유럽 GDPR과 디지털 유산의 관계

- 개인정보 보호법과 유산의 충돌, 디지털 시대의 법적 딜레마-

 

디지털 기술의 비약적인 발전은 인간의 삶의 기록 방식을 근본적으로 바꾸어 놓았다. 사람들은 이제 문서, 사진, 금융정보, 대화 이력, 업무 데이터 등 대부분의 중요한 콘텐츠를 온라인에 저장한다. 생애의 흔적이 디지털로 전환됨에 따라, 죽음 이후에도 클라우드와 서버에 남겨지는 정보는 '디지털 유산(Digital Legacy)'이라는 새로운 개념을 탄생시켰다. 그러나 이러한 변화는 새로운 법적 문제를 불러왔다. 가장 대표적인 것이 바로 ‘개인정보 보호’와 ‘유산 상속’ 간의 충돌이다.

유럽연합(EU)은 세계적으로 가장 강력한 개인정보 보호법을 보유하고 있는 지역이다. 2018년 5월부터 시행된 GDPR(General Data Protection Regulation, 일반 개인정보 보호 규정)은 개인의 데이터에 대한 권리를 전례 없이 강화했다. 그러나 GDPR은 개인의 사망 이후를 어떻게 다루는지에 대해서는 명확한 기준을 제시하지 않고 있다. 이는 사망자의 디지털 자산을 어떻게 관리하고 상속할 수 있는지에 대한 법적 공백을 만들어내고 있으며, EU 각국은 이를 보완하기 위한 국가별 입법을 별도로 추진하고 있는 실정이다.

 

이 글에서는 유럽의 GDPR이 디지털 유산에 어떤 방식으로 영향을 미치고 있으며, 사망자의 데이터에 대한 권리와 유족의 접근권 사이에서 발생하는 법적 긴장 관계를 4가지 측면으로 분석한다. 특히 유럽 국가들이 어떤 방식으로 GDPR의 범위를 해석하고 있으며, 실제 상속 및 유산 관리에서 어떤 제도적 한계를 보이고 있는지를 심층적으로 살펴본다. 디지털 유산은 오늘날 누구에게나 닥칠 수 있는 현실적인 문제이며, 이를 법적으로 어떻게 다룰 것인가는 향후 전 세계적 논의의 중심이 될 것이다.

 

 

GDPR의 기본 원칙과 디지털 유산 적용의 불확실성

 

GDPR은 유럽연합 내에서 수집, 저장, 처리되는 모든 개인정보를 보호하기 위한 종합적인 법률이다. 이 규정은 개인의 동의, 정보 접근권, 정정권, 삭제권, 데이터 이동권 등을 포함한 폭넓은 권리를 보장하며, 위반 시 최대 2천만 유로 또는 전 세계 매출의 4%에 해당하는 벌금을 부과할 수 있도록 설계되어 있다.

그러나 GDPR은 사망자의 데이터에 대한 보호 여부에 대해서는 명확히 규정하고 있지 않다. 제2조(적용 범위)와 제4조(정의)에서는 ‘자연인’을 보호 대상으로 규정하고 있는데, 여기서 자연인은 ‘식별되었거나 식별 가능한 살아 있는 개인(living individual)’으로 한정되어 있다. 즉, GDPR은 원칙적으로 사망자에 대한 개인정보는 보호하지 않는다.

그렇다고 해서 사망자의 디지털 자산이 아무런 보호도 받지 않는 것은 아니다. GDPR 제23조는 각 회원국이 국가 안보, 범죄 수사, 공익 목적 등의 이유로 개인정보 보호 범위를 조정할 수 있다고 명시하고 있으며, 이에 따라 일부 국가들은 자국법을 통해 사망자의 개인정보에 대한 보호를 강화하고 있다. 예컨대 프랑스는 **디지털 상속권(droit à la mort numérique)**이라는 개념을 도입해, 사망자의 온라인 계정과 데이터에 대한 권리를 인정하고 있다.

하지만 전체적으로 보면, GDPR은 디지털 유산의 법적 지위를 명확히 하지 못하고 있으며, 그 결과로 사망자의 데이터 처리와 상속 문제에 있어 불확실성이 상존하고 있다. 이는 유족과 서비스 제공자 간의 법적 충돌을 유발하며, 명확한 합의가 이뤄지기 어려운 구조를 낳고 있다.

 

 

사망자 데이터에 대한 유족의 접근권과 GDPR 간의 충돌

 

디지털 유산의 핵심 문제는 사망자의 계정, 클라우드 저장소, 이메일, 소셜 미디어에 저장된 데이터에 대해 유족이 어느 정도의 접근 권한을 가질 수 있는가에 있다. 일반적인 상속법에 따르면, 개인이 사망하면 그의 자산은 상속인에게 이전되며, 이에는 유체동산뿐 아니라 권리관계도 포함될 수 있다.

하지만 GDPR은 생존한 개인의 프라이버시를 우선적으로 고려하기 때문에, 사망자의 데이터가 **제3자의 정보(생존 인물)**를 포함하고 있는 경우에는 접근이 제한될 수 있다. 예를 들어, 고인의 이메일 계정에 타인의 개인정보가 포함되어 있다면, 유족이 해당 이메일을 열람하거나 저장하는 것은 GDPR 위반 소지가 있다. 이는 구글, 페이스북 등 글로벌 플랫폼이 유족의 요청에도 불구하고 계정 접근을 거절하는 주된 이유 중 하나다.

또한 유족이 사망자의 개인정보에 접근하려는 경우, 명확한 법적 근거와 위임 문서가 요구된다. 유럽 국가 대부분은 사망자가 생전에 유언장, 사전 동의서, 계정 접근 지정서를 작성하지 않았다면, 유족이 임의로 온라인 계정에 접근하거나 데이터를 요청하는 것을 허용하지 않는다. 이는 개인정보 보호가 상속권보다 우선시될 수 있음을 의미하며, 실제로 여러 건의 소송에서 유족이 접근권을 제한받은 사례가 존재한다.

이처럼 GDPR은 사망자 개인의 프라이버시 보호를 이유로, 디지털 유산을 가족이나 수탁자에게 쉽게 이전할 수 없게 만들고 있다. 이는 유산 보호라는 측면에서 볼 때 상당한 법적 장벽으로 작용한다.

 

 

EU 회원국별 디지털 유산 관련 입법의 다양성과 현실적 적용

 

GDPR이 사망자의 데이터 보호를 직접적으로 다루지 않기 때문에, 각 유럽연합 회원국은 자국법을 통해 이 공백을 보완하고 있다. 그 결과, 국가별로 디지털 유산에 대한 해석과 접근 방식이 상이하며, 이는 유족이 어떤 국적이거나 고인이 어느 국가에서 서비스를 사용했는지에 따라 법적 결과가 달라질 수 있는 문제를 초래한다.

대표적인 국가별 사례는 다음과 같다:

 

프랑스: 2016년 개정된 프랑스 정보보호법은 사망자의 디지털 자산에 대한 상속권을 인정한다. 사용자는 생전에 자신이 사망한 뒤 데이터를 어떻게 처리할지를 지정할 수 있으며, 유족은 이에 따라 접근 요청을 할 수 있다.

 

독일: 연방 대법원은 2018년 페이스북 계정 상속 소송에서, 부모가 자녀의 SNS 계정을 상속받을 수 있다는 판결을 내렸다. 이는 디지털 콘텐츠도 전통적인 유산처럼 상속 대상이 될 수 있다는 법리적 근거를 제시한 사례로 평가된다.

 

스페인, 이탈리아 등: 일부 국가에서는 사망자의 데이터에 대한 보호를 GDPR의 범주에서 제외하고, 일반 상속법의 적용 대상으로 규정하고 있다. 다만 플랫폼 사업자들이 이를 어떻게 해석하느냐에 따라 실제 실행력은 다르게 나타난다.

 

결국 유럽 내 디지털 유산의 법적 해석은 단일화되어 있지 않으며, 개인정보 보호와 상속권의 균형을 각 국가가 자율적으로 설정하고 있다. 이는 유족이 데이터에 접근하려 할 때 절차적 혼란을 초래하며, 다국적 플랫폼 기업들 역시 각국 법률의 충돌로 인해 혼선을 겪고 있다.

 

개인이 준비할 수 있는 GDPR 기반 디지털 유산 관리 전략

 

GDPR이 사망자의 데이터 보호를 직접 다루고 있지 않다고 해서, 디지털 유산 관리가 불가능한 것은 아니다. 오히려 개인은 생전부터 철저한 준비를 통해 디지털 자산의 상속과 보호를 실현할 수 있으며, 이는 법적 분쟁을 예방하는 데도 결정적인 역할을 한다.

 

첫째, 사전 지침(Digital Directive)의 작성이 필요하다.

사용자는 생전에 자신의 데이터가 사망 이후 어떻게 처리되기를 원하는지를 문서화해야 한다. 이에는 계정 접근 지정, 데이터 삭제 여부, 수탁자의 지정 등이 포함될 수 있다. 프랑스나 독일처럼 이를 인정하는 국가에서는 이 문서가 법적 효력을 가진다.

 

둘째, 디지털 자산 목록과 접근 정보의 정리가 요구된다.

모든 이메일, 클라우드, SNS, 암호화폐 지갑 등 온라인 자산을 목록화하고, 계정 ID와 비밀번호, 2단계 인증 정보를 안전하게 관리해야 한다. 이를 신뢰할 수 있는 수탁자에게 위임하거나, 공증된 문서로 남겨두는 것이 바람직하다.

 

셋째, 법률 전문가와의 상담을 통한 유언장 작성이 필요하다.

일반적인 유언장에 디지털 자산 항목을 명시하고, 각 플랫폼에 따른 접근 권한을 구체화함으로써, 유족의 권리를 명확히 하고 법적 분쟁을 예방할 수 있다.

 

넷째, 온라인 플랫폼의 사전 설정 기능 활용이 효과적이다.

구글의 비활성 계정 관리자, 페이스북의 추모 계정 지정 등은 사용자의 사망 이후 계정을 어떻게 처리할지를 사전에 지정할 수 있는 기능이다. 이는 GDPR 하에서도 유효하며, 법적으로 보호받을 수 있다.

 

이와 같은 전략은 GDPR이 보장하는 개인정보 보호 권리를 훼손하지 않으면서도, 디지털 유산을 합법적으로 이전하고 관리할 수 있는 방법을 제공한다.

 

 

결론: GDPR 시대, 디지털 유산은 개인의 법적 책임이자 권리다

 

유럽의 GDPR은 세계에서 가장 강력한 개인정보 보호 제도를 구축하고 있다. 그러나 이 보호 체계는 사망 이후의 디지털 자산에 대해서는 법적 공백을 남기고 있으며, 각국의 입법과 사회적 논의를 통해 점진적으로 보완되고 있는 상황이다. 디지털 유산이라는 새로운 개념은 전통적인 상속 개념을 넘어서는 현실적인 과제이며, 법률, 기술, 문화가 동시에 대응해야 할 문제이기도 하다.

GDPR이 명시적으로 사망자의 데이터를 보호하지 않더라도, 그 원칙은 여전히 디지털 유산의 처리 방식에 깊은 영향을 미치고 있다. 프라이버시, 법적 권한, 생전 의사의 존중, 유족의 권리 보장 등 다양한 가치들이 충돌하고 공존하는 이 영역에서는, 개인의 준비가 무엇보다 중요하다.

디지털 자산은 더 이상 부차적인 유산이 아니다. 그것은 삶의 흔적이며, 미래 세대에 전달될 수 있는 중요한 기록이다. GDPR 시대의 디지털 유산 관리는 단순한 기술의 문제가 아니라, 개인의 법적 책임이자 인간다운 죽음을 준비하는 과정이다.