김경환 법무법인 민후 대표변호사는 2018년 6월 1일 코엑스 그랜드볼룸에서 열린 PIS FAIR 2018에 참석해 키노트 발표자로 나서 '블록체인 환경에서의 개인정보보호 - GDPR을 중심으로'를 강연했습니다.
김 변호사는 "블록체인과 GDPR의 충돌 문제는 기술발전과 규범간의 충돌 문제에 해당하므로, 유연한 입법을 통해 혁신을 도와야 할 것"이라고 말했습니다.
4. 거래정보의 해쉬값
블록의 구조 개별거래 정보는 해쉬처리되어 블록헤더에 저장됨:
<from homoefficio.github.io/2017/11/19/%EB%B8%94%EB%A1%9D%EC%B2%B4%EC%9D%B8-%ED%95%9C-
%EB%B2%88%EC%97%90-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/>
5. 공개키 (Public Key)
공개키 암호화 방식 모든 참가자는 개의 키를 보유함Public Key Encryption( ) : 2
공개키는 암호화폐의 소유자 주소 역할 일종의⇒ 식별자
<from organicmedialab.com/2014/02/20/bitcoin-addresses-transactions-and-wallets/>
6. 의 관련 규정GDPR
가명처리 제 조 제 호( 4 5 )
‘pseudonymisation’ means the processing of personal data in such a
manner that the personal data can no longer be attributed to a specific
data subject without the use of additional information.
추가정보의 이용 없이는 개인정보가 더 이상 특정 정보주체에게 귀속될 수(
없는 방식으로 개인정보를 처리하는 것)
가명처리 정보는 개인정보 (Recital 23)
Data which has undergone pseudonymisation, which could be attributed
to a natural person by the use of additional information, should be
considered as information on an identifiable natural person.
우리나라는 가명처리 정보에 대한 명확한 정의규정은 없음*
7. 소결
거래정보의 해쉬값 개인정보⇒
공개키 정보 소유자⇒ 주소 역할을 하는바 정보주체를 식별하는 기능을 할,
수 있어 개인정보로 볼 수 있음
이러한 정보를 처리하거나 관리하는 자는 컨트롤러 또는 개인정보처리자‘ ’ ‘ ’
9. 의 관련 규정GDPR
컨트롤러 제 조 제 호( 4 7 )
‘controller’ means the natural or legal person, public authority, agency or
other body which, alone or jointly with others, determines the purposes
and means of the processing of personal data
개인정보 처리의 목적 및 수단을 결정하는 자( )
공동 컨트롤러 둘 이상의 컨트롤러가 공동으로 개인정보(joint controller( ) :
처리 목적과 수단을 정하는 경우)
프로세서 제 조 제 호( 4 8 )
‘processor’ means a natural or legal person, public authority, agency or
other body which processes personal data on behalf of the controller
컨트롤러를 대신하여 개인정보를 처리하는 자( )
10. 우리나라 개인정보보호법의 관련 규정
개인정보처리자 제 조 제 호( 2 5 )
개인정보처리자 란" " 업무를 목적으로 개인정보파일을 운용하기 위하여 스스
로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관 법인 단체 및, ,
개인 등을 말한다.
11. 블록체인 환경에서의 거래정보의 처리
유형 (Public Private / Permissionless Permissioned)ㆍ ㆍ
유형에 따라 컨트롤러 등을 결정해야 함⇒
<from www.pwc.ch>
12. 소결
프라이빗 유형
- 시스템 운영자가 컨트롤러에 해당
- 노드 운영자는 프로세서에 해당
퍼블릭 유형
시스템은 분산화된 노드에 의하여 운영됨 따라서- ⇒ 노드 운영자가 처리‘
의 목적과 수단을 결정 하는 컨트롤러임’
다만 참여가 자유로운 노드의 특성상 노드들이 공동으로 처리의 목적과,
수단을 결정하는 것은 아니므로 공동 컨트롤러는 해당하지 않음
- 정보주체는 개인키 로써 자신의 거래정보를 생산하는바 처리(private key) , ‘
의 수단을 결정 하는 컨트롤러임‘
컨트롤러와 프로세서는 의 책임과 의무를 이행해야 함GDPR⇒
14. 의 관련 규정GDPR
삭제권 조(Right to erasure, 17 )
The data subject shall have the right to obtain from the controller the
erasure of personal data concerning him or her without undue delay
개인정보 수집 목적 등과 관련하여 더 이상 불필요한 경우(
정보주체가 동의를 철회하고 그 처리에 법적 근거가 없는 경우,
정보주체가 처리를 반대하고 그 처리에 우선적인 정당한 근거가 없는 경우
개인정보가 불법적으로 처리된 경우
컨트롤러가 또는 회원국 법을 준수하기 위해 삭제하는 경우EU
정보사회서비스의 제공과 관련하여 아동의 개인정보가 수집된 경우)
개인정보를 제 자에게 공개하였으면( 3 , 이용 가능한 기술과 삭제 비용을 고려
하여 필요한 합리적인 조치를 취하여야 함)
15. 정정권 조(Right to rectification, 16 )
The data subject shall have the right to obtain from the controller
without undue delay the rectification of inaccurate personal data
concerning him or her.
사유 개인정보가 부정확하거나 불완전한 경우 전자는 정정요구권 후자를( : . ,
정보보완권이라 함)
이행 기한은 달 내 다만 요청이 복잡하거나 여러 건인 경우에는 이행 기( 1 .
간을 개월 더 연장할 수 있음2 )
16. 개인정보 파기?
Personal data shall be kept in a form which permits identification of data
subjects for no longer than is necessary for the purposes for which the
제 조 제 항personal data are processed ( 5 1 (e))
17. 우리나라 개인정보보호법의 관련 규정
개인정보의 파기 제 조 제 항( 21 1 )
개인정보처리자는 보유기간의 경과 개인정보의 처리 목적 달성 등 그 개인정,
보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.
파기는 복구 또는 재생되지 않도록 하는 조치( )
개인정보의 정정 삭제 제 조 제 항( 36 1 )ㆍ
자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의
정정 또는 삭제를 요구할 수 있다.
19. 충돌의 해결 방안
블록 밖의 에 개인정보를 저장하는 방법Off-chain storage : DB
<from medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047>
단점 분권의 블록체인의 장점이 없어지므로 해킹이나 정보조작의 위험 야기· :
20. Blacklisting
암호키 파기로 영원히 개인정보에 대한 열람 접근을 못하게 하는 방법· ㆍ
· Greg McMullen, BCDiploma
단점 삭제 의 문언적 의미를 벗어남 암호키의 관리의 신뢰성 문제 야기· : ‘ ’ .
21. 합의에 의한 블록 수정Hark Fork :
단점 예외적인 현상으로서 합의의 불편함과 관리의 비효율성 야기· :
<from steemit.com/bitcoin/@blockchainnerd/how-to-profit-from-the-upcoming-hard-fork>
22. 소결
블록체인 환경의 불변성과 과의 충돌GDPR
충돌 해결 방안의 등장
- Off-chain storage
- Blacklisting
- Hark Fork
은 삭제 에 대하여GDPR ‘ ’ 이용 가능한 기술과 삭제 비용을 고려하여 필요한
합리적인 조치라고 기술하고 있는바 블록체인의 경우는 삭제 가능한 기술,
이 없고 삭제 비용이 고도한바 삭제를 하지 않아도 되는가, ?
23. 새로운 입법의 필요
충돌 해결 방안의 한계-
결국 개인정보의 파기 또는 삭제 를 할 수 없는 블록체인 환경에 부합하- , ‘ ’ ‘ ’
는 새로운 입법이 필요함,
24. 예시 권은희 의원의 개인정보보호법 개정안:
제안이유 거래의 기록 및 관리에 대한 권한을 중앙기관 없이 네트워· : P2P
크를 통해 분산하여 기록하고 저장하는 블록체인 기술의 특성 상 개별 블
록에 저장된 데이터를 완전히 삭제하는 경우 블록체인 연결고리가 끊어져
시스템이 가동되지 않는 문제가 있음
단점 허용되는 기술적 조치의 내용과 범위를 알 수가 없음· :
현 행 개 정 안
제 조 개인정보의 파기21 ( ) 개인정보처리자①
는 보유기간의 경과 개인정보의 처리 목적,
달성 등 그 개인정보가 불필요하게 되었을
때에는 지체 없이 그 개인정보를 파기하여
야 한다. 다만 다른 법령에 따라 보존하여,
야 하는 경우에는 그러하지 아니하다.
제 조 개인정보의 파기21 ( ) ① ---------------------
-------------------------------------------------------
---------------------------------------------- 파기
또는 기술적 조치를 통해 내용을 확인할“
수 없는 형태로 폐기 하여야 한다” . ----------
-------------------.
26. 기타 쟁점들
그 밖의 쟁점들
관할 또는 준거법 노드들이 여러 나라에 걸쳐 있는 경우- :
국외이전 노드들이 여러 나라에 걸쳐 있는 경우- :
개인정보 이동권 블록체인의 블록을 이동해야 하는가- : ?
27. 결어
의 충돌 문제는Blockchain vs. GDPR ,
기술 발전과 규범 간의 충돌 문제에 해당함(Technology vs. Law)
기술의- ‘역동성 과 규범의’ ‘안정성 의 충돌 목적은 같으나 특성이 이질적인 수단’ :
해결책 : 유연성
법은 결코 혁신의 저해 요소가 되어서는 안 됨-
입법자가- 유연한 자세를 취하지 않는 한 혁신을 저해할 수 있음