Комментарии в СМИ

«Эксперты рассказали сможет ли GDPR убить блокчейн»

Андрей Алексейчук, юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры», анализирует влияние на сферу технологии блокчейн европейского регламента GDPR.

Появление европейского регламента GDPR стало поводом для серьезных опасений за судьбу технологии блокчейн. Оказалось, что регламент противоречит главной возможности блокчейна – распределенному хранению пользовательских данных. Причем изъять это данные, как того требует GDPR – невозможно. Мы обратились к экспертам с вопросом: может ли GDPR стать убийцей блокчейна.

Константин Иванов, founder TradingView

Самым перспективным выглядит направление, где блокчейн будет использоваться вместо таких посредников, как нотариус или, например, службы кадастрового учета. система обладает достаточным уровнем защищенности, распределенности и логики, чтобы “автоматизировать” эти функции. Если брать блокчейн в широком смысле, то там нет никаких противоречий с GDPR, скорее наоборот. основной смысл GDPR – прозрачная и секьюрная логика обращения с персональным данными пользователя. мы вправе понимать как используются наши личные данные, где хранятся, как и зачем передаются сторонним лицам, а также возможность влиять и эти процессы. блокчейн как раз может стать полезным инструментом для выполнения практик GDPR, обладая высоким уровнем защищенности и прозрачности. однако в конечном счете все конечно зависит от конкретной его реализации.

Илья Бруман, генеральный директор Minery

Сможет ли блокчейн использоваться при применении регламента GDPR? Безусловно, я не вижу противоречий. Новые правила лишь описывают процедуру обработки, использования и хранения личных данных пользователей. Не противоречит ли GDPR принципам блокчейн? Не противоречит, основные принципы блокчейна – децентрализованность и сохранность, что полностью соответствует новым правилам GDPR.

Микаэл Караманянц, директор Рашенсофт

На мой взгляд GDPR нужно дорабатывать, сейчас довольно много споров по данному вопросу. Сейчас для соответствия данному стандарту придется прикладывать больше усилий и как следствие затрат, а это безусловно создает дополнительные преграды стартапам.

GDPR обязывает систему предоставить возможность удаления данных, а всем известно, что удаление данных в блокчейн привет к нарушению целостности данных. Есть решение, данной проблемы, но они требуют дополнительных ресурсов. Также стоит отметить проблему локализации хранения данных, регламент GDPR обязывает хранить всю персональную информацию на территории ЕС.

Нана Куликова, Коммуникационное агентство “Русинтернетком”

В общем регламенте защиты данных – GDPR кроется право на забвение, оно позволяет любому лицу исправить или удалить свои персональные данные. Это может конфликтовать с блокчейн технологией, ведь суть блокчейн технологии – это хранение документов и их статичная неизменность. Ни о каком исчезновение никакой информации не может быть и речи. Это основа и главный смысл блокчейна – ничего невозможно заменить, или даже хотя бы изменить. Все что заноситься на систему – блокчейн – сразу становится фактом – никоим образом не удаляемым. изменить полностью или частично просто невозможна в рамках криптографических возможностей. Это является гарантом безопасности занесенной информации и позволяет избежать любых незаконных вмешательство – дублей или замен. Минус тут тоже есть, конечно – например, невозможность исправить ложные данные, может привести к нанесению вреда пользователям.

Что делать, если кто-то решит обеспечить свое ‘’право быть забытым‘’ и потребует удалить свою личную информацию из допустим какого-нибудь проекта, или базы на основе блокчейна? Это невыполнимая задача. В существующей на данной момент блокчейн технологии. В итоге на данный момент мы пока получаем конфликт технологии и закона. И развитие технологий сдерживать не хочется, и персональные данные защищать необходимо. Вопрос в интерпретации закона, и в выстраивании грамотного диалога между законодательством и инновационным развитием. Без грамотных юристов не обойтись, конечно.

Венера Шайдуллина, Финансовый университет при Правительстве Российской Федерации

«Блокчейн — это криптографически защищенная запись транзакции, созданная без центрального управления», — это слова эксперта по вопросам блокчейна Шейла Уоррен, которые прозвучали на Всемирном экономическом форуме.

Таким образом, между технологией блокчейн и регламентом GDPR, принятом в Евросоюзе в мае 2017 года, возникает вполне закономерный конфликт интересов. Если блокчейн ничем не управляется, и является заранее запрограммированной системой, в которой хранятся все данные, то как будет осуществляться исполнение положений GDPR? Ведь документ предусматривает доступ пользователей к собранным на них данным, к удалению или корректированию такой информации. Кроме того, регламент коснется и компаний, которые используют технологии, работающие с поведением людей – потенциальных клиентов.

Конечно же, удаление или коррекция данных – это не про блокчейн. Это попросту невозможно. Сейчас специалисты видят только одно решение проблемы – это шифровать данные о пользователях при помощи секретных закрытых ключей. С другой стороны, возможно, будут приняты дополнительные поправки в регламент, учитывающие широкое распространение технологии блокчейн в сфере бизнеса.

Дмитрий Кондин, Sitebill.ru

GDPR – регламентирует процессы работы с персональными данными. Конечно, анонимные блокчейн-технологии построенные на криптовалютах BTC/ETH от этого не выиграют. Потому что у этих технологий полностью отсутствует какой-либо вид персонализации. Думаю это и является основной преградой к развитию и принятию со стороны различных государств.
Однако, есть и не анонимные технологии блокчейн. Например, решение от IBM https://developer.ibm.com/blockchain/.

В решении IBM, наоборот при построении блокчейн-сети обязательным условием является аутентификация и специальная сертификация каждого члена сети. Таким образом требования GDPR даже делают лучше для IBM – платформы. Ведь у них одинаковые цели, обеспечить прозрачность при взаимоотношениях между участниками бизнес-процесса построенного на основе blockchain.

Таким образом blockchain с полной авторизацей каждого участника вероятно одна из прорывных технологий для бизнес-решений в будущем. А биткойны и эфиры были лишь на разогреве у настоящих звезд.

Андрей Алексейчук, юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры»

Говорить о том, что GDPR (General Data Protection Regulation) как-то влияет на блокчейн не совсем корректно, поскольку блокчейн – это технология распределенного хранения информации (информация выстраивается в виде непрерывной последовательной цепочки блоков по определенным правилам). Отличительной особенностью блокчейна является невозможность изменить или удалить какие-либо данные без нарушения работы всей цепочки. Как правило (но не обязательно), реестр информации, построенный на основе технологии блокчейн, является публичным и децентрализованным, а сами данные, находящиеся в блокчейне – зашифрованы.

Сама по себе технология блокчейн никак не связана с персональными данными и положениями GDPR не регулируется. Риски, связанные с применением требований GDPR, могут возникнуть только, если внутри блокчейна хранятся персональные данные.

При этом при оценке рисков применения GDPR необходимо учитывать несколько важных факторов.

Во-первых, в соответствии со статьей 3 GDPR, данный регламент применяется к обработке персональных данных, только если такая обработка осуществляется:

а) лицом, зарегистрированным на территории Европейского союза (далее – ЕС);

б) лицом, не зарегистрированным на территории ЕС, но осуществляющего деятельность, связанную с предложением товаров, работ, услуг субъектам персональных данных, находящимся на территории Евросоюза или отслеживанием поведения таких субъектов персональных данных.

Большинство известных проектов, построенных с использованием технологии блокчейн, не имеют централизованного места обработки персональных данных и не осуществляют деятельность, направленную на субъектов персональных данных, находящихся на территории ЕС. Соответственно, положения GDPR к таким проектам применяться не будут.

Во-вторых, пункт 1 статьи 4 GDPR определяет понятие персональных данных как информацию, связанную с определенным или определяемым физическим лицом. Следовательно, информация, которая не позволяет определить физическое лицо, не будет являться персональными данным. Например, если в блокчейне, построенном для создания и использования криптовалют, хранится только номер кошелька и сумма начисленной на него криптовалюты, такая информация не будет относиться к персональным данным, поскольку не позволяет определить физическое лицо-владельца кошелька. Кроме того, не будет охватываться понятием персональных данных обезличенная информация, хэшированная информация или зашифрованная информация, если её невозможно расшифровать. Соответственно, положения GDPR не будут применяться к проектам, которые не обрабатывают персональные данные.

Таким образом, GDPR не будет применяться к проектам, которые не попадают под критерии статьи 3 GDPR и не обрабатывают персональные данные, как они понимаются в пункте 1 статьи 4 GDPR. Представляется, что доля таких проектов среди всех проектов, построенных с использованием технологии блокчейн, достаточно большая.

Если же все-таки проект, построенный с использованием технологии блокчейн, обрабатывает персональные данные и попадает под критерии, указанные выше, то основное требование GDPR, которое может вступить в противоречие с используемой технологией – это право субъекта персональных данных на изменение и удаление своих персональных данных, предусмотренное статьями 16 и 17 GDPR. В случае хранения персональных данных в блокчейне данное право субъекта будет сложно реализовать, поскольку из блокчейна нельзя удалить какие-либо данные без нарушения всей цепочки данных. Тем не менее в рамках технологии блокчейн все-таки существуют способы исполнить данное требование – например, путем удаления ключей шифрования, если данные хранятся только в зашифрованном виде. В этом случае зашифрованные данные, к которым невозможно получить доступ, по нашему мнению, не будут являться персональными данными (поскольку не соответствуют определению персональных данных). Соответственно, требование GDPR будет считаться исполненным.

Если блокчейн построен в виде распределенного реестра (т. е. информация хранится и дублируется на множестве устройств одновременно), а таких большинство, то хранение персональных данных в таком блокчейне может вступить также и в противоречие с требованиями статей 44-46 GDPR о возможности передачи персональных данных за пределы территории ЕС. Однако в этом случае можно хранить персональные данные отдельно от блокчейна, сохраняя с блокчейном необходимые для его работы связи (технология Off-chain storage). В этом случае персональные данные будут храниться на территории ЕС.

Отдельно следует упомянуть использование технологии смарт-контрактов, поскольку в таком случае в реестре могут храниться персональные данные его участников, что потребует, в частности, соблюдение требований GDPR об изменении и удалении данных, о территории обработки данных. При этом для исполнения требований GDPR могут использоваться вышеупомянутые технологии (хранение персональных данных отдельно от блокчейна по технологии Off-chain storage, удаление ключей шифрования). Более того, в смарт-контракте можно предусмотреть соответствующий автоматический механизм с использованием данных технологий.

Следует также учитывать, что любому проекту, в котором предполагается первоначальный сбор и временное хранение персональных данных (даже если впоследствии они удаляются, шифруются), необходимо соблюдать требования законодательства (в том числе GDPR, если он применяется) к такой обработке. В том числе, потребуется получать согласие на обработку персональных данных, назначать ответственных лиц, публиковать документы, касающиеся обработки персональных данных. При этом данные требования потребуется соблюдать, даже если сами данные впоследствии хранятся в обезличенном (зашифрованном, хэшированном) виде, поскольку обработка персональных данных начинается с момента сбора таких данных. Возможно, такие требования несколько затруднят использование блокчейна как децентрализованной системы, однако такие требования не являются невыполнимыми.

Подводя итог, можно сказать что, во-первых, далеко не все проекты, использующие блокчейн, попадают под действия GDPR, а, во-вторых, с учетом существующих технологий блокчейн вполне может использоваться для хранения персональных данных в соответствии с требованиями GDPR. В то же время, скорее всего, и законодательство (в частности GDPR), и блокчейн будут развиваться и дорабатываться для соответствия друг другу.

Владимир Волков

 

Ссылка на источник

Кирилл Саськов

Адвокат
Партнер
Руководитель корпоративной и арбитражной практики

Cкачать VCARD

ПРОЕКТЫ