블록체인 내 암호화 정보의 개인정보 해당성 여부

블록체인 기반의 분산신원인증 서비스를 중심으로

블록체인 위의 암호화 정보는 개인정보(식별가능정보 내지 가명정보)인가, 익명정보인가? 암호화가 비식별 조치의 수단으로 이용된다는 전제에 비춰보면 식별이 곤란하거나 쉽지 않은 정보라는 점에는 이론의 여지가 없을 것이나, 그 결과물에 대해서는 다양한 견해가 가능하다. 블록체인 기반 서비스 모델을 구현하는 사업자 입장에서는 암호화 정보를 익명정보로 인식하고, 개인정보보호법상 보호 대상이 되지 않는다고 판단할 여지가 있다. 하지만 기술발전 흐름에 비춰볼 때 완벽한 암호화란 존재할수 없으며, 암호화 정보는 부가적인 정보를 이용해 포렌식 작업을 수행시 암호화 이전의 원래 정보를 역으로 알아낼 여지가 있다. 즉, 재식별이 불가능한 익명정보로 볼수 없다. 본 논고는 최근 블록체인 기반의 분산신원인증 서비스를 중심으로, 블록 위 암호화정보가 무엇인지 살펴보고자 한다. 그리고 검토 결과를 토대로 암호화 정보 중 자격검증 발급정보는 개인정보보호법상의 개인정보가 아니고, DID와 공개키는 식별가능정보일 뿐 가명정보가 아니라는 독자적 견해를 제시하고자 한다. 현실에서는 디지털전환 흐름이 가속화되고 블록체인 등 신기술이 발전하는데 반해, 개인정보보호법 등의 법학 내 논의는 이러한 기술적 발전과 간극이 있는 상태다. 각 사안별로 학계 내지법관의 해석에 의해 구체적 타당성을 꾀하는 형태로 문제를 해결해야 하는 상황이다. 법률 조항의 기술중립적 관점은 타당하나, 하위 법령 내지 지침에는 법관의 자의적인 판단을 지양할 수 있는 기준이 명시될 필요가 있다. 보완될 필요성 있는 쟁점을 살펴보면 ① 블록체인 기술인 공개키 암호화를 가명처리로 볼 수 있는지, 또는 ② 암호화 정보를 암호키를 통해 복호화하는 과정과 가명정보의 추가정보 결합을 통한 재식별 작업을 같게 볼 것인지, ③ 식별가능정보 검토시 ‘다른 정보’와 가명처리시 재식별가능성에 대한 ‘추가정보’의 구별의 논의로 귀결된다. 지침 내 관련 기준을 명확히 함으로써, 블록체인 기반 서비스 사업자에게 예측가능성을 확보해주고 동시에 해당 서비스 이용자의 개인정보는 안전하게 보호함이 타당하다.

Is the encrypted information on the blockchain personal information (identifiable information or pseudonymous information) or anonymous information? Given the premise that encryption is used as a means of de-identification, there is no question that it is difficult or difficult to identify information, but various views are possible on the result. From the perspective of a business that implements a blockchain-based service model, there is room for recognizing encrypted information as anonymous information and determining that it is not subject to protection under the Personal Information Protection Act. However, in view of the flow of technological development, perfect encryption cannot exist, and when performing forensic work using additional information, there is room for backtracking the original information before encryption. In other words, it cannot be regarded as anonymous information that cannot be re-identified. This paper intends to examine what encryption information on the block is, focusing on the recent blockchain-based distributed identity authentication service. And based on the results of the review, we would like to present an independent opinion that, among the encrypted information, the issuance of qualification verification information is not personal information under the Personal Information Protection Act, and the DID and public key are identifiable information and not pseudonymous information. In reality, while the flow of digital transformation is accelerating and new technologies such as block chain are developing, there is a gap with these technological developments in the discussions within the law, such as the Personal Information Protection Act. It is a situation where the problem must be solved in a form that seeks specific validity by the interpretation of academia or judges for each case. Although the technology-neutral viewpoint of the provisions of the law is valid, it is necessary to specify standards to avoid arbitrary judgment of judges in subordinate statutes or guidelines. Looking at the issues that need to be supplemented, ① whether public key encryption, a block chain technology, can be viewed as pseudonymous processing, or ② whether the process of decrypting encrypted information using an encryption key and re-identification through the combination of additional information of pseudonymous information is considered the same?, ③ It concludes with a discussion of the distinction between ‘other information’ when reviewing identifiable information and ‘additional information’ for re-identification potential when processing pseudonyms. Legal rights that can be linked to new technologies, such as the Personal Information Protection Act, need to be adjusted in accordance with the flow of technological development. By clarifying the relevant standards in the guidelines, it is reasonable to secure predictability for blockchain-based service providers and at the same time safely protect the personal information of the service users.