디지털 유산과 개인정보 보호법

죽음 이후에도 살아있는 정보, 디지털 유산은 누구의 것인가?

누군가가 세상을 떠난 뒤에도 이메일, 소셜 미디어 계정, 클라우드에 저장된 문서, 블로그 포스트, 유튜브 영상 등 고인의 디지털 자산은 그대로 온라인에 남아 존재합니다. 이처럼 고인의 흔적이 가득 담긴 디지털 유산은 단지 데이터가 아니라 개인의 삶과 철학, 관계를 고스란히 담고 있는 기록입니다.

 

하지만 문제는 고인이 사망한 이후 이 정보들이 누구에게 어떻게 관리되며 개인정보 보호법의 대상이 되는지조차 불분명하다는 점입니다. 정보 주체가 사망한 이후에도 해당 정보는 보호될까요? 또는 고인의 사망과 동시에 그 정보는 삭제되어야 할까요? 이러한 질문들은 아직 국내외 법제도에서도 완전히 정리되지 않은 회색지대로 남아 있으며 실제 유족과 플랫폼 사이의 분쟁 원인이 되기도 합니다. 

 

 

개인정보 보호법은 사망자의 정보까지 보호하는가?

한국의 개인정보 보호법은 ‘살아있는 자연인’의 개인정보를 보호하는 것을 기본 원칙으로 합니다. 즉, 법적으로 사망자는 개인정보 보호법의 직접적인 적용 대상이 아니라는 것입니다. 개인정보보호법 제2조에 따르면 개인정보란 살아있는 개인에 관한 정보라고 정의되어 있기 때문에 사망자의 정보는 엄밀히 말하면 개인정보가 아닙니다.

 

그러나 현실에서는 고인의 계정이나 데이터에 가족이나 지인이 접근할 경우 플랫폼 운영자는 여전히 개인정보 보호법 또는 정보통신망법을 근거로 접근을 제한하거나 차단하고 있습니다. 이는 법률적으로는 고인의 권리가 아니라 해당 플랫폼이 보호하고 있는 계정의 보안과 약관상의 권리를 근거로 삼기 때문인데요. 이와 같이 법률의 적용 범위와 플랫폼 정책 간의 충돌은 유족의 입장에서 큰 혼란을 야기하며 법적 공백이 실제 생활에 심각한 문제를 초래하는 대표적인 사례라 할 수 있습니다. 

 

 

삭제 요청은 가능한가? 그리고 어디까지 삭제되는가?

고인의 유족이 특정 계정이나 게시물, 또는 저장된 사진 등을 삭제하고자 할 때 플랫폼에 따라 정보 삭제 요청이 가능한 범위는 매우 다릅니다. 예를 들어 페이스북은 추모 계정으로 전환하거나 계정 삭제를 요청할 수 있으며 구글은 휴면 계정 관리자 기능이 미리 설정되어 있을 경우 지정된 사람에게 정보 삭제 권한이 주어집니다.

 

국내 포털인 네이버와 다음은 사망진단서, 가족관계증명서, 신분증 등을 제출하면 일부 정보 삭제 요청이 가능하지만 전체 계정 삭제나 접근 권한은 원칙적으로 불가합니다. 또한 데이터의 실제 삭제가 아닌, 이용자 화면에서만 비활성화된 상태로 유지되는 경우도 많은데요. 클라우드 서버나 백업 서버에 남은 고인의 사진, 영상, 문서 등은 완전한 삭제 여부를 유족이 확인하기 어렵고 플랫폼은 보안과 기술적 한계를 이유로 상세 내역을 공개하지 않습니다. 결국 고인의 정보를 완전히 삭제하려면 사전에 고인이 명시적으로 요청하거나 법원의 명령 등 강제력이 있는 절차를 거쳐야 하는 경우가 많습니다. 

 

 

법과 기술 사이에서 우리가 준비해야 할 것들

 

현행 개인정보 보호법은 사망자의 권리를 직접적으로 보호하지 않지만 그럼에도 불구하고 고인의 정보가 사후에 의도치 않게 공개되거나 타인에 의해 악용될 가능성은 여전히 존재하고 있습니다. 특히 SNS 계정이 해킹되거나 이메일 주소가 피싱 대상이 되는 경우 고인의 정체성이 왜곡되거나 제3자의 사기로 이어질 수 있는데요.

 

따라서 유족은 사망자의 주요 계정에 대해 접근 불가 상황에 대비하여 생전에 디지털 유산 관리 전략을 마련하는 것이 필수입니다.  구글의 휴면 계정 관리자나 애플의 디지털 상속인 기능처럼 사망을 대비한 계정 전달 기능을 활용하고 중요 데이터는 암호화하여 안전한 저장소에 백업하는 것이 좋겠습니다. 또한, 유언장에 디지털 자산 및 개인정보 처리 방식을 명시하고 법적 효력이 있는 문서로 남겨야 합니다. 향후 한국에서도 디지털 유산과 사망자의 정보 보호를 위한 법률 제정이 논의되고 있으므로 지금은 법적 공백을 개인의 준비로 메워야 할 시점입니다. 

 

디지털 유산 국제적 관점: 유럽과 미국의 접근 방식 비교

한국의 개인정보 보호법이 살아있는 개인의 정보만을 보호 대상으로 삼는 반면 유럽연합(EU)과 미국은 고인의 디지털 유산에 대해 보다 다양한 방식으로 접근하고 있습니다. 예를들어 유럽연합의 일반개인정보보호법(GDPR)은 정보 주체 사망 이후 해당 정보의 보호 여부에 대해 명확히 규정하지 않지만 각 회원국의 국내법에 따라 사망자의 정보 보호가 허용됩니다.

 

프랑스의 경우 사망자가 생전에 자신의 데이터 처리와 삭제 방식에 대한 지침을 미리 남길 수 있도록 법률이 허용하고 있으며 이러한 ‘디지털 유언’(testament numérique)은 법적 구속력을 가집니다. 

 

한편, 미국은 연방법보다는 주(state) 단위에서 사망자의 디지털 유산의 접근을 조율하고 있습니다. 대표적인 예로 미국 통일법위원회가 제정한 Fiduciary Access to Digital Assets Act (FADAA)는 사망자의 법적 대리인(유언집행인, 법정 상속자 등)이 구글, 페이스북, 애플 같은 플랫폼에 디지털 자산 접근 및 삭제를 요청할 수 있도록 명문화하고 있습니다.

 

특히 이 법은 유언장이나 생전 동의 여부를 중시하며 사망자의 사전 설정이 있을 경우 그 지침을 우선시 합니다. 이러한 제도는 사망자의 정보 자기결정권을 사후에도 일정 부분 보장하려는 취지에서 마련되었는데요. 

 

한국의 경우 이와 같은 법률이 아직 부재한 상태로 사망자의 디지털 자산은 대부분 각 플랫폼의 약관이나 내부 정책에만 의존하고 있습니다. 이는 결국 고인의 의사를 법적 기준으로 보호하기 어렵게 만들며 유족과 플랫폼 간 갈등의 원인이 되기도 하며 나아가 사망자의 디지털 정보가 타인에 의해 오용될 경우 그 책임 소재도 불분명해지는 문제가 생길 수 있습니다. 

 

기술과 플랫폼의 역할: 디지털 유산 삭제의 한계와 투명성 문제

 

기술적 관점에서도 디지털 유산의 완전한 삭제는 결코 간단한 문제가 아닙니다. 일반적으로 플랫폼은 사용자 요청에 따라 데이터의 표면적 비활성화를 제공하지만 이 데이터가 물리적으로 저장된 서버, 클라우드, 백업 시스템에서 완전히 삭제되었는지를 명확히 확인하기는 어렵습니다.

 

예를 들어 구글의 개인정보센터는 삭제 요청이 들어온 후에도 최대 60~180일 간 백업 서버에 정보가 남을 수 있으며 법률상 보존 의무나 보안 감사를 위해 일정 기간 보관하는 경우도 있습니다. 이는 기업 내부의 데이터 보존 정책이 법적 요구사항을 상회할 수 있음을 의미합니다. 

 

게다가 일부 플랫폼은 서비스 운영을 위한 데이터를 익명화 처리하여 별도로 보관하기도 하는데요. 이런 방식은 데이터의 추적 가능성을 줄이지만 고인의 정보가 완전히 사라지지 않았다는 사실은 변하지 않습니다. 더 큰 문제는 이러한 삭제 절차의 상세한 내용이 일반 사용자에게 충분히 고지되지 않으며 유족이 요청하더라도 기업이 기술적 사유를 들어 정보를 공개하지 않는 경우가 많다는 점입니다.

 

결국 사용자 또는 유족이 ‘삭제되었다’고 믿는 정보가 실제로는 여러 서버와 캐시, 백업에 남아 있는 상황이 반복됩니다. 이와 같은 상황은 디지털 유산의 삭제 및 관리에 있어 기술적 투명성과 법적 의무 간 괴리를 보여주는 대표적 사례입니다. 앞으로는 플랫폼이 사용자의 생전 설정뿐 아니라 사후 데이터 처리 방침을 명확하게 설명하고 유족이 합리적 수준에서 삭제 이력을 추적할 수 있는 기술적 절차를 마련해야 할 것입니다. 

 

 

디지털 유산, 사회적 논의와 제도화의 필요성

사망자의 디지털 유산에 대한 법적 공백과 플랫폼의 자의적 기준은 결국 개인의 권리 보호 측면에서 심각한 문제를 야기하는데요. 특히 고인이 사망한 후에도 그 정보가 악용되어 디지털 피싱, 사칭 사기, 신원 도용 등 2차 피해로 이어지는 사례가 늘고 있습니다. 이를 예방하기 위해서는 사망 이후에도 개인정보와 디지털 자산이 일정 수준의 보호를 받을 수 있도록 법제도적 장치가 필요하겠습니다. 

 

현재 한국에서도 ‘디지털 상속’ 혹은 ‘디지털 유산 관리법’에 대한 입법 논의가 점차 활발해지고 있습니다. 일부 입법 제안은 ‘유언장에 포함된 디지털 자산의 법적 효력 인정’, ‘사망자 정보에 대한 일정 기간 보호 의무 부과’, ‘유족의 정당한 접근권 부여’를 포함하고 있습니다. 그리고 궁극적으로는 사망자 정보에 대한 제3자 악용 방지 조항도 포함될 것으로 예상됩니다.

 

다만 이와 같은 입법이 현실화되기 위해서는 사법부, 행정기관, 민간 플랫폼 간 이해 조정이 필수적입니다. 특히 기업의 협조 없이는 실효성 있는 관리가 어렵기 때문인데요. 사회적으로도 디지털 유산을 물리적 자산처럼 인식하고 관리하는 문화가 자리잡을 필요가 있습니다.

 

현재 대부분의 사람들은 생전 디지털 정보에 대한 관리 계획 없이 사망을 맞이하며 이로 인해 유족이 법적·정서적 부담을 동시에 짊어지게 됩니다. 따라서 향후에는 디지털 유언장, 계정 상속, 정보 삭제 및 보관에 대한 의사 표현이 자연스러운 사회적 관행이 되어야 할 것이며 이를 위한 교육과 홍보도 병행되어야겠습니다.