이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
비즈니스 네트워킹과 GDPR, 우리가 놓치고 있는 경계선
지난해 가을, 베를린에서 열린 한 스타트업 컨퍼런스. 행사가 끝나고 명함을 교환하던 한국 기업 관계자가 독일 투자자에게 물었다. “명함 드렸으니 다음 주에 이메일로 제안서 보내드려도 될까요?” 투자자는 잠시 뜸을 들이더니 답했다. “물론이죠. 단, GDPR 안내 메일도 함께 보내주세요.”
이 짧은 대화는 유럽에서 비즈니스를 하는 이들이 마주한 새로운 현실을 압축한다. 명함 한 장을 주고받는 순간부터, 우리는 이미 개인정보보호 규정의 영역 안에 있다.
명함은 언제부터 ‘데이터’가 되는가
전시회나 미팅에서 명함을 주고받는 일은 여전히 흔하다. 디지털 시대라 해도, 명함은 관계의 출발점이다. 그런데 유럽연합 개인정보보호규정(GDPR)이 시행된 이후, 이 익숙한 행위가 뜻밖의 질문을 던지기 시작했다.
“명함도 개인정보인가?” “명함을 받는 순간부터 GDPR이 적용되는가?”
처음엔 많은 사람들이 고개를 갸웃했다. 명함은 이름과 연락처가 적힌 작은 종이 한 장일 뿐이다. 하지만 GDPR의 관점에서 보면, 문제는 종이가 아니라 그 안에 담긴 정보와 이후의 처리 방식이다.
GDPR은 이름, 이메일 주소, 전화번호처럼 개인을 식별할 수 있는 모든 정보를 ‘개인정보’로 본다. 명함에 적힌 정보는 정확히 여기에 해당한다. 그렇다고 명함을 주고받는 행위 자체가 곧바로 위법이 되는 것은 아니다. 문제는 그 다음 단계다.
명함을 받은 뒤, 그 정보를 저장하고, 관리하고, 활용하는 순간, GDPR의 규율이 시작된다. 이 지점에서 법과 일상 사이의 긴장이 생긴다. GDPR은 투명성과 책임을 요구하지만, 현실의 네트워킹은 빠르고 비공식적으로 이루어지기 때문이다.
“명함을 받자마자 설명해야 하나?”
GDPR 시행 직후 독일 언론에서는 이 문제가 뜨겁게 다뤄졌다. 일부 기사는 “명함을 받는 즉시 개인정보 처리 목적을 설명해야 할 수도 있다”고 보도하며 혼란을 가중시켰다.
이에 대해 베를린 개인정보보호 감독기구는 비교적 분명한 입장을 보였다. 핵심은 단순하다. 명함을 받는 행위만으로는 GDPR상의 정보제공 의무가 즉시 발생하지 않는다는 것이다. 명함을 일시적으로 받거나 보관하는 단계에서는 아직 개인정보 ‘처리’라고 보기 어렵다.
그러나 명함 정보를 주소록이나 고객 관리 시스템, CRM 등에 입력하거나 후속 연락을 위해 체계적으로 관리하기 시작하면 상황은 달라진다. 이때부터 명함은 더 이상 단순한 종이가 아니라, 관리되는 개인정보 데이터가 된다.
명함을 줬다는 건 동의 아닌가?
현장에서 가장 많이 나오는 질문이다. 상대방이 스스로 명함을 건넸다면, 연락하거나 저장해도 되는 것 아니냐는 주장이다.
전문가들의 해석은 절충적이다. 명함을 건네는 행위에는 일정한 묵시적 기대, 즉 연락 가능성에 대한 암묵적 동의가 포함돼 있다고 볼 수 있다. 따라서 일대일 후속 연락 자체는 대부분 문제되지 않는다.
그러나 이 묵시적 동의에는 분명한 한계가 있다. 명함을 줬다고 해서 자동으로 뉴스레터, 광고 메일, 마케팅 정보 수신에 동의한 것은 아니다. 명함을 받은 뒤 별도의 안내 없이 홍보성 메일을 보내는 행위는 GDPR 위반 소지가 크다는 데 전문가들의 의견은 대체로 일치한다.
법적 근거는 무엇인가
GDPR은 개인정보 처리를 정당화할 수 있는 몇 가지 법적 근거를 제시한다. 명함의 경우 주로 세 가지가 논의된다.
첫째, 동의다. 가장 명확하고 안전한 근거지만, 현실에서는 서면 동의를 받기 어렵다. 구두 동의도 가능하지만, 나중에 이를 입증하기는 쉽지 않다.
둘째, 계약 관계다. 이미 계약이 체결된 고객이라면 명함 정보 활용에 문제가 없다. 다만 단순한 명함 교환만으로는 계약이 성립됐다고 보기는 어렵다.
셋째, 정당한 이익이다. 비즈니스 네트워킹이라는 목적은 일정 부분 정당한 이익으로 인정될 수 있다. 다만 이 경우에도 정보주체의 권리를 침해하지 않아야 하며, 투명성은 반드시 확보돼야 한다.
어떤 근거를 택하든 공통적으로 따라붙는 의무가 있다. 바로 정보제공 의무다.
결국 핵심은 ‘알리는 것’
GDPR은 개인정보를 처리하지 말라고 요구하지 않는다. 대신 알리고, 설명하고, 선택할 수 있게 하라고 요구한다. 이것이 바로 GDPR의 핵심 목적인 투명성 확보다.
GDPR은 개인정보를 처리하는 경우, 해당 당사자에게 어떤 정보가, 어떤 목적으로, 어떤 법적 근거로 처리되는지, 그리고 어떤 권리가 있는지 알려야 한다고 규정한다. 이는 특히 제13조에 명시돼 있다. 제13조는 데이터를 직접 당사자로부터 수집할 때의 정보제공 의무를 다룬다.
명함의 경우가 바로 여기에 해당한다. 원칙적으로는 개인정보 수집 시점에 정보를 제공해야 하지만, 명함 교환 상황에서 이를 즉시 이행하는 것은 현실적이지 않다. 그래서 실무에서 가장 널리 권장되는 방식은 이렇다. 명함을 저장하거나 활용하기로 했다면, 가능한 한 빠른 시점에 이메일로 개인정보 처리에 대한 안내를 보내는 것이다.
이 안내에는 누가 데이터를 처리하는지, 어떤 목적으로 사용하는지, 법적 근거는 무엇인지, 얼마나 보관하는지, 그리고 원치 않을 경우 어떻게 거부할 수 있는지가 담겨야 한다. 정보가 상세하다 보니 1~2문장으로 끝나지 않고 한 페이지 분량이 될 수도 있다. 이는 법적 리스크를 줄이기 위한 조치이기도 하지만, 동시에 상대방에게 신뢰를 주는 행위이기도 하다.
규제는 관계를 막기 위한 것이 아니다
GDPR을 비즈니스의 장애물로만 보는 시각도 여전히 존재한다. 그러나 명함을 둘러싼 논의를 살펴보면, 이 규정의 본래 목적이 드러난다.
GDPR은 관계를 끊으라는 법이 아니라, 관계를 투명하게 만들라는 법이다. 명함 교환 후 보내는 간단한 안내 메일은 형식적인 의무를 넘어, “당신의 정보를 존중한다”는 메시지가 될 수 있다.
어쩌면 명함 한 장이 던지는 질문은 단순히 법적 준수의 문제가 아닐지도 모른다. 그것은 디지털 시대에 우리가 어떻게 관계를 형성해가는가에 대한 새로운 에티켓이자, 신뢰를 쌓는 방식에 대한 질문이다. 명함 한 장에 담긴 이름과 번호는 여전히 관계의 시작점이지만, 이제 그 관계는 투명성과 존중 위에서 시작된다.
1439호 16면, 2025년 12월 19일