[법무법인 민후 원준성 변호사] 2022년 4월 20일 개정 「부정경쟁방지 및 영업비밀보호에 관한 법률」(이하 ‘부정경쟁방지법’)이 시행되고 1년 반이라는 시간이 지났다. 위 개정법의 핵심 개정사항은 데이터 부정사용 행위 및 퍼블리시티권 침해행위를 부정경쟁행위로 규정한 것인데(카목 및 타목 부정경쟁행위), 아직 사례와 판례가 누적되지 않고 있다 보니 이에 대한 문의가 적지 않다. 이에 본 지면을 통해 데이터의 범위가 무엇인지를 중심으로 (카)목 부정경쟁행위의 요건을 간략히 소개하고자 한다.

(카)목 부정경쟁행위는 “데이터를 부정하게 사용하는 행위”를 금지하는데, 여기서 정의하고 있는 ‘데이터’는 ① 「데이터 산업진흥 및 이용촉진에 관한 기본법」 제2조제1호에 따른 데이터 중 ② 업(業)으로서 ③ 특정인 또는 특정 다수에게 제공되는 것으로, ④ 전자적 방법으로 ⑤ 상당량 축적·관리되고 있으며, ⑥ 비밀로서 관리되고 있지 아니한 ⑦ 기술상 또는 영업상의 정보라는 요소를 갖춘 것이어야 한다. 이러한 7개의 표지를 충족하면 본 규정의 데이터로서 보호받을 수 있다.

1. 데이터산업법에 따른 데이터

데이터산업법에 따른 데이터란 “다양한 부가가치 창출을 위하여 관찰, 실험, 조사, 수집 등으로 취득하거나 정보시스템 및 「소프트웨어 진흥법」 제2조제1호에 따른 소프트웨어 등을 통하여 생성된 것으로서 광(光) 또는 전자적 방식으로 처리될 수 있는 자료 또는 정보”를 뜻하는데(데이터산업법 제2조 제1호), 여기서는 ‘전자적 방식으로 처리될 수 있는 경제적 가치를 가지는 자료’ 정도로 이해하면 될 것으로 보인다.

2. 업(業)으로서 제공

유사사례의 법원 판시에 비추어, 영업을 위해 반복적이고 계속적 의사로 하는 행위라면 업으로서 행하는 것이라 평가될 수 있을 것이다. 따라서 반복적이고 계속적 의사 아래 행한 행위인 이상 1회의 제공도 이에 포함될 수 있다.

3. 특정인 또는 특정 다수에게 제공

사실 이 개념이 (카)목 부정경쟁행위의 핵심이라고 할 수 있다. (카)목 부정경쟁행위의 규정은 일본의 부정경쟁방지법(2018년 개정법률)을 참조한 것으로 평가된다. 일본의 부정경쟁방지법은 “한정제공데이터”를 보호하려는 취지의 규정인데, 여기서 한정제공데이터란 ‘특정인에게 제공하는 정보’임을 전제로 한다. 여기서 특정인이란 1인이든 다수이든 상관 없다(우리 부정경쟁방지법은 이를 분명히 하기 위해 “특정인 혹은 특정 다수”로 표현한 것으로 보인다). 이를 바꿔 말하면 불특정 다수인에게 제공되는 정보, 즉 누구나 접근할 수 있는 공개된 정보는 보호대상이 아니라는 뜻으로 볼 수 있다.

오늘날은 4차산업혁명, 인공지능 등 디지털시대로서, 그 근간인 데이터의 중요성이 날로 커지고 있고 빅데이터를 활용하여 경제적 부가가치가 창출되고 있다. 대규모 데이터들은 기업에게 있어 주요한 경제적 자산임에도 불구하고 무형자산의 특성상 공개와 복제의 위험에 항상 노출되어 있다. 그럼에도 이를 보호할만한 마땅한 방안이 없어 이를 보호하기 위해 도입된 것이 (카)목 부정경쟁행위 규정이다.

다만 공개되어 있는 모든 데이터를 특정인의 권리로서 독점시키는 것은 시대에 역행하는 일이기도 하고, 데이터산업의 발전을 저해하는 결과를 초래할 수도 있을 것이다. 이에 부정경쟁방지법은 제공 대상이 특정 범위로 한정되어 있는 데이터, 즉 ‘한정제공데이터’를 보호대상으로 규정한 것으로 보인다.

여기서의 특정인 또는 특정 다수에 해당되는 예시로는, 회비를 지불하면 누구라도 제공 받게 되는 데이터에 관하여 회비를 지불하고 제공은 자, 자격을 갖춘 자만이 참가하는 데이터를 공유하는 컨소시엄에 참가하는 자를 꼽아볼 수 있을 것이다. 반면 웹사이트에 방문한 자와 같이 사실상 불특정 다수인과 달리 볼 바 없는 경우나, 공중이 무상 이용할 수 있는 데이터(오픈데이터)에 접근한 자는 이에 해당할 수 없다.

4. 전자적 방법으로 관리

전자적 관리성 요건은 그 데이터가 ‘특정인 또는 특정 다수’에 한정해서만 제공된다는 것을 외부의 제3자가 알 수 있도록 관리될 것을 의미한다고 이해된다.

따라서 ID⋅패스워드(Something You Know), IC카드⋅특정단말기⋅토큰(Something You Have), 생체정보(Something You Are), 전용회선(専用回線)에 의한 전송 등이 전자적 방법으로 관리되는 경우의 예시로 볼 수 있을 것이다.

5. 상당량 축적

부정경쟁방지법은 상당량에 대한 구체적 기준을 제시하고 있지 않으나, 전자적 방법에 의해 상당량 축적됨으로써 거래대상이 되거나 부가가치를 창출하는 등 경제적인 가치를 갖게 되는 경우를 의미한다고 볼 수 있을 것이다.

6. 비밀로서 관리되지 않음

영업비밀 보호규정과 중복 보호되는 것을 피하기 위함이다. 따라서 객관적으로 그 정보가 비밀로 유지·관리되고 있는 사실이 인식 가능한 상태에 있는 정보는 (카)목 부정경쟁행위의 보호대상이 될 수 없다.

7. 기술상 또는 영업상의 정보

널리 기술상 또는 영업상 활용되거나 활용될 수 있는 정보이면 여기에 해당한다고 볼 수 있을 것이다. 영업비밀 정의규정에서의 '기술상 또는 경영상의 정보'와 표현의 차이는 있지만 의미가 다른 것으로 보이지는 않는다.

이상의 7가지 표지를 갖춘 데이터는 본 조의 데이터로서 (카)목 부정경쟁행위의 보호대상이 된다. 이러한 데이터에 대하여 1) 접근권한이 없는 자가 부정한 수단으로 데이터를 취득·사용·공개하는 행위, 2) 접근권한 있더라도 부정한 이익을 얻거나 데이터 보유자에게 손해를 입힐 목적으로 그 데이터를 사용·공개·제공하는 행위, 3) 위 사실을 알고 데이터를 취득·사용·공개하는 행위, 4) 정당한 권한 없이 데이터의 보호를 위하여 적용한 기술적 보호조치를 무력화하는 기술·서비스·장치 등을 제공하는 등의 행위는 금지된다.

(카)목 부정경쟁행위가 성립하는 가상의 사례는, 특정분야의 플랫폼 사업을 운영하는 A社가 그 플랫폼 사업을 위하여 오랜 기간 상당량 축적한 전자정보들을 그 플랫폼을 이용하는 회원들을 대상으로 이를 제공하고, 스마트폰 앱에 ID와 패스워드를 입력해 로그인하여야만 회원이 그 정보를 받을 수 있도록 전자적으로 관리하는 경우를 예로 들 수 있을 것이다. 그 데이터는 A社의 회원에게만 제공되는 한정제공데이터로서 (카)목 부정경쟁행위에서 보호하는 데이터에 해당한다고 볼 수 있는 것이다. 따라서 접근권한 없는 B가 A社의 위 데이터를 부정한 수단으로 취득하거나 사용·공개한다면 이는 본조 위반인 행위라고 평가된다.

아직 (카)목 부정경쟁행위에 대한 법원의 판단사례가 집적되지 않고 있는 만큼, 기업으로서는 위 규정의 의미를 미리 파악해 두어 권리보호 및 리스크 방지에 만반을 기하여야 할 것이다.

<원준성 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>