GDPR가 이메일에 의미하는 것 - 그리고 다루지 않는 것

GDPR이 요구하는 것

본질적으로 GDPR은 개인정보가 특정 목적을 위해 수집되고, 그 목적으로만 사용되며, 합리적인 주의로 보호되고, 더 이상 필요하지 않을 때 삭제되어야 한다고 정합니다.

이메일에 한정해서 보면 몇 가지 실무적인 의미가 있어요. 데이터는 정의되고 보호된 장소에 있어야 하고, 접근은 통제되고 기록되어야 합니다. 사용자나 조직이 삭제를 요청하면 실제로 삭제되어야 해요 - 데이터베이스에는 플래그만 달아두고 실제 내용은 몇 년씩 남아 있는 식이면 안 됩니다.

이 마지막 지점이 생각보다 중요해요. 진짜 삭제란 데이터베이스에서 삭제가 처리되고, 백업도 정해진 일정에 따라 만료되는 것입니다. 복잡한 일은 아니지만, 의도가 있어야 가능한 일이에요.

"준수"라는 말이 복잡해지는 지점

GDPR은 데이터 보호를 다룹니다. 제공업체가 약관에 공개해 두기만 한다면, 자사 시스템 내에서 사용자 데이터를 활용하는 것 자체를 막지는 않아요. 제공업체가 GDPR을 완전히 준수하면서도 이메일 내용을 내부 모델 학습, 필터링 시스템 개선, 제품 결정에 활용하는 것이 가능합니다.

대부분의 사람은 약관을 자세히 읽지 않아요. "준수"라는 말을 보면 자기 서신이 사적인 것으로 다뤄진다고 가정하죠. 그 두 가지가 항상 같은 의미인 건 아닙니다.

이메일 커뮤니케이션에서의 GDPR은 다릅니다

GDPR 논의는 대부분 동의에 초점이 맞춰져 있어요 - 이메일 수신에 동의했는지, 데이터 처리에 동의했는지. 그런데 일반적인 업무 서신은 작동 방식이 다릅니다. 공급업체가 견적을 보내올 때, 클라이언트가 브리프를 보낼 때, 동료가 문서를 전달할 때 - 아무도 서명한 적이 없고, 아무도 옵트인 한 적이 없어요.

GDPR에서 이메일 내용은 개인정보에 해당합니다. 이름, 이메일 주소, 첨부파일, 사람에 관한 대화 - 전부 규정의 정의에 들어가요. 발신자 이름은 헤더에 있고, 그 사람의 말은 본문에 있어요. 사람들은 비밀번호, 접근 자격 증명, 계약서, 재무 정보를 보내면서 그 내용이 실제로 어디로 가는지 한 번도 생각하지 않습니다. GDPR에 따르면 단독으로든 결합해서든 개인을 식별할 수 있는 데이터는 모두 해당돼요. 이메일 스레드는 쉽게 해당됩니다.

그렇다면 수신자가 그 메시지를 저장하고 처리하는 데에는 어떤 법적 근거가 적용될까요? GDPR은 모든 처리에 적법한 근거를 요구합니다. 수신한 업무 서신에 대해 가장 자주 언급되는 근거는 "정당한 이익"이에요 - 당사자 간에 관련성 있고 비례하는 관계가 있다는 개념이죠. 쉽게 말하면, 업무 과정에서 받은 이메일을 저장하는 것은 합리적이라는 거예요. 인지하든 못하든, 대부분의 조직이 의존하고 있는 근거입니다.

일부 조직은 합의가 없다는 문제를 푸터 면책 조항으로 다루려고 합니다 - 지정된 수신자만을 위한 메시지이며 무단 사용을 금지한다는 문구죠. 이런 면책 조항은 법적 의무를 만들어내지 않아요. 발신자가 메시지에 대한 통제권을 이미 잃은 뒤에 붙는 것이고, 아무런 합의도 맺지 않은 인프라에 도착하니까요. 의도를 드러낼 수는 있어도, 누구를 구속하지는 못합니다. 법적 문제를 넘어서 실무적인 문제도 있어요. 약관이 무엇을 허용하든, 서신에 대해 사람들이 암묵적으로 기대하는 사생활은 분명히 존재합니다. 그 기대가 깨질 때 - 제공업체에 의해, 의도적이든 아니든 - 신뢰의 손상은 보통 영구적입니다.

Grace Mail에서는 어떻게 접근하는가

Grace Mail은 규제의 최소 요건을 넘어서는 원칙 위에 설계했어요. 여러분의 데이터는 조직 외부의 누구도 - 저희 포함 - 읽거나, 사용하거나, 접근할 수 없어야 한다는 원칙입니다.

실제로는 클라이언트별 전용 인스턴스를 의미해요 - 여러분의 서버, 여러분의 데이터, 공유 인프라 없음. 암호화를 공격적으로 적용해서, 콘텐츠가 암호화된 저장소 밖에 존재하는 시간을 최소화한다는 의미이기도 합니다. 요청 시 실제 삭제가 이뤄지고, 백업도 정해진 일정에 따라 만료된다는 의미예요. 그리고 보안을 더 강화하기 위해, 암호화 키를 사용자 손에 직접 쥐여주는 자체 메일 클라이언트를 개발 중입니다.

이 중 어느 것도 GDPR이 요구하는 사항은 아니에요. 그래도 이게 기본선이어야 한다고 생각합니다.

혹시라도 문제가 생긴다면, 전용 인스턴스 모델 덕분에 노출은 한 조직으로 한정됩니다. 수백만 개의 메일박스가 아니라요. 하나로요.

제안

이메일은 무언가 강제하지 않는 한 잘 재검토되지 않아요. 작동하니까 그대로 둡니다. 하지만 GDPR 집행은 점점 성숙해지고 있고, 커뮤니케이션 데이터로 AI를 학습시키는 일은 더 이상 일부의 우려가 아니며, 프라이버시를 부차적으로 다루는 기업들은 점점 더 눈에 띄고 있어요 - 그리고 책임도 점점 더 무거워지고 있습니다. 법무팀과 기술팀에 한번 물어볼 가치가 있어요. 우리 이메일이 실제로 어떻게 처리되고, 어디에 있으며, 제공업체의 약관이 그것으로 무엇을 할 수 있게 허용하고 있는지를요.