⚖법률 가이드2026년 4월 20일·blogPost.legalAspectsReviewsUsEu.readTime min read

온라인 리뷰의 법적 환경: 2026년 미국 대 EU

FTC 규정, GDPR 의무, 디지털 서비스법(DSA)에 대한 실용적인 분석과 모든 사업주가 리뷰를 관리하기 전에 알아야 할 모든 것.

두 개의 관할권. 하나의 문제. 허위 리뷰, 비판 억제, 강요된 추천글, 그리고 유료 추천을 둘러싼 법적 회색지대는 대서양 양쪽의 규제 당국이 조치를 취하도록 만들었습니다. 그리고 그들은 매우 다른 방식으로 대응했습니다. 귀하의 비즈니스가 온라인 리뷰를 수집, 표시 또는 응답한다면, 이제 여러분은 겹겹이 쌓인 법률의 복잡한 조합 하에서 운영되고 있는 것입니다. 이로 인해 미국에서는 FTC 위반 건당 $51,744의 벌금부터 EU에서는 최대 2천만 유로 또는 전 세계 연간 매출의 4%에 달하는 GDPR 벌금에 노출될 수 있습니다. 이 가이드는 과장이나 단순화 없이 그 법적 지형도를 그려, 여러분이 정확히 어디에 선이 그어져 있는지 알 수 있도록 합니다.

미국의 리뷰 관련법은 단일 법규가 아닙니다. 이는 연방 규정, 2016년 소비자 권리법, 그리고 규제 당국에 수년간 부족했던 처벌 권한을 마침내 부여한 2024년 FTC 규칙 제정이 계층적으로 결합된 시스템입니다.

2016년의 소비자 리뷰 공정성법(Consumer Review Fairness Act, CRFA)은 최초의 주요 연방 개입이었습니다. 2016년 12월 14일 오바마 대통령이 서명한 이 법은 소비자가 리뷰에 대한 지적 재산권을 제한, 처벌 또는 양도하도록 요구하는 모든 비협상적 형식 계약 조항을 무효화했습니다. 쉽게 말해, 서비스 약관에 "부정적인 리뷰를 남기지 않는 데 동의합니다"라고 명시되어 있다면, 그 조항은 효력이 없으며 FTC가 귀사를 상대로 조치를 취할 수 있습니다.

하지만 CRFA에는 허점이 있었습니다. 소비자의 리뷰 작성 권리는 보호했지만, 허위 리뷰에 대해 민사 벌금을 부과할 권한을 FTC에 부여하지는 않았습니다. 이는 2024년 8월에 바뀌었습니다.

FTC의 2024년 소비자 리뷰 및 추천에 관한 규칙

2024년 10월 21일부터 발효된 FTC의 소비자 리뷰 및 추천에 관한 최종 규칙(16 CFR Part 465)은 미국 역사상 가장 포괄적인 리뷰 규정입니다. 이 규칙은 6가지 핵심 금지 사항을 설정하고, 각각에 대해 위반 건당 $51,744의 민사 벌금을 부과합니다.

금지된 6가지 행위는 다음과 같습니다: (1) 존재하지 않는 사람이나 실제 제품 경험이 없는 사람에 의한 허위 리뷰 생성 또는 배포; (2) 특정 감정 표현을 조건으로 리뷰를 구매 또는 판매하는 행위; (3) 중요한 관계를 공개하지 않고 내부자 리뷰를 게시하는 행위; (4) 투명한 공개 없이 가족이나 직원의 리뷰를 요청하는 행위; (5) 근거 없는 법적 위협, 협박 또는 허위 고발을 통해 부정적인 리뷰를 억제하는 행위; (6) 영향력을 허위로 표시하기 위해 가짜 소셜 미디어 참여를 구매하는 행위.

이 규칙은 AI 생성 리뷰를 명시적으로 포함합니다. 이는 상투적인 문구가 아니었습니다. FTC는 대규모 언어 모델을 통해 수천 개의 그럴듯한 허위 리뷰를 생성하는 데 드는 한계 비용이 거의 0에 가까워졌음을 인식하고 그에 따라 조치했습니다. 2025년 12월 22일, FTC는 첫 집행 단계로 10개 회사에 경고 서한을 발송했으며, 이는 유예 기간이 끝났다는 신호입니다.

Sunday Riley 선례

2024년 규칙이 존재하기 전, FTC의 가장 대표적인 사례는 Sunday Riley Modern Skincare였습니다. 2015년에서 2017년 사이, 이 회사는 CEO의 명시적인 지시에 따라 직원들이 가짜 Sephora 계정을 만들고, VPN을 사용하여 신원을 위장하고, 별 5개 리뷰를 남기도록 했습니다. 한 내부 고발자가 내부 이메일을 유출했습니다. FTC는 2020년에 합의했지만, 논란의 여지가 있게도 금전적 처벌을 부과하지 않아, 이를 "악의적인 허위 리뷰 사기"라고 비판한 Chopra와 Slaughter 위원의 반대 의견을 불러일으켰습니다. 2024년 규칙은 그 허점을 막았습니다. 오늘날 동일한 행위는 수백만 달러의 벌금을 물게 될 것입니다.

유럽 연합의 접근 방식은 미국 모델과 구조적으로 다릅니다. 리뷰에 대한 단일 규칙 대신, EU는 상호 작용하는 세 가지 별도의 법적 수단을 가지고 있습니다: GDPR은 리뷰 데이터가 처리되는 방식을 규율하고, 옴니버스 지침(UCPD를 통해 시행)은 리뷰가 제시되고 검증되는 방식을 규율하며, 디지털 서비스법은 플랫폼이 대규모 허위 리뷰에 대해 무엇을 해야 하는지를 규율합니다.

어떤 법이 어떤 주체에게 적용되는지 이해하는 것이 첫 번째 단계입니다. GDPR은 EU 거주자의 개인 데이터를 처리하는 모든 조직에 적용되며, 여기에는 리뷰에 포함된 데이터도 포함됩니다. UCPD는 EU 시장에서 활동하는 거래자에게 적용됩니다. DSA는 주로 온라인 플랫폼에 적용되며, 4,500만 명 이상의 EU 사용자를 보유한 초대형 온라인 플랫폼(VLOP)에는 훨씬 더 엄격한 의무가 부과됩니다.

GDPR과 리뷰 삭제권

GDPR 제17조 - "잊힐 권리" - 는 리뷰를 호스팅하는 기업에 대해 가장 자주 발동되는 권리 중 하나입니다. 독일의 리뷰 작성자는 기업이나 플랫폼에 자신의 개인 데이터가 포함된 리뷰를 삭제해달라고 요청할 수 있습니다. 기업은 한 달 이내에 응답해야 합니다. 이를 준수하지 않으면 국가 데이터 보호 당국에 불만을 제기할 수 있습니다.

대부분의 가이드가 놓치는 중요한 미묘한 차이가 여기에 있습니다. 삭제권은 절대적이지 않습니다. 리뷰에 전문 서비스의 품질에 대한 개인적인 의견이 포함된 경우, 법원과 데이터 보호 당국은 표현의 자유와 미래 소비자의 합법적인 정보 이익이 삭제 요청보다 우선할 수 있다고 반복적으로 판결했습니다. 유럽 데이터 보호 위원회(EDPB)의 2025년 공동 집행 조치는 부적절한 삭제 절차를 구체적으로 겨냥했지만, 이러한 상충하는 이익도 명확히 했습니다.

이것이 실질적으로 의미하는 바는 다음과 같습니다. 한스 슈미트라는 배관공이 자신의 전체 이름과 주소가 포함된 별 1개 리뷰를 남긴 경우, 그는 자신의 신원 정보 삭제를 요청할 수 있습니다. 하지만 리뷰 작성자가 마음을 바꿨다는 이유만으로 기업이 합법적인 불만의 실질적인 내용을 삭제하도록 강요받을 수는 없습니다.

옴니버스 지침: 검증된 리뷰 공개 의무화

2019년 옴니버스 지침은 2022년 5월까지 EU 회원국 전체에서 국내법으로 전환되었으며, 불공정 상업 관행 지침에 구체적인 규칙을 추가했습니다. 즉, 거래자는 리뷰가 실제 구매자로부터 온 것인지 여부와 그 방법을 공개해야 합니다. 리뷰가 검증되었다고 주장하지만 그렇지 않은 경우, 이는 국가 집행 대상이 되는 불공정 상업 관행입니다.

옴니버스 지침에 의해 개정된 UCPD에 따른 처벌: 회원국은 거래자의 연간 매출의 최소 4% 또는 매출을 결정할 수 없는 경우 최소 200만 유로의 벌금을 규정해야 합니다. 이탈리아, 프랑스, 독일, 네덜란드는 모두 이 조항에 따라 조사를 시작했습니다.

디지털 서비스법: 2024년 2월부터의 플랫폼 의무

DSA(규정 EU 2022/2065)는 2024년 2월 17일에 전면 발효되었습니다. 특히 리뷰 플랫폼의 경우, 이전의 어떤 EU 법률보다 훨씬 더 나아간 투명성 및 책임 요구 사항을 도입했습니다. Google, Tripadvisor, Booking.com과 같은 VLOP는 허위 콘텐츠에 대한 체계적인 위험 평가를 구현하고, 조정 조치에 대한 투명성 보고서를 게시하며, 연구원에게 데이터 접근 권한을 제공해야 합니다.

DSA의 미준수에 대한 최대 벌금은 전 세계 연간 매출의 6%이며, 반복적인 시스템적 위반의 경우 플랫폼은 EU 내 운영이 일시적으로 중단될 수 있습니다. 유럽 위원회는 2024년 DSA에 따른 첫 번째 미준수 절차를 개시했으며, 시스템적인 콘텐츠 조정 실패를 이유로 X(구 Twitter)를 대상으로 했습니다.

전략적 봉쇄소송(SLAPP)은 승소하기 위해서가 아니라 위협하기 위해 제기되는 소송입니다. 별 1개 리뷰에 대해 비평가를 5만 달러에 고소하는 레스토랑 주인은 실제로 5만 달러를 받으려는 것이 아닙니다. 그들은 대부분의 사람들이 단순히 리뷰를 삭제하고 물러날 것을 알면서, 리뷰 작성자가 변호사를 고용하고 자신을 방어하는 데 시간을 쓰게 만들려는 것입니다.

이러한 전술은 수정헌법 제1조 옹호 단체인 FIRE가 유지하는 데이터베이스에 잘 기록되어 있습니다. 2024년에만 500건의 SLAPP 소송이 기록되었습니다. 법원과 입법부는 강력하게 반발했습니다. 2025년 현재, 33개 미국 주, 컬럼비아 특별구, 괌이 반-SLAPP 법규를 제정했습니다. 캘리포니아, 텍사스, 플로리다 - 중소기업에 경제적으로 가장 중요한 세 주 - 에서는 이 법규가 강력하며 비용 전가 조항을 포함합니다. 즉, 귀하의 소송이 SLAPP으로 간주되면, 귀하는 리뷰 작성자의 변호사 비용을 지불해야 합니다.

전략적 계산이 바뀌었습니다. 명예훼손 이론에 따라 캘리포니아에서 리뷰 작성자를 고소하는 기업은 (a) 반-SLAPP 신청에서 패소하고, (b) 리뷰 작성자의 변호사 비용을 지불하며, (c) 원래 리뷰가 야기했을 것보다 훨씬 더 많은 부정적인 여론을 생성할 위험을 감수해야 합니다. 소비자 권리 변호사들은 이를 리뷰 소송의 스트라이샌드 효과라고 부릅니다.

EU에서는 이와 동등한 우려가 2024년 4월 유럽 의회에서 통과된 SLAPP 지침(지침 2024/1069)을 통해 해결됩니다. 이 지침은 주로 국경 간 사건을 대상으로 하며, 법원이 명백히 근거 없는 사건을 소송 초기에 기각하고 원고에게 비용을 부담시키도록 요구합니다.

고객에게 리뷰의 대가로 10% 할인을 제공하는 것이 자동으로 불법은 아닙니다. 하지만 그 혜택을 리뷰가 긍정적이어야 한다는 조건으로 하거나, 중요한 관계를 공개하지 않는 순간부터 FTC 규정과 EU 법 모두에 따라 불법이 됩니다.

FTC 규정에 따라, 보상형 리뷰는 리뷰 자체 또는 바로 옆에 "명확하고 눈에 띄는" 공개가 필요합니다. 공개는 소셜 미디어 플랫폼에서 "피할 수 없어야" 하며 리뷰 콘텐츠와 동등한 중요도로 제시되어야 합니다. 페이지 하단의 작은 별표는 이에 해당하지 않습니다.

EU 옴니버스 지침은 한 단계 더 나아갑니다. 플랫폼이 평점을 표시하는 경우, 해당 평점이 검증된 구매, 미검증된 제출 또는 보상형 콘텐츠를 포함하는지 여부와 그 비율을 사용자에게 알려야 합니다. 보상형 리뷰에서 부분적으로 파생된 4.8점 평균을 공개 없이 제시하는 것은 불공정 상업 관행입니다.

많은 중소기업이 놓치는 중요한 구분은 다음과 같습니다. 리뷰를 요청할 수 있습니다. 구매 후 이메일로 후속 조치를 취할 수 있습니다. 과정을 쉽게 만들 수 있습니다. 하지만 긍정적인 감정에 대해 돈을 지불하거나, 부정적인 콘텐츠를 억제하거나, 평점의 출처를 허위로 표시할 수는 없습니다.

미국에서 리뷰 데이터 보존은 주로 자체 개인정보 처리방침과 해당 주법(캘리포니아의 CCPA가 가장 중요함)에 의해 규율됩니다. 리뷰 데이터를 얼마나 오래 보관해야 하는지에 대한 연방 차원의 의무는 없습니다. 하지만 일관성의 의무는 있습니다. 개인정보 처리방침에 2년 후 사용자 데이터를 삭제한다고 명시되어 있다면, 유리한 리뷰만 선별적으로 보관할 수는 없습니다.

GDPR에 따르면, 저장 제한 원칙(제5조 1항 e)은 개인 데이터를 수집 목적으로 필요한 기간보다 더 오래 보관해서는 안 된다고 요구합니다. 리뷰의 경우 "필요한" 기간에 대해서는 논란이 있지만, EDPB의 지침에 따르면 미래 고객의 의사 결정을 돕는 등 지속적인 상업적 목적을 수행하는 리뷰는 정확하고 관련성이 있는 한 보관할 수 있습니다.

실질적인 의미는 다음과 같습니다. 2021년에 귀하의 레스토랑을 떠난 주방장에 대한 2018년 리뷰는 더 이상 정확하지 않을 수 있으며, 검토 없이 이를 보관하면 GDPR 삭제 요청과 소비자 오인 주장 모두에 노출될 수 있습니다. EU 기업은 매년 리뷰 아카이브를 감사해야 합니다.

어떤 규제 기관이, 얼마의 금액으로 당신을 추적할 수 있는지 아는 것은 비례적인 위험 관리에 필수적입니다. 2026년의 집행 환경은 대부분의 준수 가이드가 인정하는 것보다 더 복잡합니다.

통신 품위법 섹션 230은 여전히 미국 인터넷법의 초석입니다. Google, Yelp, Tripadvisor와 같은 플랫폼은 사용자가 생성한 리뷰에 대해 게시자로서 책임을 지지 않습니다. 그들은 수동적인 전달자로 취급됩니다. 이것이 미국 기업이 명예훼손적인 리뷰를 호스팅한 것에 대해 Google을 고소할 수 없는 이유입니다. 소송은 원래 리뷰 작성자를 상대로 제기되어야 합니다.

2023년 Gonzalez v. Google 및 Twitter v. Taamneh 사건에 대한 대법원의 결정은 섹션 230의 보호 범위를 좁히기를 거부하여 기본 프레임워크를 그대로 유지했습니다. 그러나 플랫폼이 문제의 콘텐츠를 적극적으로 생성하거나 공동 개발하는 경우 이 보호를 잃게 되며, 이는 알고리즘적 증폭 사례에서 점점 더 시험받고 있는 사실입니다.

EU에서는 DSA가 2000년 전자상거래 지침의 책임 프레임워크를 대체했습니다. 불법 콘텐츠(허위 리뷰 포함)에 대한 "실제 인지"가 있고 신속하게 조치하지 않는 플랫폼은 면책권을 잃습니다. 이는 섹션 230과의 의미 있는 차이점입니다. EU 법은 "인지 및 조치" 의무를 생성하는 반면, 섹션 230에는 동등한 요구 사항이 없습니다.

완전성을 기하기 위해, 영국 고객을 대상으로 하는 기업은 별개의 제3의 체제에 직면합니다. 2024년 디지털 시장, 경쟁 및 소비자법(DMCCA)은 2025년 4월 6일에 허위 리뷰 조항과 함께 발효되었습니다. 이 법은 허위 리뷰와 미공개 보상형 리뷰를 금지된 행위로 명시적으로 나열합니다. 이는 사례별로 "불공정"함을 증명할 필요 없이 자동으로 불법입니다.

영국의 경쟁시장청(CMA)은 기업에 전 세계 연간 매출의 최대 10% 또는 30만 파운드 중 더 높은 금액의 벌금을 부과할 수 있습니다. 지속적인 위반에 대해서는 일일 전 세계 매출의 최대 5% 또는 15,000 파운드의 일일 미준수 벌금이 적용됩니다. CMA는 2025년에 Autotrader, Feefo, Dignity, Just Eat, Pasta Evangelists를 대상으로 5건의 조사를 시작했습니다.

이사 및 관리자는 고의로 허용한 위반에 대해 개인적인 책임을 질 수 있습니다. 이는 현재 미국 연방 프레임워크에서는 직접적인 유사 조항이 없는 규정으로, 미국에서는 일반적으로 기업의 법인격 보호가 더 강력합니다.