21 січня 2020, 12:16

Блокчейн і GDPR. Чи бути реєстрам на блокчейн?

Опубліковано в №1 (707)

Марія Чуприна (Швецова)
Марія Чуприна (Швецова) «Intecracy Lawyers» старший юрист, керівник практики міжнародного права команди

Разом із сервісом погодження та підписання документів DEALS продовжуємо досліджувати теми цифровизацїї бізнесу. Цього разу говоримо про GDPR. 


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


 Не багато часу минуло, відколи наміри щодо дотримання вимог нової регуляції Європейського Союзу про охорону та захист особистих даних користувачів (GDPR) почали сприймати серйозно. Перші порушники отримали свої штрафи майже одразу після набрання чинності Регуляцією, а європейські органи не посоромилися накласти на порушників максимальні штрафи, передбачені в цій Регуляції.

Одним із «першопрохідців» стала велика компанія British Airways, яка отримала штраф у розмірі близько 240 млн доларів за витік даних про кредитні картки понад 380 тис. своїх користувачів. Для порівняння, попереднім рекордсменом був Facebook зі штрафом близько 650 тис. доларів за скандал з Cambridge Analytics, про що британський регулятор у сфері захисту (ICO) даних зазначив, що якби цей інцидент стався після запровадження GDPR, то штраф був би значно вищим.

Незважаючи на «серйозність намірів» та потенційно величезні штрафи, а також на те, що GDPR діє вже більше ніж півтора року, свіжі дослідження стверджують, що сьогодні менше третини компаній дотримуються нових правил (це лише в розрізі отримання згоди на обробку кукі-файлів на їхніх вебсайтах). Найчастіше компанії просто неймовірно ускладнюють можливість заборонити обробляти кукі (лише 12,6% сайтів мають кнопку «Повністю відмовитися від обробки», яка не менш видима, ніж кнопка «Дозволити обробку») або за замовчуванням помічають поле згоди на обробку, що заборонено робити.

Що стосується компаній, які працюють з технологіями розподіленого реєстру (DLT), формою якого є блокчейн (blockchain), то такі компанії знаходяться в зоні ризику. Особливість роботи з блокчейном полягає в тому, що жодні дії не можуть бути скасовані, коли транзакція здійснена в мережі блокчейн. Це породжує певні труднощі для продуктів на блокчейні, що бажають відповідати вимогам GDPR.

Перша проблема

Відповідно до положень GDPR, кожен користувач наділений непорушними правами, зокрема правом на забуття та видалення своїх особистих даних з бази організації, якій користувач їх передав або які вона отримала за його згодою. Регуляція виділяє два типи відповідальних осіб: контролер, тобто організація, яка отримала особисті дані користувача для цілей надання послуг або надання сервісів від свого імені, та процесор, тобто організація, яка займається обробкою і пов'язаними діями з даними користувача за дорученням контролера, без особистого інтересу до таких даних.

У разі здійснення операції та зберігання даних на блокчейні кожен вузол (node, «нода») може бути розцінений як процесор або навіть як контролер таких даних, залежно від обставин. Незважаючи на те, що дані можуть надходити в хешованому вигляді, це не буде вважатися достатньою анонімізацією даних. Відповідно до Регуляції, така маніпуляція кваліфікується лише як технічна псевдонімізація, яка не забезпечує приховування і безпеку особистих даних при їх трансляції в мережу. Таким чином, дані (навіть у хешованому вигляді) будуть розцінюватися як особисті дані користувачів. Питання щодо випадків зашифрованого (encrypted) надання даних залишається відкритим і дискусійним.

Друга проблема

Специфіка блокчейну полягає в тому, що територія передачі даних загалом необмежена. Вузли, що приймають операцію, можуть перебувати в різних географічних регіонах, таким чином мимоволі забезпечуючи крос-територіальну передачу даних, яка жорстко регламентується положеннями Регуляції. Згідно зі ст. 45 GDPR, дозволяється така передача персональних даних тільки в юрисдикціях, які визначені Європейською Комісією як такі, що забезпечують належний захист персональних даних. Наразі серед усіх країн за межами Європейського Союзу такими юрисдикціями визнані тільки 13 країн: Андорра, Аргентина, Канада (комерційні організації), Фарерські острови, Гернсі, Ізраїль, острів Мен, Японія, Джерсі, Нова Зеландія, Швейцарія, Уругвай та Сполучені Штати Америки (обмежені межами програми Privacy Shield). Наразі тривають переговори з Південною Кореєю.

Тут варто повернутися до статусу «процесора» даних, яким найчастіше будуть вважатися ноди. Кожен процесор може законно здійснювати обробку даних, якщо робитиме це виключно та в обсязі, дорученому контролером таких даних. Така співпраця може бути закріплена кількома способами: договором, який містить вичерпний перелік дій, дозволених (тобто доручених) контролером; використанням стандартного договірного положення (standard contractual clause), як передбачено регуляцією, де має бути вказано, що процесор презюмує достатній рівень безпеки та обсяг відповідальності у зв'язку з обробкою особистих даних за дорученням контролера; укладанням типової угоди, за наявності необхідних сертифікатів, виданих уповноваженими органами або організаціями (ISO), що підтверджує забезпечення належного рівня охорони й безпеки процесора для зберігання та обробки особистих даних.

З огляду на особливість запису та зберігання даних у блокчейні, не один з трьох вищезазначених способів не гарантує безпеку від штрафів і звинувачення у невідповідності правилам GDPR. Наразі бізнес, що працює з блокчейном, мінімізує свої ризики в такі способи:

  • закрити вихід ініціальних даних у блокчейн там, де це дозволяє юрисдикція та характер бізнесу компанії;
  • криптовалютні біржі можуть «закрити» запит клієнта та його дані у своїй системі, а також транслювати в мережу операцію за своїми даними, які не будуть схильні до ризику і не містять особистих даних користувача;
  • зберігати дані оффчейн (off-chain) з єдиною згадкою (у вигляді криптографічного хеш-кодування) в ланцюзі;
  • використовувати шифрування даних і ключі шифрування, що дозволить здійснити право користувача на забуття;
  • здійснювати аутентифікацію та проводити спеціальну сертифікацію кожного учасника перед побудовою блокчейн-мережі;
  • уважно прописати всі процедури, щоб користувач мав інформацію про свої дані в достатньому обсязі, а також отримувати максимум необхідних дозволів від користувачів перед тим, як запитувати їхні дані.

Водночас позиція Європарламенту щодо блокчейну є вкрай позитивною. Там вважають, що блокчейн може бути використаний для забезпечення обміну даними без необхідності залучення центрального довіреного посередника. Прозорість щодо того, хто має доступ до даних, а також смарт-контракти на основі блокчейну можуть автоматизувати обмін даними, що зменшує транзакційні витрати на обробку інформації. Європарламент вважає крипто-економічні стимулюючі структури блокчейну такими, що мають потенційний вплив на сучасну економіку, пов'язану з обміном даними.

У своєму дослідженні Європарламент визначив, що блокчейн-індустрія пропонує декілька варіантів вирішення проблеми зберігання персональних даних, для того щоб транзакції (зокрема, криптовалютні) потенційно відповідали правилу обробки персональних даних згідно з GDPR:

  • Доведення з нульовим розголошенням (zero-knowledge proofs). Цей спосіб може бути використаний для надання двійкової істинної/хибної відповіді без надання доступу до основних даних.
  • Приховані адреси. Може використовуватися для генерації разової транзакції, яка спирається на хешовані одноразові ключі.
  • Гомоморфне шифрування. Дозволяє обробляти зашифровані дані, генерувати зашифрований результат, який дешифрований дає ті ж результати, якби обчислення було проведене на незашифрованих даних.
  • Державні канали та зворотні підписи. Державні канали для двосторонніх смарт-контрактів, які обмінюються інформацією з третіми сторонами лише у разі виникнення суперечки. Водночас зворотні підписи приховують транзакції в межах інших транзакцій, прив'язуючи одну транзакцію до кількох приватних ключів, навіть якщо лише один з них ініціював транзакцію. Цей варіант є недостатньо перевіреним, тому що немає практики правозастосування з приводу використання цього способу.
  • Додавання шуму. Кілька транзакцій групуються разом, так що ззовні неможливо розпізнати особу відповідних відправників та одержувачів транзакції.
  • Хамелеон-хеши та редагований блокчейн. Існує також експериментальний спосіб створення блокчейну, який підлягає редагуванню за допомогою хамелеонних хеш-функцій, які також можна використовувати для видалення або переписування певних даних для задоволення нормативних вимог. Надійність цього способу залежатиме лише від локального нормативного регулювання.
  • Обмеження зберігання. Цей спосіб пропонує, щоб кожна транзакція, що датується першим блоком («оригінальний блок» або genesis block), залишатиметься записаною, допоки вона не буде виконана.
  • Обрізка. Обрізка дозволяє видаляти дані з блокчейну, коли вони більше не потрібні. Однак обрізка має значні недоліки. Наприклад, хоча розмір архівного вузла можна зменшити за допомогою обрізки, вся інформація, необхідна для відтворення старого стану, все ще зберігається на кожному вузлі. Іншими словами, малоймовірно, що це може розглядатися як повноцінний засіб анонімізації з позиції GDPR.

Неочікуваним поворотом може бути те, що навіть якщо деякі із запропонованих вище способів забезпечують відповідність обробки даних вимогам GDPR, але одночасно вони можуть викликати проблеми з відповідністю нормам інших регуляцій щодо боротьби з відмиванням грошей та фінансуванням тероризму (AML/CFT). Занадто сувора та безповоротна анонімізація може порушити норми щодо обов'язку належної перевірки користувачів та завадити виконувати свою роботу державним агенціям, які відстежують канали незаконного використання криптовалют. Це може бути аргументом на користь того, чому зараз зберігається певний статус кво криптовалют у сфері обробки персональних даних і чому державні регулятори не поспішають з роз'ясненнями.

Що ж з криптовалютами? На перший погляд може здаватися, що жодна криптовалюта не передає персональну ідентифікаційну інформацію, тому що традиційно архітектура блокчейну криптовалюти включає лише передачу безликих кодів і не містить інструментів, які надають можливість побачити, хто конкретно здійснив/отримав транзакцію. Хоча пересічна людина не зможе використати дані транзакцій та гаманця для відстеження особи, але блокчейн-спеціалісти вже неодноразово шляхом моніторингу даних транзакцій ідентифікували осіб, підозрюваних у злочинній діяльності. Існують навіть компанії, які спеціалізуються на відстежуванні незаконної поведінки через криптовалюти. Все це вказує на те, що дані транзакцій з позиції GDPR можуть розглядатися як особиста інформація та, на жаль, багато криптовалют не відповідають стандартам GDPR.

Загалом, багато хто приходить до висновку, що норми GDPR є несумісними з використанням блокчейну для обробки персональних даних. Наразі навіть існують пропозиції щодо вдосконалення GDPR шляхом додавання до GDPR окремих положень, які регулюватимуть обробку персональних даних блокчейном. Однак це тільки пропозиції, а на практиці потрібно працювати з ситуацією, коли GDPR загрожує тій моделі обробки персональних даних, яку дозволяє архітектура блокчейн-мереж.

Звичайно, це стосується криптовалют, тому що вони використовують технологію розподіленого реєстру для свого функціонування. Однак не всі, адже криптовалюти, які побудовані з пріоритетом приватності сторін транзакції (такі як Monero, Zcash, PIVX та Beam), фактично відповідають GDPR. Дехто прогнозує, що такі криптовалюти можуть стати ключовими в наступні роки в ЄС, оскільки більш ретельна імплементація GDPR може спричинити ускладнення транзакцій з такими неконфіденційними криптовалютами як біткоїн. Це не означає, що біткоїн або схожі криптовалюти не будуть використовуватися, але їх популярність в ЄС може зменшитися.

Отже, ви зневірилися і хочете продати свій крипто- або блокчейн-бізнес, але у вас є клієнтська база даних, що додається під час продажу бізнесу (або як окремий актив), але ж всі данні захищені положеннями GDPR. Продаж бази даних клієнтів, які перебувають в європейській економічній зоні (ЄЕЗ), загалом можливий. Передача особистих даних можлива в юрисдикції, які Комісія визнала такими, в яких існує достатній рівень безпеки даних. Для продажу даних в інші юрисдикції, особливо якщо продаж здійснює компанія з Європейського Союзу, їй потрібно отримати дозвіл від місцевого уповноваженого органу своєї країни, що відповідає за питання захисту особистих даних.

У разі надання дозволу від уповноваженого органу, згідно зі ст. 46 (1), продавцеві потрібно переконатися, що покупець може забезпечити відповідність таким вимогам:

  • наявність юридично обов'язкового і такого, що підлягає виконанню, інструменту взаємодії між державними органами країн ЄЕЗ та країни покупця;
  • обов'язкові корпоративні правила відповідно до ст. 47 GDPR;
  • стандарти захисту даних, прийняті Комісією відповідно до процедури перевірки, про яку йдеться у ст. 93 (2);
  • стандартні положення про захист даних, прийняті наглядовим органом і затверджені Комісією відповідно до процедури перевірки, про яку йдеться у ст. 93 (2);
  • затверджений кодекс поведінки відповідно до ст. 40 разом з обов'язковими й такими, що підлягають виконанню, зобов'язаннями контролера або процесора в третій країні для застосовування відповідних гарантій, в тому числі щодо прав суб'єктів даних;
  • затверджений механізм сертифікації відповідно до ст. 42, в якому містяться обов'язкові й такі, що підлягають виконанню, зобов'язання контролера або процесора в третій країні для забезпечення відповідних гарантій, в тому числі щодо прав суб'єктів даних.

Відповідно до ст. 46 (3) (a), перераховані гарантії також можна передбачити в договорі між продавцем і покупцем. Найбільш часто застосовуваний виняток для передачі даних в третю країну — це наявність згоди всіх суб'єктів даних, чиї дані будуть передаватися (ст. 49 (1) (a)).

Якщо все гаразд, то можна підписувати угоду купівлі-продажу. Тепер база особистих даних — це вже проблема покупця, який згідно зі ст. 14 має повідомити суб'єктів даних окремо про те, що він тепер обробляє їхні дані, та надати свої контактні дані й дані свого представника; контактні дані співробітника щодо захисту особистих даних та контакти уповноваженого органу в країні покупця; про мету обробки, для якої призначені персональні дані, а також правові підстави для такої обробки; перерахувати відповідні категорії персональних даних; про одержувачів чи категорії одержувачів персональних даних, якщо такі є.

Це зобов'язання покупця також варто включити в договір між сторонами як гарантії, що продавець вжив усіх необхідних заходів для відповідності GDPR. Окрім того, необхідно перевірити деталі даних і переконатися, що вони не є надмірними або непотрібними щодо мети, для якої вони купуються. У разі такого продажу також потрібно буде дотримуватися суворих заходів безпеки, як передбачено GDPR.


0
0

Додати коментар

Відмінити Опублікувати