AI와 법
지난 글에서는 메타버스와 대체불가능항 토큰(NFT), 그리고 메타버스 상에서의 디지털 사기 또는 절도 등에 대하여 간단히 살펴보았다. 이번 글에서는 메타버스 상에서 IP의 소유권자들이 겪을 수 있는 문제와 AI 학습, 그리고 개인정보보호 등에 대한 이슈에 대하여 간단히 살펴보도록 한다.
메타버스와 저작권
저작권자들에게 메타버스는 몇 가지 잠재적인 이익을 제공할 수 있다. 예를 들어 먼저 시장에 진출한 개발자들은 자신들이 만든 소프트웨어를 저작권으로 등록하여 뒤늦게 시장에 진출한 회사들로부터 로얄티를 받고 저작권을 팔거나 사용을 허락할 수 있다.
디지털 밀레니엄 저작권법(DMCA)은 저작권자들에게 추가적인 보호를 제공하는데, DMCA는 저작권으로 보호된 작품에 대한 접근을 통제하는 조치를 우회하는 것을 금지함은 물론 저작권 관리를 위한 정보를 제거하고 변경하는 것을 금지하고 있다. 그리고 위와 같은 금지사항을 위반하였을 때의 DMCA가 제공하는 구제조치는 저작물의 잠재적인 침해자의 접근으로부터 메타버스 상의 콘텐츠를 보호할 수 있는 방법을 제공하게 된다.
그러나 메타버스는 저작권자들에게 권리보호 측면에서 리스크가 될 소지도 있는데, 예를 들어, 현실세계에 비하여 메타버스에서의 불법적인 컨텐츠의 복제를 규제하고 금지하는게 어려울 수 있으며, 저작물의 사용의 정도가 매우 미미한 경우 저작권자는 침해행위와 손해를 입증하는 데 어려움을 겪을 가능성이 높다. 또한 콘텐츠 제작자들은 그들이 메타버스를 위한 디지털 콘텐츠를 만들기 위해 원저작물의 기존 라이선스에 의존하려는 경우가 많을 텐데, 그러한 기존 라이선스가 메타버스 내에서 저작물의 사용허락을 포함하고 있는지 여부를 반드시 확인해야 한다.
메타버스와 상표권
증강현실(AR)의 경우, 상표 브랜드 소유자들이 더 많은 산업분야에서 그리고 더 많은 소비자들에게로 사업영역을 확장할 수 있게 해준 동시에, 특히 게임 공간에서 상표권자들에게 새로운 리스크를 만들고 있다. 예를 들어, 현실과 가상 현실의 교차지점에서 나오는 흔한 문제 중 하나는, 가상 현실을 보다 더 현실적으로 만들기 위해 실제로 존재하는 제3자의 상표를 허락없이 사용하는 것이다.
미국에서는 가상 세계에서 무단으로 사용되는 상표를 규제하기 위한 상표권자들의 노력이 좋은 성과를 거두지는 못하고 있다. 현실의 상표를 가상 현실에 사용하는데 오는 잠재적 위험에 대한 중요한 케이스 중 하나가 바로 E.S.S. Entertainment 2000, Inc. v. Rock Star Videos, Inc., 547 F.3d 1095 (9th Cir. 2008)이다. 이 케이스의 주요 쟁점은, "Grand Theft Auto: San Andreas" 라는 유명한 게임에서 실제로 존재하는 클럽이 묘사됐으며, 이것이 과연 그 클럽의 로고와 외부적 디자인 상표권을 침해하였는지 여부였다. 법원은, 게임 속에 등장하는 클럽에 대한 묘사가 실제 클럽 소유주의 상표를 침해하지 않았다고 판단하면서, 게임 속의 묘사는 미국 수정 헌법 제1조에 따라 보호되는 권리이고, 일반 대중들이 실제 존재하는 클럽이 해당 게임을 만들었다고 혼동될 가능성은 적다고 판시하였다.
지난 10~20년 동안 사용자 생성 콘텐츠(user-generated contents)들과 포켓몬 고, 심스, 세컨드 라이프 같은 온라인 가상 현실게임들이 급증하면서 가상 현실 속에서 상표의 사용에 관련된 법적인 문제들이 발생했다. 예를 들어, 대규모 멀티플레이어 롤플레잉 게임인 세컨드 라이프는 사용자들이 자신만의 가상 세계를 만들고, 직접 지식재산을 개발 및 홍보하며, 수익을 위해 자신 또는 다른 사람들의의 브랜드 창작물을 판매할 수 있는 것도 허용하고 있다. 사용자들은 심지어 세컨드 라이프에서 온라인 상의 사업적인 영향력을 바탕으로 현실 세계에서 제품이나 서비스를 판매할 수도 있는데, 하지만 이런 기회들은 제3자 상표의 무단 사용과 잠재적 브랜드 감소에 대한 리스크를 동반하기도 한다. 예를 들어, 아바타(실존하는 사용자들이 만든 가상 캐릭터)들이 제3자에게 상표권이 있는 제품을 사고팔 수 있기에 상표권자들은 가상 세계에서의 브랜드 사용에 위험성을 인지하고 있어야 할 필요가 있다.
메타버스와 특허
다른 지식재산들과 같이, 메타버스에서 사용되는 특허는 새로운 기회를 제공하는 동시에 리스크에 노출되도록 하기도 한다. 증강 현실(AR) / 가상 현실(VR) 기술에 초점을 맞춘 특허를 소유함으로써 얻을 수 있는 이익은 주로 라이선스 수익(로열티)인데, 특허 사용 허락을 위한 라이선시(licensee)를 식별하는 것은 쉽지는 않다. 실제로 메타버스에 사용되는 특허 발명자들은 저작권 및 상표의 소유자들에 비하여도 더 많은 어려움에 직면해 있는데 이것은 메타버스에서는 소프트웨어 특허 침해가 쉽게 드러나지 않기 때문이다. 물론 증강 현실(AR) / 가상 현실(VR)과 같은 소프트웨어를 침해했다는 사실을 입증하는 증거로는 소스 코드를 일일이 분석하여 알아낼 수 있기도 하지만, 그것은 특허권자가 실제로 소송을 제기하고 증거조사 절차 등을 통하여 침해자의 소스 코드를 알아냈을 때에나 가능하다.
메타버스에 초점을 맞춘 특허권자들의 또다른 리스크 중 하나로는 특허를 실시하기 위한 소송 진행중 특허의 잠재적 무효화도 있다. 일단 특허를 받으면 그 특허는 영원히 안전할 것이라고 잘못 오해하는 분들이 있는데 소송 과정 중에 특허가 얼마든지 무효가 될 수 있음을 명심해야 한다. 특히 미국 법원은 소프트웨어 중심적인 특허를 "추상적"이며 미국 특허법 제101조와 Alice Corp. v. CLS Bank International, 573 U.S. 208 (2014) 미국 연방 대법원 판결에 따라 특허성이 없다고 무효화하는 사례가 늘고 있다. 지난 2020년, 특허법 이슈를 전담하는 미국 연방순회항소법원(CAFC)은 27건의 소프트웨어 특허 적격성을 검토하였는데, 27개의 특허 중 오직 4개만이 특허법 제101조에 따라 부분적으로 또는 완전히 특허성이 있다고 결론을 내린 바 있다. 이 분야의 법률은 확립되어 있지 않고 모호한 부분이 많기 때문에 특허받은 증강 현실(AR) / 가상 현실(VR) 특허의 가치에 불확실성에 더하고 있다.
메타버스와 AI 학습
"지식재산 확산 (intellectual property everywhere)"의 시나리오는 우리가 메타버스 내에서 생성된 데이터에 접근하고 사용하는 방법에 영향을 미칠 가능성이 높다. AI와 머신러닝은 방대한 양의 데이터 수집에 대한 의존도를 고려할 때 "지식재산 확산 (intellectual property everywhere)" 시나리오에서 운영 능력이 저하될 수 있는 기술의 좋은 예다. 오늘 날 머신러닝 모델을 학습시키는 데 사용되는 데이터와 정보는 규제의 대상이 될 수도 있고 그렇지 않을 수도 있으며 모든 정보가 보호되거나 특정인이 소유하는 것은 아니다. 예를 들어 과거의 기상 정보, 산이나 구름의 모양과 같은 자연, 또는 동물의 울음 소리에 대한 정보 등은 특정인이 소유하는 정보가 아니므로 보호를 받을 수 있는 정보가 아니다. 그러나 메타버스에서 사용되는 동물의 울음 소리는 누군가에 의해 코딩된 기계의 작품일 가능성이 높으며, 따라서 지식재산으로 보호될 수 있다.
결국 이것은 새로운 법적 분쟁의 유형을 만들어내게 될 것이다. "지식재산 확산 (intellectual property everywhere)" 시나리오에서, 머신러닝 시스템 상의 거의 모든 유형의 정보를 사용하는 것은 아마도 별도로 권한이 요구되는 제한적인 시스템이 될 수 있는 것이다. 예를 들어, 우리가 저작권을 고려한다면, 단순히 정보를 읽는 것은 규제되는 행위가 아니지만, 머신러닝 시스템이 작동하는 과정에서 일어날 데이터의 복사 또는 복제는 미국의 공정 이용(fair use), 일본의 특정 머신 러닝의 예외 규정, 유럽의 데이터 마이닝 예외 규정과 같은 관련 저작권법이 적용되게 될 것이며, 앞으로 이러한 분야의 새로운 법률은 계속하여 진화할 것이다.
메타버스와 개인정보보호
전 세계 대부분의 개인정보 보호법은 개인들이 자신의 개인정보가 누구에 의해, 어떻게, 그리고 어떤 목적으로 사용되고 있는지를 알아야 한다는 원칙을 핵심 요소로 가지고 있다. 지난 몇 년 동안 이러한 요구사항이 더욱 강화되면서 정보를 수집하는 주체인 기업이 고객에게 알려야 할 세부사항 목록들이 계속 늘어나고 있는 추세이다. 데이터에 대한 복잡한 기술적 활용 사례가 증가하면서, 개인들은 자신의 개인정보가 어떻게 사용되는지 설명하기 위한 (시간이 갈 수록 점점 더 길어지는) 몇십 페이지의 프라이버시 공지를 확인하라는 이메일이나 우편을 받게 될 것이며 바쁜 현대사회의 대부분의 사람들에게 이를 꼼꼼히 읽는 것을 기대하기란 어려울 것이다.
전 세계의 많은 개인정보 보호법은 개인에게 개인정보에 대한 권리를 부여하고 있으며, 개인은 이러한 권리를 점점 더 인지하고 있다. 특히 유럽에서는 개인이 개인정보에 대한 "잊혀질 권리"와 "접근할 권리"를 행사하는 데 적극적이며, 지난 몇 년간 많은 기업들이 소비자 또는 직원(또는 전 직원)의 모든 데이터를 즉시 삭제할 것과 회사가 보유한 모든 개인정보를 제공하라는 요청에 직면하고 있다. 이러한 개인정보 삭제나 제공에 대한 요청이 실무적으로 그렇게 간단한 것이 아닌데, 법률에서 정한 여러 면제사유와 예외조항들이 있기 때문이다. 그럼에도 불구하고 기업은 개인들에게 자신의 권리에 대해 알리고 교육할 의무가 있으며 필요한 기간 내에 개인의 요청에 응할 수 있는 절차를 규정해 두는 것이 필요하다.
메타버스에 이것을 적용해 보자면, 가장 먼저 고려해야 할 문제는 어떤 권리가 어떤 개인에게 적용되는가 하는 것이다. 위에서 설명한 바와 같이, 이것은 어떤 개인정보 보호 규칙이 적용되느냐에 따라 달라진다. 운영적인 관점에서, 이러한 권리를 행사하기 위한 기능을 어떻게 메타버스에 내장시킬 것인가? 그리고 메타버스 내에서 누가 위 규칙들의 준수를 책임질 것인가? 예를 들어, GDPR 상에서는 개인이 권리를 행사하고 이를 준수할 수 있도록 보장하는 것은 데이터 콘트롤러(Data Controller)의 책임으로 규정하고 있다. 그런데 복수의 데이터 콘트롤러(Data Controller)가 존재하는 세계에서는 누가 이에 대한 책임이 있는지, 그리고 한 영역의 권리 행사가 다른 영역에서 어떻게 영향을 미치는지 여부 등이 명확하지 않을 수 있으므로 이에 대한 명확한 규정이 필요할 것이다.