중앙은행 디지털화폐(CBDC)와 금융거래정보 보호
Central Bank Digital Currency and Personal Data Protection
서자영(한국은행)
189권, 285~326쪽
초록
중앙은행 디지털화폐(Central Bank Digital Currency, 이하 ‘CBDC’)는 중앙은행이 전자적 형태로 발행하는 화폐이다. 전자적 형태의 속성상 CBDC 원장이나 전자적 기기에 발행 및 거래기록이 담긴다. 설계에 따라서는 전 국민이 사용하는 CBDC 거래이력이 중앙은행 등 특정 기관에 집적될 수 있다. 이에 제도 운영 과정에서 수집·이용 가능한 개인정보에 대한 보호가 필요하다. 한편 CBDC는 금전이고, CBDC 거래는 금전거래로서 자금세탁방지 관련 규정을 준수할 필요가 있다. 이러한 측면에서 CBDC에 대하여 현금과 동등한 수준의 완전한 익명성을 유지하도록 설계할 수는 없다. CBDC 시스템의 개인정보 보호에 대한 적절한 수위를 결정하는 것은 자금세탁방지 등 여러 법익을 형량한 제도 설계의 문제이다. CBDC 발행과 유통 시 중앙은행이나 상업은행 등 중개기관이 취득하는 금융거래정보는 살아 있는 개인에 관한 정보와 그렇지 않은 정보로 나눌 수 있다. CBDC 발행과 유통의 시간적 순서에 따라 취득 가능한 개인정보를 살펴보면, 개별 중개기관은 발행 전 전자지갑 개설 시, 개설 이후 전자지갑 접속 시 본인확인을 위하여 그 자체로 개인을 식별할 수 있는 정보를 취득한다. 다음으로 CBDC 거래 시 원장에 기록되는 전자지갑 주소, 거래금액 및 이용시간 등 거래내역은 분산원장기술과 개인정보 보호 강화 기술을 기반으로 해시화(암호화)하여 개인을 식별할 수 없도록 설계할 수 있다. 그런데 금융감독이나 법 집행과 같은 예외적 경우 암호 해제 절차 등을 통해 다시 개인을 식별할 수 있는 설계가 가능하다. 이처럼 암호화 절차를 거친 거래정보는 원래의 상태로 복원하기 위한 추가 정보의 사용·결합을 통해 개인을 식별할 가능성이 열려 있다는 점에서 개인정보보호법상 익명정보라기 보다는 가명처리를 거친 가명정보에 해당한다. CBDC 발행 전과 시스템 접속 시 취득하는 신원 확인을 위한 정보는 개별 중개기관이 CBDC 거래원장과 분리된 서버에 별도로 저장하여 개인정보 유출 시 파급효과를 최소한도로 할 필요가 있다. 나아가 CBDC 거래 시 원장에 기록되는 거래정보는 거래에 필수적인 정보로 최소화하고 가명처리해야 한다. 분산원장기술을 사용하는 경우 원장에 기록된 정보의 변경이나 삭제가 어렵고 계속하여 정보가 집적된다는 점에서 더욱 그러하다. 한편 중앙은행이 개인의 소액결제기록을 취득하지 아니하고 상업은행 등 중개기관별 거래정보의 총액을 수집하는 방식으로 구현하는 경우, 중앙집중식 정보수집 주체가 등장하는 것을 방지하는 측면에서 유리하다. 나아가 국가기관이 별도의 조치 없이도 거래 내역을 알 수 있을 정도로 거래 투명성을 보장할 수는 없고, 예외적 경우에 금융감독 내지 법 집행을 위하여 분산원장 참여기관으로부터 거래정보를 제공받도록 설계할 필요가 있다. 그리고 현금 발행을 병용하여 지급수단 선택권을 보장하고, CBDC 이용자의 거래기록에 관한 이동권 등을 보장하는 것이 바람직하다.
Abstract
Central Bank Digital Currency (hereinafter referred to as 'CBDC') is a digital currency issued by the central bank. The issuance and transaction records of CBDC are implemented in CBDC ledgers or electronic devices. It is necessary to protect personal information that can be collected and used in the process of operating the CBDC system. On the other hand, it is necessary to comply with Anti-Money Laundering regulations. In this respect, CBDC cannot be designed to maintain the same level of complete anonymity as cash. Determining the appropriate level of anonymity or personal information protection of the CBDC system is a matter of technology design that sentences various legal principles such as Anti-Money Laundering. Each intermediary institution can acquire personal information when opening a CBDC electronic wallet, and when accessing the electronic wallet after opening. Next, CBDC transaction records such as electronic wallet address, transaction amount, and usage time recorded in the ledger during CBDC transactions can be hash encrypted based on distributed ledger technology and privacy-enhancing technologies. However, in exceptional cases such as financial supervision or law enforcement, it can be designed to identify individuals through decryption procedures. Therefore, CBDC transaction information is not anonymous information under the Personal Information Protection Act, but pseudonym information, in that the possibility of identifying individuals through additional information is open. Information obtained before CBDC issuance and when accessing the CBDC system needs to be stored separately by individual intermediaries on a distinct server from the CBDC transaction ledger. Furthermore, transaction information recorded in the ledger during CBDC transactions should be minimized and pseudonymized as essential information for transactions. This is because it is difficult to change or delete information recorded in the ledger when using distributed ledger technology, and information is continuously accumulated. Transaction transparency should not be guaranteed enough for state agencies to know transaction details without any separate measures. It is necessary to design it to receive transaction information from CBDC ledger nodes for financial supervision or law enforcement. In addition, it is desirable to guarantee the right to choose a payment method by continuing to issue cash and to guarantee the right to use or move CBDC users' transaction records.
- 발행기관:
- 한국법학원
- 분류:
- 기타법학