암호화폐·Web3 서비스 개인정보보호법 가이드
가상자산 거래소, NFT 마켓플레이스, Web3 지갑, DeFi 프로토콜 등 블록체인 기반 서비스는 "탈중앙화"라는 특성으로 인해 PIPA 적용 여부에 대한 혼란이 있습니다. 하지만 국내 이용자를 대상으로 서비스를 제공하는 한, 운영 주체의 성격과 무관하게 PIPA 적용 대상입니다.
Web3 서비스의 개인정보 수집 구조
| 서비스 유형 | 수집 데이터 | PIPA 적용 여부 | |------------|------------|--------------| | 중앙화 거래소(CEX) | KYC 신분증, 주소, 계좌 | ✅ 전면 적용 | | NFT 마켓플레이스 | 이메일, 지갑 주소, 거래 내역 | ✅ 적용 | | Web3 지갑 앱 | 이메일(선택), 기기 정보 | ✅ 적용 | | 순수 DeFi 프로토콜 | IP 주소, 지갑 주소 | ⚠️ 제한적 적용 | | DAO 거버넌스 | 지갑 주소, 투표 내역 | ⚠️ 공개 데이터 원칙 |
1. KYC(본인 인증)와 신분증 처리
가상자산사업자(VASP)는 특정금융정보법(특금법)에 따라 KYC 의무가 있습니다. 이 과정에서 수집하는 신분증 사본·안면 인식 데이터는 고도로 민감한 개인정보입니다.
KYC 데이터 처리 원칙
[KYC 데이터 PIPA 처리]
수집 항목:
- 신분증 사본 (주민등록증, 여권, 운전면허증)
- 실시간 셀피 또는 안면 인식 데이터 → 생체정보 (민감정보)
- 주소 증빙 서류
- 은행 계좌 정보
처리 요건:
□ 특금법에 따른 KYC 의무 수행임을 처리방침에 명시
□ 안면 인식 데이터: 별도 민감정보 동의 필수
□ 외부 KYC 솔루션 활용 시: 처리 위탁 계약 + 처리방침 공개
□ KYC 통과 후 원본 서류: 인증 완료 후 최소화 처리 (마스킹 또는 파기)
보관 기간:
- 특금법상 거래 기록: 5년 보관 의무
- KYC 원본 서류: 계약 종료 후 5년 (특금법 준용)
- 안면 인식 데이터: 인증 완료 후 즉시 파기 권장
해외 KYC 솔루션과 국외 이전
Jumio, Onfido 등 해외 KYC 솔루션을 사용하면 신분증과 안면 데이터가 해외 서버로 전송됩니다.
[국외 이전 고지 의무]
처리방침 필수 기재:
- 이전받는 자: KYC 솔루션 회사명 (예: Jumio Inc.)
- 이전 국가: 미국 (또는 해당 국가)
- 이전 항목: 신분증 정보, 안면 데이터
- 이전 목적: 본인 인증 서비스 제공
- 보호 방법: 계약을 통한 개인정보 보호 조치 확보
2. 블록체인 주소와 개인정보
지갑 주소는 개인정보인가?
[블록체인 주소의 개인정보 해당 여부]
단독 지갑 주소:
→ 원칙적으로 개인정보 아님 (특정인 식별 불가)
→ 단, 연결된 맥락에 따라 개인정보가 될 수 있음
개인정보가 되는 경우:
✅ KYC로 실명과 연결된 지갑 주소
✅ 서비스 가입 이메일과 연결된 지갑 주소
✅ IP 주소와 함께 분석 시 특정인 식별 가능한 경우
실무 시사점:
CEX가 보유한 "이메일 + 지갑 주소 + 거래 내역"
→ 개인정보 처리 대상
→ PIPA 적용
블록체인의 불변성과 삭제 요청
PIPA는 정보 주체에게 삭제 요청권을 보장합니다. 하지만 블록체인에 기록된 데이터는 기술적으로 삭제가 불가능합니다.
[블록체인 데이터 삭제 요청 처리 방법]
온체인 데이터 (블록체인에 직접 기록):
- 기술적 삭제 불가 → 이용자에게 사전 고지 필수
처리방침 명시: "블록체인에 기록된 거래 내역은
블록체인의 기술적 특성상 삭제가 불가능합니다"
- 가능한 대안: 서비스 내 연결 해제 (지갑 주소↔계정 연결 해제)
오프체인 데이터 (서비스 DB에 저장):
- 일반 PIPA 삭제 원칙 적용
- KYC 정보, 프로필, 거래 내역 캐시 등
3. NFT 마켓플레이스의 개인정보
NFT 창작자·구매자 정보 처리
[NFT 플랫폼 개인정보 처리]
창작자(민터):
- 이메일, 소셜 계정 연동 → 일반 개인정보
- 저작권·로열티 정산용 계좌 → 금융정보
- KYC 없는 NFT 플랫폼: 지갑 주소만으로 서비스 가능
→ 이메일 수집 시에만 PIPA 완전 적용
구매자:
- 지갑 주소 + 구매 이력 → 연결 시 개인정보
- 이메일 연동 시: 구매 알림, 마케팅 동의 설계 필요
NFT 컨텐츠:
- NFT 메타데이터에 개인정보 포함 주의
(예: "이 NFT 소유자: 홍길동" 형태로 온체인 기록 금지)
4. Web3 서비스 개인정보 처리방침 특이사항
Web3 서비스는 일반 서비스와 다른 특수한 고지 사항이 필요합니다.
[Web3 전용 처리방침 항목]
1. 블록체인 데이터 불변성 고지
"블록체인에 기록된 정보는 기술적 특성상 수정·삭제가
불가능할 수 있습니다. 온체인 기록 전 충분히 검토해 주세요."
2. 지갑 주소와 개인정보 연결 고지
"서비스 가입 시 귀하의 지갑 주소가 계정 정보와 연결되어
개인정보로 처리됩니다."
3. 스마트 컨트랙트 상호작용
"일부 기능은 스마트 컨트랙트를 통해 처리되며,
해당 거래 내역은 블록체인에 영구 기록됩니다."
4. 탈중앙화 서비스 한계
"탈중앙화 프로토콜 이용 시 당사가 처리하지 않는
데이터에 대해서는 PIPA 적용이 제한될 수 있습니다."
5. 가상자산 거래소의 보안 사고와 침해 신고
가상자산 거래소는 해킹 타겟이 되기 쉬운 만큼 개인정보 유출 사고 대응도 중요합니다.
[거래소 개인정보 침해 신고 의무]
신고 대상:
- 1천 명 이상 이용자 개인정보 유출
- KYC 데이터(신분증, 안면정보) 유출
- 계좌·카드 정보 유출
신고 기관 및 기한:
- 개인정보보호위원회: 72시간 이내 신고
- 이용자 통지: 지체 없이 (가능한 경우 즉시)
통지 내용:
□ 유출된 개인정보 항목
□ 유출 시점 및 경위
□ 이용자 피해 최소화를 위한 조치 방법
□ 담당 부서 및 연락처
□ 이용자가 취할 수 있는 조치
PipaGuard로 Web3 서비스 PIPA 준수하기
암호화폐·Web3 서비스는 KYC 민감정보, 블록체인 불변성, 해외 솔루션 활용 등 복잡한 PIPA 이슈가 중첩됩니다. PipaGuard는 Web3 서비스의 처리방침 누락 항목, KYC 데이터 위탁 계약 공백, 국외 이전 고지 오류를 자동으로 탐지합니다.
→ pipaguard.vercel.app에서 무료로 시작해보세요.