Грустный закон. Как защита персональных данных влияет на блокчейн-проекты
В мае 2018 года начал действовать GDPR (General Data Protection Regulation, Общий регламент по защите данных) — директива Европейского союза, призванная устранить пробелы в законодательстве Европейского союза о персональных данных. Теперь у пользователей появился ряд прав, закрепленных на законодательном уровне, нарушение которых грозит компаниям штрафом до €20 млн, или до 4% годового оборота. Но не всегда новые технологии или законы других стран «совместимы» с GDPR.
Удалить нельзя
Блокчейн-проектам только предстоит понять, как привести свою деятельность в соответствие со всеми требованиями GDPR. Одна из базовых особенностей технологии блокчейн — невозможность выборочного удаления информации. Сейчас можно удалить цепочку вплоть до определенного блока при согласии 51% ноды (нода — любой компьютер, подключенный к блокчейн-сети). Это сильно затрудняет выполнение положений статьи 17 Регламента, которая дает «право на забвение» (right to be forgotten). По первому запросу пользователя его персональные данные должны быть стерты оператором персональных данных. Также они должны быть удалены, если их обработка более не требуется или если они были обработаны либо получены без явного согласия субъекта персональных данных.
Кроме того, деятельность блокчейн-проектов противоречит не только GDPR, но и законодательству ряда стран, не входящих в Европейский союз. К примеру, в России положения Федерального закона «О персональных данных» прямо предусматривают, что хранение персональных данных граждан Российской Федерации может осуществляться только на территории России. Так же, как и в GDPR, в российском законодательстве предусмотрена возможность отзыва согласия на обработку персональных данных, по получении которого оператор персональных данных обязан в течение 30 дней их уничтожить. Более того, в настоящий момент российский законодатель рассматривает возможность приведения российского законодательства к стандартам, заданным регламентом GDPR.
Дело техники
Может показаться, что положения GDPR и технология блокчейн несовместимы. Однако маловероятно, что развитые страны Европейского союза намеревались при принятии GDPR убить целый сектор экономики будущего. Проект GDPR впервые был опубликован в далеком 2012 году, когда блокчейн не получил еще широкого распространения, которое получает сегодня. Но именно блокчейн-сообществу, а не законодателям придется искать пути решения сложившейся проблемы. Пока нет официальных разъяснений, компаниям стоит напрямую взаимодействовать с регулирующими органами. Например, ICO (Information Commissioner's Office, Управление комиссара по вопросам информации), государственный орган Великобритании, является одним из самых прогрессивных, занимающихся защитой персональных данных. На сайте регулятора можно найти много информации о GDPR и его применении. Это один из немногих регуляторов по GDPR, в который компании могут обратиться со своими вопросами по соблюдению ими регламента.
Особенно остро вопрос соблюдения GDPR встанет для проектов, занимающихся непосредственно сбором и хранением персональных данных, таких как Telegram Passport, Bitnation и их аналогов. Одними из вероятных способов соблюдения требований GDPR для блокчейн-проектов являются анонимизация или псевдонимизация персональных данных. Процесс анонимизации требует обработки персональных данных таким образом, чтобы субъект персональных данных более не мог быть идентифицирован. Данные очищаются от любой информации, которая служит идентификатором пользователя. В случае же с псевдонимизацией информация обрабатывается так, что пользователь не мог быть идентифицирован без дополнительной информации о нем. Этот метод не удаляет всю идентифицирующую информацию, а лишь затрудняет установление субъекта (например, с помощью шифрования). При этом дополнительная информация о пользователе должна храниться отдельно. Также должны предприниматься меры для того, чтобы было невозможно соединить псевдонимизированную информацию и дополнительную информацию.
«Это очень грустно»
Блокчейн-проекты отреагировали на GDPR по-разному. За прошедший месяц многие компании просто еще раз запросили согласие пользователей на получение рекламных писем и уведомлений, например, Cardano (входит в топ-10 криптовалют по капитализации). Обратная реакция у компании Revolut, которая пообещала обновить свое положение о конфиденциальности. Впрочем, это обновление включает в себя лишь таблицу, где компания описывает все цели, для которых она использует персональные данные пользователей. Возможность в любое время отписаться от рекламных писем и уведомлений вряд ли можно считать полным соответствием положениям GDPR.
Но в компании, судя по всему, считают это достаточным или более важным считают правила британского FCA (Financial Conduct Authority, Управление по финансовому регулированию и надзору). Поскольку Revolut — британская компания, то по правилам FCA она обязана хранить данные пользователей как минимум 6 лет. И пока позиция компании однозначна: она не может стереть данные пользователей, пока не пройдут положенные шесть лет.
По третьему пути пошла компания Cambridge Blockchain, которая занимается разработкой сервисов по идентификации личности пользователей для финансовых компаний, она уже на стадии разработки включает в свою архитектуру возможность соблюдения требований GDPR.
Появились и первые жертвы нового закона. За день до вступления в силу GDPR 24 мая платформа Parity ICO Passport Service (PICOPS) перестала предоставлять услуги клиентам как раз в связи с вступлением нового закона в силу. Платформу использовали в том числе ICO-проекты, например, для выполнения KYC (Know Your Client, «знай своего клиента») и соблюдения правил AML (Anti-Money-Laundering, меры, направленные на предотвращение отмывания денег).
Создатель криптовалютной сети Ethereum Виталик Бутерин отреагировал на прекращение работы PICOPS пессимистичным твитом: «Это очень грустно».
Вообще часть блокчейн-сообщества считает, что GDPR уже устарел с точки зрения технологии блокчейн. Пожалуй, они правы, но будущее блокчейн-проектов все равно зависит не столько от новых законов, сколько от действий самих компаний из блокчейн-индустрии. Им придется активно взаимодействовать с регуляторами и искать технические решения для приведения своего бизнеса в соответствие с действующим нормативным регулированием.