вимкнути дудлвключити дудл

Блокчейн і Privacy by Design як один з принципів GDPR: чи можливе співіснування? Нестор Дубневич

[000018]_2-EditНа початку літа користувачі онлайн-сервісів почали отримувати десятки листів від сайтів/додатків з проханням повторно надати дозвіл на обробку їх персональних даних. Причина – вступ в дію GDPR (General Data Protection Regulation) та, як наслідок, – необхідність оновлення політик і процедур роботи з персональними даними користувачів.

Директива ЄС ввела гарантії приватності абсолютного нового порядку для інтернет-користувачів. До їх переліку входить і «право на забуття», і право знати, хто, де і як зберігає персональні дані користувача, а також яким третім особам і в яких цілях ця інформація передається. У той же час, маючи досить велику технічну складову, Європейська директива стала тривожним дзвінком для країн, що розвиваються технологій. Блокчейн потрапив в зону ризику, в зв’язку з такими своїми властивостями, як повна прозорість, а також неможливість зміни і видалення інформації, яка була внесена раніше. З якими викликами зіткнулася технологія блокчейн після прийняття GDPR – розбираємо в статті.

  1. Незмінні «цифрові сліди», які смарт-контракти залишають в блокчейні

Смарт-контракти – революційна технологія, яка дозволяє будувати повністю автономні інфраструктури і таким чином прибирати посередників, здешевлюючи послуги та поліпшуючи доступ до них. Але в даній технології є особливість, яка вступає в протиріччя з GDPR. Справа в тому, що кожна дія користувача на сервісі, розробленому з використанням смарт-контракту, записується самим смарт-контрактом в блокчейн. Це такий собі «протокол» дій людини, який ніяк не можна підробити або сфальсифікувати. GDPR ж дозволяє компаніям збирати тільки ту інформацію, яка необхідна для їх бізнес-діяльності, і видаляти її відразу ж після припинення роботи з клієнтом. Розуміючи, що транзакції, які були внесені раніше, не можуть бути змінені або видалені з блокчейну, виникає цілий ряд питань до реєстру «цифрових слідів» користувачів, який повністю неадміністрований, а значить, не GDPR-compliant.

  1. «Майнери» як процесори персональних даних в блокчейні, який працює на PoW

Сьогодні блокчейн, який працює на алгоритмі консенсусу Proof-of-Work (PoW), вважається найстійкішим. Суть даного алгоритму полягає в тому, що підтримку роботи такого блокчейну забезпечують мільйони так званих «Майнерів», які використовують свої обчислювальні потужності для підтвердження нових транзакцій. Таким чином, якщо один з них вирішить сфальсифікувати транзакцію, система його відкине. Саме тому багато компаній для розробки своїх децентралізованих додатків вибирають блокчейни на PoW. Але, розглядаючи цей тип блокчейну крізь призму GDPR, виникає питання до обробки та підтвердження транзакцій мільйонами комп’ютерів. Справа в тому, що GDPR зобов’язує компанії, які збирають персональні дані, укладати договори з третіми особами, яким вони такі дані відправляють, а також повідомляти своїм клієнтам інформацію про таких третіх осіб і мети передачі їм персональних даних. Так як транзакції в зв’язці з додатковими даними можуть визнаватися персональними, варто задуматися, чи не будуть «Майнери» визнаватися процесорами таких персональних даних. Якщо ця гіпотеза підтвердиться, виникає питання, наскільки взагалі піддається реалізації підписати угоди з усіма «Майнерами», які обробляють транзакції твоїх клієнтів, і чи треба взагалі такі угоди в даному випадку підписувати.

  1. «Прозорість» записів в блокчейні і принцип Privacy by Design в Європейській директиві

Одним з найбільш фундаментальних принципів GDPR є принцип Privacy by Design. Його суть полягає в тому, що сервіси, які тільки розробляються, повинні за умовчанням вже в сам «фундамент» майбутньої архітектури сервісу закладати ті механізми, які дозволять максимально забезпечити приватність їх користувачам. Даний концепт діаметрально протилежний тим принципам прозорості, на яких функціонує технологія блокчейн. У світлі цього факту гостро стоїть питання майбутнього проектів, які в своїй основі використовують публічні блокчейни, де кожна транзакція може бути відстежена в кожен проміжок часу. Як висновок, варто відзначити, що в усі часи регулювання відставало від технічного прогресу. Розуміючи, що робота над GDPR була розпочата ще в далекому 2012-му, очевидно, що такий стрімкий розвиток блокчейну в той час було неможливо передбачити. Сьогодні технологія блокчейн має всі шанси стати WEB 3.0, коли все онлайн-сервіси будуть розроблятися з її використанням. Так як цей процес незворотний – є оптимістичні прогнози, що регулювання буде адаптуватися під технології.

Нестор Дубневич, керівник Blockchain-практики Адвокатського об’єднання «ЮСКУТУМ»

FUTURE