
Paperis 아티클
잊혀질 권리 — 인터넷은 잊지 않는다
지우고 싶은 과거 vs 알 권리 — 인터넷이 잊지 않는 시대, 두 권리는 어디서 부딪치나
법학 · 2026년 6월 21일
잊혀질 권리 — 인터넷은 잊지 않는다
지우고 싶은 과거가 누구에게나 있다. 오래전의 빚 독촉 기사, 철없던 시절의 사진, 이미 형을 다 마친 범죄 기록. 종이 시대였다면 그것들은 도서관 서고 어딘가에서 천천히 잊혔을 것이다. 그러나 인터넷은 다르다. 내 이름을 검색창에 넣는 단 한 번의 동작으로, 그 과거는 처음 그 순간처럼 선명하게 따라온다. 채용 담당자도, 첫 데이트 상대도, 거래처도 가장 먼저 하는 일이 검색이다 (DOI: 10.1017/s1867299x00003949).
여기서 두 권리가 충돌한다. 한쪽에는 잊혀지고 싶은 개인의 권리가 있고, 다른 쪽에는 알 권리와 표현의 자유가 있다. 이 글은 그 충돌을 따라간다. 유럽이 세운 '잊혀질 권리', 미국에서 그것이 왜 약한가, 진짜 삭제가 왜 기술적으로 어려운가, 그리고 — 솔직하게 — 이 권리가 아직 얼마나 미완성인가까지.
인터넷은 잊지 않는다
문제의 출발점은 단순하다. 한번 공개 영역에 풀린 정보는 되돌리기가 거의 불가능하다는 것. 부모가 아이의 건강·투병 이야기를 SNS에 올리면, 그 정보는 아이의 평생을 따라다닐 수 있고 인터넷에서 지우기는 사실상 불가능하다 (DOI: 10.2139/ssrn.6226899). 한 에세이는 디지털 인프라가 단순히 과거를 저장하는 게 아니라 '보존'을 기본값으로 만들어, 사건이 더는 작동하지 않게 되는 '소멸의 문턱'을 없애 버린다고 분석한다 (DOI: 10.2139/ssrn.6271698).
이건 어른만의 문제가 아니다. 스페인 청소년 652명을 조사한 연구에서, 10대들조차 인터넷이 과거를 영구히 접근 가능하게 만든다는 점을 인식하고 '잊혀질 권리'의 필요를 느끼고 있었다 (DOI: 10.15581/003.35.4.19-36). 동시에 이 권리는 본질적으로 누군가의 기억과 충돌한다. 잊혀질 권리는 사생활 보호와 '알 권리'·기록 접근권 사이의 근본적 긴장을 만들어 내며, 집단적 기억과 기록 관리에까지 영향을 미친다 (DOI: 10.1007/978-3-031-18667-7_5). 지우려는 손과 알려는 손이 같은 정보를 두고 맞잡는 셈이다.
유럽의 '잊혀질 권리' — 구글 스페인과 GDPR 제17조
이 긴장을 처음으로 법적 권리로 끌어올린 것이 유럽이다. 분기점은 2014년 5월 13일, 유럽사법재판소(CJEU)의 '구글 스페인(Google Spain)' 판결이었다. 스페인 변호사 마리오 코스테하 곤살레스의 이름을 검색하면 1998년의 재정 문제 신문 공고로 가는 링크가 떴는데, 그는 그 검색 결과를 지워 달라고 요구했다 (DOI: 10.1017/s1867299x00003949). 재판소는 검색엔진을 단순한 중개자가 아니라 개인정보의 '처리자(data controller)'로 보았다. 검색 결과가 한 사람에 대한 구조화된 프로필을 만들어 내기 때문이다. 그리고 검색엔진 운영자의 단순한 경제적 이익만으로는 그 침해가 정당화되지 않으며, 원래 출처(신문)에는 정보가 남더라도 검색 결과에서는 삭제할 수 있다고 판단했다 (DOI: 10.7238/idp.v0i18.2371). 결정적으로 이 권리는 적법하게 공개된 정보에까지 확장될 수 있었다 (DOI: 10.1017/s1867299x00003949).
이후 이 권리는 GDPR(유럽 일반개인정보보호법)의 **제17조 '삭제권(right to erasure)'**으로 성문화됐다. 제17조는 목적의 소멸, 동의 철회, 위법한 처리 등 삭제를 청구할 수 있는 요건을 정하면서도, 표현의 자유, 공적 임무, 기록보존, 연구, 법적 청구를 위한 예외를 함께 둔다 (DOI: 10.1093/oso/9780198847977.003.0004). 즉 처음부터 '무조건 삭제'가 아니라 '조건과 예외가 붙은 권리'로 설계된 것이다 (DOI: 10.1093/oso/9780198826491.003.0049). 한 가지 중요한 구분도 있다. GDPR에서 삭제와 익명화는 다르다 — 오직 삭제만이 '지운다'는 법적 의무를 충족하고, 익명화는 데이터의 계속 사용을 허용한다 (DOI: 10.25143/socr.22.2022.1.114-126).
이 권리의 실체는 사안마다 형량(balancing)으로 정해진다. 예컨대 형을 다 마친 범죄 기록(spent convictions)을 둘러싼 영국의 NT1·NT2 대 구글 사건에서, 법원은 범죄의 성격, 공익, 갱생 가능성을 저울질해 두 사람의 결론을 달리했다 (DOI: 10.54648/erpl2022014). 같은 권리라도 유럽 안에서조차 적용 방식이 갈린다. 한 비교 연구는 유럽인권재판소(ECtHR)와 CJEU가 서로 영향을 주고받으며 비슷한 형량 기준을 쓰지만, CJEU는 더 규칙 기반의 범주적 판단을, ECtHR은 더 유연한 사안별 형량을 고수한다고 정리한다 (DOI: 10.1163/26663236-bja10155).
그래서 어디까지 지워지나 — 관할의 벽
권리가 선언됐다고 정보가 지구상에서 사라지는 건 아니다. 다음 다툼은 '관할'이었다. 구글 대 CNIL(프랑스 정보보호당국) 사건에서 CJEU는, 잊혀질 권리가 검색엔진에게 비유럽 버전(google.com 등)에서까지 결과를 지우라고 강제하지는 않는다고 판단했다 (DOI: 10.1093/ijlit/eaaa022). 즉 전 세계적 삭제(global de-referencing)는 원칙적으로 요구되지 않는다. 다만 회원국 당국이 기본권 형량 끝에 필요하다고 보면 모든 버전에서 삭제를 명할 여지는 남겼다 (DOI: 10.54648/gplr2020008). 결국 '얼마나 멀리까지 지워지는가'는 국경 앞에서 흐릿해진다.
미국에서는 왜 약한가 — 표현의 자유라는 벽
대서양 건너편의 그림은 사뭇 다르다. 미국에는 GDPR 제17조에 상응하는 성문 삭제권이 사실상 없다. 그 자리를 채우는 것은 잊혀질 권리 자체가 아니라, 저작권·명예훼손·상표 같은 다른 목적의 제도를 빌려 쓰는 우회 방식이다 (DOI: 10.29263/lar02.2019.02). 최근 일부 주(州)가 GDPR을 본떠 '삭제권'을 도입했지만, 집행 메커니즘과 세부 규정이 부실해 EU의 잊혀질 권리에 비하면 공허한 통제에 가깝다는 평가가 있다 (DOI: 10.37419/lr.v12.i2.10).
근본 원인은 법문화의 차이다. 한 비교법 연구는 잊혀질 권리를 '공적 영역에서의 프라이버시(privacy-in-public)'라는 대륙유럽적 관념의 전형으로 보며, 이는 표현의 자유(수정헌법 제1조)와 프라이버시를 다르게 짜 온 영미 전통과 정면으로 부딪친다고 분석한다 (DOI: 10.1017/s0020589323000258). 더 강한 표현으로, 어떤 저작은 유럽의 잊혀질 권리를 아예 '수정헌법 제1조의 적'으로 규정하며, 검색 결과에서의 데이터 삭제가 사상의 시장과 역사를 왜곡한다고 비판한다 (DOI: 10.5771/9781498549615). 유럽이 '잊혀질 권리'를 프라이버시의 승리로 본다면, 미국의 시선에는 같은 권리가 검열에 가깝게 비친다.
진짜 삭제는 어려운 일 — 기술적 난제
법이 "지워라"라고 명령해도, 그것을 끝까지 실행하는 건 또 다른 문제다. 전통적인 데이터베이스라면 한 줄을 지우면 그만이다. 그러나 그 데이터로 학습된 AI 모델에서는 사정이 다르다. 모델은 원본 레코드를 지워도 학습 과정에서 흡수한 영향을 그대로 품고 있어, 단순 삭제로는 그 흔적이 사라지지 않는다 (DOI: 10.22214/ijraset.2025.67269). 이 간극을 메우려는 시도가 '머신 언러닝(machine unlearning)' — 특정 학습 데이터의 영향을 모델에서 도려내려는 기술이다. 이는 GDPR의 잊혀질 권리 요구와 AI 시스템 내 데이터 잔존이라는 현실 사이의 틈을 메우려는 시도로 제시된다 (DOI: 10.36948/ijfmr.2025.v07i05.58292).
문제는 그 '도려냄'이 정말 됐는지 증명하기 어렵다는 데 있다. 한 실험 연구는 사전학습 신경망에 머신 언러닝을 적용한 뒤 멤버십 추론 공격(MIA)으로 검사했더니, 모델이 여전히 삭제됐어야 할 데이터의 정보를 보유하고 있음을 보여주며 언러닝의 한계를 드러냈다 (DOI: 10.32473/flairs.39.1.141797). 더 근본적으로, GDPR 제17조 준수를 주장해도 언러닝이 실제로 일어났음을 암호학적으로 증명할 검증 장치가 아직 없다는 지적도 있다 (DOI: 10.20944/preprints202603.2325.v1). 게다가 이 도려냄에는 대가가 따른다. 한 연구는 잊혀질 권리를 뒷받침하는 언러닝이 AI 시스템의 공정성을 해칠 수 있어, 삭제와 공정성 사이의 절충을 분석해야 한다고 본다 (DOI: 10.1007/s43681-023-00398-y). 앞서 본 에세이의 표현을 빌리면, 삭제 뒤에는 추론과 노출에 계속 영향을 미치는 '메타데이터·파라미터의 유령'이 남는다 (DOI: 10.2139/ssrn.6271698). '지웠다'는 선언과 '정말 지워졌다'는 사실 사이에는 아직 넓은 간극이 있다.
정직한 현주소
그래서 지금 잊혀질 권리는 어디쯤 와 있나. 솔직히 말하면, 선언은 됐지만 범위·집행·관할이 여전히 미정이다.
첫째, 권리의 확장 자체가 양날이다. 유럽 법원이 삭제권을 빠르게 넓혀 왔는데, 이것이 온라인 미디어 아카이브에 대한 대중의 접근을 해칠 수 있어 더 신중한 개혁이 필요하다는 경고가 있다 (DOI: 10.1177/1037969x20959839). 둘째, 집행은 균일하지 않다. 영국은 브렉시트 이후 데이터 보호의 기본권 지위가 약화되고 친(親)기업적 집행으로 기울었는데, 2024/25년 영국 정보위원회(ICO)가 부과한 과징금은 단 2건인 반면 EU는 1,396건이었다는 대비가 이를 보여준다 (DOI: 10.2139/ssrn.6504981).
셋째, 이 권리는 본질적으로 관할마다 다르다. 잊혀질 권리는 데이터 처리에서 벗어나려는 유럽적 정신에 뿌리를 두고 있어 (DOI: 10.2966/scrip.190122.120), 그 형태가 나라마다 갈린다. 인도는 GDPR에서 영감을 받아 디지털개인정보보호법(DPDP)에 잊혀질 권리를 담으면서 프라이버시·삭제권·표현의 자유·알 권리를 헌법 틀 안에서 형량하려 한다 (DOI: 10.52783/cana.v32.5114). 인도네시아는 관련 규정들 사이의 부정합으로 불확실성을 겪으며 GDPR의 더 유연한 삭제 메커니즘을 참고하라는 제언을 받는다 (DOI: 10.58824/mediasas.v8i4.501). 브라질은 '잊혀질 권리(direito ao esquecimento)'를 인간 존엄의 보호로 인정하되, 표현의 자유·알 권리와 균형을 맞춰야 하는 과제를 안고 있다 (DOI: 10.51891/rease.v11i4.18999). 실제로 이 권리에 대한 입법 논의는 브라질·일본·한국·러시아 등으로 번지고 있다 (DOI: 10.31235/osf.io/f7cqj_v1).
마무리
잊혀질 권리의 이야기가 까다로운 건, 어느 한쪽 손을 들어 주면 다른 쪽이 무너지기 때문이다. 개인이 잊혀질 권리를 온전히 가지면 알 권리와 역사가 깎이고, 표현의 자유를 끝까지 지키면 누군가는 지우고 싶은 과거에 평생 매인다. 유럽은 구글 스페인과 GDPR 제17조로 이 권리를 법으로 세웠지만 그조차 사안별 형량과 예외로 가득하고, 미국은 표현의 자유라는 벽 앞에서 이 권리를 받아들이길 주저한다. 게다가 기술은 '진짜 삭제'를 아직 보장하지 못한다.
그러니 정직한 결론은 단순한 선언이 아니라 형량이다. 인터넷이 잊지 않는 시대에, 무엇을 잊게 할지는 권리와 권리 사이의 저울 위에서 사안마다 다시 달릴 수밖에 없다. 그 정직한 형량이야말로, 한쪽으로 기울기 쉬운 이 논쟁에서 우리를 지켜 주는 방패다. 이 글이 인용한 것은 대부분 이 진화하는 영역을 다루는 법학적 분석이며, 결론은 관할에 따라 크게 갈린다는 점을 함께 기억해야 한다.
이 글은 정보 제공을 위한 것이며 법률 자문이 아닙니다. 잊혀질 권리는 관할마다 다르고 빠르게 진화하는 영역으로, 인용한 근거의 상당수는 법학 학술 분석입니다.
근거 논문
인터넷은 잊지 않는다 · 권리의 충돌
- 헬스 셰어런팅과 아동의 프라이버시(공개되면 지울 수 없음) (DOI: 10.2139/ssrn.6226899)
- 디지털 망각의 이론(보존이 기본값, 소멸의 문턱 상실) (DOI: 10.2139/ssrn.6271698)
- 스페인 청소년의 잊혀질 권리 인식 (DOI: 10.15581/003.35.4.19-36)
- 잊혀질 권리 vs 알 권리·기록 접근 (DOI: 10.1007/978-3-031-18667-7_5)
EU — 구글 스페인 · GDPR 제17조 · 형량
- 구글 스페인 판결 분석(검색엔진=처리자, 결과 삭제) (DOI: 10.7238/idp.v0i18.2371)
- 구글 스페인: 적법 공개 정보에도 delisting (DOI: 10.1017/s1867299x00003949)
- 제17조 삭제권의 요건과 예외(표현의 자유·기록보존 등) (DOI: 10.1093/oso/9780198847977.003.0004)
- 제17조 잊혀질 권리의 조건·예외 (DOI: 10.1093/oso/9780198826491.003.0049)
- 삭제와 익명화의 법적 구분 (DOI: 10.25143/socr.22.2022.1.114-126)
- 형 마친 범죄 기록과 잊혀질 권리(NT1·NT2 v 구글) (DOI: 10.54648/erpl2022014)
- ECtHR vs ECJ의 형량·범주화 (DOI: 10.1163/26663236-bja10155)
관할의 벽 — 구글 v CNIL
- 구글 v CNIL: 비유럽 버전 삭제 강제 안 됨 (DOI: 10.1093/ijlit/eaaa022)
- 구글 v CNIL: 전 세계 삭제 불요, 회원국 재량 (DOI: 10.54648/gplr2020008)
미국 — 표현의 자유와의 충돌
- 데이터보호법과 두 서구 프라이버시 문화(미 수정1·4조) (DOI: 10.1017/s0020589323000258)
- 유럽 잊혀질 권리 = 수정헌법 제1조의 적 (DOI: 10.5771/9781498549615)
- 미국의 잊혀질 권리 대체 수단(저작권·명예훼손·상표) (DOI: 10.29263/lar02.2019.02)
- 미국 주(州) '삭제권'의 공허함 (DOI: 10.37419/lr.v12.i2.10)
기술적 난제 — 머신 언러닝
- 데이터베이스 삭제 vs ML 모델 (DOI: 10.22214/ijraset.2025.67269)
- 머신 언러닝이 RTBF와 데이터 잔존의 간극을 메움 (DOI: 10.36948/ijfmr.2025.v07i05.58292)
- 언러닝의 한계: MIA가 잔존 정보 검출 (DOI: 10.32473/flairs.39.1.141797)
- 언러닝의 암호학적 검증 부재(VeriForgot) (DOI: 10.20944/preprints202603.2325.v1)
- 언러닝과 공정성의 절충 (DOI: 10.1007/s43681-023-00398-y)
정직한 현주소 — 집행·관할·확장
- 삭제권 확장과 아카이브 접근 위협 (DOI: 10.1177/1037969x20959839)
- 브렉시트 후 영국 집행 약화(ICO 2건 vs EU 1,396건) (DOI: 10.2139/ssrn.6504981)
- 잊혀질 권리의 유럽적 정신·기원 (DOI: 10.2966/scrip.190122.120)
- 인도 DPDP의 잊혀질 권리와 형량 (DOI: 10.52783/cana.v32.5114)
- 인도네시아의 부정합과 GDPR 참고 (DOI: 10.58824/mediasas.v8i4.501)
- 브라질의 잊혀질 권리와 균형 (DOI: 10.51891/rease.v11i4.18999)
- 잊혀질 권리 입법의 세계적 확산(브라질·일본·한국·러시아) (DOI: 10.31235/osf.io/f7cqj_v1)