выключить дудлвключить дудл

Блокчейн и Privacy by Design как один из принципов GDPR: возможно ли сосуществование? Нестор Дубневич

[000018]_2-EditВ начале лета пользователи онлайн-сервисов начали получать десятки писем от сайтов/приложений с просьбой повторно предоставить разрешение на обработку их персональных данных. Причина – вступление в действие GDPR (General Data Protection Regulation) и, как следствие, – необходимость обновления политик и процедур работы с персональными данными пользователей.

Директива ЕС ввела гарантии приватности абсолютного нового порядка для интернет-пользователей. В их перечень входит и «право на забвение», и право знать, кто, где и как хранит персональные данные пользователя, а также каким третьим лицам и в каких целях эта информация передается. В то же время, имея довольно обширную техническую составляющую, Европейская директива стала тревожным звонком для развивающихся технологий. Блокчейн попал в зону риска, в связи с такими своими свойствами, как полная прозрачность, а также невозможность изменения и удаления информации, которая была внесена ранее. С какими вызовами столкнулась технология блокчейн после принятия GDPR – разбираем в статье.

1. Неизменные «цифровые следы», которые смарт-контракты оставляют в блокчейне

Смарт-контракты – революционная технология, которая позволяет строить полностью автономные инфраструктуры и таким образом убирать посредников, удешевляя услуги и улучшая доступ к ним. Но в данной технологии есть особенность, которая вступает в противоречия с GDPR. Дело в том, что каждое действие пользователя на сервисе, разработанном с использованием смарт-контракта, записывается самим смарт-контрактом в блокчейн. Это некий «протокол» действий человека, который никак нельзя подделать или сфальсифицировать. GDPR же разрешает компаниям собирать только ту информацию, которая необходима для их бизнес-деятельности, и удалять ее сразу же после прекращения работы с клиентом. Понимая, что транзакции, которые были внесены ранее, не могут быть изменены или удалены из блокчейна, возникает целый ряд вопросов к реестру «цифровых следов» пользователей, который полностью неадминистрируемый, а значит, не GDPR-compliant.

2. «Майнеры» как процессоры персональных данных в блокчейне, который работает на PoW

Сегодня блокчейн, который работает на алгоритме консенсуса Proof-of-Work (PoW), считается самым устойчивым. Суть данного алгоритма заключается в том, что поддержание работы такого блокчейна обеспечивают миллионы так называемых «Майнеров», которые используют свои вычислительные мощности для подтверждения новых транзакций. Таким образом, если один из них решит сфальсифицировать транзакцию, система его отторгнет. Именно поэтому многие компании для разработки своих децентрализованных приложений выбирают блокчейны на PoW. Но, рассматривая этот тип блокчейна сквозь призму GDPR, возникает вопрос к обработке и подтверждению транзакций миллионами компьютеров. Дело в том, что GDPR обязывает компании, которые собирают персональные данные, заключать договоры с третьими лицами, которым они такие данные отправляют, а также сообщать своим клиентам информацию о таких третьих лицах и цели передачи им персональных данных. Так как транзакции в связке с дополнительными данными могут признаваться персональными, стоит задуматься, не будут ли «Майнеры» признаваться процессорами таких персональных данных. Если эта гипотеза подтвердится, возникает вопрос, насколько вообще реализуемо подписать соглашения со всеми «Майнерами», которые обрабатывают транзакции твоих клиентов, и надо ли вообще такие соглашения в данном случае подписывать.

3. «Прозрачность» записей в блокчейне и принцип Privacy by Design в Европейской директиве

Одним из самых фундаментальных принципов GDPR является принцип Privacy by Design. Его суть заключается в том, что сервисы, которые только разрабатываются, должны по умолчанию уже в сам «фундамент» будущей архитектуры сервиса закладывать те механизмы, которые позволят максимально обеспечить приватность их пользователям. Данный концепт диаметрально противоположен тем принципам прозрачности, на которых функционирует технология блокчейн. В свете этого факта остро стоит вопрос будущего проектов, которые в своей основе используют публичные блокчейны, где каждая транзакция может быть отслежена в каждый промежуток времени. В качестве вывода стоит отметить, что во все времена регулирование отставало от технического прогресса. Понимая, что работа над GDPR была начата еще в далеком 2012-м, очевидно, что такое стремительное развитие блокчейна в то время было невозможно предвидеть. Сегодня технология блокчейн имеет все шансы стать WEB 3.0, когда все онлайн-сервисы будут разрабатываться с ее использованием. Так как этот процесс необратимый – есть оптимистические прогнозы, что регулирование будет адаптироваться под технологии.

Нестор Дубневич, руководитель Blockchain‑практики Адвокатского объединения «ЮСКУТУМ»

FUTURE