GDPR과 디지털 유산 상속의 관계

 

사망자도 보호 대상인가? 데이터 시대의 상속 개념을 흔드는 GDPR

 

디지털 시대에 사람이 사망한 뒤 남기는 것은 더 이상 집과 통장뿐이 아니다.
수십 개의 온라인 계정, 클라우드 저장소, SNS 기록, 이메일, 암호화폐 지갑,
동영상 스트리밍 기록, 사진, 메시지, 그리고 의료 데이터까지—
우리가 디지털 세상에 남긴 흔적들은 일종의 '디지털 유산'이 된다.

이러한 디지털 유산을 사망자의 유산으로 간주할 수 있는가?
그 정보를 유족이 열람하거나 상속받을 수 있는가?
그 핵심에는 바로 개인정보 보호법의 국제적 기준인 GDPR이 놓여 있다.

GDPR은 2018년 유럽연합에서 시행된 세계에서 가장 강력한 개인정보 보호법이며,
개인의 동의 없이 정보가 수집, 저장, 처리, 전달되는 것을 엄격히 제한한다.
그런데 문제는, GDPR은 ‘생존하는 자연인’의 정보만을 보호 대상으로 규정하고 있다는 것이다.
즉, 사람이 사망한 이후 그의 정보는 GDPR 적용 대상에서 제외되지만,
동시에 사망자의 디지털 정보에 접근하려는 상속인의 권리는 각국 법률에 따라 제한되거나 충돌될 수 있다.

이러한 법적 회색지대는
“사망자의 정보는 누구의 것이며, 누가 접근할 권리를 갖는가?”라는
근본적인 질문을 유럽 사회에 던지고 있으며,
디지털 상속과 개인정보 보호의 균형점 찾기가 중요한 과제로 떠오르고 있다.

 

GDPR의 기본 구조와 사망자 정보의 법적 공백

 

GDPR이 보호하는 정보는 어디까지인가?

GDPR은 “확인된 또는 확인할 수 있는 살아 있는 자연인”을 보호 대상으로 한다.
즉, 사망자는 원칙적으로 GDPR의 보호 대상이 아니다.
제2조에 따르면 “This Regulation does not apply to the personal data of deceased persons”라는
명시 조항이 존재한다.
하지만 사망자의 정보도 현실적으로는
그의 가족이나 관계자, 제삼자의 정보와 혼재되어 있기 때문에
완전히 비공개하거나 무제한 공개하는 것은 모두 위험할 수 있다.

개인정보와 유산의 경계

디지털 유산은 일반적으로 다음과 같이 구분된다

콘텐츠형 정보는 이메일, 블로그 글, 사진, 영상, 개인 기록이 있고,

계정형 정보는 로그인 정보, 비밀번호, 인증 기록이 있다.

경제적 자산에는 암호화폐, 온라인 예금, NFT 등이 있다.

이 중 콘텐츠형과 계정형 정보는 사망자의 ‘개인 정보’로 취급될 여지가 있지만,
경제적 자산은 민법상 상속 대상으로 인정될 수 있다.
그러나 정보 접근 권한이 없으면 상속은 형식적 권리에 그칠 수밖에 없다.

각국 해석 차이

GDPR 자체는 사망자의 정보를 보호하지 않지만,
각국은 이를 보완하기 위해 국가별 개인정보 보호법에서 별도의 규정을 둔다.
예를 들면,

프랑스는 ‘디지털 유언장’ 개념을 도입해
생전에 사망 후 정보 처리 방식에 대한 권리를 보장한다.

독일은 사망자의 페이스북 메시지에 대한 가족 접근을 허용한 판례(BGH, 2018년) 존재한다.

덴마크는 사망자의 이메일 계정에 대해 상속인이 법원의 명령에 따라 접근 가능하다.

 

 

결국 GDPR은 사망자 정보를 직접 보호하지 않지만,
그 틈을 메우기 위한 국가별 해석과 적용이 디지털 상속 구조에 큰 영향을 미친다.

 

상속자 권한 vs GDPR의 개인 정보 보호 충돌 사례

 

사망자 계정 접근이 차단되는 이유

GDPR과 대부분의 플랫폼 정책은
“개인 정보는 본인의 동의 없이는 제삼자에게 제공할 수 없다”는 원칙을 고수한다.
문제는 사망자의 경우, 더 이상 동의를 구할 수 없다는 점이다.
이에 따라 가족이나 상속자가 정당한 법적 권리를 주장하더라도
기술적・법률적으로 접근이 제한되는 경우가 빈번하다.

대표 사례 ① – 독일 페이스북 판례

앞서 언급한 독일 사례(Bundesgerichtshof, 2018)는
페이스북이 사망자의 계정 접근을 거부했지만,
최종적으로 상속자도 ‘사망자의 계약상 권리’를 이어받는다는 원칙에 따라
계정 접근을 허용한 판결이다.

재판부는
“사망자의 메시지도 일기나 편지처럼 상속 대상이 될 수 있으며,
디지털 플랫폼의 약관이 이를 막을 수 없다”고 판단했다.

이 판결은 유럽 내에서 디지털 자산과 개인정보 보호의 경계선을 새롭게 그은 사건으로 평가된다.

대표 사례 ② – 애플과 GDPR 충돌

애플은 사망자의 iCloud, iMessage, Apple ID에 대해
GDPR을 근거로 상속자 요청을 거절하는 경우가 많다.
하지만 몇몇 유럽 국가는
국가 개인정보보호법을 근거로 애플에 대해
“데이터의 일부 전달 또는 열람 조치”를 강제하는 판결을 하기도 했다.

즉, GDPR의 기본 원칙은 같지만, 적용 방식은 국가별로 상이하며,
플랫폼과 상속인의 권리가 충돌하는 지점에서 항상 분쟁이 발생할 수 있다.

 

GDPR 시대의 디지털 상속 구조: 대응 전략과 개선 방향

 

GDPR 환경에서는 디지털 유산 상속을 위해
단순히 유언장을 작성하는 것만으로는 부족하다.
정보의 주체인 본인이 생전에 명확한 선택을 해야만,
사후에 상속자에게 적법한 접근 권한이 주어진다.

생전 권한 위임의 중요성

디지털 유언장 작성
– 개인정보 처리와 계정 삭제, 유지, 상속 여부를 명시한다.

플랫폼 상속자 지정 기능 사용
– Google Inactive Account Manager
– Apple Legacy Contact
– Facebook 추모 계정 관리자

국가 내 공증 또는 민사 계약 활용
– 유럽 일부 국가는 디지털 유산 사전 동의를 공증 문서로 작성하여
효력을 인정받는다

기업의 대응

GDPR은 기업에도 책임을 묻는다.
플랫폼 기업은 사망자의 정보에 대해 다음 중 하나를 선택해야 한다:

사망자의 정보 보호는 상속자의 요청 거절이고,

상속자의 권리 인정은 플랫폼 약관 개정 및 프로세스 구축이다.

이 과정에서 가장 중요한 기준은
정보 주체의 생전 의사다.
그렇기 때문에 기업은 사용자에게 사망 이후의 데이터 처리 선택지를 제공해야 하며,
이를 통해 유족 분쟁과 법적 책임에서 벗어날 수 있다.

제도적 보완

유럽연합 차원에서 사망자 디지털 자산 처리에 대한 지침(EU Guideline) 마련 필요하다.

국가별 사망자 정보 접근권 기준 통일화와

공공기관과 플랫폼 간 데이터 이관 시스템 구축이 필요하다.

 

GDPR이 사망자를 보호 대상으로 삼지는 않지만,
그 정신은 “정보는 주체의 의사에 따라 처리되어야 한다”는 원칙이며,
이 원칙을 상속 구조에 적용하려는 노력이 필요하다.

 

디지털 상속과 GDPR의 조화를 위한 현실적인 방향

 

디지털 상속과 개인정보 보호는 대립하는 개념이 아니다.
오히려 그사이의 긴장을 인정하고, 정보 주체의 사전 의사를 중심으로
제도와 기술을 정비하는 것이 현실적인 해법이다.

사용자 입장에서의 준비

계정마다 사후 처리 방침 설정한다.

유언장 또는 디지털 상속 메모에 개인정보 제공 범위 명시한다.

가족 또는 신뢰할 수 있는 제삼자에게 최소한의 정보 공유한다.

가족・상속자 입장에서의 권리 확보

고인의 생전 선택 여부 확인한다.

플랫폼에 공식 요청하고 거절 시, 국가 개인정보위원회 또는 법원에 이의 제기한다.

가능한 경우, 사망자 계정의 백업을 미리 요청하는 제도적 통로 이용한다.

국가 및 사회 차원의 개선 방향

사망자 정보 관련 지침을 단일화하여
유족이 플랫폼마다 다른 절차에 혼란을 겪지 않도록 통일된 가이드 마련한다.

사후 정보 보호와 상속의 균형을 맞춘 법제도 정비한다.

디지털 유언장을 공공시스템과 연동하는 방안 검토하여,
국가 또는 공증기관이 ‘디지털 유언장 등록 시스템’을 운영하는 방식이다.

 

결국 GDPR은 생존자 보호를 위한 법이지만,
디지털 시대에는 죽은 자의 정보도 살아 있는 이들의 권리와 직결된다.
디지털 상속은 GDPR의 정신과 충돌하지 않으며,
오히려 생전에 제대로 설계된 동의 구조와 함께라면
가장 윤리적이고 안정적인 상속 시스템을 구축할 수 있게 된다.