25 мая вступил в силу Общий регламент о защите данных(GDPR) – широкая и строгая законодательная база для защиты личных данных Европейского Союза. Готовы к этому или нет, эта структура решительно преобразит бизнес любого цифрового предприятия. Международная ассоциация профессионалов в области конфиденциальности (IAPP) прогнозирует, что в результате будет создано не менее 75 тысяч рабочих мест для обеспечения конфиденциальности, а 500 компаний Fortune Global потратят около 8 млрд. долл., чтобы обеспечить их соответствие GDPR. Но что это значит для блокчейна?

Цели GDPR – это: создание единой системы регулирования данных в Европе и усиление контроля над хранением и использованием личных данных. Он был принят в 2016 году, и после двухлетнего переходного периода вступил в силу.

Обязанности и права

GDPR вводит новые процедурные и организационные обязательства для «обработчиков данных», включая корпоративные и государственные организации, и дает больше прав «субъектам данных» — термин, используемый для физических лиц.

Государственные и частные организации, предоставленные сами себе, имеют тенденцию накапливать данные даже до того, как они узнают, что с этими данными делать. Это своего рода «золотая лихорадка» при сборе личных данных. GDPR идет против этой привычки, указав, что сбор данных не должен распространяться дальше того, что может способствовать взаимодействию с потребителями. По сути, сбор данных должен быть «адекватным, релевантным и сведенным к минимуму, необходимому для целей, для которых они обрабатываются», — 39 статья GDPR.

Помимо определения того, что можно, а что нельзя, GDPR также определяет организационные принципы, которые обработчики данных должны будут принять с этого момента. Например, их технологическая архитектура должны будет удалить по умолчанию потребительские данные после их использования – «конфиденциальность по дизайну».

Также любой объект, который считается «рядом данных», должен будет иметь Офицера по защите данных (DPO), ответственного за соблюдение GDPR. Этот DPO будет находиться под юридической ответственностью и предупреждать надзорный орган всякий раз, когда возникает риск для частной жизни субъекта данных (статья 33).

С другой стороны, субъекты данных будут лучше информированы о том, как их данные хранятся и обрабатываются (статья 15). Они, например, будут иметь право потребовать копию информации о них. Кроме того, обработчики данных должны подробно информировать субъекты данных об обработке данных и о том, как они передаются или приобретаются.

Помимо прозрачности, GDPR предоставляет гражданам больше контроля над тем, как их данные используются. В статье 17 перечислены условия, при которых они смогут запросить удаление своих данных из бизнес-баз данных, используя так называемое «право стирания».

Однако Сара Гордон и Алия Рам заметили в Financian Times, что «в конечном счете, влияние GDPR будет зависеть от того, решать ли физические лица использовать более широкие полномочия, данные правилами». Когда вы последний раз отказались от вашего согласия на политику конфиденциальности Facebook?

Заряженный пистолет с глобальным охватом

GDPR налагает чрезвычайно высокие штрафы компаниям, которые его не соблюдают. Кроме того, его охват выходит далеко за пределы ЕС.

Для компаний визит аудитора по защите данных может стать еще более страшным, чем визит налогового инспектора. Умышленное или повторное несоблюдение принципов, изложенных в GDPR, приведет к штрафу в размере до 20 миллионов евро или до 4% от ежегодного мирового оборота правонарушителя – в зависимости о того, какая сумма больше. Вместо того чтобы просто полагаться на сигналы DPO компаний, будут проводиться регулярные проверки защиты данных.

Несмотря на то, что в узком смысле правила защищают только субъекты данных в ЕС, досягаемость GDPR на практике глобальна. Для начала, обработчики данных, расположенные за пределами ЕС, которые обрабатывают личную информацию жителей ЕС, должны соблюдать данный регламент.

Кроме того, ЕС вносит инновации тем аспектом, что теперь привязывает потоки данных к торговым потокам: любая страна, желающая подписать торговую сделку с ЕС, должна будет подписать согласие с правилами GDPR. За последнее десятилетие США стали мировой экономической полицией, оштрафовав банки на огромные суммы за несоблюдение правил борьбы с отмыванием денег (AML). Станет ли ЕС чемпионом по защите данных с GDPR?

Распространяется ли GDPR на Блокчейн?

GDPR был впервые предложен Европейской комиссией в 2012 году, с первоначальным фокусом на облачных сервисах и социальных сетях, в то время когда блокчейн не был распространен. Облачные сервисы и социальные сети, по крайней мере, в мире до блокчейна, организованы преимущественно централизованно: многие субъекты данных взаимодействуют с уникальным серверным объектом – процессором/контроллером данных. Центральное управление создает легкую единую точку атаки для регуляторов. Но как GDPR будет влиять на децентрализованные протоколы, такие как общественные блокчейны?

Понятно, между псевдонимностью и идентификацией тонкая грань – блокчейн хранит некоторые потенциально личные данные – начиная с истории транзакций. В таком случае он может попадать в сферу действия GDPR.

На первый взгляд, можно подумать, что существует прямое противоречие между GDPR и общественными блокчейнами. Например, среди многих принципов, изложенных в GDPR, «право на стирание», по-видимому, особенно расходится с неизменяемой природой, которая, в целом, лежит в основе технологии блокчейн. Рассматривая это противоречие, возникает вопрос: кто ответственный обработчик данных в чисто децентрализованной системе блокчейн?

В целом, оперируя логикой GDPR и блокчейн, использование понятий «обработчик данных»/ «субъект данных», кажется сложным. Несомненно, впереди напряженные законодательные дебаты.

Блокчейн вместе с GDPR?

Тем не менее, блокчейн разделяет много общих целей с GDPR. Оба они нацелены на децентрализацию контроля данных и смягчение силового неравенства между централизованными поставщиками услуг – отчасти, подавляя их. Хотя первоначальная спецификация Биткоин не гарантировала анонимность, многие технологические инновации, начиная от элементарных тумблеров до приложений zk-SHARK, приблизили нас к этому идеалу. Этот тип анонимности, вероятно, не то, к чему стремятся законодатели, однако – существуют ли решения, предлагаемые блокчейном, которые могли бы легче восприниматься законодателями?

Одним из наиболее перспективных направлений исследований является сочетание надежного оборудования и блокчейна. В общественных блокчейнах все данные реплицируются и распространяются на всех компьютерах в сети. Это делает удаление данных транзакций и конфиденциальность кошмаром для пользователей. Недавние исследования начали изучать, как «надежные компьютерные анклавы», такие как Intel SGX, могут обеспечить безопасное и конфиденциальное хранение данных и приватность.

Комбинирование надежных вычислений с общедоступными блокчейнами означает, что конфиденциальность данных может быть защищена от внешних угроз и храниться вне сети, причем блокчейн выступает в качестве главного судьи в отношении того, кто получит доступ к этим данным, а кто нет. Поскольку смарт-контракты означают, что больше не нужно доверять централизованным поставщикам услуг, правами на данные можно будет управлять исключительно через блокчейн и надежное оборудование, возвращая пользователям контроль над своими данными и приватность. Несколько проектов в настоящее время преследуют эту идею, а надежде, что она сможет превратить блокчейн из кошмара GDPR в сказку.

Ваши любимые проекты блокчейн предпринимают необходимые шаги, чтобы адаптироваться к этим переменам с соблюдением конфиденциальности? Если нет, то, возможно, настало время для продуктов с «конфиденциальностью по дизайну». Как всегда, ограничения порождают креативный подход.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here