디지털유품관리 개인정보 보호법은 ‘죽은 사람의 데이터’를 보호할 수 있을까?

살아 있는 사람의 개인정보는 법으로 보호되지만,
죽은 사람의 데이터는 보호받을 수 있을까?
디지털 유산이 늘어나는 시대, 사후 개인정보 보호의 법적 공백과 새로운 대안을 살펴본다.

 

우리는 일상 속에서 ‘개인정보 보호’라는 말을 너무나 자주 듣는다.
이메일 주소를 입력할 때, 온라인 쇼핑을 할 때,
앱을 설치하거나 은행 계좌를 개설할 때마다
개인정보의 수집·이용 동의 절차를 거친다.

디지털유품관리 개인정보 보호법은 ‘죽은 사람의 데이터’를 보호할 수 있을까?
하지만 놀랍게도, 현행 대한민국 개인정보 보호법은 ‘사망한 사람’을 보호 대상에서 제외한다.

 

즉, 법적으로 사망자는 ‘더 이상 개인정보의 주체가 아닌 존재’로 간주된다.
따라서 고인이 생전에 남긴 이메일, 문자, SNS 게시물,
혹은 병원 진료 기록이나 금융 데이터까지도
법의 직접적인 보호를 받지 못한다.

 

그러나 현대 사회는 이미 오프라인을 넘어
디지털 공간에 방대한 흔적을 남긴다.
이 흔적은 단순한 데이터가 아니라,
한 사람의 삶, 관계, 정체성을 보여주는 ‘디지털 유산’이다.
그렇다면 죽은 사람의 데이터는 누구의 것이며, 누가 보호해야 하는가?
이 질문은 디지털 시대의 새로운 법적·윤리적 숙제로 떠오르고 있다.

 

본론① — 현행 법제의 한계: ‘생존자 중심’의 개인정보 보호

대한민국의 「개인정보 보호법」 제2조는 개인정보의 주체를 “살아 있는 개인”으로 명시한다.
즉, 사망자의 데이터는 법적으로 개인정보가 아니다.
이 조항은 세계적으로도 일반적인 접근 방식이다.
유럽연합의 GDPR, 미국의 개인정보 관련 주법들 역시 대부분
“data subject”를 living person으로 한정하고 있다.

 

이런 접근에는 이유가 있다.
개인정보 보호의 본질은 ‘사생활 침해로부터의 보호’인데,
사망자는 더 이상 그 피해를 경험할 수 없다는 논리 때문이다.
또한, 사망자의 정보를 보호 대상으로 포함할 경우
상속인, 가족, 제3자 간의 데이터 권리 관계가 복잡해진다는 현실적 문제도 있다.

 

하지만 이 논리에는 디지털 시대의 맹점이 있다.
사망자의 데이터는 여전히 타인의 개인정보와 연결되어 있다는 점이다.
예를 들어, 고인의 이메일에는 가족과 친구의 주소와 메시지가 남아 있다.
SNS에는 타인의 사진, 댓글, 대화 기록이 섞여 있다.
즉, 사망자의 데이터 유출은 곧 생존자의 개인정보 침해로 이어질 수 있다.
따라서 ‘사망자의 데이터 보호’를 단순히 무의미한 것으로 치부하기 어렵다.

---

본론② — 실제 사례로 본 사후 데이터의 법적 공백

현실에서 사망자의 데이터 문제는 이미 곳곳에서 발생하고 있다.

 

대표적인 예로,
2011년 노르웨이에서 발생한 ‘페이스북 계정 접근권 소송’ 사건이 있다.
자살한 청소년의 부모가 자녀의 사망 원인을 확인하기 위해
페이스북 계정 접근을 요청했지만,
페이스북은 “계정은 개인의 소유이며, 사망 후에도 접근할 수 없다”며 거부했다.
법원은 결국 “부모에게 계정 접근권을 인정하지 않는다”고 판결했다.
사망자의 데이터는 법적으로 ‘무주물(無主物)’이 되어버린 것이다.

 

한국에서도 유사한 갈등이 발생하고 있다.
예를 들어 가족이 사망자의 이메일이나 클라우드 계정에 접근하려 할 때,
서비스사는 ‘개인정보 보호’를 이유로 거부하는 경우가 많다.
하지만 동시에, 법은 사망자를 보호하지 않는다.
결국 이 문제는 법의 공백 속에서
유족과 기업 간의 해석 싸움으로 이어진다.

 

특히 의료·보험 데이터의 경우 문제가 더 복잡하다.
의료법 제19조에 따라 의료인은 비밀을 유지해야 하지만,
사망 후 그 의무가 어디까지 유지되는지는 명확하지 않다.
예컨대 유족이 사망자의 진료기록을 확인하려 할 때,
병원은 ‘환자 본인의 동의가 없다’는 이유로 거부할 수 있다.
이처럼 법은 여전히 “죽은 자의 데이터”를 상정하지 않은 상태다.

---

본론③ — 해외의 변화: 사후 데이터 보호를 위한 새로운 입법 시도

이 문제를 인식한 일부 국가들은
이미 사망자의 데이터 보호를 위한 입법적 움직임을 시작했다.

 

예를 들어 프랑스는 2016년 ‘디지털 공화국법(La loi pour une République numérique)’을 제정해
사망자의 디지털 데이터에 대한 지침을 포함시켰다.
이 법에 따르면 개인은 생전에
“사망 후 자신의 데이터 처리 방침”을 지정할 수 있으며,
그 유언이 법적으로 효력을 갖는다.
즉, ‘디지털 유언장’을 공식적으로 인정한 것이다.

 

독일 역시 2018년 연방대법원 판결에서
“사망자의 페이스북 계정은 상속 재산으로 간주된다”고 판결했다.
이에 따라 상속인은 계정 접근 권한을 가질 수 있게 되었다.
이 판례는 디지털 자산이 단순한 정보가 아니라
재산적 가치와 법적 지위를 가질 수 있음을 보여준다.

 

반면, 미국은 주(州) 단위로 제도가 다르다.
몇몇 주에서는 ‘RUFADAA(Revised Uniform Fiduciary Access to Digital Assets Act)’ 법안을 도입해
사망자의 디지털 자산 접근을 제한적으로 허용하고 있다.
이 법은 사망자가 생전에 별도의 동의 문서를 남겼을 때만
유족이나 법정 대리인이 데이터에 접근할 수 있도록 규정한다.

 

이처럼 세계 각국은 디지털 사후 데이터를
‘재산’, ‘기억’, ‘프라이버시’의 세 가지 측면에서 접근하며
새로운 균형점을 찾으려 하고 있다.

---

본론④ — 개인정보보호법 한국 사회의 현주소와 향후 과제

한국은 아직 사망자 데이터 보호에 대한 명확한 법적 기준이 부재하다.
개인정보보호위원회는 2023년 발표한 ‘개인정보 보호법 개정 논의안’에서
“사망자 정보 보호 범위 확대”를 검토했지만,
구체적 입법으로 이어지진 못했다.

 

다만, 몇 가지 제도적 움직임은 시작되고 있다.
예를 들어 공공기관의 전자문서 관리 시스템에는
‘사망자 기록 비공개’ 옵션이 도입되고 있으며,
일부 플랫폼은 사용자의 사후 계정 관리를 위해
‘디지털 상속 기능’을 제공하기 시작했다.
(예: 네이버의 ‘디지털 자산 관리 서비스’, 구글의 ‘비활성 계정 관리자’)

 

그러나 여전히 해결되지 않은 핵심 과제가 있다.

1. 데이터의 소유권 문제
   — 사망자의 데이터는 상속 대상인가, 아니면 보호 대상인가?
2. 삭제 권한의 문제
   — 유족이 고인의 계정을 삭제하거나 유지할 권한은 어디까지인가?
3. 공익과 사생활의 경계
   — 범죄 피해자나 공인(公人)의 데이터는 사회적 가치 때문에 삭제를 제한할 수 있는가?

이 세 가지 쟁점이 해소되지 않는 한,
디지털 사후 데이터는 계속해서 법적 회색지대에 머물 것이다.

---

결론 — 개인정보보호 법이 놓친 영역, ‘죽음 이후의 프라이버시’

결국 “죽은 사람의 개인정보를 보호할 것인가”는
단순히 법조항의 문제가 아니라 인간의 존엄을 어디까지 인정할 것인가의 문제다.

 

죽음 이후에도 한 사람의 정보가 함부로 이용되거나 유출된다면,
그것은 단지 개인의 문제가 아니라 사회 전체의 윤리적 실패이기도 하다.
우리가 사망자의 데이터를 보호하는 것은
그의 비밀을 지키기 위함이 아니라,
‘기억되는 방식’에 대한 존중의 표현이기 때문이다.

 

따라서 앞으로의 개인정보 보호법은
‘사후 데이터 보호’ 조항을 명문화할 필요가 있다.
적어도 유족이 원치 않는 정보 공개를 막고,
고인의 의사가 반영된 데이터 처리가 가능해야 한다.
또한, 플랫폼 사업자에게는
사망자 계정의 보관·삭제 절차를 투명하게 공개하도록 의무화해야 한다.

 

디지털 시대의 인간은 더 이상 육체만으로 존재하지 않는다.
그의 데이터, 계정, 메시지, 사진은
또 다른 형태의 ‘존재’이자 ‘기억’이다.
그렇다면 법은 이제 살아 있는 사람뿐 아니라
죽은 사람의 존엄까지 보호하는 방향으로 진화해야 한다.