법무법인[유] 지평 || 「개인정보 보호법 시행령」 개정의 의의 및 NFT 마켓플레이스의 책임

법률정보|칼럼

「개인정보 보호법 시행령」 개정의 의의 및 NFT 마켓플레이스의 책임

2022.07.29

<div style="text-align: justify;"> 
지난 7월 19일 개인정보 보호법 시행령이 개정되어 시행되고 있습니다.  개정된 개인정보 보호법 시행령은 블록체인에 기록된 개인정보의 경우 삭제가 곤란하다는 점을 고려하여, 개인정보의 파기방법을 다양화하기 위한 목적으로 개정되었습니다. 
 
구체적인 개정 내용과 그 의의를 살펴보고, 이와 관련하여 블록체인 기반으로 발행되는 NFT(Non-Fungible Token, 대체 불가능한 토큰)의 발행 및 거래 서비스를 제공하는 NFT 마켓플레이스의 책임에 대해 함께 살펴보도록 하겠습니다. 
 
 
1. ‘개인정보의 파기방법’에 관한 개정 내용 및 그 의의 
 
개인정보처리자는 개인정보 보유기간이 경과하거나 개인정보의 처리 목적을 달성하는 등으로 그 개인정보가 불필요하게 되면 원칙적으로 그 개인정보를 지체 없이 파기해야 합니다.  개인정보 보호법 시행령 개정 전에는 ‘전자적 파일 형태’의 개인정보의 경우 복원이 불가능한 방법으로 ‘영구 삭제’하는 파기방법만 가능했습니다. 
 
개정된 개인정보 보호법 시행령에서는 단서 조항을 신설하여, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는, 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보로 처리(이하 “익명처리”)하여 복원이 불가능하게 조치하도록 규정하였습니다.  익명처리에는 암호화, 순열(치환), 토큰화, 난수생성기 등을 통해 개인정보의 전부나 일부를 대체하는 방법 등 다양한 기술이 활용될 수 있습니다. 
 
<img alt="" height="396" src="https://www.jipyong.com/uploads/editor/image/2022/07/20220729070208_a_03.gif" width="821" /> 
 
블록체인은 중앙 서버가 아닌 분산된 컴퓨터 네트워크에 참여하는 자들(일명 “노드”)을 통하여, 공개키 암호화 방식을 이용하여, 그 네트워크에서 이루어지는 거래정보를 블록으로 생성해 순차적으로 연결하는 방법으로 기록ㆍ저장한 데이터베이스입니다.  그 데이터베이스는 블록체인 네트워크에 참여하는 각 노드에 저장되고, 노드들에 의해 기록, 검증, 공유되면서, 동일한 내용으로 유지됩니다.  각 블록은 노드들 간의 합의 알고리즘을 통해 생성되며, 해시값(데이터의 고유한 특성을 암호화한 값으로, 데이터가 변경되면 해시값도 달라집니다)을 이용해 순차적으로 연결되기 때문에, 블록체인에 한번 기록된 정보는 삭제가 현저히 어렵다는 특성이 있습니다. 
 
그동안은 블록체인에 기록된 개인정보를 삭제하는 것이 사실상 어려웠기 때문에 개인정보 파기가 불가능하여, 블록체인 기반의 정보서비스를 제공하는 정보통신서비스 제공자들이 부득이 블록체인에 기록되는 개인정보의 보유기간을 영구적으로 설정할 수밖에 없었습니다.  그러나 개인정보 보호법 시행령이 개정되면서, 개인정보를 처음부터 익명처리하여 블록체인에 기록되게 하면, 적어도 블록체인에 기록된 개인정보 자체에 대해서는 개인정보 파기를 위해 추가적인 조치를 할 필요가 없게 되었습니다.  따라서 굳이 해당 개인정보의 보유기간을 영구적으로 설정할 필요도 없습니다. 
 
개정된 개인정보 보호법 시행령은 블록체인과 같이 기술적 구조상 개인정보 삭제가 현저히 어려운 경우 익명처리를 통해 적법하게 개인정보를 파기할 수 있는 방법을 제안함으로써, 개인정보를 보호하면서도 블록체인과 같은 신기술 활용에 저해되는 규제를 어느 정도 개선하였다는 점에서 의의가 있습니다. 
 
 
2. NFT 마켓플레이스의 책임 
 
비트코인, 이더리움, 클레이 등과 같이 블록체인 기반의 암호화폐로서 지급ㆍ결제를 목적으로 발행되는 코인의 경우, 블록체인에는 코인 거래당사자의 지갑주소와 지갑주소 간의 거래내용만 기재됩니다.  지갑주소는 공개키를 이용해 암호화 등의 방법으로 도출한 값이므로, 다른 정보와 결합되지 않는 한, 그 자체만으로는 해당 지갑주소를 사용하는 개인을 알기 어렵습니다. 
 
그런데 NFT의 경우에는, 그 발행구조나 내용에 따라, 블록체인에 지갑주소 외에 다른 개인정보도 함께 기록될 수 있습니다.  NFT에는 메타데이터 및 디지털 자산이 포함되거나 연결되는데, 메타데이터에는 저작자의 성명과 같이 디지털 자산에 대한 권리자의 성명 등 개인정보가 포함될 수 있고, 디지털 자산에도 개인의 사진, 영상 등과 같이 개인정보가 포함될 수 있습니다.  이러한 개인정보는 지갑주소처럼 암호화된 정보가 아니며, 구체적인 발행구조에 따라 익명처리가 불가능할 수 있습니다.  즉, 개정된 개인정보 보호법 시행령에도 불구하고 익명처리 방법으로 개인정보를 파기하기 어려울 수 있습니다. 
 
따라서 NFT 마켓플레이스의 경우, NFT 발행 서비스를 제공하는지, 어떠한 구조로 NFT를 발행하는지, 문제된 NFT가 해당 NFT 마켓플레이스에서 발행된 것인지, 해당 NFT의 메타데이터 및 디지털 자산의 내용은 무엇인지 등 관련 개인정보의 통제 가능성과 그 범위를 구체적으로 검토하여, 개인정보 파기 의무를 부담하는지, 실제 파기가 가능한지 등을 살펴보아야 할 것입니다.</div>

목록으로

JIPYONG 법무법인[유] 지평

관련 업무분야

관련 구성원

관련 업무분야

관련 구성원

SHARE

면책공고

유한책임