§
목록으로 돌아가기
소비자보호

2026년 GDPR에 따른 잊혀질 권리

GDPR 제17조에 따른 잊혀질 권리(삭제권): 삭제 요청, Google 검색 결과 제거, 미디어 vs 개인정보, 헝가리 NAIH 관행.

D

Dr. Nagy Ildikó

서론

디지털 시대에 인터넷은 ‘잊지 않습니다’ — 한번 공개된 정보는 수십 년이 지나도 접근 가능한 상태로 남아 있어, 직업적 평판, 개인적 관계, 사회적 편입에 영향을 미칠 수 있습니다. 잊혀질 권리(right to be forgotten, droit à l’oubli)는 정보주체가 자신의 개인정보 삭제를 요청하거나, 검색엔진 검색 결과 목록에서 자신에 관한 정보의 접근 불가를 요청할 수 있는 권리를 표현합니다. 이 법제도는 일반개인정보보호규정(GDPR) 제17조에 의해 실정법적 형태를 갖추게 되었으며, 최근 몇 년간 유럽 및 헝가리 법 실무에서 상당한 발전을 이루었습니다.

잊혀질 권리의 법적 발전

Google Spain 판결: 시작

잊혀질 권리의 유럽 법 발전에서 이정표적 사건은 유럽연합사법재판소(CJEU) C-131/12 판결(Google Spain SL 및 Google Inc. 대 스페인 개인정보보호청(AEPD) 및 Mario Costeja González, 2014년 5월 13일)입니다. 이 사건에서 CJEU는 다음과 같이 판시하였습니다:

  1. 검색엔진 서비스 제공자는 검색 결과의 인덱싱 및 표시와 관련하여 개인정보처리자에 해당한다
  2. 정보주체는 자신에 관한 검색 결과의 제거를 위해 검색엔진 서비스 제공자에게 직접 청구할 수 있다
  3. 정보주체의 권리는 원칙적으로 검색엔진 서비스 제공자의 경제적 이익 및 인터넷 이용자의 정보 취득 이익에 우선한다

이 판결은 정보주체가 검색엔진에 이른바 디리스팅(delisting, 검색 결과 제거) 요청을 제출할 수 있는 법적 근거를 마련했습니다.

GDPR 제17조: 삭제권의 성문화

GDPR 제17조는 삭제권(잊혀질 권리)을 다음 경우에 근거하여 규정합니다:

  1. 개인정보가 수집 또는 처리 목적에 더 이상 필요하지 않은 경우
  2. 정보주체가 동의를 철회하고, 처리의 다른 법적 근거가 없는 경우
  3. 정보주체가 제21조 제(1)항에 따라 처리에 이의를 제기하고, 처리에 대한 우선하는 정당한 사유가 없는 경우
  4. 개인정보가 위법하게 처리된 경우
  5. 개인정보처리자에게 적용되는 EU 또는 회원국 법률에 의한 법적 의무의 이행을 위해 삭제해야 하는 경우
  6. 개인정보가 제16조 제(1)항에 따른 정보사회서비스 제공과 관련하여 수집된 경우(아동 데이터 보호)

잊혀질 권리의 제한

GDPR 제17조 제(3)항은 삭제를 요청할 수 없는 경우를 한정적으로 열거합니다:

  • 표현의 자유 및 정보 접근의 자유 행사를 위해 필요한 처리
  • 개인정보처리자에게 적용되는 EU 또는 회원국 법률에 의한 법적 의무의 이행을 위해 필요한 처리
  • 공중보건 분야에서의 공익을 위해 필요한 처리
  • 공익적 기록보존, 학술·역사 연구, 통계 목적의 처리
  • 법적 청구의 제기, 행사 또는 방어를 위해 필요한 처리

Google 디리스팅 실무

삭제 요청 제출

Google은 — 가장 널리 사용되는 검색엔진으로서 — 삭제 요청 처리를 위한 절차를 마련했습니다. 요청은 Google의 전용 온라인 양식을 통해 제출합니다. 요청에는 다음이 포함되어야 합니다:

  • 정보주체의 식별 정보
  • 제거를 요청하는 검색 결과의 정확한 URL
  • 문제된 결과가 표시되는 검색어(query)
  • 제거 사유(정보주체가 어떤 GDPR 법적 근거를 원용하는지)

Google의 심사 기준

Google은 요청 심사 시 다음 기준을 고려합니다:

  1. 정보주체의 공적 역할: 공인의 경우 잊혀질 권리는 일반인에 비해 더 제한적
  2. 정보의 성격: 범죄, 정치적 의견, 건강 상태에 관한 데이터는 달리 판단
  3. 정보의 시의성: 오래되어 더 이상 관련이 없는 정보의 삭제는 보다 용이하게 인정
  4. 공개의 맥락: 정보주체가 원래 공개에 동의했는지 여부
  5. 정보의 출처: 공식 출처(예: 법원 판결) 또는 비공식 출처에서 비롯되었는지

CJEU C-507/17 판결: 영토성 문제

CJEU C-507/17 판결(Google LLC 대 프랑스 국가정보자유위원회(CNIL), 2019년 9월 24일)에서 법원은 검색엔진 서비스 제공자가 디리스팅 의무를 전 세계적으로가 아니라 EU 회원국에서 접근 가능한 버전에만 적용하면 된다고 판시했습니다. 이는 제거된 검색 결과가 google.com의 비EU 버전에서는 여전히 표시될 수 있음을 의미하며, 다만 Google은 EU IP 주소에 대해 지리적 필터링을 적용합니다.

미디어 대 개인정보: 권리의 충돌

제한으로서의 표현의 자유

잊혀질 권리의 행사에서 특히 민감한 문제는 언론의 자유와 개인정보 보호권의 충돌입니다. GDPR 제17조 제(3)항 a호는 표현의 자유 및 정보 접근의 자유 행사를 위해 필요한 처리를 삭제 의무에서 명시적으로 면제합니다.

헝가리 기본법(Alaptörvény) 제IX조는 표현의 자유와 언론의 자유를 보장하고, 제VI조는 사생활 및 개인정보 보호권을 규정합니다. 이 두 기본권이 충돌할 경우 형량(balancing)이 필요하며, 그 결과는 사안의 모든 상황에 달려 있습니다.

대법원(Kúria)의 판례

대법원(Kúria)은 여러 판결에서 인격권과 언론의 자유의 충돌을 다루었습니다. 판례에 따른 형량의 주요 기준:

  • 정보주체가 공인인지: 공인의 인격권 보호는 공적 활동 관련 보도에서 더 좁은 범위(Ptk. 제2:44조)
  • 공개된 정보가 공익적인지: 공적 사안의 자유로운 논의에 대한 이익은 광범위한 보호를 받음
  • 공개가 필요하고 비례적인지: 보도의 범위와 방식이 공익적 정보 전달 목적에 비례하는지
  • 시간 경과의 효과: 충분히 오래된 정보의 경우 정보주체의 사생활 이익이 강화

형사 보도의 문제

형사 보도의 검색엔진 제거는 특히 복잡한 법적 쟁점을 제기합니다. 판례에 따르면:

  • 확정 무죄 판결의 경우 정보주체의 삭제 청구는 일반적으로 정당
  • 형의 집행 후 전과 불이익으로부터의 면제(사회복귀/재활) 시점에서 정보주체의 청구가 강화
  • 진행 중인 형사절차의 경우 일반적으로 공중의 정보 접근 이익이 우선

NAIH의 실무

NAIH: 감독기관

**국가개인정보보호및정보자유청(NAIH)**은 GDPR 제51조에 따른 감독기관으로서, 잊혀질 권리의 행사와 관련하여도 절차를 진행할 수 있습니다. 정보주체는 개인정보 처리가 GDPR 규정을 위반했다고 판단하는 경우 GDPR 제77조에 따라 NAIH에 민원을 제기할 수 있습니다.

NAIH의 결정 실무

NAIH는 최근 몇 년간 잊혀질 권리 관련 문제에 대해 다수의 결정을 내렸습니다. 기관 실무에서 강조되는 주요 원칙:

  1. 처리의 법적 근거 심사: NAIH는 삭제 요청 심사 시 먼저 처리의 법적 근거가 존재하는지를 심사합니다. 법적 근거가 소멸한 경우(예: 동의 철회) 삭제는 의무적입니다.

  2. 이익 형량: 처리가 정당한 이익에 근거한 경우(GDPR 제6조 제(1)항 f호), NAIH는 개인정보처리자의 정당한 이익과 정보주체의 사생활 이익을 형량합니다.

  3. 검색엔진의 책임: NAIH는 CJEU Google Spain 판결에 부합하여, 검색엔진이 독립적인 개인정보처리자에 해당하며 디리스팅 요청을 실질적으로 심사할 의무가 있음을 인정합니다.

  4. 접근 제한의 대안: 일부 사안에서 NAIH는 완전한 삭제가 아니라 검색엔진에서의 제거(디리스팅)를 명할 수 있으며, 이는 원본 콘텐츠 자체는 적법하게 처리될 수 있기 때문입니다(예: 언론사 아카이브).

불복 수단

NAIH가 정보주체의 민원을 기각하거나 검색엔진 서비스 제공자가 디리스팅 요청을 거부한 경우, 정보주체는 다음의 불복 수단을 이용할 수 있습니다:

  • NAIH 결정에 대한 사법적 심사: 부다페스트 수도법원(Fővárosi Törvényszék) 전 (GDPR 제78조)
  • 개인정보처리자에 대한 직접 소송: 정보주체의 거주지 또는 개인정보처리자의 사업장 소재 회원국 법원에서 절차 개시 가능 (GDPR 제79조)
  • 손해배상 청구 (GDPR 제82조): GDPR 위반으로 재산적 또는 비재산적 손해를 입은 자는 배상받을 권리가 있음

잊혀질 권리 행사를 위한 실무 조언

삭제 요청의 준비

성공적인 삭제 요청을 위해 다음 단계를 권장합니다:

  1. 문제된 콘텐츠를 문서화하세요: 검색 결과 및 관련 페이지의 스크린샷 촬영
  2. 법적 근거를 확인하세요: GDPR 제17조의 어떤 조항에 근거하는지 결정
  3. 이익 형량에 대비하세요: 공중의 정보 접근 이익에 대비하여 사생활 이익이 왜 우선하는지 설명
  4. 제거 요청 URL을 정확히 특정하세요: 웹사이트 전체에 대한 일반적 요청은 일반적으로 인용되지 않음

삭제 요청이 성공할 수 있는 전형적 사례

  • 오래되어 더 이상 관련이 없는 채무자 목록에의 등재
  • 확정 무죄 판결로 종결된 형사 사건의 보도 자료
  • 사적 정보(예: 건강 상태)의 의도치 않은 공개
  • 미성년 정보주체의 데이터
  • 허위 또는 부정확한 정보의 검색엔진 표시

요약

잊혀질 권리는 GDPR의 가장 중요하고 역동적으로 발전하는 법제도 중 하나로, 디지털 시대에 인간 존엄성 및 사생활 보호에 관한 기본권을 보장하는 역할을 합니다. 헝가리 법 실무에서 — NAIH 결정 및 법원 판결을 통해 — 삭제권 행사의 요건과 한계가 점점 더 명확해지고 있습니다. 정보주체에게는 필요시 법률 전문가의 도움을 받아 이 권리를 의식적이고 근거 있게 행사할 것을 권장합니다.

디지털 발자국(digital footprint)의 관리는 오늘날 근본적으로 중요한 문제가 되었으며 — 잊혀질 권리는 이를 위한 필수 불가결한 도구를 제공합니다.

본 글은 정보 제공 목적이며 법률 자문에 해당하지 않습니다. 개별 사안에 대해서는 전문 변호사의 상담을 권장합니다.

#GDPR #잊혀질 권리 #개인정보보호 #NAIH
공유: