사내변호사의 장점 중 하나는 해당 산업 외에도 다양한 분야의 법령을 접하고 해석할 기회가 많다는 것이다. 새로운 프로젝트를 기획하거나 사업을 시작하는 데 정보는 필수 요소인데, 회사는 이러한 정보를 어떻게 수집·이용 및 관리할지 고민하게 된다.

이때 자주 접하게 되는 법률 중 하나가 바로 ‘개인정보 보호법’이다. 현행 개인정보 보호법은 제2조 제1호에서 개인을 알아볼 수 있는 정보(가목)뿐만 아니라 개인을 알아볼 수 없더라도 다른 정보와 ‘쉽게’ 결합하여 알아볼 수 있는 정보(나목)와 가명 처리된 정보(다목)까지 ‘개인정보’로 규정하여 개인정보를 추상적이고 넓은 범위로 규정하고 있다.

다만, 최근 빅 데이터(Big Data), 블록체인(Block Chain), 오픈 API(Open Application Programming Interface) 등 새로운 유형의 정보처리 기술들이 각종 사업에 활용됨에 따라 현행 개인정보 보호법이 계속하여 발전될 정보처리 유형들을 모두 포섭할 수 있는지가 문제 된다.

특히, 연일 화제가 되는 가상자산(대표적으로 비트코인, 이더리움 등이 있다)은 블록체인을 기반으로 한 시스템인데, 정부나 중앙은행에서 거래내역을 관리하지 않고 불특정 다수의 네트워크 참여자들이 자산의 가치나 지급을 검증하여 승인하는 방법을 채택하고 있다. 즉, 가상자산 거래의 검증을 위해서는 거래내역이 네트워크 참여자들에게 제공될 수밖에 없는 구조다.

이러한 퍼블릭 블록체인 시스템은 누구든지 블록에 기록된 정보에 접근하고 그 정보들을 이용할 수 있게 하면서도, 공개에 따른 부작용 방지를 위하여 ‘해싱(hashing)’ 등을 통해 익명성을 보장하도록 설계되었다.

그렇다면 해싱된 정보는 수집·이용, 제공하더라도 개인정보 보호법에 위반되지 않는 것일까.

현행 개인정보 보호법은 식별성을 개인정보 판단의 기준으로 삼기 때문에 ‘완전히’ 익명화된 정보라면 개인정보가 아닐 수 있다. 그러나 자금세탁 등을 방지하기 위해 ‘특정금융정보법’이 개정되면서 가상자산사업자 신고 수리는 실명 확인이 가능한 입출금 계정을 통해 금융거래 등을 할 것을 요구하게 되었다. 즉, 사업자를 통하여 가상자산을 거래했다면 거래정보가 해싱되었더라도 개인을 알아볼 수 있다는 것이다.

하지만 여전히 블록체인 기반 거래는 ‘개인정보처리자’가 누구인지 특정할 수 없고, 블록에 기록된 거래정보는 불가역성을 지녀 정보 주체의 개인정보 정정·삭제 요구권이 보장될 수 없는 현실이다. 이러한 상황에서 TxID, 퍼블릭 키(Public Key) 등 공개되는 거래정보를 ‘개인정보’로 보아 개인정보 보호법의 규율하에 둘 수 있을지는 여전한 의문으로 남아 있다.

/김나라 변호사

HDC현대산업개발(주) 법무팀