 디지털 섹터의 "contestability trends"를 모니터링할 수 있는 정보여야 한다고 설명한다(recital 31). 정확히는 무슨 말인지 잘 모르겠지만, 제12조 제3항에서 '기업인수 실행 이후에도 그러한 기업인수로 진출한 플랫폼 서비스 시장에서 제3조 제2항의 이용자 기준 정량지표를 충족시킨다면 3개월 내에 이들과 관련된 정보를 제출해야 한다'고 규정하고 있는 것에 비춰볼 때, 대충 앞에서 살펴 본 gatekeeper 관련 요소들을 가급적 다 제출하라는 뜻으로 이해된다.

* 수정: "기업 결합 이후 추가적인 핵심 플랫폼 서비스가 개별적으로 제3조 제2항의 이용자 기준 정량 지표를 만족하게 된다면 결합 이행 시점으로부터 3개월 내에 이들과 관련된 정보를 제출해야 한다(Art.12(3))"

Do's and dont's

이제 대망의 제5조("obligations for gatekeepers")와 제6조("obligations for gatekeepers susceptible of being further specified").

제5조와 제6조에 규정된 의무 사항들은 gatekeeper 사업자들이 gatekeeper로 지정된 이후부터 (상당히 짧은) 6개월 내에 상응하는 조치를 취해야하기 때문에 상당히 중요하다(Art.3(8), Art.7(1)). 참고로 초안이 나오기 전 블랙리스트(무조건 금지)/그레이리스트(합의 없이 금지) 방식을 취할 것으로 보인다는 예상이 있었는데(여기 블로그 참고) 현재 초안의 제5조와 제6조는 그런 구분이 없다. 전부 블랙리스트다. 차이가 있다면,  제5조의 의무 사항들은 gatekeeper 사업자가 만족스러운 조치를 취하지 못하면 곧바로 DMA 위반 결정과 과징금 등 상응하는 조치들이 나가게 되지만(Art.25(1)(a), Art.26(1)(a), Art.27(1)(g)), 제6조의 경우에는 사업자의 노력은 가상했으나 유효한 조치로서 좀 부족할 경우 집행위원회가 구체적인 준수 방법을 정해줄 수 있도록 했다는 데 있다(Art.7(2)). Recital 58의 설명에 따르면 이 경우 "regulatory dialogue"를 거친다고 되어 있는데(뭔가 "I'm a generous God"의 느낌이...) 대충 제7조 제4항부터 제7항까지의 내용을 말하는 것 같다. 아무튼. 그렇다고 제6조의 경우라서 안심할 수 있는 것도 아닌데 제6조의 경우에도 "regulatory dialogue" 없이 제5조처럼 곧바로 위반 결정이 나갈 수도 있기 때문이다(Art.7(3)).

그렇다면 제5조와 제6조에 어떤 내용이 구체적으로 어떤 내용이 규정되어 있을까? 규정을 한번 보면...

짜잔~!

이렇다. 내용을 정확히 이해하기 위해서는 제안이유서와 SWD까지 모두 읽어봐야하기 때문에 지금 다 검토할 수는 없지만 이해를 위해서 중요 내용(사실은 '내가 정확히 이해한 내용')만 짧게 살펴보면 다음과 같다. 작성을 위해서 내가 참고한 글들은 여기, 여기, 여기, 그리고 여기.  아래는 독자 각자가 편하게 확인할 수 있도록 원문을 함께 넣었다(사실은 나중에 내가 보기 편하게...).

Article 5 (Obligations for gatekeepers) In respect of each of its core platform services identified pursuant to Article 3(7), a gatekeeper shall:
(a) refrain from combining personal data sourced from these core platform services with personal data from any other services offered by the gatekeeper or with personal data from third-party services, and from signing in end users to other services of the gatekeeper in order to combine personal data, unless the end user has been presented with the specific choice and provided consent in the sense of Regulation (EU) 2016/679;

제5조 (a)호는 페이스북처럼 실질적 동의 없이 이용자의 개인 데이터를 여기 저기서 막 수집해서 자기 서비스랑 결합하고 그러면 안된다는 뜻으로 이해된다. 페이스북 사건은 이전 포스팅 참고. 여담이지만, 최근 독일 경쟁당국은 또 페이스북 조사에 착수하면서 페이스북이 오큘러스(Oculus) 서비스 이용자들에 대해 페이스북 계정 로그인을 해야만 VR서비스를 온전히 이용할 수 있도록 한 행위에 대해서 조사에 착수하였다고 한다(보도자료).

(b) allow business users to offer the same products or services to end users through third party online intermediation services at prices or conditions that are different from those offered through the online intermediation services of the gatekeeper;

제5조 (b)호는 "wide MFNs"을 금지하는 규정으로 이해된다. 유럽의 경우를 예로 들면 부킹닷컴(Booking.com)과 같은 사이트들이 호텔에게 다른 제3의 경로를 통해서 더 낮은 가격 등을 제시하는 것을 막는 행위를 금지하겠다는 것이다. 사실 대부분의 회원국들에서 "wide MFNs"은 지금도 금지되는 것으로 알고 있는데 이제는 금지 항목으로 명시되었다는 데 의의가 있다. 참고로 호텔 등이 자기 홈페이지를 통해서 더 싼 조건을 제시하는 것만 금지하는 "narrow MFNs"은 기존 경쟁법으로도 그렇고 위 문구 상으로도 계속 허용되는 것으로 보인다. 

* 보충: 확인해보니 narrow MFNs의 경우에도 금지되는지 아닌지는 회원국마다 다른 것으로 보인다 (여기)) 

(c) allow business users to promote offers to end users acquired via the core platform service, and to conclude contracts with these end users regardless of whether for that purpose they use the core platform services of the gatekeeper or not, and allow end users to access and use, through the core platform services of the gatekeeper, content, subscriptions, features or other items by using the software application of a business user, where these items have been acquired by the end users from the relevant business user without using the core platform services of the gatekeeper;

제5조 (c)호는 말이 좀 복잡한데, 현재 미국에서 진행 중인 애플(Apple)과 에픽게임즈(Epic Games; Fortnite)의 분쟁을 생각해보면 이해가 쉽다. 이 분쟁은, 간단히 설명하면, 애플은 앱스토어(App Store)를 통해서 다운로드된 앱들에서 이용자가 인앱결제를 하는 경우 30% 수수료를 부과해왔고 이를 강제하기 위해서 앱개발자가 앱스토어 외에 다른 경로를 통해 이용자들에게 앱, 서비스를 제공하는 것(정확히는 판촉하는 것)을 막아왔는데, 포트나이트 개발사인 에픽게임즈가 이에 저항하면서 자사 홈페이지를 통해 더 싼 가격에 서비스를 제공하자, 애플이 계약 위반으로 에픽게임즈를 앱스토어에서 삭제하면서 문제된 사건이다. 많은 이들이 알다시피 유럽에서는 애플 v. 스포티파이(Spotify) 분쟁으로 비슷한 사건이 진행 중인데 이런 사건들에 대한 법 집행을 좀 더 수월하게 하기 위하여 금지 규정을 넣은 것으로 보인다. 구글도 문제되기는 하는데.. 아무튼 이와 관련한 내 지난 포스팅은 여기. 그리고 제5조 (c)호와 관련된 규정으로 아래 제6조 (c)호 참고.

(d) refrain from preventing or restricting business users from raising issues with any relevant public authority relating to any practice of gatekeepers;
(e) refrain from requiring business users to use, offer or interoperate with an identification service of the gatekeeper in the context of services offered by the business users using the core platform services of that gatekeeper;
(f) refrain from requiring business users or end users to subscribe to or register with any other core platform services identified pursuant to Article 3 or which meets the thresholds in Article 3(2)(b) as a condition to access, sign up or register to any of their core platform services identified pursuant to that Article;

제5조 (d)호, (e)호, (f)호는 정확히는 잘 모르겠다. 직역하면, 플랫폼 이용 업체들이 이의를 제기하는 것을 막지 말고((d)호 및 recital 39), 이용 업체들에게 플랫폼 ID 서비스를 이용하도록 강요하지 말라고 하는데((e)호 및 recitals 14, 40) 딱히 떠오르는 케이스가 없다. 공부 부족... (f)호는 이용 업체뿐만 아니라 최종 이용자(소비자)에 대해서도 다른 핵심 플랫폼 서비스에 등록하도록 요구하는 행위를 못하도록 하고 있는데 최종 이용자와 관련해서는... 위에서 언급한 페이스북 오큘러스 사건 같은 경우를 말하는 건가 하는 생각도 든다. 제안이유서의 해당 부분은 recital 41로 보이는데... 앱 간 swtiching을 어렵게 해서 이용자 선택권을 제한하지 말라고 한 측면에서 최근 네덜란드 경쟁당국이 진행하고 있는 사건(내 포스팅)도 생각나고 그렇지만 이걸 염두에 뒀는지는 잘 모르겠다. 나중에 알게 되면 다시 보충하기로.

* 보충: 제5조 (e)호는 구글, 페이스북의 소셜 플러그인, 제5조 (f)호의 경우 "Slack v. Microsoft 365" 참고. 네덜란드 사례는 제6조 (f)호 참고.

(g) provide advertisers and publishers to which it supplies advertising services, upon their request, with information concerning the price paid by the advertiser and publisher, as well as the amount or remuneration paid to the publisher, for the publishing of a given ad and for each of the relevant advertising services provided by the gatekeeper.

제5조 (g)호도 확실하지는 않은데, 나는 일단 구글 애드센스(Google Adsense) 사건(내 지난 리포트)을 염두에 둔 것으로 이해했다. 제안이유서(recital 42) 설명을 읽어보면, 제5조 (g)호는 일단 광고주들이 온라인 중개 서비스를 이용할 때 서비스 이용 가격의 책정 과정이 불투명하고("non-transparent and opaque") 이러한 불투명성이 높은 이용 가격으로 이어지고 결국 이것이 최종 이용자에게 높은 상품 가격으로 전가되는 점에 대한 문제 의식에 바탕을 두고 있는 것으로 보인다. 이러한 문제를 해결하기 위하여 제5조 (g)호로써 플랫폼 사업자에게 관련 정보를 투명하게 제공하도록 하는 투명성 의무("transparency obligations")를 부과하고 있는 것이다. 이 규정은 아래 제6조 (g)항과 같이 읽을 필요가 있는데, 제6조 (g)항은 광고주들이 요청하는 경우 무료로 "performance measuring tools"에 대한 접근과 광고주들이 독자적으로 관련 온라인 광고 서비스의 제공에 대한 판단을 할 수 있는 정보("information necessary .... to carry out their own independent verification of the ad inventory")를 제공해주어야 한다고 규정하고 있기 때문이다. 제안이유서 설명(recital 53)에 따르면 이러한 의무는 광고주들이 온라인 광고 서비스 계약 조건의 불투명성으로 인하여 광고 효과에 대한 정보도 제대로 갖지 못하게 되는 현실에 대한 문제의식을 바탕으로 한다고 한다.

Article 6 (Obligations for gatekeepers susceptible of being further specified) 1. In respect of each of its core platform services identified pursuant to Article 3(7), a gatekeeper shall ...
(g) provide advertisers and publishers, upon their request and free of charge, with access to the performance measuring tools of the gatekeeper and the information necessary for advertisers and publishers to carry out their own independent verification of the ad inventory;

참고로 제5조 (g)호와 제6조 (g)호를 보면 알겠지만 광고주 외에 "publishers"에게도 정보가 제공되어야 하는 것으로 나온다. 하지만 아쉽게도 현재 초안에는 publishers에 대한 설명이 없다(아직 못찾았다). 다만 개인적으로, 구글 애드센스 사건에 비춰볼 때 publishers는 언론 출판인(media publishers)을 포함하여 블로그, 여행 등 각종 웹사이트의 운영자들까지 포함하는 용어가 아닐까 싶다. 정확하지는 않다. 이렇게 추측하는 이유는 이들이 온라인 광고 서비스의 가치 사슬에서 한 파트를 담당하기 때문이다. 예컨대 구글 애드센스의 경우 publishers가 구글에서 제공하는 검색용 애드센스를 이용하여 자신의 웹사이트에 검색창을 설치하면 구글은 해당 웹사이트 이용자들이 그 창을 이용해 검색할 때 검색 결과와 함께 광고를 같이 노출시키고 이를 통해 이윤을 창출한다. 이러한 비즈니스 모델 하에서는 당연히 광고주뿐만 아니라 publishers도 자신들이 지급받는 대가가 어떻게 결정되는지(Art.5(g) "... the amount or remuneration paid to the publisher") 알 필요가 있다. 또 구글 말고 다른 광고 중개 서비스로 갈아타야 하는지 관련 정보를 알 필요가 있다(Art.6(g)). 이러한 이유에서 제5조 (g)호와 제6조 (g)호에 publisher도 들어간 게 아닐까 생각하지만 아직 정확하지는 않다.

Article 6 (Obligations for gatekeepers susceptible of being further specified) 1. In respect of each of its core platform services identified pursuant to Article 3(7), a gatekeeper shall:
(a) refrain from using, in competition with business users, any data not publicly available, which is generated through activities by those business users, including by the end users of these business users, of its core platform services or provided by those business users of its core platform services or by the end users of these business users;

제6조 (a)호는 현재 진행 중인 아마존(Amazon) 사건을 염두에 둔 규정으로 보인다. 약간 outdated한 느낌이 있지만 아마존 사건에 관한 설명은 내 지난 포스팅 참고. 아마존 사건은 아마존이 플랫폼도 갖고 있고 또 직접 상품도 팔면서 자기 상품 판촉을 증진시키기 위해 경쟁업체들의 거래 데이터를 부당하게 이용했다는 혐의가 골자다. 내 과거 포스팅 이후 집행위원회는 지난 11월 10일 사건을 둘로 쪼개서(하나는 아마존이 업체들의 데이터를 활용한 행위에 관한 건, 다른 하나는 "Buy box" 업체 선정 과정에서의 이슈) 심사보고서(Statement of Objections)를 발송하였는데, 그래도 기본적 사실관계는 이전 포스팅에서 설명한 것과 크게 달라지지 않았다. 참고로 위 DMA 규정은 둘로 쪼개진 아마존 사건들 중에서도 특히 데이터 활용과 관련한 사건(AT.40462)과 직접 관련이 있는 것으로 보인다.

(b) allow end users to un-install any pre-installed software applications on its core platform service without prejudice to the possibility for a gatekeeper to restrict such un-installation in relation to software applications that are essential for the functioning of the operating system or of the device and which cannot technically be offered on a standalone basis by third-parties;

제6조 (b)호는 2018년 집행위원회의 구글 안드로이드 사건(Google Android, Case AT.40099)과 현재 미국에서 진행 중인 구글 반독점 소송을 떠올리게 한다. 안드로이드 폰을 사면 구글앱들이 선탑재 되어 있고 삭제도 안되는데 (꼭 필수적인 것이 아닌 한) 그렇게 하지 말라는 것이다. 물론 이런 행위는 현재 경쟁법으로도 규율이 가능하지만 DMA가 통과되면 앞으로 경쟁제한성 분석 따위는 필요 없이 바로 규제가 가능하다.

이런 느낌...?

(c) allow the installation and effective use of third party software applications or software application stores using, or interoperating with, operating systems of that gatekeeper and allow these software applications or software application stores to be accessed by means other than the core platform services of that gatekeeper. The gatekeeper shall not be prevented from taking proportionate measures to ensure that third party software applications or software application stores do not endanger the integrity of the hardware or operating system provided by the gatekeeper;

제6조 (b)호와 비슷한 제6조 (c)호는 구글보다는 애플을 생각나게 하는데, 안드로이드폰은 사실 구글 플레이 스토어 외에도 다양한 스토어 앱 설치가 가능하지만 애플은 앱스토어만 이용 가능하기 때문이다. 만약 제6조 (c)호가 도입된다면, 앞에서 나온 제5조 (c)호와도 어느 정도는 관련을 맺고 함께 집행될 것 같다는 생각도 든다.

(d) refrain from treating more favourably in ranking services and products offered by the gatekeeper itself or by any third party belonging to the same undertaking compared to similar services or products of third party and apply fair and non-discriminatory conditions to such ranking;

제6조 (d)호에 대해서는 이제 한국 사람들도 네이버 사건으로 대부분 익숙해졌을 텐데, 특히 검색 결과 순위 정렬(ranking)과 관련하여 자사 서비스 우대(self-preferencing)를 금지하는 내용이다. 위에 네이버 사건에 관한 내 예전 포스팅도 있고, 지도교수님과 함께 쓴 예전 검색중립성 관련 논문도 있으니 참고.

(e) refrain from technically restricting the ability of end users to switch between and subscribe to different software applications and services to be accessed using the operating system of the gatekeeper, including as regards the choice of Internet access provider for end users;
(f) allow business users and providers of ancillary services access to and interoperability with the same operating system, hardware or software features that are available or used in the provision by the gatekeeper of any ancillary services;
(g) provide advertisers and publishers, upon their request and free of charge, with access to the performance measuring tools of the gatekeeper and the information necessary for advertisers and publishers to carry out their own independent verification of the ad inventory;

제6조 (g)항은 위에서 다루었고, 제6조 (e)항과 (f)항은 recital 51? 50?과 함께 읽어보아도 지금으로선 딱히 생각나는 사례가 없으므로 추후 보충하기로 하고 일단 패스. 공부 부족... ㅠ

* 보충: 제6조 (e)항은 “Device Neutrality” - CERRE Report 참고. 제6조 (f)항은 네덜란드 경쟁당국이 진행하고 있는 NFC 사건(내 포스팅) 참고.

(h) provide effective portability of data generated through the activity of a business user or end user and shall, in particular, provide tools for end users to facilitate the exercise of data portability, in line with Regulation EU 2016/679, including by the provision of continuous and real-time access;

제6조 (h)항은 GDPR의 데이터 이동성(data portability)의 "좀 더" 실효성 있는 보장에 관한 규정으로 자세한 설명은 이전 EU 디지털 정책 논문 212면의 주80과 217면의 설명 참고.

(i) provide business users, or third parties authorised by a business user, free of charge, with effective, high-quality, continuous and real-time access and use of aggregated or non-aggregated data, that is provided for or generated in the context of the use of the relevant core platform services by those business users and the end users engaging with the products or services provided by those business users; for personal data, provide access and use only where directly connected with the use effectuated by the end user in respect of the products or services offered by the relevant business user through the relevant core platform service, and when the end user opts in to such sharing with a consent in the sense of the Regulation (EU) 2016/679;
(j) provide to any third party providers of online search engines, upon their request, with access on fair, reasonable and non-discriminatory terms to ranking, query, click and view data in relation to free and paid search generated by end users on online search engines of the gatekeeper, subject to anonymisation for the query, click and view data that constitutes personal data;

제6조 (i)항과 (j)항은 다른 사업자들의 gatekeeper 플랫폼 사업자 보유 데이터에 대한 접근 허용 의무 규정으로 이해되는데 (i)항과 recital 55를 읽으면 아마존이 떠오르고 (j)항과 recital 56을 읽으면 구글이 떠오른다. 약간의 흥미로운 차이는 (j)항의 검색 엔진의 의무에서는 FRAND한 조건으로 (아마도 구글과 직접 경쟁관계를 형성할 검색엔진들에게?) 데이터 접근을 허용해야 한다고 규정한 점이다. 과연 자신들이 제공하던 서비스와 관련하여 생성된 데이터를 (남용을 금지하는 것은 별론으로 하더라도) 경쟁, 이용업체들에게 제공해주도록 하는 의무가 사업자들에게 어떻게 받아들여질 지 궁금하다. 이와 관련해서 독일 제10차 개정 경쟁법(안)의 제19조 제2항 제4호(시지남용 거래거절의 한 유형으로서 데이터 접근 거절을 명기)와 제19a조 제2항 제4호(특별사업자의 남용의 한 유형으로서 data portability를 어렵게 하고 있는 행위 규정) 등이 참고될 수 있을 것 같다. 정확하진 않다.

* 보충: 제6조 (i)항과 관련해서는 The Observatory's Report, 2020 참고.

(k) apply fair and non-discriminatory general conditions of access for business users to its software application store designated pursuant to Article 3 of this Regulation.

(k)항은 앱 마켓 사업자와 개발자들 사이에서 앱 마켓 플랫폼 사업자에게 FRAND 의무를 부과하고 있다. 제안이유서 설명은 recital 58에 있다. 휴 길다...

 

Gatekeeper로 한 번 지정이 되면 위와 같은 엄격한 DMA의 의무들을 피해갈 방법이 원칙적으로는 없지만 초안은 예외적으로 의무 사항들의 전체 또는 일부에 대해서 적용 면제(suspension) 신청이 불가능하지는 않게 하고 있다(Art.8). 다만 이게 GAFA에 대해서는 얼마나 긍정적으로 받아들여질 수 있을지 미지수기는 하다.

THE Commission

DMA 프레임워크의  운영은 집행위원회'만' 하는 것으로 보인다. 집행위원회는 위 의무들의 위반 여부에 대한 정보 제출 명령과 조사 권한을 갖게 되고(Arts.19-21 - MI와 다른 그냥 조사 권한임에 주의) 의무 위반 사항이 발견되면 과징금을 전년도 전체 매출액의 10%까지 부과할 수 있다(Art.26). 이행강제금 부과도 전년도 일평균 매출액의 5% 한도 내에서 가능하다(Art.27). 물론 경쟁법처럼 의무 위반 결정을 내리기 전이라도 심각한 피해가 예상되는 경우 임시명령(interim measure)을 내릴 수 있으며(Art.22), 동의확약도 가능하다(Art.23., 앞서 설명한대로 의무 위반이 반복되는 경우(원문 표현으로 하면 위반 행위가 시스테마틱한 경우) 좀 더 강한 행태적 구조적 조치가 나갈 수 있다. 회원국 경쟁당국의 역할은... 딱히 의미 있는 역할은 아직 못찾겠다.

한 가지 더 흥미로운 부분은, 현재 초안에 따르면, 개별 회원국은 gatekeeper에게 EU의 DMA가 부과하는 수준 이상의 의무도 부여할 수는 없도록 되어 있는 점이다(Art.1(5)). 물론 시장 규제로서 법적 의무가 아니라 다른 규제로서 다른 목적을 위해 법적 의무("rules pursuing other legitimate public interests")를 만들어내는 경우는 허용된다고 하고 있고 또 gatekeeper가 아닌 사업자들에게 해당하는 강력한 회원국 법 집행은 그대로 가능하지만(Art.1(6)), 그래도 원칙적으로 회원국의 입법 재량을 제한한 것은 특기할 만한 부분이다. 따라서 현재 국내법을 도입 중인 회원국들(예컨대.. 독일, 프랑스)의 입장에서는 아무래도 위 부분이 그렇게 탐탁치는 않을 것.... 이라고 생각했는데(Damien Geradin의 세번째 코멘트, Sascha Schubert의 마지막 코멘트에 따르면 그렇게 이해된다), 방금 Alfonso Lamadrid 변호사의 코멘트(9번)을 보니 Impact Assessment에서는 또 말이 달라서 뭔가 싶기도 하다.  

Final remarks

지금까지 DMA의 내용을 정말 수박 겉핥기 식으로 살펴보았는데, 아직 나도 제안이유서를 다 읽어본 게 아니고 또 SWD 등도 읽어보지 않은 상황이라서 얼마나 정확하게 이해했는지 잘 모르겠다. 다만 현재까지 이해한 내용에 비춰보면 DMA의 파급력이 (통과된다면) 상당히 클 것 같다는 생각은 든다.

다시 한 번 말하지만, 위 내용은 모두 일단 워밍업 차원에서 한 번 훑어보고 핵심만 브래인스토밍 해보는 수준이라 오류가 있을 수 있음을 밝힌다. 또 내용상 오류 여부보다 더 중요하게 강조할 것은 이게 결코 우리나라 상황에 그대로 대입할 수 있는 제도는 아니라는 점이다. EU의 규제 동향에 여론의 관심이 높아가는 것이 나쁜 일은 결코 아니지만, 앞서 말했듯 EU의 (특히 플랫폼) 규제 움직임에는 EU의 다른 규제들과도 또 다르게 주권찾기 성격이 다른 규제들보다 좀 더 강하게 있다는 점이 고려되었으면 좋겠다. 물론 그런 주권찾기 성격만 있는 것은 아니기 때문에 EU의 제도를 우리의 제도 설계에 반영할 수는 있는 부분도 적지는 않다. 하지만 분명 copy and paste를 서두를 필요가 있는 분야는 아니다. 검토 결과에 따라서 copy and paste가 좋겠다고 결론 날 수도 있기는 하지만. 아무튼 우리 플랫폼 공정화법은  여러 의미로 조금만 더 신중했으면 좋겠다.