스마트폰, 스마트워치와 같은 디지털콘텐츠나 디지털서비스가 결합된 제품(이하 ‘디지털제품’이라 한다)의 보안 허점이 담보책임법상 하자에 해당하는지와 그에 따른 효과가 문제 된다. 이 글은 디지털제품의 보안 허점이 어떤 경우에 매매법상의 하자로 분류되어야 하는지, 담보책임의 틀 내에서 매도인의 의무는 무엇인지에 관하여 유럽연합(EU)의 새로운 관련 입법지침과 이를 구현하기 위한 독일 연방정부의 민법개정안(이하 ‘민법개정안’이라 한다) 및 현행 독일 민법과 비교하면서 이들 문제가 어떻게 취급되어야 하는지를 살펴보았다. 그 요지는 다음과 같다.
소프트웨어의 보안 허점으로 인해 디지털제품에 하자가 발생할 수 있다. 위험이전 후에 보안 허점이 드러났다고 하여 그 자체로 물건 하자를 인정할 수 없는 것은 아니다. 1999년의 EU 소비재매매지침을 구현한 현행 독일 민법에 따르면 디지털제품의 하자는 일차적으로 당사자가 합의한 성상의 유무에 의해 가려져야 하고, 그러한 합의가 없다면 통상적으로 기대되는 바에 따라 가려져야 한다. 우리 민법은 물건 하자의 판단 기준과 하자 판단의 기준시기에 관해 침묵하고 있지만, 현행 독일 민법 및 그 해석론과 실체적으로 유사하게 취급할 수 있을 것이다. 즉, ① 위험이전 시 합의된 성상을 가진 물건은 하자가 없다. 만일 성상이 합의되지 않았다면 ② 계약상 전제된 용도에 적합한지 또는 ③ 물건이 통상의 용도에 적합하고 또 동종의 물건에 일반적이며 매수인이 물건의 성질상 기대할 수 있는 성상을 가지는지를 확인해야 한다.
최근 제정된 물품매매지침으로 인해 이제부터 EU에서 활동하는 사업자는 특약의 존부와 무관하게 ‘계약적합성의 유지’에 필요한 경우 소비자에 대해 ‘업데이트’에 관한 정보를 제공하고 소비자가 업데이트를 받을 수 있도록 조치를 취해야 한다. 이것은 디지털 환경의 잦은 변화에 디지털제품을 적응시키고 보안 허점을 제거하여 계약적합성을 유지하기 위한 것이라는 점에 의의가 있다. 사업자의 업데이트 제공의무는 계속적 제공은 물론 일회적 제공의 경우에도 적용된다. 업데이트 제공은 계속적 제공인지 일회적 제공인지 또는 일련의 개별적 제공인지에 따라 취급이 달라진다. 먼저 계속적 제공의 경우, 업데이트는 계약이 존속하는 동안 이루어져야 한다. 다음으로 일회적 제공이나 일련의 개별적 제공의 경우, 소비자가 디지털제품의 성질이나 목적을 비롯해 계약을 둘러싼 사정이나 계약의 성질을 감안했을 때 합리적으로 기대할 수 있는 기간 동안 업데이트가 이루어져야 한다. 따라서 사업자의 업데이트 제공의무는 담보책임기간으로 한정되지 않는다. 하자 판단의 기준시기로서의 위험이전 시는 전통적인 아날로그 제품에 대해서는 타당하지만, ‘디지털’ 제품에 대해서는 그러하지 않다. 디지털 영역의 끊임없이 변화하는 기술 발전과 소프트웨어의 불완전성 및 기존의 아날로그 제품과 달리 디지털제품에서는 사업자가 인터넷을 통해 원격으로 업데이트를 제공할 수 있어 사업자의 영역을 완전히 벗어나지 않는다는 점을 고려할 때, 디지털제품의 일회성 제공 및 위험이전만으로 사업자의 급부의무가 종료되어서는 안 된다. 오히려 디지털제품이 일정 기간 계약에 적합하도록 요구하는 것(계약상 약정된 것보다 성능이 개선된 업그레이드를 요구하는 것이 아니다!)이 거래 현실에 한층 더 부합하는 해결책이라고 하겠다. 지금까지 업데이트의 제공은 법률적 근거 없이 당사자의 특약을 기반으로 이루어져 왔고, 그러한 특약이 없는 경우 소비자의 업데이트 청구는 인정될 수 없었다. 물품매매지침이 디지털제품의 공급자에게 위험이전 후의 업데이트 제공의무를 부과한 것은 바로 이 점에 착안한 것으로 여러모로 선구적인 의미가 있다고 할 수 있다.
그런데 물품매매지침과 이를 독일 국내법으로 구현하기 위한 민법개정안은 계약적합성을 위한 주관적 요구사항과 객관적 요구사항을 동등한 순위로 취급한다. 그래서 이제부터 EU에서 디지털제품은 주관적 요구사항 외에도 객관적 요구사항까지 충족되어야 하자가 없는 것이 된다. 그러나 이러한 취급은 허다한 문제점을 내포하고 있어 우리 법이 입법론적·해석론적 모델로 삼기에 곤란하다. 사적 자치의 원칙을 존중하고 혁신을 저해하지 않기 위하여 객관적 하자 개념은 주관적 하자 개념에 대해 보충성을 가져야 한다. 디지털콘텐츠나 디지털서비스와 같은 역동적인 제품에 대한 객관적 요구사항은 법적 안정성과 함께 사전에 결정하기 쉽지 않다는 점도 고려되어야 한다. 객관적 요구사항의 특약에 의한 배제를 가중된 요건 아래에서만 가능케 하는 조항도 우리 민법에 도입되어서는 안 될 것이다. 이 규칙은 기껏해야 소비자계약과 관련하여서만 그것도 온라인으로 거래가 이루어지는 디지털제품에만 적용될 수 있을 뿐만 아니라 그 타당성도 극히 의문시된다. 그 밖에 물품매매지침은 몇 가지 주요 사항에 관하여 규율하지 않았거나 모호하게 규율하였지만, 우리의 입법에서는 명확히 규율하는 것이 바람직하다.
Die Digitalisierung hat inzwischen fast alle Bereiche unseres Lebens erreicht. Der Grad der Vernetzung steigt. Gleichzeitig nehmen potenzielle Risiken und Gefahren, die sich aus Sicherheitslücken ergeben können, zu. Immer häufiger werden digitiale Produkte von Schadsoftware angegriffen. Ermöglicht werden diese Attacken meist durch Sicherheitslücken in der verwendeten Software. Die vertragsrechtliche Einordnung von Sicherheitslücken und die sich daraus ergebenden Konsequenzen sind nach wie vor umstritten. Nach dem Gewährleistungsrecht im koreanischen Bürgerlichen Gesetzbuch (KBGB) stellt sich die Frage, ob sich eine solche Sicherheitslücke als ein Mangel der Software behandeln lässt. Der Autor stellt dar, wann Sicherheitslücken in Software kaufrechtlich als Mangel zu qualifizieren sind, welche Pflichten Verkäufer im Rahmen der Mängelhaftung treffen und wie diese Fragen zukünftig unter Berücksichtigung neuer europäischer Richtlinien zu beantworten sein werden.
Sicherheitslücken können Produkte mangelhaft machen. Die Vertragsmäßigkeit der Kaufsache mit digitale Elementen bestimmt sich in EU künftig sowohl durch subjektive als auch objektive Anforderungen gleichermaßen. Eine Abweichung von den objektiven Anforderungen, die durch die vernünftige Verbrauchererwartung zu bestimmen ist, ist nur noch möglich, wenn der Verbraucher „ausdrücklich und gesondert zugestimmt hat“. Das „Kennen“ eines Mangels als Ausschlussgrund für die Gewährleistung wird damit ganz erheblich beschränkt. Entscheidend für das koranisches Recht ist jedoch m.E., was die Parteien vereinbaren, ansonsten was üblich und erwartbar ist. Damit das Vertragsrecht die technologischen Entwicklungen erfassen kann, die sich im schnellen Wandel der Merkmale digitaler Inhalte widerspiegeln, genügt es, wenn die digitalen Inhalte in erster Linie dem vertraglich Vereinbarten entsprechen. Der subjektive Mangelbegriff erfüllt diese Voraussetzungen besonders gut, weil sich das vertragliche Haftungsregime auf die Eigenkomplexität der technischen und wirtschaftlichen Funktionssysteme einstellen kann. Das Erfordernis eines qualifizierten Abbedingens von objektiven Anforderungen im Sinne des Art. 7 Abs. 5 WKRL sollte nicht ins KBGB übernommen werden.