Источник: ForkLog
В течение последних двух лет было реализовано более двух тысяч ICO, и практически все они собирали персональные данные.
Для многих проектов персональные данные – основа бизнес-модели.
Если же в ICO участвуют европейцы, то нужно соответствовать, в первую очередь, европейским регуляторным нормами.
Речь идет о General Data Protection Regulation (GDPR) – Европейском Общем Регламенте Защиты Данных.
Поладят ли блокчейн-индустрия, капитализация которой уже сегодня превышает полтриллиона долларов США, с актом Европейского союза по защите данных?
На этот вопрос отвечают старший юрист, руководитель Blockchain Practice АО Juscutum Нестор Дубневич и младший юрист Практики ТМТ Владислав Некрутенко.
GDPR начал действовать в Евросоюзе 25 мая 2018 года. Документ регулирует сбор и использование персональных данных в Европейском Союзе и примечателен как минимум по двум пунктам:
1. Компании, которые собирают и используют персональные данные, должны соблюдать высокие технические, организационные и документальные требования;
2. Действие Регламента распространяется не только на европейские компании, но и на всех за пределами ЕС, кто предлагает услуги европейцам или собирает информацию о них.
Блокчейн-стартапы тоже должны считаться с защитой персональных данных, так как собирают и используют контактные и документальные данные инвесторов, пользователей и других заинтересованных лиц.
ICO, которое проводится в ЕС или задействует европейцев, должно будет отвечать требованиям GDPR.
Но прежде чем говорить о связи блокчейна и GDPR, разберемся, будет ли связан сбор персональных данных с их записью в блокчейн. Рассмотрим распространенные примеры:
1. Формирование white-list во время проведения ICO – персональные данные не записываются в блокчейн, а просто формируются в список из инвесторов, которые покупают токены;
2. Проведение верификации пользователей во время сбора средств (KYC compliance) – данные собираются для подтверждения личности и законопослушности инвестора, они также не будут связаны с технологией блокчейн;
3. Авторизация в личном кабинете ICO-инвестора (не используется блокчейн);
4. Создание цифровой идентификации на блокчейне (validating identities on a blockchain) – в этом случае для записи персональных данных и будет использоваться блокчейн.
Это позволит идентифицировать личность с помощью данных из блокчейна.
В первых трех случаях требования к защите персональных данных будут аналогичны любому проекту e-commerce.
Затруднения с GDPR-compliance могут возникнуть у компаний, которые предоставляют услуги блокчейн-идентификации в Европейском Союзе.
Это подразумевает фиксацию информации (имя, контактные и паспортные данные, финансовая информация) клиентов в цепочке блоков, что может повлечь проблемы с выполнением отдельных требований Регламента.
В чем состоит трудность записи персональных данных в блокчейн
Как известно, революционность технологии блокчейн заключается в том, что данные фиксируются так, что удалить или исправить информацию после этого невозможно.
Главная идея состоит в распределенном хранении информации.
Информация записывается в блокчейн валидаторами (или нодами, как их принято называть), которые работают согласно алгоритмам консенсуса Proof-of-Work, Proof-of-Stake и другим.
Ноды – это серверы, на которых хранится информация, и которые по результатам математических вычислений подтверждают или отклоняют запись данных в блокчейн.
Ноды могут находится в разных точках мира, и каждая из них будет записывать информацию.
Когда данные подтверждены и записаны, информация распространяется среди остальных серверов-нод, которые на нее записывают новые блоки данных. Достоверность предыдущих блоков сверяется с копиями блокчейна остальных нод.
Такая модель приводит к тому, что при несовпадении (компрометации) предыдущих записей одним из валидаторов, остальные ноды не подтверждают достоверность данных, и последующие блоки рушатся.
В результате остальные участники системы отторгают нечестного игрока, делая блокчейн устойчивым к махинациям.
Информация, которая однажды была внесена в базу данных, уже не сможет быть исправлена или удалена, так как последующие записи находятся в криптографической связи с предыдущими.
Технология открывает возможности, которые выходят за пределы инструмента обмена: от ведения госреестров с полной прозрачностью до формирования более справедливого рынка, где информацию о товаре невозможно подделать или исправить (другими словами – токенизация). Другими словами, что записано в блокчейне, того и топором не вырубишь.
Тем не менее запись персональных данных без возможности удаления или исправления входит в противоречие с GDPR.
Регламент предполагает, что есть одно или группа лиц, ответственных за обработку (хранение, запись, структурирование и т. д.) персональных данных – контроллер.
По истечении срока хранения или запросу субъекта персональных данных контроллер обязан удалить собранные данные.
Проблема состоит в том, что изменить или удалить персональную информацию из блокчейна будет невозможно.
Для изменений в цепочках данных потребуется договориться со всеми нодами, чтобы они одновременно начали переписывать блокчейн.
Если в ближайшее время не будет запущен супермощный квантовый компьютер (потенциал которого способен переписать блокчейн биткоина с первой транзакции до того, как это сделает первая нода), то менять блоки данных не получится.
Кроме того, по критериям GDPR, каждая нода будет считаться обработчиком персональных данных.
Если следовать требованиям Регламента, то нода, которая записывает персональную информацию европейцев в блокчейн, должна быть GDPR-compliant.
Если в приватном блокчейне обязанность лежит на компании-разработчике, так как она сама владеет нодами и определяет их количество, то в публичном блокчейне это может оказаться затруднительно.
Например, количество нод в Bitcoin составляет больше десяти тысяч, а в Ethereum – около 25 тысяч нод.
Почему GDPR этого не предусмотрел
В 2009 году было предложено реформировать законодательство ЕС по защите персональных данных.
Предыдущая Директива Европейского Союза по защите персональных данных 1995 года (Data Protection Directive) не предусматривала строгой защиты по современным меркам, так как была принята, когда персональные данные еще не имели исключительной ценности.
Сегодня же компании персонализируют большинство digital-сервисов, а для этого нужны анализ предпочтений и как можно более широкая информация о пользователе.
Структурирование и правильное использование информации дают конкурентное преимущество и приносят значительную прибыль.
Эти возможности, с другой стороны, приводят к злоупотреблениям персональными данными, отчего и потребовалась реформа их защиты.
Первый драфт GDPR был опубликован в далеком 2012 году.
В то время капитализация биткоина составляла всего 50 миллионов долларов (сейчас 121 миллиард), а первая эмиссия Ethereum состоялась только через три года — 30 июля 2015 года.
Блокчейн тогда еще не набрал популярности, поэтому Европейский Парламент не учитывал эту специфику при разработке реформы.
В 2016 году ЕС принял финальный вариант GDPR (с введением в действие в 2018), а особенности блокчейна так и не были учтены.
Получается, на момент принятия Регламента, он уже был устаревшим для нынешних реалий. Поэтому коллизия между действительностью и правовым регулированием вызывает вопросы при записи данных в блокчейн.
Так ли все плохо
Недавно в СМИ появилось мнение, что GDPR грозит блокчейну независимо от того, какие данные в него записываются. Со своей стороны, мы предлагаем взглянуть на ситуацию под другим углом.
Очевидно, технические проблемы коснутся только тех компаний, которые записывают в блокчейн персональные данные.
Помимо компаний с этой проблемой столкнутся и государства, так как развитие eGov-сервисов с использованием блокчейна становится все более популярным.
Вариант решения проблемы — контроль за защитой персональных данных на первичном этапе, когда компания определяет объем и характер информации для записи в блокчейн.
Если записывать в блокчейн только набор символов — ключ, который дает доступ либо подтверждает персональные данные, это по-прежнему позволит проводить идентификацию с помощью блокчейна.
С другой стороны, при необходимости можно удалить сами персональные данные, после чего ключ более не будет иметь ценности.
Это поможет решить и проблему GDPR-compliance нод (особенно, если их большое количество).
В таком случае нодам не нужно будет соблюдать требования GDPR, так как они будут записывать только комбинацию символов, а не сами персональные данные.
Как бы то ни было, с невозможностью удалить персональные данные сталкивается не только блокчейн-индустрия: многие компании обязаны хранить персональные данные длительное время для соблюдения compliance, например, по банковскому законодательству.
Кроме этого, проблемно удалять информацию из бэкап-копий баз данных или в том случае, когда это приводит к нарушению целостности базы данных.
Технические и юридические сложности удаления данных тоже будут учитываться при проверке компании на GDPR-compliance.
Европейский Союз принял Регламент в первую очередь для обеспечения свободного и законного движения персональных данных по рынку.
Однозначно, законодательство не будет препятствовать технологиям, социальная польза которых значительно выше сопутствующих рисков защиты персональных данных.
Можно рассчитывать на то, что к защите персональных данных будет применяться гибкий подход и нормы GDPR будут адаптированы под блокчейн.
Что же касается ICO и блокчейн-стартапов, которые не записывают персональные данные в блокчейн, то требования к ним будут аналогичными любому e-commerce проекту:
1. прозрачность целей и способов сбора и использования персональных данных, что реализуется через публичные политики конфиденциальности;
2. получение согласия на обработку персональных данных или другого основания для этого;
3. техническая и организационная защита собранных данных через шифрование данных,
4. ограниченный доступ к данным, обучение сотрудников правилам защиты и оформления внутренней документации;
5. обеспечение прав субъектов собранных данных, таких, как право на доступ к собранной информации, ее удаление или исправление и передачу данных третьим лицам по запросу субъекта.