암호화폐를 개인 데이터로
비트코인 지갑 주소는 "1", "3", 또는 "bc1"로 시작하는 Base58Check 인코딩의 26–35자의 알파벳 숫자 문자열입니다. 이더리움 주소는 "0x" 다음에 40개의 16진수 문자가 옵니다. 이러한 주소는 가명으로, 개인을 직접적으로 식별하지는 않지만, GDPR에 따르면 추가 처리를 통해 개인과 연결될 수 있는 가명 데이터는 개인 데이터입니다.
KYC 데이터를 보유한 암호화폐 거래소(지갑 주소를 검증된 고객 신원과 연결)는 GDPR의 범위 내에서 개인 데이터를 보유합니다: 지갑 주소는 KYC 기록과 결합되어 자연인을 식별합니다. 지갑 주소만으로도 거래소의 데이터 환경 내에서 개인 데이터입니다. 거래소는 이를 개인과 연결할 수 있기 때문입니다.
2024년 12월부터 시행되는 EU MiCA(암호자산 시장) 규정은 재무 규제 계층을 추가합니다: 암호화폐 자산 서비스 제공자(CASP)는 고객 데이터 보호를 위한 적절한 통제를 구현해야 합니다. MiCA와 GDPR의 교차점은 유럽 암호화폐 거래소가 동일한 지갑 주소 데이터에 대해 재무 규제(MiCA의 CASP에 대한 데이터 보호 요구 사항)와 일반 데이터 보호법(GDPR) 모두에 직면해야 함을 의미합니다.
탐지 격차
표준 PII 탐지 도구는 전통적인 재무 식별자를 위해 설계되었습니다: IBAN, 계좌 번호, 라우팅 번호, SWIFT/BIC. 이러한 도구는 암호화폐 주소 형식에 대한 인식이 없습니다. 비트코인 지갑 주소, 이더리움 주소, SWIFT 코드가 포함된 문서는 SWIFT 코드가 탐지되고 두 개의 암호화폐 주소는 암호화폐 주소 엔터티 유형을 포함하지 않는 도구에 의해 놓치게 됩니다.
KYC 문서를 처리하는 유럽 암호화폐 거래소의 경우: 고객 은행 계좌 IBAN은 표준 도구에 의해 탐지됩니다. 초기 자금 조달에 사용된 고객의 비트코인 지갑 주소는 탐지되지 않습니다. 은행에서의 송금에 대한 SWIFT 코드는 탐지됩니다. 토큰 구매에 사용된 이더리움 주소는 탐지되지 않습니다.
누락된 탐지는 사소한 격차가 아닙니다 — 지갑 주소는 암호화폐 맥락에서 핵심 재무 식별자로, 전통적인 은행 맥락에서 계좌 번호만큼 민감합니다.
GDPR 제32조(1)(a)는 기본 기술 조치로서 가명화 및 암호화를 요구합니다. **GDPR 벌금의 56%**가 불충분한 암호화를 기여 요인으로 인용합니다. 모든 탐지된 PII를 암호화하지만 암호화폐 지갑 주소를 탐지하지 못하는 조직은 핵심 비즈니스 운영과 관련된 아무것도 암호화하지 않은 것입니다.
출처: