블록체인과 개인정보보호법은 왜 충돌하나요?

[크립토 법률상담소] Case #49

등록 : 2019년 9월 16일 14:00 | 수정 : 2019년 9월 19일 10:32

크립토 법률상담소. 이미지=금혜지

질문 :

블록체인과 개인정보보호법은 왜 충돌하나요?

한서희 법무법인 바른 변호사. 사진=한서희 제공

한서희 변호사(법무법인 바른)의 답변 :

블록체인은 삭제가 불가능하고 투명하며 거래 내용이 원장에 전부 공개되고 저장된다는 점으로 인해 개인정보보호법과 충돌하는 지점이 존재합니다.

우선 현행 개인정보보호법상 개인정보의 제3자 제공은 엄격한 사전 동의 방식(opt-in방식)을 취하고 있어 개인정보처리자가 정보주체로부터 사전 동의를 받지 못한 때에는 개인정보를 제3자에게 제공할 수 없습니다. 그리고 제3자 제공 때마다 개별 동의를 원칙으로 합니다. 그리하여 어떤 사업자가 공개형(퍼블릭) 블록체인에서 참여하게 되어 이용자의 개인정보를 제공한다고 가정한다면 개인정보 주체로부터 각 노드 참여자 모두에 대한 개인정보 이전과 관련된 개별 동의를 받아야 하는 경우가 발생됩니다.

즉, 이 경우에 블록체인 네트워크에 참여하는 사업자는 블록체인을 이용한 서비스를 개시하기 전에, 자신의 서비스 이용자들로부터 (노드 참여자들을 개인정보를 제공받는 자로 특정하여) 개인정보의 제3자 제공에 대한 동의를 받아야 합니다. 만일 공개형 블록체인을 전제로 하면 ‘블록체인 네트워크 참여자 전부에 대하여 이전한다’는 내용의 동의를 받아야 하는데 노드 참여자가 다수인 공개형 블록체인의 경우에는 각 이전에 대한 동의를 받는다는 것이 현실적으로 불가능합니다.

기술적으로 블록체인에 개인정보를 저장하지 않거나 해시(hash)화하는 방법이 논의되고 있습니다. 그런데 공개 키의 경우에는 해시화가 불가능합니다. 그렇기 때문에 공개 키가 개인정보냐 아니냐의 문제가 대두됩니다. 유럽의 GDPR(개인정보보호법)에 따르면 공개 키는 가명정보에 해당한다고 보는 것이 대다수의 견해입니다.

한 논문¹에 따르면, 공개 키가 가명정보에 해당하더라도 개인정보를 추적할 수 있는 다른 정보(matching table 또는 additional information)가 법률상·계약상 비밀로 유지된다는 요건(이하 ‘matching table의 비밀유지 요건’) 하에 개인정보에 대해 적용되는 엄격한 규제의 일부(예컨대 정보주체의 사전 동의)가 면제됩니다. 다만 이것은 현재 우리나라 개인정보보호법상의 규제가 아니라 유럽 GDPR의 내용이고 향후 우리나라에서 개인정보보호법이 개정되어 가명정보 개념이 도입되면 가능한 이야기입니다.

  1. 블록체인 활용에 관한 개인정보보호의 법적 쟁점. 법무법인 바른 변호사 정연택, 전승재
운전면허증 샘플. 출처=경찰청 제공

운전면허증 샘플. 출처=경찰청 제공

또한 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 합니다(개인정보보호법 제2조 제1항). 일단 정보가 올라가면 영구적으로 저장된다는 블록체인의 특성은 이러한 개인정보의 파기 규정을 충족할 수 없습니다.

이를 해결하기 위해 폐쇄형 블록체인에서는 개인정보는 암호화한 상태로 블록체인에 올리거나(‘cipher text 방법’), 개인정보를 오프체인에 올리고 블록에는 이것과 연결할 수 있는 해시값 포인터만 저장하는 방법(‘off-chain 방법’)을 사용하여서 블록체인상에 개인정보를 기록하지 않는 형태로 발전하고 있습니다. 다만 공개형 블록체인의 경우에는 아직도 여러 가지 문제점들이 남아 있습니다.

‘크립토 법률상담소’는 블록체인 전문 변호사들이 직접 상담해주는 코너입니다. 궁금한 게 있으면 juan@coindeskkorea.com으로 보내주세요.

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.