트위터・인스타그램에서의 저작권 침해, 가해자 식별이 불가능한가요?

인터넷에서 불법적인 게시물을 작성하면, 본인을 특정하여 손해배상 청구를 받을 수 있다는 것은 어떤 의미에서 보면 ‘일반적인’ 상식이라고 생각됩니다. 그러나

• Twitter, Facebook, Instagram 등에서
• 저작권, 상표권 등의 지적재산권 침해

에 해당하는 게시물의 경우, 본인을 특정할 수 없는 가능성이 있습니다. 이를 범죄자의 관점에서 말하면,

위 사이트에서 위와 같은 게시물을 작성하더라도, 아무리 해도 본인을 특정할 수 없다. 최대한 삭제나 계정 BAN만 있을 뿐이므로, 버릴 계정으로 위와 같은 게시물을 반복하면 된다.

라는 상황이 됩니다. 현재까지는 앞으로 어떻게 다루어질지 등이 불명확한 문제이며, 당연히 위와 같은 불법 게시물을 권장하는 의도는 전혀 없지만, 어떤 문제가 있고, 왜 위와 같은 가능성이 있는지, 아래에서 설명하겠습니다.

먼저 개요를 말하면, 대체로 다음과 같은 이야기입니다.

1. 게시자를 특정하는 것을 인정하는 ‘Japanese Provider Liability Limitation Act’ (프로바이더 책임 제한법)은, 문장상, ‘게시 시의 IP 주소’를 알지 못하면 주소와 성명 공개를 요구할 수 없다고도 해석할 수 있다.
2. Twitter, Facebook, Instagram은 원래 시스템적으로 ‘게시 시의 IP 주소’를 기록하지 않고, ‘로그인 시의 IP 주소’만 보유하고 있다.
3. ‘로그인 시의 IP 주소’를 기준으로 주소와 성명 공개를 요구할 수 있는지에 대해, 지적재산관련 법원은 ‘법적으로, 그것은 인정되지 않는다’는 태도를 보이는 경향이 있다.

위에 대해, 아래에서 차례로 이야기를 진행하겠습니다.

「로그인 시 IP 주소」라는 문제

발신자 정보 공개 요청의 흐름이란?

먼저, 소위 불법 게시물의 신원 확인, 법률 용어로 말하면 발신자 정보 공개 요청은 다음과 같은 흐름입니다.

1. 범인이 게시물을 올린 사이트의 관리자에게 ‘불법적인 게시물이 올라온 때의 IP 주소’의 공개를 요구한다.
2. ‘불법적인 게시물이 올라온 때의 IP 주소’의 공개를 받는다. IP 주소가 알려지면 프로바이더가 확인된다.
3. 해당 프로바이더에게 ‘불법적인 게시물이 올라온 년월일시분에 해당 IP 주소가 할당되어 있던 계약자의 주소와 성명’의 공개를 요구한다.
4. 해당 프로바이더로부터 주소와 성명의 공개를 받는다.

그리고 이들은 모두, 프로바이더 책임 제한법(Provider Liability Limitation Law)상의, 다음과 같은 규정에 기초하여 인정되는 것입니다.

권리 침해가 되는 불법적인 게시물에 관한 (‘침해에 관련된‘) 로그를 가지고 있는 사람은, 해당 로그에서 알 수 있는, 게시자에 관한 정보를 공개해야 한다. (※)

실제 조문 등에 대해서는, 발신자 정보 공개 요청에 관한 별도의 기사에서 자세히 설명하고 있습니다.

https://monolith.law/reputation/provider-liability-limitation-law[ja]

‘침해에 관련된’이라는 법률 조문의 의미 내용

그런데, 여기서 문제가 되는 것은, 위의 ‘침해에 관련된’이라는 말입니다. 이것은, 전형적으로는, 예를 들어 5ch(일본의 인터넷 커뮤니티)에 불법적인 게시물을 올린, 그 게시물을 올린 때의 통신을 말합니다. 위의 흐름대로입니다. 그러나, 트위터·페이스북·인스타그램 등의 사이트는, 사실, ‘어떤 게시물이 올라온 때의 IP 주소’라는 정보를, 원래 시스템적으로 기록하고 있지 않습니다. 이들 사이트에서 기록되고 있는 것은, 로그인 시의 IP 주소뿐입니다. 즉, 예를 들어 트위터에서 불법적인 게시물을 올리는 경우, 해당 위탁자는

1. 먼저 어떤 IP 주소에서 로그인을 하고
2. 그 로그인 상태를 유지한 채, 불법적인 트윗을 한다

라는 행동을 하는 것이지만, 위의 1부분에 관한 로그인 시의 IP 주소 로그는 기록되어 있지만, 2의 트윗(게시물) 시의 IP 주소는 기록되어 있지 않다, 라는 것입니다. 페이스북·인스타그램 등의 경우도 마찬가지입니다.

트위터 등의 경우의 게시자 식별 흐름

이 때문에 트위터 등의 불법적인 게시물에 대해 게시자를 식별하는 경우, 흐름은, 다음과 같이 됩니다.

1. 범인이 게시물을 올린 사이트의 관리자(트위터 사)에게 ‘불법적인 게시물이 올라온 때의 IP 주소’ & ‘해당 계정의 로그인 시의 IP 주소’의 공개를 요구한다.
2. ‘불법적인 게시물이 올라온 때의 IP 주소’는 원래 로그에 저장되어 있지 않으므로, 트위터 사는, ‘해당 계정의 로그인 시의 IP 주소‘(만)를 공개한다. IP 주소가 알려지면 프로바이더가 확인된다.
3. 해당 프로바이더에게, ‘불법적인 게시물의 전후 로그인이 이루어진 년월일시분에해당 IP 주소가 할당되어 있던 계약자의 주소와 성명’의 공개를 요구한다.

문제는, 위의 3이 인정되는지 여부, 라는 것입니다. 1부분은 보통의 이야기이므로, 여기는 노하우가 있는 법률 사무소라면 일반적인 명예훼손 대응 관련 소송과 마찬가지로 가능하며, 우리 사무소에도, 예를 들어 다음과 같은 실적이 있습니다.

https://monolith.law/reputation/instagram-spoofing[ja]

‘로그인한 사람’ ≒ ‘게시한 사람’

상식적으로 생각하면, 3의

• 로그인이 이루어진 년월일시분에 해당 IP 주소가 할당되어 있던 계약자
• 불법적인 트윗을 한 때의 회선의 계약자

는, 일치할 가능성이, 극히 높다고 할 수 있습니다. 트위터 등의 서비스는, 로그인을 하지 않으면 게시물을 올릴 수 없으며, 보통, 어떤 계정을 사용하는 위탁자는 한 사람이기 때문입니다. 그러나, 법률 조문에는, 위의 ※와 같은 기록이 되어 있으며, 문제의 로그인 시의 로그가, ‘침해에 관련된’ 로그라고 할 수 있는지가 문제가 되는 것입니다.

그리고 실제 문제로서도, 트위터·페이스북·인스타그램은, 위에서 언급한 것처럼, 원래 게시물을 올린 때의 IP 주소의 로그를 기록하고 있지 않으므로, ‘로그인 시의 로그는, 침해에 관련된 로그라고 할 수 없다’고 말하면, 위의 3의 주소와 성명 공개가 불가능해지고, 어떤 불법적인 게시물을 올리더라도, 범인을 식별하는 것이 불가능해지는 것입니다.

법원에 따라 주소와 성명 공개가 인정되는지 여부가 다르다

각 법원은 독립적으로 판단을 내린다

먼저 현재 시점에서의 결론을 말하자면, 이 문제에 대해 도쿄 고등법원과 지식재산고등법원은 다른(이라고 해석할 수 있는) 판단을 내렸습니다.

일반적으로, 재판에서는 예를 들어, 어떤 문제에 대해 도쿄 지방법원과 오사카 지방법원이 다른 판단을 내리는 경우가 있습니다. 판사들은 각각 독립적으로 문제를 검토하기 때문에, 판단이 갈리는 것은 당연한 일입니다. 이런 경우, 2심, 3심으로 진행하면서, 결국에는 최고법원이 의견을 제시하고, 그것이 ‘판례’가 됩니다.

법원은 일반적으로, 자신보다 직접적으로 위에 있는 법원의 판단을 따릅니다. 따라서 예를 들어, 도쿄 지방법원은 도쿄 고등법원의 판단을 따르고, 최고법원을 제외한 모든 법원은 최고법원의 판단을 따르므로, 최고법원의 판단은 사실상, 그 후 모든 법원이 따르는 규칙, ‘판례’가 됩니다.

일반 사건과 지식재산관련 사건의 처리

더욱 복잡한 것은, 도쿄의 법원은 크게,

• 일반 사건의 경우: 도쿄 지방법원(일반 사건을 다루는 부서)→도쿄 고등법원→최고법원
• 지식재산권 사건의 경우: 도쿄 지방법원의 지식재산부→지식재산고등법원→최고법원

이라는 두 가지 체계가 있습니다. 일반 사건과 지식재산권 사건은, 2심까지 가도 다른 고등법원에서 다루어집니다. 그리고 이 결과,

같은 도쿄의 법원이라도, 도쿄 고등법원과 지식재산고등법원에서 판단이 갈리는 경우가 있고, 이 경우, 1심에서도, 일반 사건을 다루는 부서와 지식재산부에서, 마찬가지로 판단이 갈릴 수 있다

라는 현상이 발생할 수 있습니다.

…이야기가 복잡해서 어쩔 수 없이 서론이 길어졌지만, ‘로그인 시의 IP 주소’라는 문제에 대해, 도쿄 고등법원과 지식재산고등법원은 각각 다음과 같은 판단을 내렸습니다.

도쿄 고등법원, 주소와 성명 공개를 긍정적으로 판단

헤이세이 29년(2017년)의 ‘가장’ 사건

도쿄 고등법원은 트위터 상에서의 소위 ‘가장’ 사건, 성명권과 초상권 침해 사건에 대해 아래와 같은 판결을 내렸습니다.

①트위터의 구조는 설정된 계정에 로그인하고(로그인 정보의 전송), 로그인된 상태에서 게시하는(침해 정보의 전송) 것이며(변론의 전체 취지), 침해 정보의 전송에 로그인 정보의 전송이 필수적이며, ②법 제4조 제1항은 ‘침해 정보의 발신자 정보’를 규정하는 것이 아니라 ‘권리 침해에 관한 발신자 정보’를 다소 넓게 규정하고 있으므로, 침해 정보 자체에서 파악되는 발신자 정보뿐만 아니라, 침해 정보에 대해 파악되는 발신자 정보도 공개할 수 있다고 해석될 수 있습니다. 따라서, 로그인 정보를 전송할 때 파악되는 발신자 정보도 법 제4조 제1항에서 정한 ‘권리 침해에 관한 발신자 정보’에 해당할 수 있다고 볼 수 있습니다.

도쿄 고등법원 헤이세이 29년(2017년) (네) 5572호

조금 이해하기 어렵지만, 요컨대,

• 트위터의 구조상, 로그인하지 않으면 게시할 수 없다
• 법률의 조문 상, 반드시 ‘게시 시’로 한정하고 있는 것은 아니며, ‘침해에 관한’은 다소 넓은 규정이다

따라서, 로그인 시의 IP 주소만 공개된 경우에도, 인터넷 서비스 제공자는 주소와 성명을 공개해야 한다는 판결입니다.

소위 ‘가장’이 왜 불법인지에 대해서는 아래 기사에서 자세히 설명하고 있습니다.

https://monolith.law/reputation/spoofing-dentityright[ja]

로그인을 수행한 사람과 게시자가 다를 가능성에 대해

물론, 추상적으로는 ‘로그인을 수행한 사람’과 ‘게시를 수행한 사람’이 다를 가능성이 있지만, 이 문제에 대해 동 판결은,

피항소인이 보유하고 있는 본 사건 IP 주소 등은 본 사건 계정에 로그인한 때의 IP 주소 및 타임스탬프의 일부에 불과하며, 본 사건 IP 주소 외에도 상당수, 본 사건 계정에 로그인한 때의 IP 주소 및 타임스탬프가 존재하는 것이 인정된다.
그러나 일반적으로, 동일인이 여러 프로바이더로부터 IP 주소를 할당받으면서 1년 이상 동일 계정에 로그인을 계속하는 것은 드문 일이 아니다. 그리고 위에서 언급한 바와 같이, 트위터의 구조는 설정된 계정에 로그인하고(로그인 정보의 전송), 로그인된 상태에서 게시하는(침해 정보의 전송) 것이므로, 시간적인 선후 관계에 관계없이, 로그인한 사람과 게시자는 동일할 가능성이 높다는 것이 인정되는 한편, 본 사건 계정은, (중략) 항소인 본인을 가장한 본 사건 프로필 등을 톱 페이지에 계속 표시하면서, 트윗을 비공개로 사용되어 온 것으로, 법인이 영업용으로 사용하거나 여러 명이 계정을 공유하거나, 계정 위탁자가 변경되었다거나, 위의 동일성을 방해하는 등의 사정은 전혀 인정되지 않는다.

도쿄 고등법원 헤이세이 29년(2017년) (네) 5572호

라고 말하고 있습니다. 간단히 요약하면,

• 해당 계정이 다양한 프로바이더의 IP 주소에서 로그인되고 있다 해도, 동일인이 여러 회선(예: 집 회선, 회사 회선, 스마트폰 회선, 여행지 호텔 회선 등)에서 사용하는 것은 드문 일이 아니다
• 법인이 영업용으로 사용하는 계정이거나, 계정 위탁자가 변경되었다는 등의 고려해야 할 사정도 없어 보인다

이상의 이유로, 위와 같은 추상적인 가능성으로 공개를 부정할 필요는 없다는 판단입니다.

지식재산고등법원, 주소 및 성명 공개를 부인하다

헤이세이 28년(2016년) 사진 무단 게시 사건

이에 대해, 지식재산고등법원은 Instagram에서의 사진 무단 게시(저작권 침해) 사건에 대해 다음과 같은 판결을 내렸습니다.

프로바이더 책임 제한법 제4조 제1항은 (중략) 정하고 있으므로, 조례 제4호의 ‘침해 정보에 관한 IP 주소’에는 해당 침해 정보의 발신과 관련이 없는 것은 포함되지 않으며, 또한, 해당 침해 정보의 발신과 무관한 타임스탬프는 같은 제7호의 ‘침해 정보가 전송된 연월일 및 시각’에 해당하지 않는다고 해석하는 것이 적절하다.

지식재산고등법원 헤이세이 28년(2016년) (네) 10101호

간단히 말하면, ‘침해에 관한’이라는 것은, 문장을 그대로 읽으면 ‘불법적인 게시가 이루어진 때의’라는 의미이며, 로그인 시의 IP 주소를 기반으로 주소 및 성명 공개를 인정할 수 없다는 판단입니다.

‘주소 및 성명 공개 불가’라는 결론은 부당한가?

그러나 실제로, 이렇게 판단되면, 게시 시의 IP 주소 로그를 저장하지 않는 서비스, 즉 Twitter·Facebook·Instagram에서는 대체로 주소 및 성명 공개가 불가능하다는 결론이 됩니다. 이 사건에서 원고측은 이러한 주장을 했지만, 이 문제에 대해 지식재산고등법원은 다음과 같이 말하고 있습니다.

(법률)은, 발신자가 가지고 있는 프라이버시와 표현의 자유, 통신의 비밀 등의 권리·이익과 권리를 침해당한 자의 손해배상 등의 피해 복구의 이익을 조정하기 위해 설정된 규정이며, 프로바이더 책임 제한법은 그 범위에서 발신자 정보의 공개를 요구하는 권리를 인정하고 있다. 그리고, (중략) 프로바이더 책임 제한법 제4조 및 조례에서 공개를 요구하는 권리가 인정되고 있는 것 중에, 최신 로그인 시 IP 주소 및 이에 대한 타임스탬프는 포함되어 있지 않다. 또한, 항소인이 주장하는 헌법의 규정이나 이들의 취지를 고려하더라도, 항소인에게, 법률에 규정되어 있지 않은 발신자 정보의 공개를 요구하는 권리가 있다고 해석할 수도 없다. 따라서, 항소인의 주장은, 입법론에 머무를 뿐이며, 부당하다.

지식재산고등법원 헤이세이 28년(2016년) (네) 10101호

간단히 요약하면,

• Twitter·Facebook·Instagram 등에서 게시를 하는 사람에게는, 프라이버시와 표현의 자유, 통신의 비밀 등의 권리·이익이 있다
• 그러한 게시로 인해 권리 침해를 당한 피해자에게도, 삭제를 요구하거나 손해배상 등의 피해 복구의 이익이 있다

이므로, 이들을 조정하기 위해 설정된 것이 프로바이더 책임 제한법 상의 발신자 정보 공개 청구권이며, 법률을 변경하든 변경하지 않든, ‘법률의 문장을 비틀어서라도 공개를 인정하자’는 해석은 불가능하다는 논의입니다.

참고로, 이해하기 어렵지만, ‘주소 및 성명 공개가 인정되지 않는다’ 해도, 저작권 침해가 불법인 것은 당연합니다. 따라서, 삭제라면, 요구할 수 있습니다.

https://monolith.law/reputation/copyright-infringement-on-instagram[ja]

최고법원의 판결은 없으며, 최근 사건들에서 판단이 갈리고 있다

이 문제에 대해, 최고법원은 아직 판단을 내리지 않았습니다. 그리고 위에서 언급한 것처럼, 비교적 최근인 헤이세이 28년(2016년), 29년(2017년)에 도쿄 고등법원과 지식재산고등법원이 다르게 판단을 내렸기 때문에, 헤이세이 30년(2018년) 이후 1심에서도 판단이 갈리고 있습니다.

헤이세이 30년(2018년) 오사카 사건은 정보 공개를 인정

일반적으로, 기업이나 각종 단체 등이 트위터 계정을 보유하고, 이를 이용해 그들의 활동 등에 관한 기사를 게시하는 경우, 해당 단체 또는 그룹에 속한 여러 사람들이 동일한 계정에서 게시를 하거나, 여러 사람들이 동시에 동일한 계정에 로그인하는 상황이 쉽게 상상될 수 있다.
그러나, (계정명이나 위탁자명보다) 본 사건의 계정이 어떤 그룹이나 단체의 소유 또는 이용에 관련된 것으로 보기는 어렵다.
또한, 본 사건에서 문제가 되고 있는 게시물의 내용의 연속성을 고려하면, 여러 사람들이 각각 이러한 게시물을 게시한 것으로 보기는 어렵다. 그 외에도, 본 사건의 계정을 여러 사람들이 공동으로 이용하여 게시를 한 것이나, 본 사건의 계정에 여러 사람들이 동시에 로그인한 적이 있었다는 것을 알 수 있는 구체적인 사정은 찾아볼 수 없다.

오사카 지방법원 헤이세이 30년(2018년) (와) 1917호

오사카 지방법원은 위와 같이, “동일인이 사용하고 있는 (것처럼 보이는) 계정이라면, 로그인 시 IP 주소를 통해서라도 주소와 성명 공개를 인정해야 한다”는 판단을 내렸습니다.

레이와 2년(2020년) 도쿄 지방법원 지식재산부는 정보 공개를 인정하지 않는 판단

(법률)의 문장은, 그 문맥에서 보아, 침해자 자신의 정보를 대상으로 하는 것이 명백하며 (중략), 또한, 본 사건의 각 게시 행위를 한 사람 외의 IP 주소에 관한 주소, 성명 등의 개인 정보를 공개하게 되면, 그 사람의 통신 비밀이나 프라이버시를 부당하게 침해하는 결과를 초래할 것을 고려하면, 규정 문장의 문맥을 초월하여, 피해자의 정당한 권리 행사의 가능성을 확보해야 할 필요성으로부터 곧바로 위의 해석을 도출하는 것은 무리가 있다고 말해야 한다.

도쿄 지방법원 레이와 원년(2019년) (와) 제14446호

도쿄 지방법원의 지식재산부는, 인스타그램에서의 사진 무단 게시(저작권 침해) 사건에서, 위와 같이, “동일인이 사용하고 있는 (것처럼 보이는) 계정인지 아닌지”라는 판단은 하지 않고, 법률 조문의 문장을 우선시하였습니다.

적어도 도쿄의 법원에서는,

• 지식재산부 외의 일반 민사부에서는, 법률의 문장에 반드시 구속되지 않고, 로그인 시 IP 주소를 통해서라도 주소와 성명 공개를 인정할 가능성을 고려하면서 판단을 내리고 있다
• 지식재산부는, 법률의 문장을 우선시하고, 로그인 시 IP 주소의 경우 주소와 성명 공개를 인정하지 않는 방향성으로 검토를 진행하고 있다

라는 경향이 있다고 말할 수 있습니다.

요약

특정 불가능한 상태는 명백히 부당하다

이 판단이 계속되면, Twitter, Facebook, Instagram 등 게시물 작성 시 IP 주소 로그를 보유하지 않고 로그인 시 IP 주소만 로그 저장되는 서비스의 경우, 도쿄 지방법원 지식재산부와 지식재산고등법원에서는 주소와 성명 공개를 받을 수 없을 가능성이 높다고 말할 수 있습니다. 또한, 이 문제에 대해, 최고법원은 상고를 받아들인 경우가 없어, 언제 최고법원의 판단을 청구할 수 있는지도 불투명한 상태입니다.

Twitter, Facebook, Instagram에서는, 아무리 저작권(또는 지식재산권)을 침해당해도, 게시자를 특정하는 것이 불가능하다는 결론은, 명백히 부당하다고 할 수 있습니다. 이 글은 결코 이러한 사이트에서의 저작권 침해를 권장하는 취지가 아니지만, 하지만 실제로, 이러한 사건을 많이 다루는 법률사무소로서, Twitter, Facebook, Instagram에서의 저작권(등) 침해의 가해자를 어떻게 특정해야 하는지는, 현재로서는 명확한 답이 없는 문제라고 말할 수밖에 없습니다.

일단 추상적으로는, 아래의 가능성이 있습니다.

형사 절차의 가능성

로그인 시 IP 주소의 공개를 받을 수 있다면, 프로바이더는 알려져 있는 것이므로, 저작권 침해를 고소하고, 경찰에 해당 프로바이더에 대한 수사를 요청하는 것이 가능해 보입니다. 위의 프로바이더 책임 제한법은, 결국 민사적인 방법으로 프로바이더로부터 주소와 성명 공개를 받기 위한 것이며, 경찰은 그 수사권을 가지고 프로바이더로부터 로그 공개를 요구할 수 있습니다.

그러나,

• 저작권 침해 사건 등에서 일본 경찰이 어디까지 진지하게 수사를 해줄 것인지
• 민사 수준에서도 ‘로그인한 사람과 게시자가 같다고 말할 수 없다’고 판단되고 있는 이상, 형사 재판에서도 같은 판단이 될 가능성이 있음(이 결과로 경찰도 사건 처리나 수사를 꺼리는 경향이 있을 것이라는 우려)

와 같은 우려가 있습니다.

법률 개정의 가능성

현재의 프로바이더 책임 제한법은,

• 원칙적으로, 피해자가 가해자의 정보 공개를 청구하는 권리는, 헌법이나 민법상으로는 없음
• 프로바이더 책임 제한법은, 위의 원칙에 대한 예외이며, 예외적으로 ‘어떤 경우’에서의 공개를 인정하는 것

이라는 구조로 만들어진 법률이며, 그 ‘어떤 경우’가 너무 좁은 것이 문제의 본질입니다. 법률이 개정되는 것이 가장 근본적인 해결책이지만, 그러나, 법률 개정은 실제로 간단하지 않습니다.