최근 EU는 데이터 보호에 관한 법률을 개정했습니다. 그 법률의 명칭은 General Data Protection Regulation이죠. 이 법은 현존하는 개인 데이터 보호에 관한 법률중에서 가장 강력하고 가장 보호를 많이 하는 법이라고 평가되고 있습니다.

아마 EU의 법인데, 이게 우리나라와 무슨 관계가 있냐라고 생각할 수 있습니다. 그런데, 관계가 있습니다. 그것도 단지 모델법률로서 관계가 있다는 것이 아니고, 인터넷으로 사업을 하는 사람이라면 모두에게 적용될 수 있습니다. 아프리카에 살거나, 호주에 살거나, 미국에 살거나, 일본에 살거나, 중국에 살거나 관계없이 모두에게 적용될 여지가 있습니다.

그래서 일면, 이 법이 국가간의 외교문제를 일으키지 않겠는가라고 하는 의문도 들지만, 반면 개인의 정보를 보호한다는 측면에서 볼 때, 개별국가가 반대를 해야할 이유도 별로 없다고 생각합니다.

우리나라의 데이터매매시장의 규모는 제가 알지 못해서 뭐라하지 못하겠지만, 미국의 데이터 시장은 $830억달러의 규모입니다. 이 말은 우리가 알지도 못하는 사이에 나의 개인정보가 누군가에게 팔려나가고 있고, 그것을 판 사람은 나도 모르게 이득을 챙기고 있습니다. 이 말만 들어도 정말 불합리하죠. 이런 불합리한 사정을 국가가 “아냐… 내가 EU법에 따라 발생한 분쟁을 좌시할 수 없어. 싸워야겠어"라고 말하는 것도 이상합니다. 이건 국가가 기업들을 더 보호하겠다는 말이고 국민의 개인정보는 보호할 필요가 없다라고 생각하는 것과 별반 다르지 않기 때문이죠.

그래서, 이 새롭게 개정된 법이 앞으로 우리나라 회사에 어떤 영향을 미치게 될지 알기 위해서는 먼저 개정된 법 자체에 대해서 좀 알아둬야 할 것입니다. 하지만, 개정된 분야가 넓은 관계로 모든 것을 살펴볼 수는 없고, 몇가지만 살펴보겠습니다.

그리고 이 법이 저나 많은 사람들이 관심을 갖고 있는 암호화폐시장에 어떤 영향을 미칠지도 봐야할 것 같습니다.

그래서 EU의 EU의 GDPR을 관장하는 기관에서 발표한 새로운 규정에 대해서 알아볼 까 합니다.

출처는
https://www.eugdpr.org/key-changes.html
http://news.samsungsds.com/all/5880
http://www.kita.net
https://cointelegraph.com/news/gdpr-and-blockchain-is-the-new-eu-data-protection-regulation-a-threat-or-an-incentive
입니다.

개요

GDPR은 새로운 법이 아닙니다. 이미 1995년에 입법되었고, 이번에, 시대의 변화에 맞추어서 개정한 것 뿐입니다. 기본적으로 “모든 EU시민을 개인정보 또는 개인 데이터 침해로부터 보호하는 것"을 그 목적으로 하고 있습니다. 이런 기본 방침은 변화가 없습니다. 하지만, 이하에서 개정된 것이 있습니다.

🔑 관할권

기본적으로 관할권은 확대되었습니다. 보통 관할권이라고 하면 속지주의 속인주의를 말하긴 하지만, 이건 구시대적인 발상라고 생각됩니다. 인터넷을 통한 정보의 이동이 국경을 넘나드는데 아직도 속지주의, 속인주의를 고수한다는 것은 시대적 착오입니다.

이에 EU는 EU내에서 발생하는 일에 대해서는 당연히 관할권이 있습니다. 하지만 EU 밖에 있다 하더라도 EU내에 있는 개인에 대한 데이터 처리에도 관할권을 갖게 됩니다.

이 말은 결국 EU 내에 있는 시민이 인터넷을 접속하여 거래를 하는 경우, 그 웹사이트 제공자가 외국에 있다 하더라도, 그 웹사이트가 상품이나 서비스를 제공하는 행위를 하는데 실질적으로 EU시민으로 부터 돈을 받거나 받지 않거나 상관없이, EU시민의 정보를 처리하는 일이 생기면 그것에 대해서도 관할권을 행사한다고 합니다.

따라서, 영리단체이건, 비영리단체이건 관계없이 EU시민의 개인정보에 접근하고 처리하는 일을 하게 된다면 무조건 EU의 관할권안으로 들어오게 됩니다. 그러므로 웹사이트에 처음 로그인하기 위해 개인정보를 적고, 개인정보처리에 대해서 동의하냐에 체크하지 않으면 다음 단계로 진행하지 못하도록 만든 수많은 우리나라의 웹사이트는 바로 EU의 관할권에 놓이게 될 가능성이 매우 큽니다.

마찬가지로 클라우드 스토리지서비스를 하는 모든 회사들도 EU의 관할권으로 들어오게 될 것으로 생각됩니다. 구분할 필요도 없겠어요. 어쨋거나 EU 시민의 개인정보를 건드는 모든 회사들과 모든 웹사이트는 모두 EU의 관할권에 포함될 것 같습니다.

이것은 기존의 영토내, 혹은 내 나라 국민으로 한정하던 관할권과는 구분되죠. 물론, 이런 형태의 관할권행사가 없었던 것은 아니지만, 이것은 어쨋거나 우리 시민에게 영향을 미친다면 관할권을 행사하겠다는 90년대의 EU 법원의 입장을 그대로 반영한 것으로 보입니다.

또한 데이터에 대한 controller와 processor도 모두 EU의 관할권에 들어갑니다.

controller란 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인 ,법인, 공공 기관(public authority), 에이전시(agency), 기타 단체(other body) 를 의미합니다.

또한 processor란 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공 기관(public authority), 에이전시(agency), 기타 단체(other body)를 의미합니다.

🔑 처벌

이게 이제 무서운 점이죠. 기본적으로, 최고 해당 회사의 일년 매출의 4% 또는 2천만 유로를 벌금으로 부과할 수 있습니다. 게다가 이것은 4%의 매출이 더 크다면 그것을 벌금으로 하고, 그게 아니라면 2천만 유로가 벌금이 됩니다. 즉, 둘중 큰 금액을 벌금으로 부과합니다. 물론 이것은 최고 벌금입니다.

일반적으로 위반사항에 따라 벌금이 정해집니다. 예를 들어 개인정보유출시 또는 회사의 개인정보보호전문가의 지시사항위반시, 회사 매출의 2%를 벌금으로 부과하거나 아니면 1천만 유로를 벌금으로 부과할 수 있습니다. 이것도 역시 둘중 큰 금액을 벌금으로 부과합니다.

좀더 심각한 사항의 경우에는 앞서 언급한 최고 벌금인, 일년 매출의 4%또는 2천만 유로가 부과됩니다. 이것은 개인의 권리보호와 인권보호를 강력하게 추진하고 있는 EU의 입장이 보입니다. 즉, EU GDPR에서 보호하는 개인정보보호 원칙 및 정보주체 권리보장 준수 의무와 Data portability에 관한 규정을 위반할 경우에 위와 같은 최고 벌금을 부과할 수 있습니다.

게다가 솔루션 사업을 하는 회사의 경우 고객사가 법을 준수할 수 있도록 회사의 솔루션이 GPDR의 요구 사항에 맞게 구현되어야 합니다. GDPR의 요구에 부합하지 않는다면 EU 당국이 부과 할 수 있는 Penalty의 모수(매출액)는 Processor의 매출 금액뿐만 아닌 Controller의 매출까지 포함되어 책정될 수 있습니다. 특히, 계약상 Processor의 솔루션으로 인한 피해는 Processor가 부담하도록 Controller가 요청 하는 경우 그러합니다. [출처: 삼성 SDS http://news.samsungsds.com/all/5880]

🔑 이번 개정관련 주요 개인의 권리

🔑 데이터 유출시 고지

GDPR하에서 데이터 유출이 "개인의 권리와 자유에 대한 위험을 초래할"가능성이 있는 경우, 위반 통지가 의무적으로 적용됩니다. 이는 위반사항을 처음 알게된 후 72시간 이내에 고지해야합니다. 또한, 데이터 프로세서는 데이터 유출을 처음 알게 된 후 고객, 즉 컨트롤러에 "과도한 지연없이"고지할 것이 요구됩니다

🔑 데이터 접근권

기본적으로 이 권리는 자신의 개인 데이터가 처리되고 있는지, 어디서 무엇을 목적으로하는지 여부를 확인할 수 있는 권리입니다.

정보주체는 본인의 정보가 처리되고 있다는 사실의 확인과 본인의 개인정보에 대한 접근 등을 요구할 권리가 있습니다. 또한, 컨트롤러는 열람요구에 따른 사본 무상 제공 등 정보주체의 열람권을 보장하기 위해 필요한 조치를 취하여야 합니다.

🔑 잊혀질 권리

기본적으로 정보주체는 본인에 관한 개인정보의 삭제를 컨트롤러에게 요구할 권리를 갖고 있습니다. 이에 컨트롤러는 개인정보 처리목적의 달성, 정보주체의 동의 철회 등의 경우에 정보주체의 개인정보를 삭제하여야 합니다. 다만, 공익 등 GDPR에서 제시한 요건에 해당될 경우 삭제요구를 거부할 수 있을 뿐입니다.

🔑 Data portability

정보주체는 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있도록 개인정보의 이동을 요구할 수 있는 권리를 갖는다는 것입니다.

🔑 Privacy by Design

이는, 그 핵심을 볼 때, 설계상의 프라이버시보호는 추가적인 것이 아니라, 시스템 설계의 개시로부터 데이터 보호를 포함해야 할것을 요구하고 있습니다.

보다 구체적으로 이야기 하자면, “Controller는 이 법규의 요구 사항을 충족시키고 데이터 주체의 권리를 보호하기 위해 적절한 기술적 및 조직적 조치를 효과적인 방법으로 이행해야한다.”라고 하고 있습니다.

제23조는 Controller가 업무 수행을 위해 필요한 개인 데이터에 대한 접근을 제한할 뿐만 아니라 직무 수행을 위해 절대적으로 필요한 데이터 (최소 데이터)를 보유하고 처리하도록 요구합니다.

image from https://cointelegraph.com/news/gdpr-and-blockchain-is-the-new-eu-data-protection-regulation-a-threat-or-an-incentive

🔑 사견

제가 이 분야에 대해서 아주 심도 깊게 공부한 것은 아니고, 막 공부를 시작한 것이라, 아직은 깊게 들어가서 글을 쓰기에는 무리가 있습니다. 하지만, 대략적으로 이러한 것이다 정도를 먼저 써봤습니다.

이 분야를 블럭체인기술과 연결해서 생각해봅시다.

🔑 Immutability

비트코인의 장점이라고 한다면, (물론 Ethereum Classic도 포함됩니다) 바로 Immutability 라고 할 수 있습니다. 즉, 불변성이라는 것이죠.

먼저, GDPR은 블럭체인 기술을 이용하는 모든 사업자에게 적용될 가능성이 높다는 것을 인식해야할 것 같습니다. 문제는 이 블럭체인 기술을 제공하는데 중앙단체가 없을 경우, 좀 복잡해질 것 같습니다.

그런데, 제가 불변성, immutability를 언급한 이유가 있습니다. 바로 GDPR에서 "잊혀질 권리"를 천명하고 있기 때문입니다. 즉, 데이터의 주체가 자신과 관련된 정보를 삭제해달라고 요청할 경우 삭제해야 합니다. 물론 공공의 이익과 연결하여 판단해야겠지만요.

문제는 비트코인의 이러한 불변성은 정보주체의 요청에 얼마나 따를 수 있는지 아직까지는 모르겠습니다. 현재는 비트코인이 단지 거래상의 통화수단 정도로 보고 있지만, 비트코인의 블럭체인위에 스마트 컨트랙트가 생기고, 그리고 dApp이 생길 경우, 비트코인은 우리가 아는 비트코인이 아닌 다른 모습의 비트코인이 되어있을 것입니다. 데이터를 저장하거나 이동하는 수단이 될 수도 있겠죠.

그렇게 된다면 immutable하다는 비트코인은 개인정보를 어떻게 지워줄 수 있을까요...?

🔑 그럼에도 불구하고 GDPR은 블럭체인에 도움이 됩니다.

일단, 개인정보보호라는 것 자체에서 GDPR과 블럭체인기술은 부분을 공유합니다. 모든 정보의 처분은 바로 사용자에게 있기 때문입니다.

그렇다면, 블럭체인과 GDPR을 연결시킨 기술은 무엇이 있을지 생각해봐야겠죠. 바로 하드웨어와 블럭체인을 결합하는 것이라고 합니다. GDPR and Blockchain: Is the New EU Data Protection Regulation a Threat or an Incentive?. 우리가 일반적으로 알고 있듯, 블록체인의 모든 데이터는 복제가 되어 네트워크상에 있는 모든 컴퓨터에 공유됩니다. 이것은 데이터가 삭제되는 것을 막아주는 역할을 하죠. 인텔에서 연구중인 “trusted computing enclaves" 즉, '신뢰할 수 있는 컴퓨팅 영역'에 의하면 안전하고 기밀이 유지되는 데이터 저장 및 개인 정보를 제공 할 수 있는 방법을 연구하기 시작했습니다 .

데이터를 도둑맞지 않는다라는 해킹에 대한 방어, 또는 내 데이터는 내가 처분한다라는 액세스에 관한 면에 있어서는 블럭체인은 GDPR의 규정에 부합합니다. 게다가 스마트 컨트랙트는 중간매개자 없이 즉시 거래가 가능하므로 개인정보를 여기저기에 계속 뿌려야 할 가능성도 줄어듭니다. 마찬가지로 중앙독점적인 관리체제에 개인데이터를 맡기지 않아도 되므로 그것 역시 도움이 됩니다.

그러므로, 개인이 데이터를 처분하는 전적인 권리를 갖게 되고 이것을 거래하는 시스템도 역시 GDPR의 규정에 부합하게 됩니다. 이런 면에서 Enigma, Datum, PikcoinChain 등은 GDPR에서 부여한 개인정보의 권리를 활용한 것이라고 생각할 수 있을 것 같습니다.

또 한가지는 TeeChain이라는 것입니다. 이것은 Imperial College London과 Cornell University의 공동 노력입니다. Teechain은 신뢰할 수있는 하드웨어를 사용하여 공개 블록 체인에 안전하고 효율적인 오프 체인 트랜잭션을 가능하게하는 프로젝트입니다. 기본적으로 익명 성을 제공하는 모든 공개 블록에서 거래 개인 정보를 찾을 수 있는지 여부를 묻는 단계가 있습니다. GDPR and Blockchain: Is the New EU Data Protection Regulation a Threat or an Incentive?.

라이브 데모를 주도한 또 다른 프로젝트는 iExec와 EEA ( Enterprise Ethereum Alliance) 에서 시작된 Intel 간의 공동작업이 있습니다.

GDPR and Blockchain: Is the New EU Data Protection Regulation a Threat or an Incentive?라는 글에서는 이제 블록체인과 GDPR을 모두 만족시킬 수 있는 분야는 "privacy by design"이라는 GDPR의 규정에 따른 블럭체인기반 상품이라고 하는군요.

아직, 완전히 정리된 것이 아니라 부족하다는 것을 인정합니다.

좀더 정리가 되면, 그때 또 다시 작성해보도록 하겠습니다.