ru
Назад к списку

Окажет ли GDPR влияние на развитие блокчейн-технологий?

18 Январь 2019 14:30, UTC
Пауль Мизель

После принятия GDPR ряд блокчейн-проектов больше не могли существовать на законных основаниях, и одним из них оказался сервис Parity ICO Passport Service (PICOPS). Даже Виталик БУТЕРИН выразил сожаление по этому поводу:

Я проконсультировался с бывшим генеральным директором ERGO, в настоящее время профессором Технического университета Кельна, доктором Торстеном ОЛЕЦКИ и Фабианом РАЭЦЕМ, техническим директором и соучредителем блокчейн-стартапа, на эту тему. Мы обменялись мнениями о Регламенте, его влиянии на проекты, основанные на блокчейне, и сделали несколько выводов.

Что такое GDPR?

Общее положение о защите данных (GDPR) – это новая правовая база Европейского Союза, которая определяет правила сбора и обработки личных данных. После нескольких лет обсуждений и подготовки GDPR был утвержден Европейским парламентом в апреле 2016 года и вступил в силу 25 мая 2018 года. Он применяется ко всем организациям, базирующимся в ЕС, которые обрабатывают личные данные, а также глобально ко всем организациям, которые обрабатывают данные граждан ЕС.

Согласие на обработку данных

В дополнение к общим принципам, регулирующим обработку персональных данных, новые принципы, в частности, регулируют согласие на обработку данных и «особые случаи» – это является важнейшим элементом GDPR. Здесь действует принцип запрета: хранение и обработка данных не допускаются без предварительного разрешения владельца этих данных. Поскольку GDPR применяется к любым персональным данным, которые могут храниться или передаваться посредством сети блокчейна, это означает, что никакие транзакции не могут быть выполнены без согласия клиентов. Увы, но, учитывая множество вариантов использования технологии, подходящего всем единого решения попросту не существует.

Каковы последствия несоблюдения GDPR?

Невыполнение нового Регламента ЕС может привести к штрафам до 4% годового оборота компании (максимум 20 млн евро). В каждом государстве-члене ЕС были созданы соответствующие контролирующие органы, которые несут особую ответственность за мониторинг и обеспечение соблюдения GDPR, равно как и отвечают за осведомленность организаций. Блокчейн-проекты глобальны и, следовательно, доступны гражданам ЕС, а значит, на законных основаниях они будут работать только в соответствии с GDPR.

Для многих блокчейн-проектов максимальный штраф может означать крах бизнеса. По этой причине при разработке проектов очень важно уделять внимание совместимости с GDPR. Должен быть решен ряд вопросов защиты данных:

  • Должен ли блокчейн-проект хранить или обрабатывать личные данные граждан ЕС?
  • Какой блок проекта отвечает за работу с данными клиентов?
  • Как децентрализованный характер сети повлияет на защиту данных?
  • Какие именно законы о защите данных применимы к этому конкретному проекту?

Фабиан РАЭЦ рассказал о совместимости Регламента GDPR и блокчейна, а также о том, как можно их свести: «Поскольку хранить какие-либо личные данные не разрешается – даже если их шифровать – то проект нужно начинать с анализа требований к информации пользователей». Хранение персональных данных в блокчейне больше невозможно, но это не обязательно означает, что блокчейну наступает конец.

Фабиан предлагает следующий подход к решению проблемы с регулированием. Простой пример: скажем, проекту требуется дата рождения клиента, которая, очевидно, является личной информацией. У нас есть следующие варианты:

  • Полностью отказаться от даты рождения. В случае когда возраст требуется (например, для пенсии), проект может взять вместо данных о возрасте продолжительность выплат или иную дату в качестве альтернативы и создать новую модель учета.
  • Данные хранятся только пользователем. В блокчейне хранится хэш, чтобы идентифицировать пользователя и иметь возможность работать с этими данными на уровне приложения.
  • С помощью метода zero-knowledge можно хранить данные, которые могут быть подтверждены третьей стороной – например, является ли определенный человек возрастом старше 18 лет, что необходимо для заключения договора. Никакой конкретной информации, в блокчейне хранится лишь факт, чтобы иметь возможность сделать оперативную проверку.

Как GDPR повлиял на конечных пользователей

Как я указал выше, новый закон затронет практически все технологические компании, работающие с клиентами в ЕС.

Это долгожданная мера кибербезопасности. Теперь намного проще привлекать компании к ответственности за применение информации в корыстных целях. Можно отозвать согласие на использование личных данных. Конечный пользователь может также решить запросить досье – личную информацию, собранную компанией, – чтобы проверить, какими данными он поделился. Если кто-то изменит решение о том, какие его данные могут использоваться и для каких целей, то теперь есть возможность навсегда их удалить. Люди получили рычаги воздействия, которые могут быть использованы против недобросовестных компаний, поскольку штрафы за правонарушения довольно высоки.

Регламент также стандартизирует законы о защите личных данных во всех 28 странах ЕС; это определенно уменьшит недопонимание между различными регулирующими органами и поможет организациям обеспечить безопасность информационных активов. Без законодательных норм будет царить хаос. По словам профессора Торстена ОЛЕЦКИ, благодаря предыдущей политике конфиденциальности в Германии (DSGVO-Datenschutz-Grundverordnung) компании хорошо подготовились к принятию GDPR. Проблема, с которой столкнулись, в основном, небольшие компании, заключалась в том, что у них не было достаточно времени и ресурсов для адаптации к новому закону.

Что в итоге?

Отношения между GDPR и блокчейном парадоксальны и в некотором смысле ироничны. Цель нового регламента – «вернуть гражданам контроль над своими личными данными» и установить строгие правила хранения и обработки этих данных по всему миру. Идея блокчейна – также вернуть пользователям контроль над своими данными. Но новое регулирование ЕС, к сожалению, замедляет развитие блокчейна.

Для блокчейн-проектов соответствие с GDPR означает преобразование или прекращение обслуживания. В особенности это касается фирм, вынужденно работающих с массивами данных клиентов, например, страховых компаний, согласно утверждению Торстена ОЛЕЦКИ. И все же адаптацию к EU-DSVGO / GDPR можно рассматривать как возможность улучшить качество проекта – уровень конфиденциальности является важным стимулом для клиентов. Обмен данными между сторонами можно упростить, в то время как следование строгим стандартам также вызывает доверие к проекту.

Иллюстрация: Inrix

Об авторе:
Пауль Мизель – предприниматель, блокчейн-энтузиаст, изобретатель и инвестор. Он работает в иншуртех-индустрии и является основателем проекта Asure Network, первой масштабируемой децентрализованной сети общественной безопасности.