한국저작권위원회

[EU] 저작권 침해범죄의 소추와 IP주소 보관 및 제공

 - CJEU Judgement of 30 April 2024, Case C-470/21-

독일 막스플랑크 국제형법연구소 연구원, 법학박사

박희영

온라인에서 저작권 침해가 발생한 경우 침해자의 통신사실확인자료, 특히 IP주소는 침해자의 신상을 확인하기 중요한 수단이 된다. 일반적으로 저작권 침해범죄의 경우 수사기관은 이 IP주소를 이용하여 침해자를 추적할 수 있고 인터넷 서비스 제공자(Internet service provider; ISP)를 통해서 저작권 침해 당시 이 IP주소를 할당받은 자가 누구인지 확인할 수 있기 때문이다. 이처럼 수사기관이 IP주소를 이용하려면 이것이 사전에 ’보관‘되어 있어야 한다.

유럽연합은 2006년 4월 8일 IP주소를 포함한 통신사실확인자료를 최대 2년 동안 범죄혐의와 상관없이(=이유없이) 무차별적으로(예를 들어 일반범죄와 중범죄의 구분 없이) 사전에 보관하는 것을 허용하는 소위 ’통신데이터 보관지침(Data Retention Directive)‘(2006/24/EC)을 제정하였다. 그러나 유럽사법재판소는 2014년 4월 8일 이 지침을 무효로 판결하였다. 그 후 사법재판소는 이 지침을 국내법으로 이행한 회원국의 법 규정들이 EU법, 특히 전자프라이버시지침(2002/58/EC)과 양립할 수 있는지 다루게 되었으나, 최근까지 유럽연합 내에서 범죄수사를 위해서 IP주소를 포함한 통신사실확인자료를 이유없이 무차별적으로 사전에 보관하는 것을 허용하지 않았다.

그러나 사법재판소는 지난 4월 30일 전원합의체 판결을 통하여 통신사실확인자료 중 IP주소를 사전에 보관하는 길을 열었다. 사법재판소가 이번에 다룬 사건은 인터넷에서 행해지는 저작권 또는 저작인접권의 침해에 대한 보호기관인 프랑스 아도피(HADOPI)의 개인정보 처리에 관한 것이다. 이 글은 프랑스 법원에서 문제가 된 사안과 사법재판소의 입장변화를 소개한다.

(1) 프랑스 법원의 절차

프랑스 최고 행정법원인 국사원(Conseil d'État)은 유럽사법재판소에 유럽 연합 기본권 헌장(이하 '헌장')을 고려한 전자프라이버시지침의 해석에 관하여 선결 재판을 제청하였다. 국사원이 다룬 사건은 4개의 시민권 단체와 프랑스 국무총리 및 문화부 장관 사이의 법적 분쟁이다. 이 법적 분쟁은 ‘지식재산권법 제L.331-29조에 의해서 허용되는 ”인터넷에서 저작물 보호 조치 관리 시스템“이라는 개인정보의 자동처리에 관한 2010년 3월 5일 법령 제2010-236호’(Décret no 2010-236)의 적법성에 관한 것이다.

프랑스 총리가 법령 제2010-236호의 무효에 관한 원고들의 신청을 거부하자, 원고들은 2019년 8월 12일 국사원에 이러한 거부 결정을 무효로 해 달라는 소송을 제기했다. 원고들은 이 명령의 법적 근거인 지식재산권법 제L.331-21조 제3항 내지 제5항은, 프랑스 헌법에 명시된 사생활 존중권과 EU법, 특히 전자프라이버시지침 제15조(통신비밀제한)와 헌장 제7조(사생활존중), 제8조(개인정보보호), 제11조(표현의 자유), 제52조(적용범위)에 위배된다고 주장하였다.

지식재산권법 제L.331-21조는 HADOPI의 구성과 직무에 관한 규정이다. 특히 HADOPI는 전기통신사업자가 보관하고 있는 통신사실확인자료 및 그 사본을 확보할 수 있고(동조 제3항 및 제4항), 특히 온라인서비스에서 보호 저작물을 위법하게 이용한 가입자의 신상, 우편주소, 이메일주소, 전화번호를 전기통신사업자에게 요청할 수 있다(제5항). 국사원은 원고의 헌법 위반 주장에 대해서 프랑스 헌법위원회(Conseil constitutionnel)에 합헌성 여부를 제청했다. 이에 대해 헌법위원회는 2020년 5월 20일 결정에서 지식재산권법 제L.331-21조 제3항과 제4항은 위헌으로, 제L.331-21조 제5항은 그 안에 포함된 "특히"라는 단어를 제외하고 합헌으로 판시했다.

본안소송의 원고들은 EU법 위반과 관련하여 특히 명령 제2010-236호와 이의 법적 근거가 되는 조항들이 법관 또는 독립성과 공정성을 보장하는 기관(즉 독립 행정 기관)의 사전 통제 없이 인터넷에서 행해진 중대하지 않은 저작권 침해에 대한 접속데이터에 대한 접근을 비례성에 반하여 허용하고 있다고 주장하였다. 특히 이러한 저작권 침해 행위는 사법재판소의 2016년 12월 21일 판결에서 의미하는 '중대한 범죄'에 해당하지 않는다고 하였다. 하지만 국사원은 원고들의 이러한 주장과 다른 입장을 취하고 있다. 그리하여 국사원은 소송 절차를 중단하고 다음 질문을 선결재판으로 제청하였다:

(2) 선결 제청 내용

국사원은 다음 세 가지 질문을 사법재판소에 제청하고 있다. 첫째, IP주소가 귀속되는 자의 개인정보는 기본적으로 법원이나 독립 행정 기관의 사전 통제를 받아야 하는 트래픽 데이터 또는 위치 데이터인가. 둘째, 연락처 정보를 포함한 사용자의 신상과 관련된 데이터는 그다지 민감하지 않다는 점을 고려하면, 전자프라이버시지침은 헌장을 고려하여 사용자의 IP주소와 관련한 데이터를 법원이나 독립 행정 기관의 사전 통제 없이 기관이 수집하게 하는 국내 규정을 배제하는 것으로 해석해야 하는가. 셋째, 개인정보가 민감하지 않다는 점, 개인정보만 수집될 수 있고, 국내법에서 명확하고 최종적이고 제한적으로 규정된 의무 위반을 방지하기 위한 목적으로만 수집될 수 있다는 점, 법원 또는 독립 행정 기관을 통한 각 개별 사용자의 데이터에 대한 접근을 체계적으로 통제하는 것은 독립적으로 수집하는 기관이 위탁받은 공공 업무의 수행을 위태롭게 할 수 있다는 점을 고려한다면, 이러한 통제가 자동 통제와 같은 조정 절차를 통해서 수행되고, 경우에 따라서 수집을 담당하는 직원에게 독립성과 공정성을 보장하는 기관의 감독하에 수행되는 것은 지침 전자프라이버시지침에 위배되는가.

유럽사법재판소는 프랑스 국사원이 제기한 문제를 네 가지로 구분하여 판결하고 있다. 그 이전에 프랑스 본안 절차에서 문제가 된 HADOPI의 개인정보 처리와 관련하여 설명하고 있다.

(1) HADOPI의 개인정보 처리

독립 행정 기관인 HADOPI의 직무는 지식재산권법 제L.331-13조에 따라 공중 온라인 통신서비스를 제공하는 데 사용되는 전자 통신 네트워크에서 저작권 또는 저작인접권에 의해 보호되는 저작물 및 저작인접물을 이러한 권리의 침해로부터 보호하는 것이다.

첫번째로, HADOPI의 사전 처리는 권리보유자 단체의 대리인이 수행하는데, 이는 두 단계로 진행된다. 첫째 단계에서는 저작권 또는 저작인접권이 침해될 수 있는 활동에 사용된 것으로 보이는 P2P 네트워크에서 IP주소가 수집된다. 둘째 단계에서는 다양한 개인정보가 프로토콜(보고서) 형태로 HADOPI에 제공된다. 명령 제2010/236호 부록 제1호 목록에 따르면, 침해 날짜 및 시간, 가담자의 IP주소, 사용된 P2P 프로토콜, 가담자가 사용한 가명, 침해과 관련된 저작물 또는 저작인접물에 대한 정보, 가담자의 컴퓨터에 있는 파일 이름(해당하는 경우), 가입된 인터넷 서비스 제공자 또는 기술적 자원인 IP를 제공한 인터넷 서비스 제공자 등이 있다.

두번째, 후속 처리는 HADOPI의 요청에 따라 인터넷 서비스 제공자가 수행하는데, 여기서도 두 단계로 진행된다. 첫째 단계에서는 사전 처리에서 수집된 IP주소가 이 주소의 보유자와 일치하는지 확인한다. 둘째 단계에서는 본질적으로 IP주소 보유자의 신상에 관한 개인정보 셋이 HADOPI에 제공된다. 명령 제2010/236 부록 제2호 목록에 따르면, 여기에는 기본적으로 성명, 우편 주소 및 이메일 주소, 전화번호 등이 포함된다.

두번째 후속 처리와 관련하여, 지식재산권법 제L331-21조 제5항은 HADOPI 권리보호위원회의 위원과 그 의장이 승인한 선서한 직원은 전자 통신 서비스 제공자로부터 – 필요한 경우 - 권리보유자의 동의 없이 보호 저작물 또는 보호 대상의 복제, 상영, 공중이용제공 또는 공중송신을 목적으로 공중 온라인 통신 서비스에 대한 접근을 이용한 가담자의 신상, 우편 주소, 이메일 주소 및 전화번호를 확보할 수 있다고 규정하고 있다.

이러한 다양한 개인 데이터 처리는 HADOPI가 지식재산권법 제L.331-25조에 규정된 '단계적 대응'의 행정 절차와 관련하여 마련된 조치를 취할 수 있도록 한 것이다.

HADOPI는 처음에는 경고에 해당하는 '권고'를 보낸다. 그런 다음 HADOPI 권리보호 위원회가 두번째 권고를 보낸 후 1년 이내에 위반 행위가 반복될 수 있는 침해구성요건을 다루게 되는 경우, 최대 1,500유로 또는 반복 위반의 경우 3,000유로의 위경죄(contravention)에 처할 수 있는 중과실(지식재산권법 제R.335-5조)이 존재할 수 있다는 것을 가담자에게 통보한다(지식재산권법 제R.331-40조). 마지막으로, 상담 후 검찰은 그러한 위경죄 또는 경우에 따라서 3년의 자유형(自由刑, peine privative de liberte)과 30만 유로의 벌금형에 처해지는 저작권 침해의 경죄(le délit de contrefaçon)(지식재산권법 제L.335-2조 또는 제L.335-4조)에 해당할 수 있는 침해구성요건을 다룬다.

하지만 국사원이 제청한 질문은 두 번째 후속처리(IP주소와 권리보유자의 개인정보를 일치시키는 처리)와 관련되고, 첫 번째 사전처리는 해당되지 않는다. 그러나 해당 권리보유자 단체의 IP주소의 사전 수집이 EU법과 양립할 수 없는 경우, EU 법은 전자 통신 서비스 제공자의 후속 처리에서도 이러한 데이터의 사용을 금지할 수 있다. 이와 관련하여 IP주소는 전자프라이버시지침에서 의미하는 트래픽 데이터(=통신사실확인자료)일 뿐 아니라, EU 일반 데이터 보호 규칙(General Data Protection Regulation, GDPR)에서 의미하는 개인정보임에 유의해야 한다. 그러나 권리보유자 단체의 대리인이 모든 사람이 알 수 있는 공개 IP주소를 수집하는 것은 전자프라이버시지침의 범위에 속하지 않는다. 그러한 처리는 이 지침 제3조에서 의미하는 ‘전자 통신 서비스 제공과 관련하여’ 수행되지 않기 때문이다.

IP주소와 권리보유자의 개인정보를 일치시키는 두 번째 후속처리는 전자프라이버시지침의 적용 범위에 해당한다. 지식재산권법 제L.331-21조에 따라 전자 통신 서비스 제공자가 이 데이터를 수집하는 경우 전자프라이버시지침 제3조에서 의미하는 '전자 통신 서비스 제공과 관련하여' 행해지기 때문이다.

(2) 개인정보와 IP주소의 보관 요건

HADOPI와 같은 기관이 이미 보유하고 있는 IP주소와 관련된 개인정보에 대한 접근과 관련하여 기본권 헌장 제7조, 제8조 및 제11조에 규정된 기본권 제한은 전자프라이버시지침 제15조 제1항에 따라 정당화될 수 있는지 여부이다. 이러한 개인 데이터에 대한 접근은 전자프라이버시지침에 따라 사전에 보관되어 있는 경우에만 허용될 수 있다.

이러한 점에서 사법재판소는 이미 다음과 같이 판시한 바 있다: ”IP주소는 특정한 통신과 독립하여 생성되며 주로 전자 통신 서비스 제공자를 통해 인터넷에서 통신이 이루어지는 단말 장비의 보유자를 식별하는 역할을 한다. 이메일 및 인터넷 전화 영역에는 통신 수신자의 주소가 아닌 통신 출처의 IP주소만 저장되므로 이러한 주소는 통신을 시작한 사람이 접촉한 제3자에 대한 어떠한 정보도 제공하지 않는다. 따라서 이러한 범주의 데이터는 다른 트래픽 데이터보다 민감성의 정도가 낮다“.

따라서 전자프라이버시지침 제15조 제1항에서 의미하는 법규정을 통해서 전자 통신 서비스 제공자에게 부과된 IP주소를 일반적이고 무차별적으로 보관하게 한 의무는 사안에 따라서 일반 범죄에 대응할 목적을 통해서도 정당화될 수 있다. 다만, 이러한 보관은, 특히 이러한 IP주소를 제공자가 보관하고 있는 트래픽 데이터 및 위치 데이터 셋와 연결함으로써 당사자를 정확하게 추론할 가능성이 있어서 당사자의 사생활에 중대한 침해가 될 수 있다는 것이 실제로 불가능해야 한다.

당사자의 사생활을 정확하게 추론할 수 있게 하는 이러한 데이터의 결합이 불가능하도록 하기 위해서, 보관 방법은 보관 자체의 구조와 관련되어야 하며, 이 구조는 본질적으로 다양한 범주의 보관데이터와 효과적으로 엄격하게 분리되도록 설계되어야 한다. 이와 관련하여, 일반 범죄의 대응과 관련된 목적을 달성하기 위해 전자 통신 서비스 제공자에게 일반적이고 무차별적인 IP주소 보관 의무를 부과하고자 하는 회원국은 법규정에서 보관 방법에 대한 명확하고 정확한 규정을 마련해야 하며, 이는 엄격한 요건을 충족해야 한다.

사법재판소는 이러한 방법을 제시하고 있다. 첫째, 이와 관련한 국내 법규정은 신원 확인 데이터 및 IP주소를 포함한 개별 범주의 데이터는 다른 범주의 보관 데이터와 완전히 분리되어 저장되도록 보장해야 한다. 둘째, 이러한 법규정은, 안전하고 신뢰할 수 있는 컴퓨터 시스템(데이터처리시설)을 통해서 다양한 범주의 보관데이터, 특히 개인정보, IP주소, IP주소 이외의 다양한 트래픽 데이터 및 위치 데이터 사이에 효과적이고 엄격한 분리가 기술적 관점에서 이루어지도록 보장해야 한다. 셋째, 국내 법규정이 보관된 IP주소를 당사자의 신상과 연결할 수 있는 가능성을 규정하고 있는 한, 이 법규정은, 헌장 제7조, 제8조 및 제11조에 비추어 전자프라이버시지침 제15조 제1항의 요건에 따라, 이러한 범주의 데이터를 엄격하게 분리하는 효과를 훼손하지 않는 효과적인 기술적 절차를 사용하는 경우에만 그러한 연결을 허용해야 한다. 넷째, 이러한 엄격한 분리의 신뢰성은 전자 통신 서비스 제공자가 보관하고 있는 개인 데이터에 접근하려는 기관이 아닌 다른 기관의 통제를 정기적으로 받아야 한다.

(3) 개인정보와 관련된 IP주소의 접근 요건

전자 통신 서비스 제공자가 저장한 개인정보가 발생한 통신에 관한 정보와 연결될 수 없는 경우 이러한 데이터에 대한 기관의 접근은, 전체적으로 보면 이 데이터와 관련되는 자의 사생활에 대한 정확한 추론을 할 수 없으므로, 기본권 헌장 제7조와 제8조에 규정된 기본권의 중대한 침해와 관련이 없는 한, 이러한 접근은 일반 범죄의 예방, 수사, 확인 및 소추의 목적으로 정당화될 수 있다.

본 사안의 경우, 첫째, 본안 소송에서 문제가 된 국내 규정에 따르면 HADOPI는 '트래픽 또는 위치 데이터 셋'에 접근할 수 없으므로, 기본적으로 관련자의 사생활에 대해 정확한 추론을 도출할 수 없음이 분명하다. 그러나 그러한 추론을 허용하지 않는 접근은 헌장 제7조 및 제8조에 의해 보장되는 기본권에 대한 중대한 침해에 해당하지 않는다.

또한 국내 규정은 전자프라이버시지침에 따라 보관되는 IP주소가 특정 IP주소가 할당된 사람을 식별하는 데에만 사용될 수 있도록 명확하고 정확한 규정을 마련해야 하며, 하나 이상의 IP주소를 통해 그 사람의 온라인 활동을 감시할 수 있는 사용은 배제되어야 한다. 따라서 IP주소가 보유자의 연락처나 위치를 찾는 등의 목적이 아니라, 형사 소추를 야기할 수 있는 특정한 행정절차와 관련하여 그 보유자를 식별하는 데만 사용되는 경우, 이러한 목적만을 위한 IP주소에 대한 접근은 트래픽 데이터가 아니라 개인정보의 성격을 가진다.

따라서 그러한 법규정을 마련하는 경우, 일반 범죄에 대처하기 위한 목적으로 보관된 IP주소에 대한 접근은 그러한 범죄에 가담한 것으로 의심되는 사람을 식별하기 위한 목적으로만 사용되는 경우 전자프라이버시지침 제15조 제1항에 따라 정당화될 수 있다.

(4) 법원 또는 독립 행정 기관의 사전 통제

IP주소와 관련한 개인정보에 대한 기관의 접근에 법원 또는 독립 행정 기관의 사전 통제를 받아야 하는지 의문이 제기된다. 사법재판소는 그동안 실질적으로 그 접근이 절대적으로 필요한 경우로 제한하기 위해 회원국이 마련해야 하는 조건을 완전히 준수하기 위해서, 유럽사법재판소는 트래픽 및 위치 데이터에 대한 관할 국내 기관의 접근은 법원 또는 독립 행정 기관의 사전 통제를 받는 것은 '필수적'이라고 판단했다. 이러한 사전 통제는 첫째, 법원 또는 그 권한을 위임받은 독립 행정 기관이 상충하는 다양한 정당한 이익과 권리를 조정하는 데 필요한 모든 권한과 보장을 갖추고 있다는 것을 전제로 한다. 특히 범죄 수사의 경우, 이러한 통제를 위해서는 법원 또는 독립 행정 기관이 범죄 대응과 관련하여 수사의 필요성에서 비롯되는 정당한 이익과 사생활 존중 및 개인정보에 접근하는 사람의 개인정보 보호에 대한 기본권 사이에 공정한 균형을 유지할 수 있어야 한다.

둘째, 법원이 아닌 독립 행정 기관이 통제를 수행하는 경우, 이 행정기관은 외부의 영향을 받지 않고 객관적이고 공정하게 업무를 수행할 수 있는 지위를 가져야 한다. 따라서 사전 통제를 위탁받은 기관이 독립적이어야 한다는 요건은 데이터 접근을 요청하는 기관이 아닌 다른 기관이어야 하며, 이 기관이 외부의 영향으로부터 보호받으며 객관적이고 공정하게 통제권을 행사할 수 있는 위치에 있어야 한다는 것을 의미한다. 형사법 분야에서 독립성 요건은 특히 사전 통제를 위임받은 기관이 첫째 해당 수사 과정에 관여하지 않고, 둘째 형사 절차 당사자에 대해 중립적인 위치에 있어야 함을 의미한다.

셋째, 전자프라이버시지침 제15조 제1항에서 요구하는 독립적 통제는 단시간 내에 통제를 수행해야 하는 정당하게 긴급한 경우를 제외하고는 해당 데이터에 접근하기 전에 수행되어야 한다.

이와 반대로, 공공 기관의 개인정보 접근과 관련된 기본권 침해가 중대한 것으로 분류할 수 없는 경우에는 이러한 사전 통제의 요건이 존재하지 않는다. 전자 통신 수단 사용자의 개인정보에 대한 접근이 해당 데이터를 통신에 관한 정보와 연결할 수 없고 오로지 해당 사용자를 식별하는 데만 사용되는 경우, 사법재판소의 판례에 따르면 이러한 데이터의 처리와 관련된 침해는 기본적으로 중대한 것으로 분류될 수 없기 때문이다 따라서 이러한 요건을 갖춘 IP주소의 보관 규정이 도입된다면, 보관된 IP주소와 관련된 개인정보에 대한 공공 기관의 접근은 기본적으로 법원 또는 독립 행정 기관의 사전 통제 요건이 적용되지 않는다.

그러나 사전통제는 어떠한 경우에도 완전히 자동화될 수 없다. 왜냐하면 범죄 수사의 경우 사전 통제는, 범죄에 대한 대응이라는 점에서 수사의 필요성에서 비롯되는 정당한 이익과 사생활 존중 및 개인정보에 접근하는 사람의 개인정보 보호에 대한 기본권 사이에서 법원 또는 독립 행정 기관은 공정한 균형을 잡을 수 있어야 하기 때문이다.

(5) 법원 또는 독립 행정 기관의 사전 통제

개인데이터에 대한 접근을 허용하는 법규정은, 접근에 적용되는 실체적 및 절차적 조건이 충족되어야 하고, 데이터에 대한 남용적 또는 무권한 접근 및 이의 남용적 또는 무권한 사용의 위험으로부터 당사자를 보호할 수 있는 효과적인 안전장치를 마련하는 명확하고 정확한 규칙을 포함하고 있는 경우에만, 지침 제15조 제1항에 명시된 비례성 요건을 충족할 수 있다.

이러한 안전장치를 마련할 필요성은 개인 데이터가 자동화된 수단으로 처리되는 경우 더욱 중요하다. 이러한 자동화된 처리로 인해 많은 오류가 발생할 수 있으며, 특히 제3자가 악의적이거나 불법적인 목적으로 대량의 개인정보를 남용할 위험이 있으므로 공공 기관이 사용하는 데이터 처리 시스템은 이 기관과 관련된 제3자인 독립 기관이 법규정에 따라 정기적으로 감독하는 것이 중요하다. 그 감독은 남용 위험, 해당 데이터에 대한 무단 접근 및 사용, 반복되는 경우 중과실 또는 저작권 침해로서 분류될 수 있는 침해행위를 감지하는 시스템의 효과와 신뢰성을 포함하여 시스템이 보장하는 효과적인 안전장치를 포함하여 시스템의 무결성을 검토해야 한다.

마지막으로, 단계적 대응 절차와 관련하여 HADOPI가 수행하는 것과 같은 공공 기관의 개인정보 처리는 지침 2016/680에 규정된 특정한 데이터 보호 규정을 준수해야 하며, 이 지침 제1조에 따르면 공공 안전에 대한 보호 및 위협 방지를 포함하여 범죄의 예방, 수사, 확인 또는 기소 또는 형집행의 목적으로 관할 기관의 개인정보 처리와 관련하여 자연인 보호에 관한 규칙이 명시되어 있다.

본 사안에서 HADOPI가 해당 국내법에 따라 자체적인 의사 결정 권한이 없더라도, 단계적 대응 절차와 관련하여 개인 데이터를 처리할 때 그리고 문제가 되는 구성요건이 형사소추될 수 있음을 관계자에게 권고하거나 통지하는 등의 조치를 명할 때는 중과실로 범해지는 위경죄 또는 저작권 침해의 경죄로서 범죄의 예방 및 수사와 관련된 지침 2016/680 제3조에서 의미하는 ‘공공기관’으로 분류될 수 있고 지침 2016/680 제1조에 정의된 적용 범위에 포함한다.

유럽사법재판소는 2014년 4월 8일 통신사실확인자료를 최대 2년 동안 범죄혐의와 상관없이 무차별적으로 사전에 보관하는 것을 허용한 통신데이터 보관지침‘(2006/24/EC)이 EU법에 양립할 수 없다고 판결하였다. 하지만 이 지침을 이행한 회원국의 법규정들이 자동으로 무효가 되는 것은 아니었다. 전자프라이버시지침 제15조도 통신사실확인자료를 보관할 수 있는 가능성을 열어두고 있었기 때문이다. 통신데이터 보관지침과 전자프라이버시지침은 특별법과 일반법의 관계에 있었다. 그리하여 회원국은 통신데이터 보관지침이 전자프라이버시지침과 양립할 수 있는지에 대해 선결재판을 제청하였다. 하지만 유럽사법재판소는 지금까지 제기된 모든 선결재판제청의 원인이 된 국내 법규정들이 EU법과 양립할 수 없다고 판결하였다. 사법재판소는 유럽연합 내에서 통신사실확인자료를 ’이유없이 무차별적으로‘ 사전에 보관하는 것을 허용하지 않았기 때문이다.

그러나 유럽사법재판소는 이번 전원합의체 판결을 통하여 통신사실확인자료 중 IP주소에 한해서 사전에 보관하는 길을 열었다. 이것은 IP주소의 경우 다른 통신사실확인자료와 달리 사전에 보관하더라도 당사자의 기본권을 중대하게 침해하지 않는다는 IP주소의 이중적 성격에 기인하고 있다. 그럼에도 불구하고 IP주소는 그 자체로도 당사자의 프로필을 생성할 수 있을 뿐 아니라 다른 통신사실확인자료와 결합하는 경우 중대한 기본권 침해가 될 수 있으므로 사법재판소는 회원국이 IP주소의 보관 및 접근에 관한 법규정을 도입할 때 준수해야 할 다양한 기준들을 구체적으로 제시하고 있다. 사법재판소가 제시한 기준들은 회원국이 이와 관련한 입법을 마련하는데 중요한 지침이 될 수 있다.

우리 통신비밀보호법은 저작권 침해죄를 포함한 범죄에 대해서 일반범죄이든 중범죄이든 구분없이 통신사실확인자료의 보관 및 제공을 허용하고 있으므로 사법재판소가 제시한 보관 및 접근 요건들은 비교법적 관점에서 시사하는 바가 크다.

➢ CJEU Judgement of 30 April 2024, Case C-470/21, ECLI:EU:C:2024:370.
(https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62021CJ0470)

➢ Roßnagel, EuGH: Datenschutzrecht: EuGH lockert Voraussetzungen zur Vorratsdatenspeicherung, EuZW 2024, 665-666.

➢ Hartl/ Vogel, EuGH: Lockerung der Voraussetzungen zur Vorratsdatenspeicherung, NJW 2024, 2099, 2106-2107.

➢ Eifinger, Vorratsdatenspeicherung zur Bekämpfung von Urheberrechtsverletzungen zulässig, GRUR-Prax 2024, 433.