Разъяснение правил защиты блокчейнов и персональных данных

Яцек Чарнецкий — юрист варшавской юридической фирмы Wardynski & Partners, где он специализируется в таких областях, как финтех, цифровые валюты и блокчейн.

В этой Мнение Чарнецкий рассматривает законы о защите данных в ЕС, в доступной форме описывая, какие проблемы и возможности они представляют для новаторов отрасли.

Не проходит и дня, чтобы мы T услышали о новом применении Технологии блокчейн.

Криптографически безопасныйраспределенный реестр (обеспеченосредства консенсуса членов) оказывается решением многих проблем и неэффективности в окружающем нас мире.

И речь идет T только о технологических усовершенствованиях или реконструкции бизнес-моделей: разные варианты использования блокчейнаоставит след в экономике, обществе и, возможно, также в политике.

Блокчейны – особенно публичные, такие как Bitcoin или Ethereum – ломают многие парадигмы, включая правовые. Таким образом, мы вступаем в интересный переходный период, когда последовательные применения этой Технологии столкнутся с правовыми нормами, не всегда адаптированными к новой реальности.

ONE из наиболее интересных примеров является защита персональных данных.

Правовые нормы, защищающие персональные данные, имеют большое значение во многих областях, где уже существуют блокчейны: Финансы, здравоохранение, системы электронной идентификации и ETC. И хотя применение существующих норм защиты данных в Технологии блокчейна вызовет проблемы, существуют решения.

Проблемы и преимущества блокчейнов

Прежде всего, почему блокчейны представляют собой проблему для защиты персональных данных? Существует три основные причины:

• Блокчейны децентрализованы и распределены. Практически невозможно определить субъекта, ответственного за то, что происходит в блокчейне, и за обработку персональных данных.
• Блокчейны являются публичными и прозрачными. Как правило, вся информация в блокчейне, которая может включать персональные данные, доступна всем.
• Блокчейны не подлежат редактированию. Невозможно изменить или удалить информацию, содержащуюся в блокчейне (например, персональные данные). Транзакции необратимы.

Почему блокчейны открывают возможности для защиты персональных данных?

• Блокчейны децентрализованы и распределены. В настоящее время наши персональные данные обрабатываются различными доверенными третьими лицами. Эти субъекты централизованы и, следовательно, часто представляют собой единые точки отказа. Утечки невообразимых объемов данных в результате киберпреступности часто происходят в форме атаки на один субъект, например, больницу, поставщика услуг электронной почты и ETC.
• Блокчейны являются публичными и прозрачными. В настоящее время у нас нет эффективного контроля над тем, кто и как обрабатывает наши персональные данные. Фактически, субъект данных контролирует свои персональные данные только в ограниченной степени. После передачи этих данных субъект теряет контроль над тем, как они впоследствии используются.
• Блокчейны очень безопасны. Благодаря использованию криптографии (цифровые подписи, шифрование, отметка времени) и системно встроенным экономическим стимулам для субъектов, поддерживающих сеть, блокчейны обеспечивают довольно безопасный способ хранения и управления информацией, включая персональные данные.

С какими законодательными проблемами мы сталкиваемся?

Законодательство, которое в наибольшей степени регулирует защиту персональных данных в Европейском Союзе, — это Общий регламент по защите данных (GDPR).

Хотя считается, что GDPR был разработан как технологически нейтральный и адаптированный к обработке персональных данных в различных контекстах, структурах и способами, в случае Технологии блокчейн тем не менее возникает много вопросов.

Ответы будут разными для разных типов блокчейнов, но вот некоторые вопросы, которые необходимо решить:

• Кто является контролером персональных данных в блокчейне?Контролер определяет цели и средства обработки персональных данных. Существует ли вообще такая сущность в контексте распределенного блокчейна? Мы можем потенциально рассматривать майнеров, подтверждающих транзакции, как контроллеров (в случае консенсуса proof-of-work) – то, что в случае крупных публичных блокчейнов будет неосуществимо на практике.
• Какие законы следует применять к Технологии блокчейн?В ситуациях, когда невозможно определить субъект обработки персональных данных и место, где эти данные обрабатываются (вероятно, таких субъектов и мест столько же, сколько и узлов сети), сложно определить юрисдикцию, которая будет подходящей для правовой оценки обработки данных, иными словами, применимое национальное законодательство.
• Что представляет собой персональные данные в контексте блокчейна?Понятие персональных данных становится все более широким. Так можно ли считать публичные ключи персональными данными? Ведь они не обладают признаками анонимных данных и часто связаны с конкретными физическими лицами, хотя их характеристики схожи с псевдонимизированными данными.
• Ограничивает ли блокчейн цели сбора и обработки данных и их минимизацию?Согласно GDPR, конкретные цели, для которых обрабатываются персональные данные, должны быть указаны, явными и законными (ограничение цели). Персональные данные должны быть адекватными, релевантными и ограниченными тем, что необходимо в отношении целей, для которых они обрабатываются (минимизация данных). Это всего лишь примеры принципов, изложенных в GDPR. Между тем, в публичном блокчейне данные хранятся на каждом узле сети и общедоступны для всех, независимо от первоначальной цели их сбора и обработки.
• Совместимы ли блокчейны с системой защиты персональных данных по умолчанию и замыслу?
• Как реализовать право на забвение?Блокчейны практически не поддаются редактированию, а хранящиеся в них данные часто невозможно обновить, удалить, изменить или исправить.
• Кто несет ответственность за нарушение вышеуказанных требований и обязательств, поскольку невозможно указать контролера данных?

Что нас ждет впереди?

Взгляд на блокчейны через призму законов о защите данных, особенно таких амбициозных, как GDPR, — интересное занятие, поскольку речь идет не только о выводе о том, что применение этой Технологии приведет к юридическим проблемам.

Это только ONE сторона медали.

Блокчейны также могут стать ключевыми компонентами будущих институтов, систем и механизмов, разработанных для соответствия правилам защиты данных. Для максимальной эффективности элементы блокчейна, вероятно, будут сочетаться с традиционными решениями.

Преимущества этой Технологии могут быть использованы для создания действительно эффективной структуры защиты персональных данных, в которой субъект данных будет иметь реальную возможность контролировать использование своих данных.

Поэтому перед нами стоит непростая задача. Мы должны интерпретировать законы, а также проектировать и создавать блокчейн-приложения таким образом, чтобы максимизировать их синергию. В противном случае мы застрянем в ситуации, когда закон будет сдерживать развитие Технологии и инноваций, а персональные данные будут защищаться все менее и менее эффективно.

Изображение защиты данныхчерез Shutterstock