GDPR и блокчейн: совместить несовместимое

General Data Protection Regulation (GDPR) был разработан в мире, где персональные данные обрабатывались централизованно. Как следствие, активное развитие децентрализованных систем обработки информации ставит перед экспертами все новые вопросы и вызовы. В связи с этим 8 ноября 2018 Commission Nationale Informatique Libertes (CNIL / DPA) предоставила разъяснения относительно особенностей обработки персональных данных с использованием технологии блокчейн.

What is a blockchain?

Блокчейн — это своеобразная база данных, в которой данные хранятся и распределены между большим количеством узлов (компьютеров) и записи о которых доступны всем пользователям сети.

Схематично функционирования блокчейна можно отобразить следующим образом.

Виды блокчейна

Условно можно выделить два вида блокчейна:

• публичный блокчейн — полностью децентрализованный. В таком блокчейне отсутствуют лица, обладающие контролем над ним. Любое лицо может видеть транзакции и передавать свои транзакции в подтверждение;
• частный блокчейн — базируется на тех же принципах, однако «администрируется» конкретными лицами или корпоративно. Для подключения к такому блокчейну необходимо разрешение «администратора».

Частный блокчейн по своей сути является распределенной частной базой данных, поэтому существенных особенностей в правовом регулировании в понимании GDPR он не вызывает.

В рамках данной статьи сосредоточим внимание исключительно на особенностях публичного блокчейна.

Какие персональные данные могут обрабатываться с использованием технологии блокчейн?

Блокчейн может содержать персональные данные двух типов:

1. Идентифицирующие данные участников сети, в частности их публичный и приватный ключ.

Публичный ключ — алфавитно-цифровая последовательность символов, сгенерированный для конкретного аккаунта. Публичный ключ идентифицирует каждый аккаунт в блокчейни и доступен всем участникам сети.

В соответствии с разъяснениями CNIL, публичный ключ является персональными данными лица, однако необходимость его использования обусловлена ​​самой архитектурой блокчейну, поэтому минимизировать такие данные или установить ограниченный срок для их хранения невозможно.

Частный ключ — секретная алфавитно-цифровая последовательность символов, сгенерированный для конкретного аккаунта. Частный ключ используется участником блокчейну для управления своей учетной записью.

Частный ключ не известен другим участникам сети и используется каждым участником самостоятельно от своего имени, поэтому положение GDPR на такие данные по общему правилу не распространяться.

• Другие персональные данные. Транзакции, которые направляются участниками в подтверждение в сеть блокчейн, могут содержать персональные данные третьих лиц. На такие персональные данные распространяется действие положений GDPR.

Контроллер персональных данных

Для определения ролей участников блокчейна в контексте GDPR необходимо различать два основных субъекта:

• participant — участник блокчейна, который направляет транзакции на подтверждение в сеть;
• miner — участник блокчейна, подтверждающий в сети транзакции, присланные другим участником.

В соответствии с разъяснениями CNIL участник блокчейну (participant), который направляет в подтверждение транзакции, содержащих персональные данные, будет выступать контроллером в понимании GDPR при условии, что такой участник является:

• юридическим лицом; или
• физическим лицом и осуществляет обработку персональных данных в пределах профессиональной или предпринимательской деятельности.

ПРИМЕР

Если нотариус осуществляет регистрацию права собственности клиента в реестре, функционирующий на основе технологии блокчейн, такой нотариус будет выступать контроллером персональных данных клиента. Однако, если вы решите приобрести или продать биткойн от собственного имени, то о compliance с GDPR можете не волноваться.

Обработчик персональных данных

По мнению CNIL, участник блокчейну (miner), который лишь подтверждает транзакции, содержащих персональные данные, присланные другим участником самостоятельно не определяет целей и цели обработки персональных данных, а потому должен выступать обработчиком в понимании GDPR.

В таком случае на практике могут возникнуть трудности с соблюдением положений статьи 28 GDPR, которая предусматривает обязанность контроллера заключить письменный договор с каждым обработчиком персональных данных. Несмотря на большое количество участников и по большей части анонимный характер блокчейну, становится понятным, что заключение договора между контроллером и обработчиками — участниками блокчейну невозможно.

Указанная проблема пока не имеет своего однозначного решения и требует проведения дальнейших исследований и консультаций на уровне Европейского Союза.

Обеспечение compliance блокчейн-проектов требованиям GDPR

1. Лучшим шагом для обеспечения соответствия блокчейн-проектов требованиям GDPR является избежание использования блокчейну в процессе обработки персональных данных 🙂

То есть, прежде всего, необходимо проанализировать, действительно блокчейн необходимое для обработки персональных данных. Если использование блокчейну не является критическим для достижения целей обработки, DPA рекомендует выбирать другие технические решения.

2. Если ваш проект не может избежать использования блокчейну в операциях по обработке персональных данных, тогда важным является обеспечение реализации прав субъектов данных, поскольку именно данный критерий является одним из основных при оценке соответствия требованиям GDPR.

Все права субъекта персональных данных, предусмотренные GDPR, можно условно разделить на две группы:

• права, которые полностью совместимы с требованиями GDPR и принципами блокчейну (право быть информированным, право на доступ к персональным данным, право на ограничение обработки, право на мобильность данных). В целом реализация данных прав соответствует техническим возможностям блокчейну;
• права, реализация которых с помощью блокчейну вызывает трудности на практике (право на исправление, право на истирание, право на возражение).

При сохранении персональных данных в сети блокчейн технически невозможно реализовать запрос субъекта персональных данных на исправление или изменение таких данных, поэтому DPA настоятельно рекомендует не хранить персональные данные в форме открытого текста.

Выходом из данной ситуации может быть сохранение персональных данных в форме открытого текста за пределами блокчейну с сохранением в самой сети только доказательств существования таких данных. DPA рекомендует использовать в блокчейн проектах следующие технические решения (в порядке приоритетности):

• commit — используется в случае применения криптографического метода со схемой обязательств (commitment scheme). Commit является своеобразным «закрытым ящиком» со скрытым содержанием. Указанный «закрытый ящик» передается между сторонами, однако он не раскрывает информации, содержащейся в нем, до момента, пока не будет отправлено код доступа ( «reveal»). При удалении ключа доступа (например, на запрос субъекта данных), исчезает техническая возможность проверить, какая информация была передана. В таком случае, сам commit больше не будет вызывать риска для безопасности персональных данных.

• хэш — алфавитно-цифровая последовательность символов, генерируемый как результат обработки данных хэш-функцией с ключом доступа. Фактически хэш-функция присваивает набора входных данных (например, сведениям о фамилии, имени и отчества лица, адрес и т.д.) уникальную комбинацию букв и цифр. При этом изменение хотя бы одного символа во входных данных кардинально меняет исходный хэш. Хэш-функция является линейной (односторонней), поэтому за выходным хэшем невозможно восстановить входные дни. Удаление ключа доступа (например, на запрос субъекта данных) приведет к невозможности установления входящей информации. В таком случае, хэш больше не будет вызывать риска для безопасности персональных данных;

• другое шифрования данных, обеспечивает высокий уровень конфиденциальности и безопасности.

Указанные технические способы не позволяют в полной мере реализовать права субъекта данных на удаление или изменение персональных данных, однако они обеспечивают достижение аналогичных по своей сути правовых последствий, так как при удалении ключей доступа, контроллер фактически теряет доступ к персональным данным. Указанный факт безусловно будет учитываться контролирующими органами при решении вопроса о соответствии требованиям GDPR.

Если ни один из указанных способов шифрования не может быть реализовано, DPA предусматривает возможность размещения персональных данных в форме открытого текста, однако исключительно в условиях, когда это оправдано целью обработки данных и когда оценка воздействия на защиту данных (Data protection impact assessment) подтвердила приемлемость рисков.

3. Обеспечение других мер безопасности.

Все требования GDPR по обеспечению безопасности персональных данных применяются к блокчейн-проектов. В то же время DPA рекомендует принимать дополнительные меры безопасности, в частности:

• предусмотреть технические и организационные процедуры для ограничения влияния потенциального сбоя алгоритма (в частности, уязвимости криптографической механизма) на безопасность транзакций;
• обеспечивать безопасность секретных ключей (в частности, хранить их на защищенных носителях и т.д.).

В любом случае обработка персональных данных с использованием технологии блокчейн подпадает под правовое регулирование GDPR. Участник сети блокчейн (participant), который направляет в подтверждение транзакции, содержащих персональные данные, выступать контроллером, в то время как участник, подтверждает такую ​​транзакцию (miner), в большинстве случаев будет выступать обработчиком.

Для обеспечения compliance с GDPR необходимо соблюдать следующие основ:

• осуществлять обработку персональных данных с использованием технологии блокчейн исключительно при наличии объективной необходимости в этом;
• хранить персональные данные в форме открытого текста за пределами блокчейну с сохранением в сети блокчейн только доказательств существования таких данных или их зашифрованного варианта;
• обеспечивать надлежащие технические и организационные меры безопасности.