Блокчейн и Общий регламент о защите данных - совместимость или конфликт?

От Майкла Калленса, Маркуса Милда и Йохана Толла.

В Nasdaq (одна из крупнейших американских бирж) мы изучаем и тестируем возможные варианты использования технологии блокчейна с 2013 года. Мы твердо верим, что она может повысить эффективность, надежность и прозрачность в сфере финансовых услуг и в других секторах. Достигнет ли эта технология высокого потенциала, в полной мере будет зависеть от того, насколько она может быть реализована в соответствии с новыми правилами конфиденциальности и другими правами, предоставленными отдельным лицам в соответствии с Европейским общим регламентом о защите данных (GDPR — General Data Protection Regulation) *Это масштабный закон, вступивший в силу в мае 2018-ого года, который направлен на то, чтобы дать пользователям контроль над собственными персональными данными. Так же он устанавливает более жесткие правила для компаний, которые хранят и используют данные своих пользователей.

Хотя GDPR и блокчейн разделяют аналогичное фундаментальное обязательство по защите целостности и подотчетности при обработке данных, были высказаны опасения по поводу того, можно ли возвести в соответствие конкретные требования по GDPR с тем, как работает блокчейн. Например, основные требования к GDPR, такие как минимизация данных, ограничения на международные переводы и индивидуальные права на стирание данных (например, «право быть забытым»), могут ли быть согласованы с зависимостью блокчейна от неизменных распределенных регистров?

Учитывая последствия нарушения GDPR (например, штрафы в размере до четырех процентов годового оборота, потенциальный судебный процесс и ущерб репутации), финансовые службы и другие отрасли ищут уверенность в том, что требования GDPR и основные операционные функции блокчейна не являются непримиримыми противниками. Первоначальное руководство и доклады французского органа по защите данных — CNIL («Национальной комиссии по информатизации и свободе» или Commission nationale de l'informatique et des libertés) и Обсерватории и форума Блокчейн ЕС (Blockchain Forum) начинают рассматривать вопрос о том, как решения блокчейнов могут быть совместно реализованы в свете GDPR.

Прогресс в последних публикациях

На сегодняшний день, ни Европейский совет по защите данных (EDPB), ни национальные органы по защите данных (кроме CNIL) не выпустили формального руководства относительно того, как реализовать блокчейн в соответствии с GDPR. Недавние публикации CNIL («Решения для ответственного использования блокчейна в контексте персональных данных») и Форума блокчейнов («Блокчейн и GDPR») представляют собой первые шаги к конкретным ответам, которые понадобятся инноваторам и индустрии для удобного использования блокчейн-при обработке персональных данных для повседневных финансовых транзакций. Важно отметить, что эти публикации отражают постоянную приверженность регулирующих органов к участию в разработке работоспособной основы для применения технологии блокчейна при обработки персональных данных.

В совокупности, эти публикации и другие публикации в этой сфере начинают намечать ключевые элементы, которые необходимо будет включить в реализацию блокчейна в финансовых услугах на постоянной основе. Они включают:

— Идентификация единого объекта в качестве «контроллера» данных со всеми другими участниками и поставщиками решений в качестве «обработчиков данных»

При GDPR в первую очередь контроллер персональных данных несет ответственность. В модели блокчейна - особенно, когда несколько объектов совместно используют блокчейн, можно утверждать, что несколько сторон действуют как контроллеры данных, что создает потенциально сложную ситуацию совместного контролирования. Чтобы избежать этого, субъекты должны либо создать новый объект специального назначения, либо контрактно идентифицировать один контроллер. Другие объекты используют блокчейн и валидаторы майнинга. Тогда записи будут обработчиками по контракту с контроллером.

— По возможности необходимо избегать хранения личных данных в блокчейне 

Если хранение необходимо, требуется минимизироватье личные данные и применять строгие меры хеширования или шифрования. Основное использование блокчейна - подтверждение того, что транзакция произошла или что запись действительна. Если в транзакциях или записях участвуют физические лица, они неизбежно будут включать личные данные. Однако такие личные данные часто не нужно хранить в блокчейне. Скорее, запись может предоставить свидетельство записи, которая сама хранится вне блокчейна. Этот подход помогает удовлетворить требования к минимизации данных и безопасности в рамках GDPR.

— Использовать частные и основанные на разрешении блокчейны, которые по контракту отвечают требованиям международного перевода GDPR

GDPR накладывает ограничения на передачу данных за пределы ЕЭЗ (Европейская экономическая зона); персональные данные могут быть переданы только в юрисдикции, которые обеспечивают адекватную защиту данных, или юридическим лицам, на которые распространяются обязательные корпоративные правила или типовые положения контракта для защиты данных. Эти требования не совместимы с общедоступными сетями и сетями без разрешения (где местоположение данных не может быть ограничено). В результате решения должны использовать частные и основанные на разрешениях блокчейны, где каждый участник соглашается с определенными международными условиями передачи информации для обмена.

Основная задача: обеспечение индивидуальных прав субъекта данных

Несмотря на то, что остается много областей, где детали того, как реализовать решение блокчейна таким образом, чтобы он соответствовал GDPR, все еще должны быть решены, самая большая проблема связана с тем, как любое решение может удовлетворить все права субъекта данных, предоставляемые в рамках GDPR.

Определенные индивидуальные права, предоставляемые GDPR, такие как права на переносимость, доступ и учет обработки персональных данных, могут быть легко реализованы с помощью технологии блокчейн - и, фактически, играют на ее сильных сторонах. Другие права, такие как право на ограничение, могут быть встроены в то, как запрограммировано решение, а права на автоматизированное принятие решений могут учитываться в бизнес-процессах.

Тем не менее, поскольку технология блокчейна структурирована с длительными, децентрализованными записями, эффективное обеспечение прав на стирание и исправление, предоставляемых отдельным лицам в рамках GDPR, представляет собой существенную для соблюдения проблему. Как указано в отчете CNIL, когда данные записываются как обязательство, хешируются (массив данных преобразовываются в определенную запись) или шифруются, контроллер может «приблизиться» к этим правам, сделав их недоступными для функционального достижения стирания; для исправления контроллер затем объединит недоступную запись с заменой, исправленной записью в новом блоке. Является ли «в принципе» эти механизмы юридически равными полным правам, предоставляемым GDPR, пока неясно, что требует дальнейшего анализа и, в конечном итоге, разрешения со стороны EDPB.

Важен первый шаг, но нужно больше

Как справедливо утверждает Блокчейн Форум: «В данный момент нет такой вещи, как совместимая с GDPR технология блокчейна. Существуют только варианты использования и применения, совместимые с GDPR». То же самое можно сказать о любой технологии, которая обрабатывает персональные данные - многие из тех же проблем безопасности, прозрачности и прав субъектов данных, которые были подняты в контексте блокчейна, сталкиваются с другими типами существующих технологий. Что делает блокчейн уникальным по сравнению с устаревшими технологиями, так это его новизна. В то время как блокчейн обладает огромным потенциалом роста, он потребует значительных инвестиций и готовности компаний стать его первыми применителями. Там, где остается неопределенность в отношении того, как разрабатывать блокчейн-решения, удовлетворяющие требованиям GDPR, даже инновационные компании могут не захотеть предпринять эти шаги.

Работа CNIL и Блокчейн Форума - важные первые шаги в устранении этой неопределенности. Мы согласны с Форумом блокчейнов в том, что следующим важным шагом должно стать улучшение понимания потенциальных вариантов использования блокчейнов и влияния, которое при интерпретации определенных требований GDPR могут оказать на эти виды использования. Это понимание могло бы затем способствовать эффективному диалогу между EPDB, национальными регуляторами, защитниками конфиденциальности, промышленностью, технологическими новаторами и другими заинтересованными сторонами. Для выработки консенсуса необходим практический комплексный подход к регулированию блокчейна, который защищает жизненно важные права и интересы, содержащиеся в GDPR. Так же важно не забывать про обеспечение положительных преимуществ, которые блокчейн может предоставить.