GDPR 이후 UDRP 불만 제기 : 상표 소유권자를 위한 가이드

과거에는 상표 소유권자와 그 대리인은 DNS를 남용하는 등록자와 사이버스쿼터에 대한 정보를 수집하기 위해 등록자 데이터에 대한 이 대량 액세스에 크게 의존했습니다.  GDPR이 등록자 데이터에 액세스하는 데 부과한 새로운 제한은 상표 소유권자가 UDRP 도메인 이름 소유자 (respondent)를 대신하여 정당한 이익의 부재 또는 악의의 존재를 입증하기 위해 새로운 기준을 따르도록 강제하는 위험이 따릅니다.

GDPR 이후에도 UDRP를 제출하기 위한 조건은 변함이 없지만, 불만 제기자가 행정 패널의 결정 기준을 충족할 수 있는 능력은 GDPR 이후에 상당히 손상될 위험이 있습니다.  관련 당사자를 위해 GDPR 이후 UDRP 프로세스를 명확히 하기 위한 노력의 일환으로, 세계 지식 재산 기구(WIPO)는 이 문제에 대한 비공식 Q&A 에서 가장 관련성 있는 문제를 다루었습니다.

공개적으로 이용 가능한 WHOIS 데이터에는 더 이상 도메인 등록자 식별자(등록자 이름 및 도메인의 관리, 청구 및 기술 관련 연락처 등)가 포함되지 않을 수 있지만 WIPO는 상표 소유권자가 공개적으로 접근 가능한 WHOIS에 제공된 등록자 세부 정보 데이터 세트 결과 (예: '개인 정보 삭제됨')를 표시하여 분쟁 도메인 소유자에 대해 UDRP 프로세스를 시작할 수 있다고 밝혔습니다.  이는 등록자 데이터가 프록시 및 개인 정보 보호 서비스로 보호되는 경우(Tencent Technology (Shenzhen) Co.Ltd v. Super Privacy Service, WIPO Case No. D2018-0391 참조) 이전에 요구되었던 것과 다르지 않습니다.

Q&A 시점에는 적용에 대한 접근 방식이 아직 조율되지 않았습니다.  일부 등록 기관은 개인 사업체, 즉 개인의 이름을 사용하는 상업적 운영의 가능한 문제를 고려하여 '조직' 데이터 필드와 관련하여 제한된 액세스를 적용할 수도 있다고 밝혔습니다.  마찬가지로 유럽 연합(EU)에 사업장이 없는 등록 기관은 모든 등록에 대해 WHOIS 데이터에 반드시 편집을 적용하지 않을 수 있습니다.  대신 해당 등록 기관은 EU에 있는 자연인과 관련하여 WHOIS 데이터만 편집할 수 있습니다.

피고인의 신원이 개인정보 보호 서비스에 의해 보호되는 경우와 마찬가지로, UDRP 불만이 제기되면 ICANN 인증 등록 기관은 이론적으로 관심 있는 UDRP 공급자에게 전체 등록 데이터를 제공해야 합니다.  GDPR에 대한 여러 논평에 따르면, 등록 기관을 대신한 데이터 공개는 이 맥락에서 제6.1조(f) - 합법적 이익과 제6.1조(b) - 계약 이행에 의해 모두 합법적입니다.

UDRP 제공자가 등록기관으로부터 피고인의 정보를 받으면, 이를 불만 제기자에게 전송하여 피고인에 대한 새로 받은 정보로 원래 불만을 수정할 수 있게 합니다.  그러나 GDPR과 관련하여 ICANN의 등록기관 인증 계약(RAA)의 부적절성으로 인해 등록기관이 UDRP 제공자에게 필요한 데이터 세트를 제공하는 것을 거부하거나 데이터 공개에 동의하기 전에 해당 사건에 대한 추가 정보를 요청할 위험도 있었습니다.

법적 관점에서 피고인을 대신하여 정당한 이익의 부재를 입증하는 것은 상표 소유권자에게는 그 자체로 상당한 도전이 될 수 있습니다[1].  그러한 입증 책임은 등록인의 신원을 알지 못하면 거의 충족될 수 없습니다.

이런 경우, WIPO는 일반적인 답변을 제공하지 않고 사례별로 해결책을 찾을 것을 옹호하는 입장이며, 등록 기관이 RAA를 준수하도록 ICANN에 도움을 요청할 가능성도 함께 옹호합니다.  그러나 후자의 해결책은 성공을 보장하지 못하며, 이는 독일 법원이 ICANN v. EPAG Domainservices, GmbH (EU 사법 재판소에 예비 참조가 계류 중임)에서 내린 결정에서 시사됩니다.

또는 중앙 청산소(clearinghouse)가 없고 ICANN이 준수 모델을 구현하기를 기다리는 경우 상표 소유권자는 도메인 이름 등록 기관에 직접 연락하여 IP를 침해하는 주체의 등록 데이터를 부분적으로 공개해 달라고 요청할 수 있습니다.  이 맥락에서 등록 기관의 데이터 공개는 GDPR 제6.1조(f)에 따라 정당성을 인정받을 수 있으며, 한편으로는 불만 제기인의 등록 데이터를 획득하려는 정당한 이익과 다른 한편으로는 데이터 주체의 데이터를 보호하려는 기본적 권리와 이익 사이에서 적절한 균형 잡힌 조치를 취해야 합니다.

후자가 불만 제기인의 정당한 이익보다 우선하지 않는 경우에만 등록 기관은 데이터 공개를 허가할 자격이 있습니다.  정당한 것으로 간주되려면 불만 제기인의 이익은 반드시 합법적이어야 하고, 정의되고 현재의 이익을 나타내야 하며, 데이터 주체의 데이터 보호 권리에 대해 효과적으로 균형을 이룰 수 있을 만큼 충분히 구체적이고 명확해야 합니다.  개별 등록 기관이 평가를 수행할 때 고려해야 할 요소들은 조화를 이루지 않았지만 WIPO는 상표 소유권자 또는 그 대리인이 다음을 (지시적으로) 제공할 수 있어야 한다고 밝혔습니다: 관련 도메인 이름; 상표 소유권자의 세부 정보; 요청된 정보(즉, 등록자 이름); 정보 접근을 위해 주장 되는 정당한 이익을 설명하는 진술(이 경우 IP 권리의 집행); 관련 상표에 대한 정보; 요청된 개인 데이터가 GDPR의 허용 범위 내에서 주장된 정당한 이익을 위해서만 보관되고 사용된다는 증명서.

균형 잡힌 수행에 필요한 임시 프로세스와 필요한 수준의 전문성 및 질의 수로 인해 여러 등록 기관은 등록자 데이터 공개를 신청할 때 수수료 지불을 요구합니다.  등록 정보에 액세스하는 데 있어 이러한 경제적 부담의 정당성은 GDPR의 목적에 비추어 볼 때 확실히 의문이 제기될 수 있습니다.  이는 EU 내에서 개인 데이터의 자유로운 이동을 크게 방해하기 때문입니다.

GDPR에 따라 개인정보가 보호되는 피고에 대해 UDRP 절차를 시작하면 분쟁의 예비 단계에 있는 상표 소유권자에게 추가 비용이 발생할 수 있습니다.  앞서 언급했듯이, 알려지지 않은 피고에 대해 UDRP를 제기하면 UDRP 4(a)항에 따라 분쟁 도메인 이름에 대한 피고의 권리 또는 정당한 이익이 없음을 평가하고 입증하는 원고의 능력이 상당히 제한됩니다.

RAA 준수 등록기관이 제공한 정보로 인해 UDRP 불만이 철회되는 경우(예: 등록자가 상표 소유권자의 공인 라이센스 소지자로 판명되는 경우), WIPO(그리고 다른 UDRP 제공업체 없음)는 환불 가능성을 제공합니다.

통합과 관련하여 WIPO는 등록인 정보가 없는 경우 행정 패널이 공동 컨트롤 (common control)의 다른 지표에 점점 더 집중할 것을 제안했습니다.  등록인 데이터가 없는 경우 유사한 명명 패턴, 템플릿 및 텍스트 사용과 같은 다른 모호하지 않은 식별자를 식별하는 것이 상표 소유권자가 여러 남용 도메인에 대한 공동 컨트롤을 입증하기 위한 기본 요구 사항이 되었습니다.

분쟁 도메인에 대한 등록자의 신원을 파악할 수 없다는 사실은 UDRP 제4항(a)에 따라 원고가 피고의 악의를 입증할 가능성을 훼손할 위험이 있습니다( Carlsberg A/S v. Xu Guo Xing , WIPO 사건 번호 D2017-0301 ).

도메인 이름 등록 또는 사용에 대한 악의를 입증할 수 있는 조건의 대략적인 목록을 포함하는 UDRP의 단락 4(b)에 따라, 도메인 등록자 (respondent)를 대신한 부당한 도메인 이름 등록 패턴은 부당한 행위의 증거가 됩니다.  WIPO는 2017년 "Jurisprudential Overview 3.0"에서 UDRP 행정 패널이 응답자가 이전에 최소 2회 이상 부당한 도메인 등록을 한 경우 "상표 소유자가 도메인 이름에 상표를 반영하지 못하도록 하는 행동 패턴"으로 간주한다고 확정한 방식을 특히 강조했습니다.

GDPR의 시행과 그에 따른 WHOIS 질의에 대한 응답으로 표시되는 데이터 세트에서 도메인 이름 등록자 데이터가 제거됨에 따라 상표 소유권자는 등록자가 그러한 예방적 공개에 동의하지 않는 경우 UDRP를 제출하기 전에 행정 패널의 아카이브에서 이름 기반 검색을 통해 남용적 행동 패턴을 확인할 수 없게 되었지만, 관련 등록자가 등록자의 데이터를 UDRP 제공자에게 제공하기로 동의한 후에야 원래 불만 사항을 수정할 수 있습니다.  WIPO는 UDRP 절차의 전반적인 기능(따라서 GDPR 제6.1조(b)에 따라 RAA 계약의 이행)에 필요한 경우 UDRP 제4항(J)에 따라 분쟁 당사자 이름을 공개하도록 보장했습니다.

그럼에도 불구하고 UDRP 프로세스 관련 당사자 중 누구라도 의도적으로 개인 정보 삭제를 요청함으로써 GDPR 이후 시스템의 운영성을 보장하려는 WIPO의 노력에 반하는 일이 발생할 수 있습니다.  GDPR과 개인 데이터 삭제 문제에 대한 제29조 실무자 (Working Party) 지침에서 제시한 기준, 특히 대중과의 관련성 기준은 이러한 삭제 요청을 거의 뒷받침하지 않으며, 특히 등록자가 부당한 등록을 수행한 것으로 밝혀진 경우에는 더욱 그렇습니다.

ICANN의 IP Constituency의 일원으로서, 도메인 이름 관리 혁신 센터인 Thomsen Trampedach는 UDRP 프로세스, 등록 기관의 책임, 온라인 IP 침해에 대한 효과적인 조사 및 집행에 미치는 영향을 포함하여 모든 측면에서 WHOIS 서비스 디렉토리의 개인 정보 보호 규정에 대한 진행 중인 논의 사항을 따릅니다.  자세한 정보와 추가 지원은 당사 팀에 문의하세요 .

[1] Questel은 어떠한 법률 서비스도 제공하지 않습니다. 법률 서비스는 귀사와 귀사가 원하는 경우 파트너 IP 로펌 간의 별도 계약에 따라 독립적인 IP 변호사가 제공합니다.