GDPR이 이메일에 의미하는 것 - 그리고 다루지 않는 것

GDPR이 요구하는 것

핵심만 보면 GDPR은 개인 데이터를 특정 목적으로 수집해 그 목적에만 사용하고, 합리적인 수준으로 보호하며, 더 이상 필요 없을 때는 삭제해야 한다고 정하고 있어요.

이메일에 적용하면 몇 가지 실질적인 의미가 있죠. 데이터는 명확하게 정의되고 보호되는 장소에 보관되어야 하고, 접근은 통제되고 기록되어야 합니다. 사용자나 조직이 삭제를 요청하면 실제로 삭제되어야 해요 - 데이터베이스에 플래그만 달아두고 정작 내용은 몇 년씩 그대로 남아있는 식이 아니라요.

이 마지막 부분은 들리는 것보다 훨씬 중요합니다. 진짜 삭제란 데이터베이스가 삭제를 실행하고, 백업도 정해진 일정에 따라 만료되는 것이에요. 복잡한 일은 아니지만, 의도가 있어야 가능한 일이죠.

"준수"가 복잡해지는 지점

GDPR이 다루는 건 데이터 보호예요. 공급자가 약관에 명시했다면 자기 시스템 내에서 사용자의 데이터를 활용하는 것 자체는 금지하지 않습니다. 공급자가 GDPR을 완벽히 준수하면서도 이메일 내용으로 내부 모델을 학습시키거나, 필터링 시스템을 개선하거나, 제품 의사결정에 활용할 수 있다는 뜻이에요.

대부분의 사람들은 약관을 꼼꼼히 읽지 않아요. "준수"라고 하면 자기 통신 내용이 사적으로 다뤄진다는 뜻이라고 짐작하죠. 두 가지가 항상 같지는 않습니다.

이메일 커뮤니케이션에서 GDPR은 다르게 작동해요

GDPR 논의는 대부분 동의에 초점을 맞춥니다 - 당사자가 이메일 수신에 동의했는지, 데이터 처리에 동의했는지. 그런데 일상적인 비즈니스 통신은 작동 방식이 달라요. 공급업체가 견적을 보낼 때, 클라이언트가 브리프를 보낼 때, 동료가 문서를 전달할 때 - 아무도 서명하지 않았고, 아무도 옵트인하지 않았죠.

이메일 내용은 GDPR상 개인 데이터입니다. 이름, 이메일 주소, 첨부 파일, 사람에 관한 대화 - 모두 규정의 정의에 들어가요. 발신자 이름은 헤더에, 발신자의 말은 본문에 있고요. 사람들은 비밀번호, 접근 자격증명, 계약서, 재무 정보를 보내면서도 그 내용이 실제로 어디로 가는지 한 번도 생각하지 않습니다. GDPR에 따르면 단독으로든 결합해서든 개인을 식별할 수 있는 모든 데이터가 해당되는데, 이메일 스레드는 너무도 쉽게 여기 해당돼요.

그렇다면 수신자가 그 메시지를 저장하고 처리하는 법적 근거는 뭘까요? GDPR은 모든 처리에 합법적 근거를 요구합니다. 수신한 비즈니스 통신에 가장 흔히 적용되는 건 "정당한 이익"이에요 - 당사자 간에 관련성 있고 비례적인 관계가 존재한다는 논리죠. 쉽게 말하면, 업무 중에 이메일을 받았으니 그걸 저장하는 건 합리적이라는 거예요. 대부분의 조직이 - 알든 모르든 - 이 근거에 의존하고 있습니다.

일부 조직은 어떤 합의도 없다는 점을 푸터의 면책 문구로 해결하려 해요 - 이 메시지는 지정된 수신자만을 위한 것이며 무단 사용은 금지된다는 문장으로요. 이런 면책 문구는 법적 의무를 만들어내지 않습니다. 발신자가 메시지를 보낸 뒤, 자신과 아무런 합의도 없는 인프라에 도착한 시점에 덧붙는 것일 뿐이거든요. 의도는 드러낼 수 있어도 누구도 구속하지 못해요. 법적인 문제를 떠나 실용적인 문제도 있죠. 통신에 대한 암묵적인 프라이버시 기대는 어떤 약관이 무엇을 허용하든 실재합니다. 그 기대가 깨질 때 - 공급자에 의해, 의도적이든 아니든 - 신뢰의 손상은 보통 되돌릴 수 없어요.

Grace Mail에서 우리가 접근하는 방식

우리는 Grace Mail을 규제 최소치를 넘어서는 원칙 위에 설계했어요. 당신의 데이터는 우리를 포함해 조직 외부의 누구도 읽거나, 사용하거나, 접근할 수 없어야 합니다.

실제로는 클라이언트마다 전용 인스턴스를 의미해요 - 당신의 서버, 당신의 데이터, 공유 인프라 없음. 암호화를 적극적으로 적용해, 어떤 내용이든 암호화된 저장소 바깥에 존재하는 시간을 최소화한다는 의미고요. 요청 시 진짜 삭제, 정해진 일정에 따라 만료되는 백업을 의미합니다. 그리고 보안을 한층 강화하기 위해 암호화 키를 사용자 손에 직접 쥐어주는 커스텀 메일 클라이언트도 개발 중이에요.

이 중 GDPR이 요구하는 건 하나도 없습니다. 그래도 이 정도는 기본이어야 한다고 봐요.

혹시라도 문제가 생긴다 해도, 전용 인스턴스 모델에서는 노출 범위가 한 조직으로 제한됩니다. 수백만 개의 메일함이 아니라요. 단 하나.

우리의 권고

이메일은 무언가가 강제하기 전까지는 좀처럼 재검토되지 않아요. 작동하니까, 그대로 두는 거죠. 하지만 GDPR 집행은 점점 정교해지고 있고, 커뮤니케이션 데이터로 AI를 학습시키는 일도 더 이상 일부의 우려가 아니며, 프라이버시를 부차적으로 다루는 기업들은 점점 눈에 띄고 - 점점 책임을 묻게 됩니다. 법무팀과 기술팀에 우리 이메일이 실제로 어떻게 처리되는지, 어디에 보관되는지, 공급자 약관이 그들에게 어떤 행위를 허용하는지 물어볼 만한 가치가 있어요.