Технология блокчейна находится на курсе, ведущем к столкновению с европейским законодательством о защите персональных данных

Технология блокчейна находится на курсе, ведущем к столкновению с европейским законодательством о защите персональных данных
Статья Дэвида Мейера (David Meyer – на фото) была опубликована 27 февраля 2018 года на сайте Iapp.org.

Мой комментарий: По своему опыту общения с мировыми специалистами по блокчейну в Международной организации по стандартизации (ИСО) и Международном союзе электросвязи (МСЭ) могу сказать, что всё большее число коллег рассматривает проблемы защиты персональных данных и правовые проблемы в целом как главную угрозу для будущего технологий блокчейна и распределенных реестров. В этом смысле данная статья является достаточно показательной.

Те, кто слышал о технологии блокчейна (blockchain), как правило, в курсе того, что она лежит в основе криптовалюты Биткойн (Bitcoin), однако в настоящее время множество организаций планируют применять её в различных сферах деятельности, таких, как выполнение контрактов, модернизация земельных кадастров и даже создание новых систем управления идентификацией.

На горизонте есть одна огромная проблема: европейское законодательство о защите персональных данных - «Общие правила защиты персональных данных» (General Data Protection Regulation, GDPR, см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ).

Европейский закон GDPR, который вступит в силу через несколько месяцев, говорит о том, что при многих обстоятельствах люди должны иметь возможность потребовать исправления или удаления их персональных данных. Блокчейн в то же время представляет собой по существу растущий, коллективно используемый реестр сведений о прошлой деятельности. Это реестр распространяется по многим компьютерам, и суть технологии заключается в том, что эту цепочку записей, содержащих сведения о транзакциях (или иную информацию), практически невозможно как-либо изменить – именно это обстоятельство обеспечивает надёжность сохраненной в блокчейне информации.

Для блокчейн-проектов, предусматривающих сохранение персональных данных, эти два факта плохо сочетаются друг с другом. Поскольку санкции за неисполнение GDPR включают штрафы в размере до 20 миллионов евро или до 4% процента от глобального оборота, многие компании могут обнаружить, что ультра-популярная сейчас тенденция к использованию блокчейна для них куда менее приемлема, чем им первоначально казалось.

«Закон GDPR нейтрален в отношении конкретных технологий, используемых для обработки персональных данных (ПДн), но он вводит обязанность для операторов ПДн соблюдать принцип «запроектированной защиты персональных данных» (data protection by design)» - говорит Ян Филипп Альбрехт (Jan Philipp Albrecht), член Европейского парламента, который способствовал прохождению GDPR через законодательный процесс. «Это означает, например, что права субъектов данных должны быть легко исполнимы, включая право на удаление данных тогда, когда оно более не требуются. Именно здесь блокчейн-приложения будут сталкиваться с проблемами и, вероятно, не будут соответствовать требованиям GDPR».

Изменение данных «просто не работает в блокчейне», - утверждает Джон Мэтьюз (John Mathews), финансовый директор проекта Bitnation, целью которого является предоставление услуг управления идентификационными данными на основе блокчейна, а также хранение документов. «Блокчейны неизменны по своей природе. Закон же GDPR говорит, что Вы должны быть способны удалять определенные данные, так что они не стыкуются друг с другом».

Существует два основных типа блокчейнов: частные (private) или «с ограниченным контролируемым доступом» (permissioned), которые находятся под контролем ограниченной группы лиц (такие, например, как решение Ripple, которая предназначено для упрощения проведения платежей между поставщиками финансовых услуг); и публичные (public) или, иначе, «без ограничений на доступ» (permissionless), которые не находятся под контролем  каких-либо конкретных лиц (как, например, системы Bitcoin ии «Эфириум» - Ethereum).

Мой комментарий: Отмечу, что в отношении данной терминологии единого мнения пока нет. В настоящее время свойства блокчейн-решений быть частными/публичными и с ограничениями на доступ или без них в ИСО рассматриваются как различные, и при всё равно разные специалисты вкладывают в эти понятия различный смысл! В то же время такой авторитетный орган, как американский Национальный институт стандартов и технологий в проекте своей публикации по блокчейну NISTIR 8202 (см. https://rusrim.blogspot.ru/2018/01/nist_30.html ) использует только одно свойство - частное/публичное решение.

Технически возможно перезаписать хранящиеся в блокчейне данные, но только в том случае, если большинство узлов сети согласятся на создание новой «вилки» (fork) – версий цепочки блоков, которая включает в себя изменения, - и на последующее использование именно этой версии, а не первоначальной. Это сравнительно легко можно сделать в частном блокчейн-решении, однако в публичных блокчейнах создание вилок - это вызывающее потрясения и чрезвычайно редкое событие. Технология блокчейна - по крайней мере в том виде, в каком она существует в настоящее время - практически не даёт возможности для регулярного исправления или удаления битов информации здесь и там.

«С точки зрения блокчейна, закон GDPR уже морально устарел», - отметил Мэтьюз. «Законодательно-нормативное регулирование всегда догоняет технологии. Закон GDPR был разработан на основе предположения о том, что у вас есть централизованные службы, контролирующие права доступа к данным пользователя, - прямая противоположность тому, что происходит в блокчейн-решениях без ограничений на доступ.»

Ютта Штайнер (Jutta Steiner), основатель стартапа Parity.io, который развивает децентрализованные технологии и бывшего руководителя службы безопасности в Фонде Эфириума (Ethereum Foundation) согласна с Мэтьюзом в том, что «GDPR нуждается в соответствующем пересмотре».

«С точки зрения практика, мне кажется, что закон был разработан в попытке реализовать определенную точку зрения на то, как мир должен был бы быть, без учёта того, как технологии работают на самом деле», - говорит Штайнер. «Способ функционирования публичной децентрализованной сети таков, что удаление персональных данных невозможно. Проблема с информацией в том, что раз уж она попала в сеть, то это необратимо».

«Учитывая стадию, на которой находится технология блокчейна, я думаю, что есть время, для того, чтобы, как можно надеяться, определенные положения GDPR были скорректированы», - добавила Штейнер. «Не думаю, что законодатели будут настолько упрямыми, что откажутся подстраивать законодательство ... В какой-то момент они увидят, что другие страны начнут использовать эту технологию, а Европа оказывается в невыгодном положении».

Вряд ли, однако, это произойдет в ближайшее время. GDPR - новый закон, и у законов Евросоюза есть тенденция использоваться довольно длительное время до того, как будет проведен их пересмотр. Предшественник GDPR – европейская директива по защите персональных данных (послужившая основой для действующего закона РФ о персональных данных – Н.Х.), была разработана еще в 1995 году.

«Некоторые технологии окажутся несовместимыми с GDPR, если они не обеспечивают соблюдение прав субъектов ПДн на основе своей архитектуры», - настаивает Альбрехт. «Это не означает, что технология блокчейн в целом должна приспособиться к GDPR; это всего лишь означает, что она, вероятно, не может быть использована для обработки персональных данных. Ответственность за соответствующее решение будет нести каждая организация, которая обрабатывает персональные данные».

Хотя противоречиям между технологией блокчейна и законом GDPR до сих пор уделялось мало внимания, некоторые люди уже столкнулись с ними.

«Межпланетная база данных» (Interplanetary Database) представляла собой – до тех пор, пока её основной спонсор не прекратил поддержку – проект создания системы управления базами данных на основе блокчейна. Это должно было быть своего рода гибридное частно-публичное блокчейн-решение, в рамках которого узлы сети предварительно отбирались, но любой мог отправлять транзакции в сеть или читать хранящиеся в ней данные. По словам соучредителя Фонда IPDB Грега Макмаллена (Greg McMullen), штаб-квартира проекта в Берлине была хорошо осведомлена о проблемах, связанных с GDPR.

По словам Макмаллена, одна из проблем заключалась в невозможности изменить или удалить данные, хранящиеся в блокчейн-цепочке. Но была также и другая проблема.

«GDPR написан для модели облачных сервисов, в рамках которой если, скажем, я - стартап, собирающий данные о заказах в ресторане, и я храню эти данные в Веб-сервисах Amazon, которые обеспечивают мне хостинг, то у меня должно быть соглашение с Amazon, возлагающее на того исполнение моих обязательств по обеспечению защиты неприкосновенности частной жизни», - говорит Макмаллен. «Это работает очень даже хорошо, когда поставщиков услуг один-два, но когда вы начинаете использовать децентрализованную сеть, всё полностью рушится. Вы не можете заключить соглашение со всеми узлами сети Ethereum, это нереально».

Так кто на самом деле несет ответственность за защиту персональных данных в децентрализованной сети? В конце концов, одна из главных привлекательных особенностей таких сетей заключается в том, что они устойчивы к цензуре, поскольку нет центрального органа – вроде компаний Amazon или Facebook – куда могут обратиться сотрудники правоохранительных органов, и поскольку образующие сеть узлы или пользователи  разбросаны по всему миру.

По словам Альбрехта, если мы имеем дело с частным блокчейном, то за соблюдение требований GDPR несет ответственность организация, которая развертывает решение. «В случае децентрализованных и публичных блокчейн-приложений, каждый пользователь, который помещает персональные данные в распределенный реестр, несёт ответственность за исполнение требований GDPR», - говорит парламентарий. «Чего в большинстве случаев не будет».

Макмаллен предупреждает, что риск привлечения к ответственности отпугнёт многие компании от использования блокчейна. «Это правда, что законодательству нужно будет догонять технологию, но Вы должны быть реалистами – GDPR реальность, он скоро вступит в силу и его исполнение будет обеспечиваться», - говорит он. «Когда Вы предлагаете компаниям использовать блокчейны, они вряд ли пойдут на этот риск в отношение данных своих клиентов - или, по крайней мере, им не стоит этого делать.».

По словам Макмаллена, Фонд IPDB прорабатывал различные идеи насчёт того, как решить проблему защиты персональных данных. Одной из них была система занесения в определенных данных в «чёрные списки», с тем, чтобы даже в случае, когда они не были удалены из сети по соответствующему требованию, они в дальнейшем не выдавались по запросам.

Ещё одна идея заключалась в том, чтобы помещать в блокчейн только хеши персональных данных, а не сами данные. Хеши – это результат обработки данных с помощью специальных математических алгоритмов, которые, если они правильно реализованы, не позволяют по хешам восстановить данные; при этом хеши Вы можете использовать для проверки целостности базовых данных, заново применяя алгоритм хеширования к этим данным и сравнивая результат с сохраненным значением хеша. Если в блокчейн-решении хранятся только хеши, а не сами данные, то становится возможным удаление данных без необходимости изменять блокчейн-цепочку. Таким образом, блокчейн может оказаться полезным для проверки данных, соответствуя при этом GDPR, - предположил Макмаллен.

Возможно ли, что регуляторы начнут бороться с этим нарождающимся сектором? Макмаллен, юрист по профессии, сказал, что первыми целями для регуляторов будут  «обычные подозреваемые» - системы типа Google, Facebook, Amazon», но что «регулятору легко соблазниться организацией шоу из преследования блокчейн-компании, поскольку вокруг этого понятия устроена большая шумиха».

«По мере того, как компании начинают осознавать последствия GDPR, мы можем увидеть реальные попытки приспособиться к законам, посредством сбора меньшего количества персональных данных и использования их таким образом, чтобы не «светить» их в общедоступном Интернете, например, с помощью хешей», - подчеркнул Макмаллен. «Таким образом технология может адаптироваться к закону, - а закон, в свою очередь, может адаптироваться к технологии. Конечный итог может оказаться очень неплохим для неприкосновенности частной жизни пользователей».

Дэвид Мейер (David Meyer)

Источник: сайт Iapp.org
https://iapp.org/news/a/blockchain-technology-is-on-a-collision-course-with-eu-privacy-law/
блокчейн Евросоюз информационная безопасность персональные данные распределенные реестры GDPR
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.