avatar
Published on

블록체인과 잊혀질 권리

Author
  • avatar
    Name
    yceffort

Law and Autonomous Systems Series: Blockchains and the Right to be Forgotten

원문

블록체인 기술은 거리에서 새로운 단어이다. 블록 체인은 본질적으로 합의 알고리즘에 의해 유지되고 여러 노드 (컴퓨터)에 저장되는 분산 데이터베이스다. 이 기술은 아직 미성숙하고 완성된 응용 프로그램은 별로 없지만, 비즈니스 모델, 상호 작용 및 시장을 분산시킬 수 있는 파괴적인 힘으로 널리 간주되고 있다. 새로운 형태의 데이터 저장 및 관리라는 점을 감안할 때 블록체인과 EU의 일반 데이터 보호 규정(GDPR) 간의 관계를 둘러싼 질문이 많다. GDPR은 데이터가 중앙에서 수집, 저장 및 처리되는 세계를 위해 만들어졌지만, 블록 체인은 이러한 프로세스를 분산시키고 있다. 이러한 급진적인 패러다임 변화로, 중앙 집중화 영역을 위해 구축된 법적 프레임 워크를 블록체인에 적용하는 것은 쉬운 일 만은 아니다. 여기에서는 GDPR의 특정 측면, 즉 소위 '잊혀 질 권리'에 중점을 둡니다.

GDPR 17조 (잊혀질 권리)

정보주체는 본인에 관한 개인정보의 삭제를 정보처리자에게 요청할 권리를 가지며, 정보처리자는 다음의 각 호가 적용되는 경우, 부당한 지체 없이 개인정보를 삭제할 의무를 갖는다.

(a) 개인정보가 수집 목적 또는 다른 방식으로 처리되는 목적에 더 이상 필요하지 않은 경우;

(b) 정보주체가 제6조 (1)항의 (a) 또는 제9조 (2)항의 (a)에 따른 처리의 기반이 되는 동의를 철회하고 해당 처리에 대한 기타의 법적 사유가 없는 경우;

(c) 정보주체가 제21조 (1)항에 따라 관련 처리에 반대하고 관련 처리에 대해 우선하는 정당한 사유가 없거나, 정보주체가 제21조 (2)항에 따라 처리에 반대하는 경우;

탬퍼링 방지 (의도적으로 오작동하거나 방해하는 행위를 방지)는 블록체인의 특징 중 하나이다. 블록체인은 그 정의상 수정에 저항하도록 설계되었기 때문에 삭제될 수 없다. 블록체인에 대한 데이터 수정은 원칙적으로 가능하지만, 대부분의 경우 이를 실현하는 것은 매우 비싸고 부담스럽다. 이러한 수정은 더 나아가 일관된 블록체인 블록체인의 성격을 변화시킨다. 한 블록의 데이터가 손상된 경우 모든 후속 블록의 해시는 물론 관련 해시가 수정되어야 한다. 블록체인(Blockchain)에서 데이터를 변경하거나 삭제하는 데 어려움이 있는 경우, 이러한 신기술에 '잊혀질 수 있는 권리'를 직접 적용할 수는 없다.

블록체인에서는 공용 키 (public key) 와 트랜잭션 데이터가 모두 개인 데이터로 간주 될 수 있다. 트랜잭션 데이터와 관련하여 여러 가지 가능한 솔루션이 있을 수 있다. 블록체인 자체와는 반대로 개인 데이터가 참조되고 암호화되며 수정이 가능한 데이터베이스('오프체인 스토리지'라고 함)에 기록되는 경우, 데이터 보호 요구 사항 없이 데이터 보호와 함께 삭제할 수 있다.

공개키와 관련하여 규정 준수는 더욱 부담이 된다. 우선, 잊혀질 권리는 절대적 권리가 아니라는 점을 기억해야 한다. 제17(2)항 GDPR은 삭제 요청이 있을 경우 데이터관리자는 '사용 가능한 기술과 구현 비용'을 파악한 후 '기술적 처리와 관련된 합리적인 조치'를 취하여 데이터 처리에 관한 정보를 통제자에게 제공해야 한다고 규정하고 있다.

여기서 '사용 가능한 기술'에 대한 언급이 블록 체인의 기술적 한계에 비추어 보았을때, 완벽한 삭제를 배제할 수도 있다는 GDPR의 해석으로 이어질 수 있는지에 대한 질문이 제기된다. 완벽한 삭제와 달리 암호화 된 데이터는 여전히 체인에 존재하지만 데이터 주체 (private key의 독점적 인 제어를 통해)에서만 액세스 할 수 있거나, 다른 외부인에 대해서는 더 이상 액세스 할 수 없다. 또한, 가지 치기는 체인의 지속을 위해 더 이상 필요하지 않은 구형 블록에서 구식 트랜잭션을 삭제하는 데 사용할 수 있다. 하지만, 그 아이디어는 (GDPR에 적용 가능한지는) 여전히 논란의 여지가 있다.

또 다른 옵션은 특정 제약 조건 하에서 승인된 당국에 의해 블록 체인에 블록의 내용을 다시 작성하거나, 완전한 투명성과 책임 성을 갖는 카멜레온 해시를 사용하는 것이다. 그러나 이러한 접근법에는 여러 가지 문제가 있다. 첫째, 잠금 키가 파괴되거나 손실되면 체인은 사실상 불변의 것으로 되돌아 가게 된다. 이 해결책은 정부, 특별기구 또는 중재자와 같은 신뢰할 수 있는 제 3 자의 필요성을 다시 도입할 것이며, 일부는 블록 체인 사용의 이점을 없애기 때문에 받아 들일 수없는 것으로 판명 될 공산이 크다. 둘째, 카멜레온 해시는 수정된 정보를 담고 있는 블록체인의 오래된 사본을 제거할 수 없으며 마이너들은 변경 사항을 수용할지 여부에 대해서도 재량권을 가지고 있다.

매우 예외적인 경우 블록 체인을 변영하는데 사용할 수 있는 하드 포크는 GDPR에 적용가능한 컴플라이언스 도구 가 아닐 가능성이 높다는 점을 기억해야 한다. 하드 포크는 가장 최근에 채굴된 블록에 대해서만 의미가 있다. 이후의 모든 블록이 무효로 만들어져 이 블록에 저장된 과거 모든 트랜잭션을 재 처리해야 한다. 이것은 사용되는 합의 프로토콜에 관계없이 너무 비싸며 매우 오랜 시간이 걸린다.

이러한 해결책들 중 어떤 것이 제17조 GDPR의 요건을 충족시킬 수 있을지는 두고 보아야 한다. '삭제(erasure)'의 정확한 의미는 GDPR에 정의되어 있지 않으며, 절대적인 삭제보다는 다른 해석에 문을 열 가능성이 있다. 특정 국가의 (삭제의')이행'에 대한 법률들은 이미 잊혀질 권리의 더 부드러운 버전을 지향하고 있다. 독일 법률 프레임워크에서는 특정 스토리지 모드가 이를 불가능하게 만드는 경우(데이터 복원이 불가능한 경우) 데이터를 삭제해도 되지 않는다고 이야기 한다.

블록체인에 개인정보가 있는한, 블록체인에서 생성되는 모든 데이터에는 이전의 데이터를 갖고 있기 때문에, 모든 블록들이 개인정보를 처리하고 있다고 봐야 한다. 그럼에도 불구하고 독일의 접근법은 GDPR이 그 목표를 각각의 기술적 특성과 결합하는 것으로 해석 될 수 있음을 보여줌으로써 흥미 롭다. 이것은 적어도 원칙의 문제로서 원장의 불변성과 대안 해결책의 필요성을 설명하는 잊혀질 권리에 대한 해석을 위한 문을 여는 것처럼 보인다. 그러나 다른 회원국들은 그 선택을 예견하지 않았다. 이 위험은 해당 규칙을 파편화 할 위험이 있으며, 이는 GDPR이 제거하고자 하는 것이다.

따라서 검열에 저항하는 데이터베이스로서 GDPR의 잊혀질 권리와 블록 체인 사이의 긴장이 존재한다는 것이 분명하다. 이 기술은 정부와 사법부를 포함한 제 3 자의 (개인적) 정보에 대한 간섭을 피하기 위해 만들어졌다. 그러나 현실 세계는 완벽하게 ‘수정 불가능한’ 블록체인을 받아들이지 않을 것이다. 블록체인이 현실 세계에 의해 받아 들여지기 위해서는 법을 준수해야하며, 그러한 기술을 받아들이는 법의 경우, 기술은 수정할 수 있어야 한다. 블록체인은 사법 결정으로 인한 것과 같은 사슬 외부적인 요소에 비추어 소유권의 변화를 반영할 수 있어야 한다.

따라서 GDPR에 관한 논의는 블록 체인 기술과 법률 시스템 간의 상호 운용성이 어떻게 보장 될 수 있는지에 대한 질문의 한 측면에 불과하다. 다른 모든 시나리오에서와 마찬가지로, 우리는 현재의 도전을 극복하기 위해 둘 사이에 다리를 건설해야 한다. 이 다리는 이 새로운 기술 혁신의 물결이 어떻게 가장 잘 관리 될 수 있는지를 공동으로 결정하기 위해 학제 간 (변호사와 컴퓨터 과학자 간의 협력과 같은)뿐만 아니라 기관 간 (규제 기관, 산업계, 기타 이해 관계자 및 전문가 연합)이어야 한다.