2018. 11. 19. 크립토법(Crypto Law)의 현황과 전망 세미나 by 법률사무소 조인 대표변호사 유영무

1. [ 블록체인과 프라이버시 ]
2018. 11. 19.
변호사 유영무 (법률사무소 조인)
JOIN LAW 1

2. JOIN LAW 2
* 본 자료는 ‘블록체인과 법 포럼’의 세미나 <크립토 법(Crypto Law)의 현황과 전망
(2018. 11. 19.)> 프레젠테이션을 위해 작성되었으며, 본 자료의 기초가 된 발표문 내
용은 향후 상당 부분 수정·보완될 수 있습니다.

3. JOIN LAW 3
1. 서 론

4. JOIN LAW 4
서 론 [1/3]
• 최근 가상화폐 열풍에 힘입어 블록체인
(blockchain)이라는 신기술이 주목을
받음
• 한 마디로 ‘변경할 수 없는 분산 장부
(immutable distributed ledger)’임
• 10년 전 익명의 사토시 나카모토가 쓴 9페이지 논문 「Bitcoin: A Peer-to-Peer
Electronic Cash System」에서 시작했다고 알려짐
• 거래비용 감소나 데이터 위·변조 방지의 장점을 가지며, 관련 산업은 향후 5년간
10배 이상 성장할 것이라 전망됨[1]

5. JOIN LAW 5
 블록체인의 특성
• 탈중앙화(decentralization), 검열 저항성(censorship resistance)
• 중앙화된(centralized) 서버나 관리자가 없어 사전 검열이 어렵고, 일단 기록
된 정보는 임의로 삭제할 수 없음[2]
• 데이터 독점 시대의 적절한 대안으로 평가되며, 나아가 초연결사회(hyper-
connected society)의 기반 기술로 활용 가능[3]
서 론 [2/3]

6. JOIN LAW 6
 블록체인의 유형
• ① 퍼블릭(public), 프라이빗(private)의 2가지 유형
• ② 퍼블릭(public), 프라이빗(private), 컨소시엄(consortium)의 3개 유형[4]
• ③ 읽기(public/private)와 쓰기(permissionless/permissioned) 각 권한의 조
합에 따라 4가지 블록체인으로 구분 가능[5]
• ⇒ 프라이버시 규제 이슈는 public·permissionless 블록체인에서 주로 문제
될 것이므로, 본 발표에서는 부연 설명이 없는 한 이를 전제로 논의함
서 론 [3/3]

7. JOIN LAW 7
2. 블록체인 v. 프라이버시

8. JOIN LAW 8
블록체인 v. 프라이버시 [1/6]
• 블록체인은 변경할 수 없는 분산장부임
⇔ 각 개인정보의 정보주체는 삭제권
(right to erasure) 내지 잊힐 권리
(right to be forgotten)를 가짐
• 프라이버시 규제는 개인정보가 목적 달성 또는 정보주체의 요구 등에 따라 파기·삭
제될 수 있음을 전제로 구성됨
• ⇒ 블록체인과 프라이버시 규제 간의 충돌은 피할 수 없어 보임

9. JOIN LAW 9
 EU 「일반 개인정보보호법(이하 ‘GDPR’)」 제5조
• 개인정보 처리 관련 원칙(principles relating to processing of personal data)
7가지를 제시함
• 블록체인의 프라이버시 이슈와 밀접한 것으로는, ① 데이터 최소화의 원칙
(data minimisation), ② 저장 제한의 원칙(storage limitation)이 있음[6]
블록체인 v. 프라이버시 [2/6]

10. JOIN LAW 10
 GDPR 제17조
• 삭제권(‘잊힐 권리’)을 규정함
• 정보주체(data subject)는 컨트롤러(controller)에게 부당한 지체 없이 본인에
관한 개인정보를 삭제하도록 하는 권리를 가짐
• 컨트롤러는 ① 개인정보가 수집 또는 처리된 목적과 관련하여 더 이상 필요치
않은 경우, ② 정보주체가 동의를 철회한 경우 및 처리의 다른 법적 근거가 없
는 경우 등에는 부당한 지체 없이 개인정보를 삭제할 의무를 짐
블록체인 v. 프라이버시 [3/6]

11. JOIN LAW 11
 개인정보자기결정권
• 헌법재판소[7] : “개인정보자기결정권을 헌법상 기본권으로 승인하는 것은 현
대의 정보통신기술의 발달에 내재된 위험성으로부터 개인정보를 보호함으로
써 궁극적으로는 개인의 결정의 자유를 보호하고, 나아가 자유민주체제의 근
간이 총체적으로 훼손될 가능성을 차단하기 위하여 필요한 최소한의 헌법적
보장장치”
• 「개인정보 보호법(이하 ‘개인정보보호법’)」은 개인정보의 정정·삭제 요구권(제
36조), 처리정지 요구권(제37조)을 규정함
블록체인 v. 프라이버시 [4/6]

12. JOIN LAW 12
 개인정보의 정의
• GDPR 제4조 제1항 : 식별된 또는 ‘식별가능한(identifiable)’ 자연인에 관련
된 일체의 정보(식별가능한 자연인이란 특히 이름, 식별번호, 위치정보, 온라인 식별
자 또는 그 자연인의 신체적, 심리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체
성에 하나 이상의 요소를 참조함으로서 직접적 또는 간접적으로 식별될 수 있는 자)
• 개인정보보호법 제2조 제1호 : 살아 있는 개인에 관한 정보로서 성명, 주민등
록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 외에도 ‘해당 정보만
으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수
있는 것’
블록체인 v. 프라이버시 [5/6]

13. JOIN LAW 13
 문제점
• 개인정보의 범위는 고정되어 있지 않으며 첨단기술의 발전에 따라 확대되는
추세임[8] ⇒ 서비스를 운영하려는 자는 규제 준수에 주의를 기울여야 함
• 저장된 데이터의 불변성은 블록체인이 지닌 속성이므로, 개인정보의 정보주체
가 삭제권을 행사하려는 때에 누가∙어떻게 삭제할 것인지 문제됨
블록체인 v. 프라이버시 [6/6]

14. JOIN LAW 14
3. 개인정보 파기∙삭제

15. JOIN LAW 15
개인정보 파기∙삭제 [1/7]
• GDPR의 3가지 행위자(actor)는 정보
주체(data subject), 컨트롤러
(controller), 프로세서(processor)임
• GDPR 적용을 검토하는 경우,‘컨트롤
러’가 누구인지 특정할 수 있어야 함
• 컨트롤러란 단독으로 또는 타인과 공동으로 개인정보 처리의 목적과 수단(the
purposes and means)을 결정하는 자연인 또는 법인, 공공기관, 에이전시, 기타 기
구를 뜻함(제4조 제7항)
• ⇒ 블록체인 세계에서는 컨트롤러 특정이 쉽지 않을 때가 많음[9]

16. JOIN LAW 16
 컨트롤러 특정 ⑴
• ① 중앙화된 데이터베이스 모델 : 누가 컨트롤러인지(= 누가 개인정보 처리의 목
적과 수단을 결정하는지) 특정하기는 대체로 수월함
• ② private·permissioned 블록체인 : ①과 유사한 접근법이 나름 적합함[10]
• ③ public·permissionless 블록체인 : 어떻게 컨트롤러를 특정할지 간단치
않음⇒ EU Blockchain Observatory and Forum은 이에 관한 일반적인 견
해를 요약하였고, 다음 ⓐ~ⓓ와 같음[11]
개인정보 파기∙삭제 [2/7]

17. JOIN LAW 17
 컨트롤러 특정 ⑵
• ⓐ 프로토콜 개발자(protocol developer) : 컨트롤러로 취급되지 않음
• ⓑ 검증 노드/참여 노드(validating node or participating node) : 컨트롤러가
아니라는 견해가 있으나, 반론도 존재함
• ⓒ 네트워크 유저(network user) : 비즈니스 일환으로 장부에 개인정보를 제
출하는 경우라면, 컨트롤러로 간주될 가능성이 가장 큼
• ⓓ 스마트 컨트랙트 발행자(publisher of smart contract) : 발행자 또는 호출
하는 네트워크 유저 중 누구에 의하여 운영된다고 볼지 다투어짐
개인정보 파기∙삭제 [3/7]

18. JOIN LAW 18
 삭제의 의미
• 블록체인은 데이터를 오직 추가하도록(append-only) 구성되었으므로,
GDPR의 삭제(erasure)가 정확히 무엇을 의미하는지 따져야 함
• GDPR 제17조 제2항 : 컨트롤러가 개인정보를 공개하였고 해당 개인정보를
삭제할 의무가 있는 경우, 가용 기술과 시행 비용을 참작하여(taking account
of available technology and the cost of implementation) 개인정보를 처리하
는 컨트롤러에게 정보주체가 해당 개인정보에 대한 링크, 사본 또는 복제본의
삭제를 요청하였음을 통지하기 위한 기술적 조치를 포함한 합리적인 조치를
취해야 함
개인정보 파기∙삭제 [4/7]

19. JOIN LAW 19
개인정보 파기∙삭제 [5/7]
• ① 개인정보보호법의 개인정보처리자,
② 「정보통신망 이용촉진 및 정보보호
등에 관한 법률(이하 ‘정보통신망법’)」의
정보통신서비스 제공자(이하 ‘ISP’) 개
념은 전통적인 중앙화 데이터베이스 모
델을 전제로 만들어짐
• 누구나 데이터를 보관·추가할 수 있고 네트워크 소유자나 가입·등록 절차가 없는,
탈중앙화 데이터베이스 모델에는 위 개념이 어울리지 않음
• ⇒ public·permissionless 블록체인에서 누가 개인정보처리자 등인지 특정하는
일은 쉽지 않음

20. JOIN LAW 20
 개인정보처리자 특정
• 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로
또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
등이며(제2조 제5호), 개인정보파일은 개인정보를 쉽게 검색할 수 있도록 일정
한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말함(동조
제4호)
• 업무란 직업상 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사무나
사업의 일체를 의미하며, 개인적 활동 내지 가사 활동을 위하여 개인정보를 수
집·이용하는 자는 개인정보처리자가 되지 않음[12]
개인정보 파기∙삭제 [6/7]

21. JOIN LAW 21
 삭제의 의미
• 개인정보보호법 제36조 제2항 : 개인정보를 삭제할 때에는 ‘복구 또는 재생되
지 아니하도록’ 조치하여야 함
• 정보통신망법 제30조 : 이용자는 언제든지 개인정보 수집·이용·제공 등의 동
의를 철회할 수 있고(제1항), 이용자가 동의를 철회할 경우 ISP는 지체 없이 수
집된 개인정보를 ‘복구·재생할 수 없도록’ 파기하는 등 필요한 조치를 해야 함
(제3항)
• ⇒ 복구·재생이 불가능해야 한다고 명시하였다는 점에서, GDPR과 다름
개인정보 파기∙삭제 [7/7]

22. JOIN LAW 22
4. 보론 - 권리침해정보 삭제·임시조치

23. JOIN LAW 23
권리침해정보 삭제·임시조치 [1/3]
• 블록체인의 무결성은 타인의 사생활을
침해하거나 명예를 훼손하는 정보의 유
통과도 충돌
• 스팀잇은 이른바 토큰 이코노미(token
economy)를 도입한 대표적인 SNS임
• 자체 가상화폐인 스팀(STEEM), 스팀파워(SP), 스팀달러(SMD)를 보상으로 지급
하며, 게시물을 작성하고 7일이 지난 후에는 수정·삭제가 불가능하도록 설계됨[13]
• ⇒ 게시물에 사생활 침해, 명예훼손 정보가 게재된 경우 정보통신망법 규정을 따를
수 있을지 문제됨

24. JOIN LAW 24
 정보통신망법 제44조
• 이용자는 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보를 정보
통신망에 유통시켜서는 아니 된다고 규정하며(제1항), ISP에게 자신이 운영·
관리하는 정보통신망에 제1항의 타인의 권리를 침해하는 정보가 유통되지 아
니하도록 노력하여야 할 의무를 부과함(제2항)
• 이때 제44조 제2항은 이른바 선언적(宣言的) 규정으로서 그 자체로는 법률상
의무를 발생시키지 않는다고 함[14]
권리침해정보 삭제·임시조치 [2/3]

25. JOIN LAW 25
 정보통신망법 제44조의2
• 사생활 침해 등 권리의 침해를 받은 자는 ISP에게 침해사실을 소명하여 정보의
삭제 또는 반박내용의 게재를 요청할 수 있으며(제1항), 이러한 요청을 받은
ISP는 지체 없이 삭제·임시조치 등 필요한 조치를 해야 함(제2항).
• ISP는 제1항의 삭제요청을 판단하기 어렵거나 이해당사자 간에 다툼이 예상
되는 경우 30일 이내의 임시조치를 할 수 있고(제4항), 제2항의 필요한 조치를
하면 배상책임을 감경 또는 면제받을 수 있음(제6항).
• ⇒ 앞서 본 개인정보 삭제의 경우와 마찬가지의 논쟁에 도달함
권리침해정보 삭제·임시조치 [3/3]

26. JOIN LAW 26
5. 결론 – 가능한 대안

27. JOIN LAW 27
 가능한 대안 ⑴
• 개인정보 자체를 삭제하는 대신, ① 암호키를 파괴하는 대체적 수단을 사용하
거나[15] ② 기술적 조치로 내용을 확인할 수 없게 하면 삭제라고 간주할 수도
있음[16]
• GDPR은 개인정보 삭제 시 가용 기술과 시행 비용을 참작하도록 하였으며, 우
리 개인정보보호 법제는 복구나 재생이 불가능하게 삭제해야 한다고 정하였음
⇒ 입법적 보완이 필요함
결론 - 가능한 대안 [1/3]

28. JOIN LAW 28
 가능한 대안 ⑵
• 되도록 블록체인에 개인정보를 저장하지 않는 수단도 가능함 ⇒ 개인정보 자
체는 블록체인 밖(off-chain)에 저장하고, 특정 개인정보가 어디에 존재한다
는 불변의 증거(immutable proofs)만을 블록체인에 남길 수 있음[17]
• 현실의 프라이버시 규제를 나름 준수할 수 있다는 장점을 갖지만, 블록체인이
추구하는 탈중앙화 효과를 반감시킴
결론 - 가능한 대안 [2/3]

29. JOIN LAW 29
 결 론
• 프라이버시 규제의 컴플라이언스(compliance)는 ‘기술 자체’에 관한 것이 아
니라, ‘기술을 어떻게 사용하느냐’에 관한 것임[18]
• 우선 GDPR·개인정보보호법 등을 준수하는 블록체인 사용 사례를 만들어 가
는 게 적절하나, 블록체인이라는 신기술이 새로운 혁신을 이끌어 낼 수 있도록
규제의 개선도 고민해야 함
결론 - 가능한 대안 [3/3]

30. JOIN LAW 30
《각주 - 참고문헌》
[1] 과학기술정보통신부, 「신뢰할 수 있는 4차 산업혁명을 구현하는 블록체인 기술 발전전략」, 2018, 1-2면.
[2] 김열매, 「블록체인 이상과 현실, 어디쯤 와 있나」, 2018, 한화투자증권, 70면.
[3] 김열매, 앞의 보고서, 3면.
[4] 김열매, 앞의 보고서, 23-25면.
[5] 다니엘 드레셔, 「블록체인 무엇인가?」, 이지스퍼블리싱, 2018, 269-271면.
[6] Michele Finck, "How to Regulate Blockchain and Other Emerging Technologies", Artificial
Intelligence Today: Governance and Accountability (Conference in Seoul, 2018. 8. 24.), 170면.
[7] 헌재 2005. 5. 26. 99헌마513, 2004헌마190(병합).
[8] 온주 개인정보보호법 제2조 (2016. 7. 11.).
[9] EU Blockchain Observatory and Forum, 「Blockchain and the GDPR」, 2018, 11면.
[10] EU Blockchain Observatory and Forum, 앞의 보고서, 17면.
[11] EU Blockchain Observatory and Forum, 앞의 보고서, 18면.
[12] 행정자치부, 「개인정보보호 법령 및 지침·고시 해설」, 2016, 16면.
[13] 김지훈, 「돈 버는 SNS ‘스팀잇(Steemit)’의 현황과 한계」, KB금융지주 경영연구소, 2018, 2-4·7면.
[14] 서울고등법원 2010. 5. 10.자 2009라1941 결정.
[15] Michele Finck, 앞의 발표문, 172면.
[16] 김혜리·홍승필, “블록체인 네트워크에서의 개인정보보호 방안 연구 - 개인정보보호 컴플라이언스 중심 -”,
보안공학연구논문지 Vol.15 No.2, 2018, 90면.
[17] EU Blockchain Observatory and Forum, 앞의 보고서, 16면.
[18] EU Blockchain Observatory and Forum, 앞의 보고서, 30면.

31. JOIN LAW 31
감 사 합 니 다.
ymlew@joinlaw.kr