GDPR가 이메일에 의미하는 것 - 그리고 다루지 않는 것

GDPR이 요구하는 것

핵심만 말하면 GDPR은 개인정보가 특정 목적을 위해 수집되어 그 목적에만 사용되어야 하고, 합리적인 수준으로 보호되어야 하며, 더 이상 필요하지 않을 때 삭제되어야 한다는 원칙을 세웁니다.

이메일에 한정하면 몇 가지 실질적인 의미가 있어요. 데이터는 정해진 보호 공간에 있어야 하고, 접근은 통제되고 기록되어야 합니다. 사용자나 조직이 삭제를 요청하면 그 삭제는 진짜여야 해요 - 실제 콘텐츠는 몇 년간 그대로 남아 있는데 데이터베이스에 플래그만 살짝 표시하는 식이면 안 됩니다.

마지막 부분이 들리는 것보다 훨씬 중요해요. 진정한 삭제란 데이터베이스가 삭제 작업을 처리하고, 백업도 정해진 일정에 따라 만료되는 것입니다. 복잡하지 않지만, 의도가 있어야 가능한 일이에요.

"준수"가 애매해지는 지점

GDPR이 다루는 건 데이터 보호입니다. 공급업체가 자체 시스템 내에서 데이터를 사용하는 것 자체는 금지하지 않아요. 약관에 공개되어 있기만 하면요. 공급업체는 GDPR을 완전히 준수하면서도 이메일 콘텐츠로 내부 모델을 학습시키거나, 필터링 시스템을 개선하거나, 제품 의사결정에 활용할 수 있습니다.

대부분 약관을 꼼꼼히 읽지 않아요. "준수"라고 하면 자신의 서신이 비공개로 다뤄진다는 뜻으로 받아들이죠. 그런데 그 둘은 늘 같은 게 아닙니다.

이메일 커뮤니케이션에서의 GDPR은 다르다

GDPR 논의는 대부분 동의에 초점을 맞춰요 - 이 사람이 이메일 수신에 동의했는지, 데이터 처리에 동의했는지. 그런데 일반적인 업무 서신은 작동 방식이 달라요. 공급업체가 견적을 보내올 때, 고객이 브리프를 보낼 때, 동료가 문서를 전달할 때 - 아무도 어떤 서명도 하지 않습니다. 옵트인도 없죠.

이메일 콘텐츠는 GDPR상 개인정보예요. 이름, 이메일 주소, 첨부파일, 사람에 관한 대화 - 모두 규제의 정의 안에 들어갑니다. 발신자 이름은 헤더에, 그들의 말은 본문에 있어요. 사람들은 비밀번호, 접근 자격 증명, 계약서, 재무 정보까지 보냅니다 - 그 내용이 실제로 어디에 도착하는지 별 생각 없이요. GDPR에 따르면, 단독으로든 조합으로든 개인을 식별하는 데 쓰일 수 있는 모든 데이터가 해당돼요. 이메일 스레드는 너무나 쉽게 해당됩니다.

그렇다면 수신자가 그 메시지를 저장하고 처리하는 법적 근거는 무엇일까요? GDPR은 모든 처리에 적법한 근거를 요구합니다. 수신된 업무 서신에 가장 흔히 인용되는 근거는 "정당한 이익"이에요 - 당사자 간에 관련성 있고 비례하는 관계가 존재한다는 개념이죠. 쉽게 말하면 업무 과정에서 이메일을 받았으니 저장하는 게 합리적이라는 거예요. 대부분의 조직이 알든 모르든 의존하고 있는 근거가 바로 이것입니다.

일부 조직은 합의 부재 문제를 푸터 면책 조항으로 해결하려고 해요 - 이 메시지는 명시된 수신자에게만 의도된 것이며 무단 사용은 금지된다는 문구죠. 이런 면책 조항은 법적 의무를 만들어내지 않아요. 발신자가 이미 자기 통제를 벗어난 메시지에 붙이는 것이고, 어떤 합의도 없는 인프라에 도착하는 거니까요. 의도는 드러낼 수 있어도 누구도 구속하지 못합니다. 그리고 법적 문제를 넘어 실용적인 문제도 있어요: 서신에 대해 암묵적으로 기대되는 프라이버시는 어떤 약관이 무엇을 허용하든 상관없이 실재합니다. 그 기대가 깨지면 - 공급업체에 의해, 의도적이든 아니든 - 신뢰의 손상은 영구적인 경우가 많아요.

Grace Mail에서 우리가 접근하는 방식

Grace Mail은 규제 최소치를 넘어서는 원칙을 중심으로 설계했어요. 여러분의 데이터는 조직 외부의 누구에게도 - 우리를 포함해 - 읽히거나, 사용되거나, 접근 가능해서는 안 됩니다.

실제로는 고객별 전용 인스턴스를 의미해요 - 여러분의 서버, 여러분의 데이터, 공유 인프라 없음. 암호화를 적극적으로 적용해서, 콘텐츠가 암호화된 저장소 밖에 존재하는 시간을 최소화한다는 뜻이고요. 요청 시 진짜 삭제가 이루어지고, 백업은 정해진 일정에 따라 만료된다는 뜻이에요. 그리고 보안을 한층 더 강화하기 위해 암호화 키를 사용자 손에 직접 쥐여주는 커스텀 메일 클라이언트도 개발 중입니다.

이 중 어느 것도 GDPR이 요구하는 건 아니에요. 그래도 이게 기본선이 되어야 한다고 생각합니다.

아주 드물게 무언가 잘못되더라도, 전용 인스턴스 모델 덕분에 노출 범위가 한 조직에 한정돼요. 수백만 개의 메일박스가 아니라. 하나입니다.

우리의 권고

이메일은 무언가 강제하기 전까진 좀처럼 재검토되지 않아요. 잘 돌아가니까 그대로 두는 거죠. 하지만 GDPR 집행은 점점 성숙해지고 있고, 커뮤니케이션 데이터로 AI를 학습시키는 일은 더 이상 일부의 우려가 아니며, 프라이버시를 뒷전으로 두는 기업들은 점점 더 눈에 띄고 - 점점 더 책임을 지게 되고 있습니다. 법무팀과 기술팀에 한번 물어볼 만한 가치가 있어요. 우리 이메일이 실제로 어떻게 처리되는지, 어디에 있는지, 공급업체의 약관이 그 데이터로 무엇을 하도록 허용하는지요.