Blockchains and the GDPR
블록체인은 현재 유럽을 비롯한 여러 곳에서 적극적으로 실험되고 있다. 이러한 복제 및 변조 방지 데이터베이스는 새로운 데이터 처리 방법을 제공한다. 블록체인의 특성은 규제 당국이 GDPR을 만들 때 염두해 둔 중앙 집중식 데이터 관리의 특성과 대조된다. 최근 논문에서는 분산 수집, 관리, 데이터 저장을 기반으로 한 이 기술이 데이터 사일로 용으로 만들어진 GDPR과 호환 될 수 있는지 여부를 조사했다. 이 질문은, GDPR이 유럽의 블록체인 프로젝트 뿐만 아니라 전세계의 블록체인 프로젝트와 관련이 있기 때문에 굉장한 중요성을 지니고 있다. 결론부터 말하자면, 중앙 집중화의 영역을 위하여 관련된 법적 틀이 이러한 분권하에 쉽게 적용될 수 없다고 결론 지었다.
GDPR은 개인 데이터에 대한 정의를 '확인되거나 식별 가능한 자연인과 관련된 모든 정보', 즉 '데이터의 주체'로 받아들인다. 데이터가 개인 데이터로서 역할을 할 수 있는 경우, 여러 조건에 따라 처리해야 하며, 데이터 피험자는 데이터와 관련하여 특정한 실제 권리를 얻는다.
블록체인은 본질적으로 합의 알고리즘에 의해 유지되고 여러 노드에 저장되는 데이터베이스다. 데이터는 일반 텍스트 형태로 블록체인에 저장되거나, 체인에 암호화되거나 해시 될 수 있다. 암호화되거나 해시된 데이터는 EU법에 따라 개인 데이터로서의 조건을 충족하고 있으며, 니는 가명화되어 있다. 즉, 블록체인에서 공개키는 해시된 자연인과 관련된 데이터와 마찬가지로 개인 데이터로 인식된다. 결과적으로, 공개 키 이외에 분산 원장에 저장된 암호화적으로 수정된 데이터는 GDPR의 영향을 받는다.
이러한 발견은, 데이터 피험자가 데이터를 엑세스하고 수정하거나 삭제할 권리를 포함한 GDPR 상의 권리를 휘두를 수 있는 위치에 있기 때문에 블록체인에 광범위한 영향을 미친다. (잊혀질 권리) 그러나 변조 방지 원장에서는 이러한 권리를 쉽게 구현할 수 없다. 현재 대부분의 블록체인은 이러한 권리를 이행할 수 없으므로, GDPF을 준수하지 못한다고 가정하는 편이 쉽다. 미래에 이것을 촉진할 수 있는 많은 기술 솔루션이 현재 개발중이지만, 아직은 존재 하지 않는다.
또한 어떤 주체가 이러한 의무를 받아드리는 수취인이 될지 결정하는 것은 매우 어렵다. GDPR은 데이터 컨트롤러, 즉 개인 데이터 처리의 목적과 수단을 결정하는 자연인 또는 법인이 이러한 원칙을 준수해야 한다고 말한다. 처리의 목적과 수단을 결정하는 사람의 문제는, 주어진 블록체인의 정확한 거버넌스 방식에 따라 달려 있다. 대부분의 경우 노드가 데이터 컨트롤러로 수행해야 한다는 주장이 있지만, 일부 상황에서는 다른 행위자도 이를 염두에 둘 수도 있다. 가장 큰 문제는 중앙 집중식 컨트롤러와는 달리 노드와 데이터의 주체가 저장된 정보에 대한 제한적인 영향을 고려한다면, GDPR을 블록체인이 준수 할 수 없다는 것이다.
대부분의 현재 블록체인 프로젝트는 GDPR을 준수할 수 없을 것이다. 이는 법적인 틀이 시행되기도 전에 (GDPR은 6월에 시행되었습니다.) 데이터 관리의 최신 기술과 관련해서는 이미 구식이 된다는 것을 의미한다. 블록체인 상황에서 뿐만 아니라, 빅데이터, 기계학습, 인공지능에도 쉽게 적용될 수 없다.
현재 이를 준수하는 제품을 만들고자 하는 혁신가는 아마 쉬운 답을 찾기 어려울 것이고, 디지털 시장에 대한 많은 제약으로 인해 혁신적인 기술 개발이 질식될 위험이 있다. 현재 법적 확실성이 부족하여, EU 규제 당국에 데이터 컨트롤러의 성격, 공개키가 개인 데이터인지 여부 및 실질적인 권리를 구현해야 하는지 등, GDPR을 블록체인에 적용하는 방법을 명확히 하도록 압박이 가해지고 있다.
블록체인과 GDPR사이의 긴장은, EU 법의 두가지 규범적인 목표인 기본 권리 보호와 혁신 촉진 사이에서 충돌을 되풀이 한다. 규제자들은 앞으로 이러한 목표들의 균형을 신중하게 유지해야 한다. 이러한 맥락에서, 블록체인이 어떻게 구성되느냐에 따라서 데이터 보호를 훼손하거나 촉진하는데 사용될 수 있다. 기술이 특정 개인 정보보호 장치를 내장하지 못한다면 체인에 저장된 모든 개인데이터가 공개될 수 있다. 그러나 적절하게 설계되면 GDPR의 기본 목표인 데이터에 대한 통제력을 부여하는데 상당한 기여를 할 수 있다.
결론은 이렇다. 블록체인은 GDPR의 기본 목표를 훼손할 수 있는 위험이 있다. 이 단계에서 블록체인은 데이터를 보호하거나, 혹은 데이터를 보호할 수 있는 창의적이고 유연한 기술이다. 기술은 중립적일 수 있지만, 중립적인 방식으로 사용되지 않고 주변의 규범, 목표 및 신념을 반영하게 되어 있다. 내일의 블록체인은 오늘날의 입력에 의해 형성될 것이다. 기술이 만들어지는 초기에 혁신가, 규제 기관, 기타 이해관계자 간의 대화의 중요성을 강조한다. 규제자는 확립된 기본 권리 보호를 준수하고 이를 준수하는 시스템을 구축하는 방법에 대한 지침을 제공하기 위해 개발자에게 인센티브를 제공해야 한다. 반면에 혁신가들은 규제 원칙을 존중하면서 제품을 개발할 자유를 부여 받아야 한다. 이것이 그렇다고 해서 새로운 2차 입법이 필요하다는 뜻은 아니다. 기관 위협, 지침 발행, 규제 샌드 박스와 같은 보다 부드러운 인센티브 조치가 적절할 것이다.
여전히 블록체인에 대해 사회에 긍정적이거나 부정적인 영향을 미칠지에 대해서 논의 중이다. 향 후 몇년간은 방향을 크게 형성하는 시간을 갖게 될 것이다. EU는 이러한 현실을 깨닫고 데이터 보호와 관련하여 사회에 도움이 되는 방식으로 기술을 사용하라 수 있는 방법에 대해 업계 전문가, 이해관계자와 대화해야 한다. 기술 개발이 허용되면 블록체인은 우리와 함께 있을 수 있을 것이다. 인터넷 혁신의 물결과는 다르게, 유럽은 특히 베를린에서 활기찬 블록체인 생태계를 갖게 된 것이 행운이다. 현재 혁신과들과 대화하면서, EU는 기술 생태계가 계속 발전함과 동시에 데이터 보호를 포함한 유럽의 가치와 양립할 수 있는 방식으로 충분히 유도할 수 있을 것이다.