디지털 서비스 법(DSA)이 일본에 미치는 영향은? 법규제의 핵심 포인트를 설명합니다
2024년 2월 17일부터 전면 시행된 EU의 디지털 서비스 법(DSA)은 기업의 소재지에 관계없이 EU에 디지털 서비스를 제공하는 전 세계 기업을 대상으로 합니다. EU 지역에 서비스를 제공하는 일본 기업도 그 대상이 되므로, 이에 대해 알아두어야 할 필요가 있습니다.
여기에서는 디지털 서비스 법의 주요 내용과 일본 기업에 미치는 영향 및 대응 방안에 대해, 일본의 유사한 법률과 비교하면서 설명하겠습니다.
디지털 서비스 법(DSA)이란?
EU의 ‘디지털 서비스 법'(DSA=Digital Services Act)은 2022년 11월 16일에 발효된 EU 내 전자상거래에 관한 포괄적인 규칙으로, 2024년 2월 17일에 전면 시행되었습니다.
EU는 2000년에 전자상거래 지침을 제정했지만, 인터넷이나 온라인 플랫폼 등 디지털 환경의 발전에 적용하기 어려워지면서, 해당 지침을 개정하는 형태로 직접적인 법적 구속력을 가진 EU 통합 규칙(규정)인 DSA(디지털 서비스 법)이 발효되었습니다.
이 법은 ‘디지털 시대에 걸맞은 유럽(A Europe fit for the Digital Age)’으로 알려진 EU의 디지털 전략의 일환으로 적용됩니다.
DSA의 목적
2020년 12월 15일, DMA(디지털 시장 법)와 함께 공개된 DSA(디지털 서비스 법)의 목적은 제1조에서 “①디지털 서비스의 모든 위탁자가 유럽연합 기본권 헌장으로 보장된 기본적 권리가 보호되는, 더 안전하고 신뢰성 있는 디지털 공간을 구축하는 것, ②EU 시장과 글로벌 시장 양쪽에서 혁신을 촉진하기 위한 공정한 경쟁 조건을 확립하는 것”의 두 가지에 있다고 설명되어 있습니다.
그 주안점은 불법 콘텐츠에 대한 대처에 있습니다. 즉, “오프라인에서 불법인 것은 온라인에서도 불법”이라는 원칙을 실현하기 위해, 예를 들어 온라인상의 헤이트 스피치(증오 표현)나 테러 선동과 같은 불법 콘텐츠, 가짜 상품 등 불법 상품에 대해 삭제를 포함한 대책을 기업에 의무화하고 있습니다. EU 지역 내 위탁자를 보유한 일본 기업은 대응이 요구되므로 큰 영향을 받게 됩니다.
DSA 적용 대상
디지털 서비스 법(DSA)의 규제 대상이 되는 것은 다음과 같은 4가지 유형의 프로바이더(중개 서비스 제공자)입니다.
- 중개 서비스
- 호스팅
- 온라인 플랫폼
- 거대 플랫폼(VLOP)・거대 검색 엔진(VLOSE)
디지털 서비스 법(DSA)은 EU 지역 내 위탁자를 대상으로 하는 디지털 서비스에 적용되며, 프로바이더의 소재지(국가)는 관계가 없습니다. 일본 기업이 EU를 대상으로 디지털 서비스를 제공하는 경우, 디지털 서비스 법(DSA)의 규정을 준수해야 합니다.
DSA에서 제공자에게 부과되는 6가지 의무와 면책 조항
DSA는 제공자의 사업자 특성과 규모에 따라 단계적인 의무를 규정하고 있으며, 면책 요건도 다릅니다.
제공자에게 부과되는 의무
DSA에서 정한 제공자의 의무는 ‘이용자 보호’, ‘이용 약관’, ‘콘텐츠 등 대응’, ‘온라인 광고’, ‘설명 책임 및 투명성’, ‘기타·전반’의 6가지 카테고리로 분류됩니다.
또한 EU 내의 위탁자 월간 평균 4,500만 명 이상(유럽연합(EU) 4억 5천만 명의 10%)에게 도달하는 ‘거대 온라인 플랫폼’ = VLOP(Very Large Online Platform)과 ‘거대 온라인 검색 엔진’ = VLOSE(Very Large Online Search Engine)에 대해서는 더 엄격한 규칙이 의무화되어 있습니다.
지정된 VLOP·VLOSE는 결정 통지로부터 4개월 이내에 자사의 시스템과 자원·프로세스를 DSA에 맞게 조정하고, 완화 조치의 도입 및 법규 준수를 위한 독립된 시스템을 구축해야 합니다. 그 위에, 감사와 첫 연간 위험 평가를 실시하고, 감독 기관인 유럽위원회에 보고해야 합니다. 또한, 데이터 접근 제공 의무도 부과되어 있습니다. 의무 불이행 시에는 제재금이 부과됩니다.
DSA는 2024년 2월 17일부터 전면적으로 시행되며, VLOP·VLOSE를 제외한 사업자의 DSA 이행 상황은 앞으로 EU 회원국의 당국에 의해 감시됩니다.
이하에서는 제공자의 유형별 면책 요건을 설명합니다.
면책 조항
① 중개 서비스 중, 도관 서비스의 제공자는 다음 요건을 충족할 경우, 전송된 정보에 대한 책임을 지지 않습니다(제3조).
- 스스로 전송하지 않는 것
- 전송의 수신자를 선택하지 않는 것
- 전송에 포함된 정보를 선택·수정하지 않는 것
① 중개 서비스 중, 캐싱(임시 보관) 서비스의 제공자는 다음 요건을 충족할 경우, 취급하는 정보에 대한 책임을 지지 않습니다(제4조).
- 정보를 변경하지 않는 것
- 정보 접근에 관한 조건을 준수하는 것
- 정보의 갱신에 관한 업계 규칙을 준수하는 것
- 정보 이용에 관한 데이터를 획득하기 위해 업계에서 널리 알려진 기술의 합법적 사용을 방해하지 않는 것
- 정보가 삭제되거나 접근 차단(무효화)된 경우, 저장하고 있는 정보를 신속하게 삭제하거나 접근을 차단하고 있으며, 또는 법원이나 행정이 삭제나 접근 차단을 명령한 사실을 제공자가 알게 되었을 때, 즉시 정보를 삭제하거나 접근을 차단한 것
② 호스팅 서비스의 제공자는 다음 요건을 충족할 경우, 보관된 정보에 대한 책임을 지지 않습니다(제5조).
- 불법 행위 등을 모르는 것
- 불법임을 알게 된 경우, 불법 콘텐츠를 신속하게 삭제하거나 접근을 차단한 것
DSA 시행 일정
유럽평의회는 2022년 10월 4일에 ‘디지털 서비스 법안(DSA)’을 최종 승인했습니다. 이에 따라 DSA는 2022년 11월 16일에 발효되었으며, 2024년 2월 17일(2024)에 전면 시행되었습니다.
- DSA 시행 일정
2022년 11월 16일 발효 | 투명한 보고 및 VLOP에 대한 요구사항 등 일부 적용 시작 |
2023년 2월 17일 | 온라인 플랫폼 및 온라인 검색 엔진은 월간 활성 위탁자 수를 공개 |
2024년 2월 17일 | 전면 시행 회원국은 디지털 서비스 조정자(DSC)를 지명 |
시행과 관련하여, 국가 수준과 EU 수준의 새로운 기구 간에 조정이 이루어질 것입니다. 2024년 2월 17일(2024)에는 DSA의 적용 범위에 있는 모든 사업자에 대해 EU 전역에서 시행되며, 각 EU 회원국은 자국의 디지털 서비스 조정자(DSC)를 지명해야 합니다.
설립된 독립 규제 기관은 자국의 소규모 플랫폼에 대한 규칙을 시행하며, 유럽위원회 및 DSC 위원회와 협력하여 국가 수준에서 직접 기업의 감독 및 처벌 집행 권한을 가집니다.
DSA 위반 시 부과되는 벌칙
VLOP 및 VLOSE가 아닌 사업자의 경우, 국가 차원에서 감독 및 벌칙 집행 권한을 가지며, VLOP 및 VLOSE에 대해서는 유럽위원회(유럽연합(EU) 차원)가 직접 감독하고 벌칙 집행 권한을 가집니다.
법을 위반했을 경우 부과되는 벌금은 VLOP 및 VLOSE에 대해 해당 사업자의 전년도 전 세계 연간 매출액의 6%를 상한으로 합니다. 또한, 정보 제공 요구에 부정확한 정보를 제공한 경우 등에는 VLOP 및 VLOSE에 대해 전년도 전 세계 매출액의 1%에 해당하는 벌금을 부과할 수 있습니다.
더불어 유럽위원회는 VLOP 및 VLOSE에 대해 감독 수수료를 부과하고, 집행 업무의 재원으로 사용할 수 있는 권한도 가지고 있습니다.
일본의 유사한 법규제와의 비교
여기서는 DSA와 유사한 일본의 법규제를 비교하여, DSA와의 차이점을 설명하겠습니다.
디지털 플랫폼 거래 투명성 법
「디지털 플랫폼 거래 투명성 법(특정 디지털 플랫폼의 투명성 및 공정성 향상에 관한 법률)」은 디지털 플랫폼 거래의 투명성과 공정성을 향상시키기 위해 제정된 법률로, 2021년 2월 1일에 시행되었습니다.
이 법률은 특정 디지털 플랫폼으로 지정된 사업자가 규제 대상이 되며, 거래 조건 등의 정보 공개, 운영의 투명성 및 공정성 확보(이용자와의 상호 이해 촉진을 위해 필요한 조치), 운영 상황의 보고를 의무화하고 있습니다.
특정 디지털 플랫폼이란, 디지털 플랫폼 중에서 특히 거래의 투명성과 공정성을 향상시킬 필요성이 높은 플랫폼을 제공하는 사업자로, 2024년 1월 현재, 종합 물품 온라인 몰 운영 사업자 3사와 앱 스토어 운영 사업자 2사, 총 5사가 지정되어 있습니다.
또한, 이 법률에서는 이용자로부터의 경제산업대신에 대한 정보 제공, 공정거래위원회와의 협력, 해외 사업자에 적용하기 위한 공시 송달 절차 등이 정해져 있으며, 시행 후 3년을 기준으로 시행 상황과 경제 사회 상황의 변화를 고려하여 검토하고 필요한 조치를 취하도록 되어 있습니다.
위반한 경우의 처벌은 양벌 규정으로 50만 엔 이하의 벌금이 부과되며, 경산성의 권고에 위반한 경우는 100만 엔 이하의 벌금이 부과됩니다.
DSA와의 차이는, 규제 대상이 일본 법의 경우 특정 디지털 플랫포머로 한정되어 있고, 벌금의 규모 차이, 그리고 집행 체계의 차이입니다. DSA에는 독립된 집행 기관이 있지만, 이 법률에서는 공정거래위원회와의 협력을 통한 경산성의 현장 검사가 이루어집니다.
즉, EU에 디지털 서비스를 전개하는 경우, DSA는 모든 디지털 서비스를 규제 대상으로 하고 있음에 주의가 필요합니다.
프로바이더 책임 제한 법
「프로바이더 책임 제한 법(특정 전기통신업무 제공자의 손해배상 책임의 제한 및 발신자 정보의 공개에 관한 법률)」은 인터넷 상의 정보 유통으로 인한 권리 침해가 있을 경우, 프로바이더의 손해배상 책임의 경감 및 발신자 정보 공개 청구의 소송 절차에 대해 정하고 있습니다.
2022년 10월 1일에 시행된 개정법에 의해, 그 전까지는 익명의 발신자를 특정하고 민사 책임을 추구하기까지 필요했던 두 번의 소송 절차가 통합되어, 비송 사건의 보전 절차에서 처리할 수 있게 되어, 시간적·경제적인 비용 부담이 경감되었습니다.
프로바이더 책임 제한 법의 적용 대상은 사업자의 규모에 관계없이 모든 프로바이더가 대상이 됩니다.
DSA와 비교했을 때, 인터넷 상의 정보에 대한 책임과 대응을 규정하고 있다는 점에서는 공통점이 있지만, 그 적용 범위나 규정 내용은 다릅니다.
DSA는 모든 온라인 중개업자(플랫폼 사업자 등)를 대상으로 하고 있지만, 사업자의 특성(서비스 종류)이나 규모에 따른 불법 콘텐츠의 유통에 관한 책임을 규정하고 있습니다.
예를 들어, DSA에서는 호스팅 서비스 제공자에게 위탁자가 불법 정보라고 생각하는 정보가 있음을 통지할 수 있는 시스템을 마련할 의무가 있지만, ‘프로바이더 책임 제한 법’에서는 이러한 의무가 없습니다.
그리고, 신뢰받는 플래그십에서의 통지에 대해 우선 대응할 의무나, EU와 회원국의 감독 기관에서 불법 정보에 대한 조치 명령이나 위탁자의 정보 제공 명령이 있을 경우의 대응 의무를 부과하는 규정이 있는 것 등이 ‘프로바이더 책임 제한 법’과의 차이로 들 수 있습니다.
또한, DSA에서는 내부 불만 처리 시스템의 절차 규정이 있으며, 해결되지 않은 경우의 민사 소송에 대해서는 ADR(소송 외 분쟁 해결 절차)로 되어 있습니다.
일본 기업에 요구되는 대책
DSA가 전면 시행됨에 따라, 일본 기업도 자사 서비스의 EU 내 전개 상황과 서비스 내용을 확인하고, 해당하는 서비스 유형을 특정한 후, 각 요건에 대한 대응 방침을 수립하여 적용해야 합니다.
앞서 언급한 바와 같이, 다음과 같은 요건이 있습니다.
- 이용자 보호
- 이용 약관
- 콘텐츠 등 대응
- 온라인 광고
- 설명 책임 및 투명성
- 기타·전반
자세한 사항은 전문성이 높은 변호사와 상담하는 것을 추천합니다.
참고: 일본 종합통신부|「EU 디지털 서비스 법(DSA) 개요」[ja]
결론: DSA의 향후 전개를 주시하며, 완벽한 대책을 마련하자
지금까지 2024년 2월 17일에 전면 시행된 EU의 디지털 서비스 법(DSA)에 대해 설명드렸습니다.
EU의 DSA는 국제적인 골든 스탠다드가 될 가능성이 있습니다. 해당 기업은 규제 내용을 확인하고 DSA의 요구 사항에 부합하는 대책을 마련해야 합니다. DSA 대책에 대해서는 전문성이 높은 변호사와 상담하는 것이 좋습니다.
본 법무소의 대책 안내
모노리스 법무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법무소입니다. 최근 글로벌 비즈니스는 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성은 더욱 증가하고 있습니다. 본 법무소에서는 국제법무에 관한 솔루션 제공을 하고 있습니다.
모노리스 법무소의 취급 분야:국제법무·해외사업[ja]