v0.4
GDPR 적합성 평가 및 EU 규제 종합 매트릭스¶
1. 문서 목적 및 범위¶
본 문서는 D'CENT 엔터프라이즈 콜드월렛 커스터디 솔루션의 3개 배포 모델(Model A/B/C)에 대해 GDPR(General Data Protection Regulation) 적합성을 평가하고, MiCA/DORA 평가(Plan 01)와 통합하여 EU 3개 규제 종합 매트릭스를 완성한다.
입력 문서:
- Phase 19 Plan 01: data-sensitivity-classification.md -- 7개 데이터 유형 민감도 4등급 분류
- Phase 19 Plan 02: deployment-model-data-sovereignty.md -- 배포 모델별 데이터 소재지/통제 주체 매트릭스 + GDPR Processor/Controller 역할 정의
- Phase 21 Plan 01: mica-dora-assessment.md -- MiCA/DORA 배포 모델별 적합성 평가
평가 대상:
| # | 규제 프레임워크 | 발효 | 소관 기관 | 핵심 관련 영역 |
|---|---|---|---|---|
| 3 | GDPR (Regulation (EU) 2016/679) | 2018.05.25 | 각국 DPA (Data Protection Authority) | 개인정보 보호, 데이터 레지던시, 국외 전송 |
2. GDPR 적용 범위 분석¶
2.1. 커스터디 데이터의 GDPR "개인정보" 해당 여부¶
GDPR Art. 4(1)의 개인정보(personal data) 정의: "식별되거나 식별 가능한 자연인(identified or identifiable natural person)에 관한 일체의 정보"
D'CENT 엔터프라이즈 커스터디 솔루션은 기업(법인) 고객을 대상으로 하므로, 데이터가 자연인과 연결되는지 여부가 핵심 판단 기준이다.
| # | 데이터 유형 | 민감도 | GDPR 개인정보 해당 여부 | 판단 근거 |
|---|---|---|---|---|
| 1 | 트랜잭션 이력 | 극비 | 경계 사례 (Pseudonymous Data) | 블록체인 주소와 트랜잭션 해시는 그 자체로 자연인을 직접 식별하지 않으나, 체인 분석(chain analysis)과 외부 데이터(KYC 정보, 거래소 출금 기록)를 결합하면 자연인과 연결 가능. GDPR Recital 26의 "합리적으로 사용될 가능성이 있는 수단(means reasonably likely to be used)"을 고려하면, 기관 커스터디 맥락에서 블록체인 주소는 pseudonymous data로서 GDPR 적용 대상일 가능성이 높음. |
| 2 | 승인 기록 | 극비 | 해당 (승인자가 자연인) | 승인자 ID, IP 주소, 세션 ID, 승인 시간 등이 자연인(기업 임직원)에 직접 연결되는 개인정보. 특히 IP 주소는 CJEU(유럽사법재판소) Breyer 판결(C-582/14)에서 개인정보로 인정. |
| 3 | 정책 규칙 | 극비 | 비해당 (구성 데이터) | 정책 규칙(한도, 쿼럼, 화이트리스트 강제 여부 등)은 시스템 구성 정보이며 자연인에 대한 정보가 아님. 단, 정책에 승인자 역할이 명시된 경우 간접적 연결 가능성 있으나, 역할명(예: "CFO 승인")만으로는 개인정보에 해당하지 않음. |
| 4 | 화이트리스트 | 극비 | 경계 사례 | 블록체인 주소 목록 자체는 개인정보가 아니나, 주소에 레이블(예: "OTC 파트너 A 주소")이 부여되고 이것이 자연인과 연결되는 경우 개인정보에 해당할 수 있음. 기관 커스터디에서는 대부분 법인 주소이므로 비해당 가능성 높음. |
| 5 | 잔액 정보 | 기밀 | 비해당 (법인 자산 정보) | 기업 지갑의 잔액은 법인 재무 정보이며 자연인에 대한 정보가 아님. 블록체인 공개 데이터와 동일. |
| 6 | 사용자 정보 | 기밀 | 해당 (직접 개인정보) | 사용자 이름, 이메일, 역할, 세션 정보 등이 자연인(기업 임직원)을 직접 식별하는 개인정보. GDPR의 핵심 보호 대상. |
| 7 | 감사 로그 | 극비 | 해당 (행위자 정보 포함) | 행위자 ID, IP 주소, 행위 시간, 접근 기록 등이 자연인과 연결되는 개인정보. GDPR Art. 5(1)(e) 보존 기간 제한과 규제 보존 의무(5년) 간 긴장 관계 존재. |
종합: 7개 유형 중 3개(승인 기록, 사용자 정보, 감사 로그)가 확정 개인정보, 2개(트랜잭션 이력, 화이트리스트)가 경계 사례(pseudonymous/간접 연결), 2개(정책 규칙, 잔액 정보)가 비해당이다. GDPR 보수적 적용 원칙에 따라, 5개 유형(확정 3 + 경계 2)을 GDPR 적용 대상으로 취급하는 것이 안전한다.
2.2. Pseudonymous Data와 GDPR¶
블록체인 주소의 GDPR 적용에 대한 심층 분석:
| 논점 | 분석 |
|---|---|
| pseudonymous data 정의 | GDPR Art. 4(5): "추가 정보의 사용 없이는 특정 데이터 주체에 귀속될 수 없도록 처리된 개인정보." 블록체인 주소는 이 정의에 부합 -- 주소 자체만으로는 자연인 식별 불가하나, KYC 정보와 결합 시 식별 가능. |
| GDPR 적용 여부 | GDPR Recital 26: pseudonymous data는 여전히 개인정보임. 단, 기관 커스터디 맥락에서 주소가 법인에만 연결되는 경우(개인 지갑이 아닌 기업 지갑), 자연인 연결 가능성이 낮아 비해당 주장 가능. |
| 실무적 접근 | EU DPA(Data Protection Authority)들의 블록체인 관련 가이드라인은 아직 정립 중. 보수적으로 pseudonymous data를 개인정보로 취급하는 것이 규제 리스크를 최소화. |
| D'CENT 커스터디 특성 | D'CENT Enterprise는 기업(법인) 전용 솔루션이므로, 대부분의 블록체인 주소는 법인 자산과 연결됨. 자연인 연결 가능성은 "기업 임직원이 개인 지갑 주소를 화이트리스트에 등록하는 경우" 등 제한적 시나리오에서만 발생. |
3. GDPR 핵심 요구사항 배포 모델별 평가¶
3.1. 데이터 레지던시 (Art. 44-49: 국외 전송 제한)¶
3.1.1. 규제 개요¶
GDPR Chapter V (Art. 44-49)는 EU/EEA 역외로의 개인정보 전송에 엄격한 제한을 부과한다.
| 전송 허용 근거 | 조항 | 상세 |
|---|---|---|
| 적정성 결정 (Adequacy Decision) | Art. 45 | EU 집행위원회가 해당 국가의 데이터 보호 수준이 EU와 동등하다고 인정 |
| 적절한 보호조치 (Appropriate Safeguards) | Art. 46 | SCC(Standard Contractual Clauses), BCR(Binding Corporate Rules) 등 |
| 특정 상황 예외 (Derogations) | Art. 49 | 명시적 동의, 계약 이행 필요성 등 제한적 예외 |
3.1.2. 배포 모델별 평가¶
Model A (Zero Cloud) -- 적합 (EU 역내 배치 시) / 조건부 적합 (한국 배치 시)
| 시나리오 | 판정 | 근거 |
|---|---|---|
| EU 고객이 EU 역내에 Model A 배치 | 적합 | 개인정보가 EU 역내에 저장·처리되므로 국외 전송 이슈 없음. |
| EU 고객이 한국에 Model A 배치 | 조건부 적합 | 한국-EU 적정성 결정(2022.12 발효)에 의해 한국으로의 개인정보 전송이 합법화됨. 단, 적정성 결정의 범위 내에서만 허용. |
Model B (Hybrid) -- 조건부 적합
| 시나리오 | 판정 | 근거 |
|---|---|---|
| EU 리전 CSP 사용 | 적합 | 클라우드 데이터가 EU 리전에 저장되므로 국외 전송 없음. AWS Frankfurt, Azure Netherlands 등. |
| 비EU 리전 CSP 사용 | 부적합 | EU 역외 전송에 해당하며, 적정성 결정 또는 SCC 등 적절한 보호조치 없이는 위법. |
| 종합 | 조건부 적합 | EU 리전 CSP 사용 시 적합. |
Model C (SaaS) -- 조건부 적합
| 시나리오 | 판정 | 근거 |
|---|---|---|
| D'CENT EU 리전 운영 | 조건부 적합 | D'CENT이 EU 리전에서 서비스를 운영하면 국외 전송 없음. 그러나 D'CENT(한국 법인)의 관리 접근이 한국에서 이루어지는 경우, 관리 목적 데이터 접근도 "전송"으로 간주될 수 있음. |
| D'CENT 한국 리전 운영 | 조건부 적합 | 한국-EU 적정성 결정에 의해 전송 합법화 가능. 단, GDPR Processor로서 추가 보호조치(DPA, CMEK 등) 필수. |
| 종합 | 조건부 적합 | EU 리전 운영 + DPA 체결 + 관리 접근 통제 시 적합. |
3.2. 한국-EU 적정성 결정 (2022.12) 활용 범위¶
2022년 12월 17일 EU 집행위원회는 대한민국에 대한 적정성 결정(adequacy decision)을 채택하였다. 이에 따라 EU에서 한국으로의 개인정보 전송이 GDPR Art. 45에 의해 별도 보호조치 없이 허용된다.
| 항목 | 내용 | D'CENT 커스터디 영향 |
|---|---|---|
| 적용 범위 | 한국 개인정보보호법(PIPA) 적용 대상 사업자에 대한 전송 | D'CENT이 PIPA 적용 대상이면 적정성 결정 활용 가능 |
| 상호주의 | 한국도 EU를 적정성 인정 -- 양방향 전송 허용 | Model A(한국 배치)에서 EU 고객 데이터 처리 시 합법적 전송 근거 |
| 제한 사항 | (1) 수집 목적 외 이용·제공 제한 (2) 민감정보 추가 보호 (3) 적정성 결정의 정기 재검토(4년 주기) | 커스터디 데이터 중 개인정보에 대한 목적 외 이용 금지. 적정성 결정 만료/철회 리스크 모니터링 필요. |
| 실효성 | 높음 | SCC 없이도 한국-EU 간 개인정보 전송 가능하므로, Model A(한국 배치)의 EU 고객 대응에 큰 장점. |
모델별 적정성 결정 활용:
| 배포 모델 | 적정성 결정 활용 여부 | 근거 |
|---|---|---|
| Model A (EU 배치) | 불필요 | 데이터가 EU 역내에 저장되므로 국외 전송 없음. |
| Model A (한국 배치) | 활용 | EU 고객의 개인정보가 한국에 저장되나, 적정성 결정에 의해 합법적 전송. |
| Model B | 불필요 (EU 리전 사용 시) | 클라우드 데이터가 EU 리전에 저장. |
| Model C (D'CENT 한국 운영) | 활용 | D'CENT 한국 법인이 EU 고객 데이터를 처리하는 경우 적정성 결정이 전송 근거. 단, DPA 체결은 별도 필수. |
적정성 결정의 한계: 1. 정기 재검토: EU 집행위원회가 4년마다 적정성을 재검토하며, 한국 법제 변화에 따라 철회 가능 2. Schrems III 리스크: 시민사회의 적정성 결정 무효화 소송 가능성 (Schrems I/II 판례 참조) 3. 목적 제한: 적정성 결정은 전송 합법화에만 적용되며, GDPR의 나머지 의무(데이터 최소화, 보존 기간 제한, 데이터 주체 권리 등)는 별도 충족 필요
3.3. 데이터 처리자/통제자 역할 (Art. 24-28)¶
Phase 19 Plan 02에서 정의한 배포 모델별 역할을 GDPR 맥락에서 재확인한다.
| 배포 모델 | GDPR 역할 | Controller (통제자) | Processor (처리자) | 근거 |
|---|---|---|---|---|
| Model A | Controller만 존재 | 고객 (기업) | N/A (제3자 처리 없음) | 모든 데이터를 기업이 자체 인프라에서 처리. D'CENT은 소프트웨어/하드웨어 공급자로서 데이터에 접근하지 않음. |
| Model B | Controller + Processor(CSP) | 고객 (기업) | CSP (AWS/Azure 등) | CSP가 고객의 지시에 따라 데이터를 호스팅(처리). D'CENT은 소프트웨어 공급자로 데이터에 직접 접근하지 않으므로 Processor 비해당. |
| Model C | Controller + Processor(D'CENT) | 고객 (기업) | D'CENT | D'CENT이 고객의 지시에 따라 멀티테넌트 인프라에서 데이터를 처리. GDPR Art. 28의 Processor 의무 전체 적용. |
3.4. DPA(Data Processing Agreement) 요구 (Art. 28)¶
GDPR Art. 28은 Controller와 Processor 간 Data Processing Agreement(DPA) 체결을 의무화한다.
| DPA 필수 조항 (Art. 28(3)) | Model A | Model B | Model C |
|---|---|---|---|
| (a) 문서화된 지시에 따른 처리 | N/A | CSP DPA에 포함 | D'CENT DPA에 포함 필수 |
| (b) 기밀 의무 | N/A | CSP 표준 약관 | D'CENT 임직원 기밀 의무 명시 |
| (c) 보안 조치 (Art. 32) | N/A | CSP 보안 인증으로 충족 | D'CENT 보안 조치 명시 (CMEK, 격리 스키마, 접근 통제) |
| (d) 하위 처리자 승인 | N/A | CSP의 하위 처리자 공개 | D'CENT의 CSP 사용에 대한 고객 사전 승인 |
| (e) 데이터 주체 권리 협조 | N/A | CSP 표준 약관 | D'CENT이 삭제권/이동권/접근권 행사 시 고객 협조 |
| (f) 보안 사고 통보 | N/A | CSP 사고 통보 약관 | D'CENT 사고 발생 시 72시간 이내 고객 통보 |
| (g) 처리 종료 시 데이터 삭제/반환 | N/A | CSP 데이터 삭제 약관 | D'CENT 서비스 종료 시 데이터 완전 반환 + 삭제 증명 |
| (h) 감사 권한 | N/A | CSP SOC 2 보고서 | D'CENT에 대한 고객 감사 권한 (연 1회+) |
3.5. 데이터 주체 권리 (Chapter III, Art. 12-23)¶
GDPR Chapter III는 데이터 주체(D'CENT Enterprise 맥락에서는 기업 임직원)의 권리를 규정한다. 커스터디 솔루션에서 특히 관련되는 권리:
| 데이터 주체 권리 | 조항 | 배포 모델별 이행 | 특이 사항 |
|---|---|---|---|
| 접근권 (Right of Access) | Art. 15 | Model A: 기업 자체 처리 / Model B: CSP 데이터 내보내기 / Model C: D'CENT API로 데이터 제공 | 모든 모델에서 이행 가능 |
| 정정권 (Right to Rectification) | Art. 16 | 사용자 정보(이름, 이메일 등) 정정. 블록체인 데이터/감사 로그는 정정 불가(append-only). | Event Sourcing에서 정정은 "정정 이벤트 추가"로 구현 -- 원본 삭제 아님 |
| 삭제권 (Right to Erasure) | Art. 17 | 긴장 관계 존재. 규제 보존 의무(MiCA 5년, 특금법 5년)가 삭제권에 우선(Art. 17(3)(b)). 보존 기간 만료 후 삭제. | 감사 로그/트랜잭션 이력은 법적 의무로 보존 기간 내 삭제 불가. 사용자 정보는 퇴직 후 삭제 요청 가능. |
| 이동권 (Right to Data Portability) | Art. 20 | Model A: 기업 자체 관리 / Model B: CSP 데이터 내보내기 / Model C: D'CENT 표준 형식(JSON/CSV) 내보내기 API 필요 | Model C에서 이동권 이행 = DORA Exit Strategy와 연계 |
| 처리 제한권 (Right to Restriction) | Art. 18 | 분쟁 중 데이터 처리 제한. 커스터디 맥락에서는 해당 승인자의 승인 기능 일시 정지로 구현 가능. | 서비스 가용성에 영향 있으므로 제한적 적용 |
3.6. DPIA(Data Protection Impact Assessment) 필요 여부 (Art. 35)¶
GDPR Art. 35는 "자연인의 권리와 자유에 대해 높은 위험을 초래할 가능성이 있는" 처리에 대해 사전 데이터 보호 영향 평가(DPIA)를 요구한다.
| DPIA 필요 기준 (Art. 35(3)) | D'CENT 커스터디 해당 여부 | 분석 |
|---|---|---|
| (a) 자동 프로파일링 | 비해당 | D'CENT은 자동 프로파일링이나 자동 의사결정을 수행하지 않음 |
| (b) 대규모 민감 데이터 처리 | 경계 | 대규모(large scale) 여부는 데이터 주체 수에 따라 판단. 기관 커스터디에서 데이터 주체는 기업 임직원(수십~수백 명)이므로 "대규모"에 해당하지 않을 가능성 높음. |
| (c) 공개 접근 장소 대규모 모니터링 | 비해당 | 물리적 모니터링 아님 |
결론: D'CENT 커스터디 솔루션의 일반적 사용 시나리오에서 DPIA는 의무가 아닐 가능성이 높다. 그러나 (1) 대규모 금융기관에서 수천 명의 임직원 데이터를 처리하거나, (2) 블록체인 주소를 개인정보로 취급하여 대량 처리하는 경우에는 DPIA를 자발적으로 실시하는 것이 권장된다.
3.7. GDPR x 3모델 판정 매트릭스¶
| GDPR 요구사항 | Model A (Zero Cloud) | Model B (Hybrid) | Model C (SaaS) |
|---|---|---|---|
| 데이터 레지던시 (Art. 44-49) | 적합 (EU 배치) / 조건부 (한국 배치, 적정성 결정 활용) | 조건부 적합 (EU 리전 CSP 사용 필수) | 조건부 적합 (EU 리전 운영 + 관리 접근 통제) |
| Controller/Processor 역할 | 적합 (Controller만, 제3자 처리 없음) | 조건부 적합 (CSP=Processor, CSP DPA 필수) | 조건부 적합 (D'CENT=Processor, D'CENT DPA 필수) |
| DPA 체결 | 비적용 | 필수 (CSP DPA) | 필수 (D'CENT DPA -- Art. 28(3) 전체 조항 포함) |
| 데이터 주체 권리 | 적합 (기업 자체 이행) | 조건부 적합 (CSP 협조 필요) | 조건부 적합 (D'CENT 협조 필요, 이동권=Exit Strategy) |
| 삭제권 vs 보존 의무 | 적합 (기업 자체 관리) | 조건부 적합 (CSP 데이터 삭제 약관) | 조건부 적합 (D'CENT 삭제 증명 필요) |
| 종합 | 적합 | 조건부 적합 | 조건부 적합 |
4. EU 3개 규제 종합 매트릭스¶
4.1. MiCA/DORA/GDPR 종합 (3규제 x 3모델)¶
Plan 01의 MiCA/DORA 판정 결과와 본 문서의 GDPR 판정을 통합한다.
| EU 규제 프레임워크 | Model A (Zero Cloud) | Model B (Hybrid) | Model C (SaaS) |
|---|---|---|---|
| MiCA (Art. 67-70) | 적합 (4/4 적합) | 조건부 적합 (1적합 + 3조건부) | 조건부 적합 (1적합 + 3조건부) |
| DORA (Art. 28-30) | 적합 (3/3 적합) | 조건부 적합 (3/3 조건부) | 조건부 적합 (3/3 조건부, 높은 관리 부담) |
| GDPR (Art. 44-49 등) | 적합 | 조건부 적합 (EU 리전 + CSP DPA) | 조건부 적합 (EU 리전 + D'CENT DPA) |
| EU 종합 | 적합 | 조건부 적합 | 조건부 적합 |
4.2. 조건부 적합 세부 조건 비교¶
| 충족 조건 | Model B | Model C |
|---|---|---|
| 보안 인증 | CSP: SOC 2 + ISO 27001 (기존 보유) | D'CENT: SOC 2 + ISO 27001 (취득 필요) |
| 데이터 소재지 | EU 리전 CSP 선택 | D'CENT EU 리전 운영 |
| DPA 체결 | CSP 표준 DPA (AWS/Azure 제공) | D'CENT 맞춤 DPA 작성 필요 |
| 감사 권한 | CSP SOC 2 보고서로 갈음 | D'CENT 직접 감사 권한 보장 |
| Exit Strategy | CSP 전환 + Model A 전환 가이드 | D'CENT 데이터 반환 + 서비스 종료 프로토콜 |
| ICT 제3자 등록 | CSP 등록 | D'CENT 등록 |
| NCA 통지 | NCA별 확인 필요 | 핵심 기능 위탁 시 NCA 통지 필수 |
| 집중 리스크 | 멀티 클라우드 옵션 | D'CENT 단일 의존 -- Model A/B 전환 계획 필요 |
4.3. EU 고객 유형별 권장 배포 모델¶
| EU 고객 유형 | 규제 환경 | 권장 배포 모델 | 근거 |
|---|---|---|---|
| EU 금융기관 (은행, 투자회사) | MiCA + DORA + GDPR + 각국 금융 규제 | Model A (우선) > Model B | 금융기관은 ICT 제3자 리스크 관리(DORA), 거버넌스 자체 통제(MiCA Art. 67), 데이터 주권에 대한 요구가 가장 엄격. Model A가 규제 부담 최소. Model B는 CSP의 DORA 약관으로 대응 가능. Model C는 위탁 규제 부담이 높아 비권장. |
| EU VASP/거래소 (CASP 인가 보유) | MiCA (CASP) + DORA + GDPR | Model B (우선) > Model A | VASP/거래소는 이미 CASP 인가를 보유하므로 MiCA 대응 체계가 갖춰져 있음. Model B의 하이브리드 아키텍처(키 보관 온프레미스 + 대시보드 클라우드)가 운영 효율과 규제 준수의 균형. |
| EU 일반 기업 (비금융) | GDPR + 기타 산업 규제 | Model B (우선) > Model C | DORA 비적용(비금융), MiCA 비적용(CASP 아님). GDPR만 주요 고려사항이므로 Model B/C 모두 적합. 운영 부담 최소화를 원하면 Model C. |
| EU 공공기관/국영기업 | GDPR + 공공조달 규정 + 데이터 주권 요구 | Model A | 공공기관의 데이터 주권 요구가 매우 엄격. Model A의 완전 온프레미스만이 공공 데이터 보호 요구를 무조건 충족. |
5. 한국 규제와 EU 규제의 배포 모델별 적합성 패턴 비교¶
5.1. 한국 vs EU 규제 온도 비교¶
| 비교 항목 | 한국 (Phase 20) | EU (Phase 21) | 차이 분석 |
|---|---|---|---|
| 규제 프레임워크 수 | 4개 (전자금융감독규정, 망분리, ISMS-P, 특금법) | 3개 (MiCA, DORA, GDPR) | 한국은 금융 IT 중심 규제가 세분화, EU는 포괄 규제(MiCA/DORA) |
| 데이터 소재지 | 강제 (국내 저장 의무 -- 제14조의2 제3항) | 간접 제한 (GDPR 국외 전송 규칙, 적정성 결정으로 완화) | 한국이 데이터 소재지 제한이 훨씬 엄격. EU는 적정성 결정으로 유연성 확보. |
| 망분리 | 엄격 (금융기관 업무망/인터넷망 물리적 분리) | 없음 (네트워크 분리 규제 없음, ICT 보안으로 대체) | 한국 망분리는 Model C를 금융기관에서 사실상 배제. EU에는 동등 규제 없음. |
| 제3자 위탁 | 전자금융감독규정 + 특금법으로 간접 규제 | MiCA Art. 70 + DORA Art. 28-29로 명시적 규제 | EU가 위탁 프레임워크가 더 명확. 한국은 망분리로 간접 제한. |
| 에어갭 강점 | 콜드월렛 보관 비율 100% 자동 충족 | Art. 68 자산 분리 보관 자동 충족 | 양쪽 동일 패턴 -- 에어갭이 구조적 규제 강점 |
5.2. 양쪽 모두 적합한 모델 vs 한쪽에서만 적합한 모델¶
| 배포 모델 | 한국 적합성 | EU 적합성 | 글로벌 동시 적합성 |
|---|---|---|---|
| Model A | 적합 (4/4 무조건 적합) | 적합 (3/3 무조건 적합) | 양쪽 모두 적합 -- 글로벌 안전 선택 |
| Model B | 조건부 적합 (국내 리전 필수) | 조건부 적합 (EU 리전 권장) | 양쪽 모두 조건부 적합 -- 리전별 데이터 배치로 동시 충족 가능 |
| Model C (금융기관) | 부적합 (망분리 위반) | 조건부 적합 (위탁 계약 시) | 한국 금융기관 불가 -- EU에서만 조건부 가능 |
| Model C (비금융) | 조건부 적합 | 조건부 적합 | 양쪽 모두 조건부 적합 |
5.3. Phase 22 글로벌 매트릭스 입력 요약¶
Phase 22에서 글로벌 적합성 매트릭스를 작성할 때 반영할 EU 규제 입력:
- EU MiCA 행: Model A 적합, Model B/C 조건부 적합 (Art. 68 에어갭 강점)
- EU DORA 행: Model A 적합, Model B/C 조건부 적합 (ICT 제3자 계약 필수)
- EU GDPR 행: Model A 적합, Model B/C 조건부 적합 (EU 리전 + DPA)
- 한국-EU 교차 사항: Model C 금융기관의 한국-EU 적합성 차이 (한국 불가/EU 조건부)
- 에어갭 구조적 강점: 양쪽 규제 환경에서 일관된 구조적 이점
6. 참고 사항¶
6.1. 용어 정리¶
| 용어 | 영문 | 정의 |
|---|---|---|
| GDPR | General Data Protection Regulation | EU 일반 데이터 보호 규정 (Regulation (EU) 2016/679) |
| DPA | Data Processing Agreement | Controller-Processor 간 데이터 처리 계약 (GDPR Art. 28) |
| DPIA | Data Protection Impact Assessment | 데이터 보호 영향 평가 (GDPR Art. 35) |
| SCC | Standard Contractual Clauses | 표준 계약 조항 (국외 전송 보호조치) |
| BCR | Binding Corporate Rules | 구속적 기업 규칙 (국외 전송 보호조치) |
| DPA (Authority) | Data Protection Authority | 각국 데이터 보호 감독당국 |
| CJEU | Court of Justice of the European Union | 유럽사법재판소 |
| PIPA | Personal Information Protection Act | 한국 개인정보보호법 |
| Adequacy Decision | 적정성 결정 | EU 집행위원회의 제3국 데이터 보호 수준 인정 결정 |
관련 문서¶
- 경쟁사 5사 배포 방식 비교 및 금융기관 도입 사례 조사 -- 규제 준수
- MiCA/DORA 배포 모델별 적합성 평가 -- 규제 준수