Новое европейское регулирование защиты данных приведет к большему количеству инноваций в блокчейне. Международная ассоциация профессионалов в области конфиденциальности (IAPP) прогнозирует создание не менее 75 тысяч рабочих мест для обеспечения конфиденциальности, а компании Fortune Global 500 потратят около $8 млрд. для обеспечения их соответствия GDPR. Положение о защите данных призвано создать единую систему регулирования данных в Европе и усилить контроль над хранением и использованием их персональных данных.
Обязательства и права
GDPR вводит новые обязательства для «обработчиков данных», которые будут распространяться на корпоративные и государственные организации, и дает больше прав физическим лицам («субъектам данных»).
Государственные и частные организации, как показывает практика, накапливают данные даже до того, как узнают, что им с ними делать. Это своего рода «золотая лихорадка» при сборе личных данных.
GDPR против такой тенденции и утверждает, что сбор данных не должен быть больше необходимого для взаимодействия с потребителем. По сути, сбор данных должен быть «адекватным, релевантным и ограниченным минимальным, необходимым в отношении целей, для которых они обрабатываются», говорится в статье 39 GDPR.
Кроме определения правил, GDPR закрепляет организационные принципы для всех обработчиков данных. Так, после использования, потребительские данные удаляются по умолчанию благодаря специальной конфиденциальности.
В статье 33 оговаривается, что каждый объект, являющийся «рядом данных», должен иметь Офицера по защите данных (DPO), ответственного за соблюдение GDPR. Тот, в свою очередь, будет предупреждать надзорный орган всякий раз, когда возникает риск субъекта данных.
С другой стороны, субъекты данных будут лучше информированы о хранении и их обработки (статья 15). Они получат право получить копию хранящейся о них информации. Обработчики данных должны будут сообщать субъекту о передаче информации о них.
GDPR предоставляет гражданам больше контроля над использованием их данных. В статье 17 перечислены условия, при которых они смогут запросить удаление своих данных, осуществив так называемое «право стирания».
Однако Сара Гордон и Алия Рам заметили в одном из интервью, что в конечном счете, влияние GDPR будет зависеть от того, захотят ли физические лица использовать более широкие полномочия.
Глобальное распространение новых мер
GDPR предусматривает чрезвычайно высокие штрафы компаниям, которые не соблюдают установленные правила. Кроме того, его охват выходит далеко за пределы ЕС.
Для компаний визит аудитора защиты данных может быть страшнее посещения налогового инспектора. Умышленное или повторное несоблюдение принципов, изложенных в законе, приведет к штрафу в размере до 20 млн. евро или 4% от единого международного оборота правонарушителя. Вместо того, чтобы просто полагаться на сигналы DPO компаний, будут проводиться регулярные проверки защиты данных.
Формально деятельность правил распространяется лишь на страны ЕС, однако на практике он будет влиять и на другие государства. Прежде всего, это коснется тех, кто обрабатывает личные данные жителей ЕС за его пределами.
Евросоюз также внедряет инновации и делает зависимым потоки данных к торговой деятельности. Страна, желающая подписать торговую сделку с ЕС, должна будет зарегистрироваться для соблюдения GDPR.
За последнее десятилетие США стал мировой «экономической полицией», оштрафовав банки на огромную сумму за несоблюдение правил борьбы с отмыванием денег. Станет ли ЕС чемпионом по защите данных?
Работа Положения в условиях децентрализации системы
GDPR впервые предложила Европейская комиссия в 2012 году. Тогда акцент сделали на регулировании облачных сервисов и социальных сетей, так как блокчейн в то время не был так широко известен.
Облачные сервисы и социальные сети преимущественно имеют централизованную организацию. Субъекты данных взаимодействуют с уникальным серверным объектом – процессором/контроллером данных. Центральное управление позволяет контролировать каждое изменение. Как GDPR будет влиять на блокчейн-платформы?
Понятно, что между полной открытостью данных и возможностью работать под псевдонимом тонкая грань. Блокчейн хранит некоторые личные данные, в том числе, истории транзакций. В таком случае он может попадать в сферу действия GDPR.
На первый взгляд, можно подумать, что существует прямое противоречие между GDPR и блокчейном. Например, среди многих принципов, изложенных в Положении, «право на стирание» заметно разниться с неизменяемой природой, которая лежит в основе блокчейн-технологии. При рассмотрении этого противоречия возникает простой вопрос: кто является ответственным обработчиком данных в децентрализованной системе.
Исходя из правил и особенностей GDPR и блокчейн, использование понятий «обработчик данных»/«субъект данных» является сложным. Несомненно, впереди напряженные законодательные дебаты.
Блокчейн с GDPR?
Тем не менее, блокчейн имеет много общих целей с GDPR. Они оба нацелены на децентрализацию контроля данных и смягчение неравенства между централизованными поставщиками услуг – отчасти, путем их подавления. Изначально биткойн не предполагал анонимности, однако многие технологические инновации сделали это реальным. Вероятно, это не то, к чему стремятся законодатели, однако навряд ли в настоящее время существуют решения, предлагаемые блокчейном, которые законодатели восприняли легче.
Одним из наиболее перспективных направлений исследований является сочетание надежного оборудования и блокчейна. В общественных блокчейнах все данные реплицируются и распространяются на всех компьютерах сети. Из-за этого удаление данных транзакций и конфиденциальность становятся неудобны для пользователей. Недавние исследования показали, как «надежные компьютерные анклавы», такие как Intel SGX, могут обеспечить безопасное и конфиденциальное хранение данных и приватность.
Сочетание надежных вычислений с общедоступными блокчейнами означает, что конфиденциальность данных может быть защищена от внешних угроз и храниться вне сети. В данном случае блокчейн выступает в роли «судьи» и решает, кто получит доступ к этим данным. После потери доверия к централизованным поставщикам услуг, правами на данные могут управлять исключительно с помощью блокчейна и надежного оборудования пользователями. Таким образом они возвращают контроль над своими данными и их конфиденциальность. В настоящее время ряд проектов реализуют эту идею, стараясь превратить блокчейн из кошмара GDPR в сказку.
Одной из таких попыток является совместная работа Имперского колледжа Лондона и Корнеллского университета – Teechain.
Эксперты уверены, что ограничения способствуют дальнейшему развитию отрасли и заставят участников рынка сформировать креативные решения.