개인정보위 "블록체인상 개인정보 '파기' 대체방안 검토"

임민철 기자 입력 : 2021-08-11 14:00 수정 : 2021-08-11 14:00:00
삭제기능 없는 블록체인…'파기' 규정 준수 못해 개인정보위 "'파기' 대신 개인 알아볼 수 없도록" 방안 마련시 '블록체인 개인정보 저장' 허용될 듯 지난 1년 간 처리된 블록체인 규제샌드박스 7건 '블록체인 밖(오프체인)에 저장하고 삭제'만 허용
임민철 기자 2021-08-11 14:00:00
  • 카카오스토리
  • 밴드
  • 웨이보
  • URL 공유하기
  • 카카오톡

윤종인 개인정보보호위원회 위원장. [사진=개인정보보호위원회 제공]


개인정보보호위원회가 기록된 정보를 완전히 삭제하기가 거의 불가능한 블록체인의 특성을 감안해, 블록체인상의 개인정보 파기 대신 그 정보로 개인을 알아볼 수 없도록 조치하는 구체적인 방안을 검토하기로 했다. 기술적인 해법을 통해 블록체인에 직접 개인정보를 기록하고 활용할 수 있는 길이 열릴지 주목된다.

11일 개인정보위는 출범 이후 1년 간 블록체인 서비스 운영시 개인정보를 파기하는 방법에 대한 과제 7건을 포함해, 133건(신속확인 109건, 실증특례 21건, 임시허가 3건)의 과제를 '개인정보보호 규제유예(규제샌드박스)' 제도로 처리했다고 밝혔다.

규제샌드박스는 규제를 유예 또는 면제함으로써 다양한 혁신기술 제품과 서비스가 시장에 출시될 수 있도록 장려하는 제도다. 이가운데 임시허가는 안전성이 검증된 과제에 대해 일정기간 임시로 서비스운영을 허가하는 것이고, 실증특례는 규제로 사업시행이 어려운 신기술 제품이나 서비스를 시험·검증할 수 있도록 규제적용을 유예하거나 면제하는 것이다.

승인된 과제를 보면 배달용 로봇, 자율주행차, 드론 등이 운행되는 과정에 불가피한 보행자 촬영 동의 처리 방법이 11건으로 가장 많았다. 현행 개인정보보호법 제15조에 따라 개인정보 수집시 정보주체의 동의를 필요로 하는데, 개인정보위는 현실적으로 확보하기 어려운 보행자 동의 대신 안내판 설치, 개인영상정보 외부반출 금지 등 안전조치를 전제로 과제를 승인했다.

블록체인 서비스 운영시 개인정보를 파기하는 방법에 대한 과제 7건이 승인됐다. 현행법 제21조1항에 따라 서비스 운영 중 불필요해진 개인정보를 곧바로 파기해야 하는데, 기술 특성상 블록체인에 한 번 기록된 정보는 영구 삭제하기가 어렵다. 개인정보위는 우선 개인정보 대신 그 참조값만을 블록체인에 저장하고, 오프체인에 저장된 개인정보를 삭제해 파기할 수 있도록 했다.

지방세·과태료 등을 사회관계망서비스(SNS)로 알리는 '모바일 전자고지에 필요한 주민등록번호 연계정보(CI) 생성' 과제 3건은 개인의 동의 또는 활용이유를 고지하고 CI 분리보관 등 안전성 확보조치 이행조건을 추가해 승인했다.
 

개인정보위 출범 후 1년간의 개인정보 규제샌드박스 처리 현황. [자료=개인정보보호위원회 제공]


향후 개인정보위는 규제유예가 많았던 사례를 반영해 제도 개선을 추진한다. 배달로봇 등 무인이동체 운영 서비스의 경우 안내판과 소리 등으로 촬영사실 고지 후 촬영을 하도록 고지하고, 필요없어진 영상을 즉시 삭제하도록 규정한다. 블록체인에 기록된 정보를 파기하는 대신 더 이상 개인을 알아볼 수 없도록 조치하는 방안을 구체적으로 검토할 계획이다.

박상희 개인정보위 사무처장은 "신기술 환경에서 개인정보를 보호하고 안전하게 활용할 수 있도록 규제해소에 적극 나서겠다"라며 "혁신기술 보유기업이 규제에 얽매이지 않고 적극 경제활동을 하고 국민 불안도 줄여나갈 것"이라고 말했다.

개인정보위는 규제샌드박스와 별개로 지난 1년간 법령상 관련규제 포함여부 문의에 30일 이내에 회신하는 '규제신속확인' 안건 109건을 처리해, 신기술 기업이 빠르게 규제여부를 확인하고 시장진출을 준비하도록 했다고 덧붙였다.

개인정보위는 지난 5일 개인정보 정책 콘트롤타워로서 출범한지 1주년을 맞았다. 이날 수기출입명부 개선 등 코로나19 방역활동 간 프라이버시 강화, 글로벌기업 페이스북에 역대 최대 과징금(67억원) 부과 등 위반사례에 엄정한 제재, 유럽진출기업의 현지 규제부담을 덜어 줄 EU 일반개인정보보호법(GDPR) 적정성 초기 결정, 가명정보 결합전문기관 지정(17개)과 활용지원센터 개소, 개인정보 전송요구권 도입과 글로벌 규제 정합성 확보를 위한 개인정보보호법 2차 개정안 마련 등을 주요 정책성과로 제시했다.
 

개인정보보호위원회의 출범 1년 성과 인포그래픽. [사진=개인정보보호위원회 제공]

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지