Блокчейн блокирует все. Даже GDPR

Последствия вступившего в силу пакета GDPR для банков некоторые сравнивают с пожаром.

К требованиям GDPR экстренно готовятся даже те, кто не работает в странах Евросоюза, а обслуживает граждан ЕС за его пределами. В числе нарушителей может оказаться любой банк - взявший данные клиента, что называется, «с улицы», в рамках перевода без открытия счета. Как соотносятся с нормами GDPR новые технологии блокчейн, которые банкиры-инноваторы планируют использовать для защиты данных, причем, не только персональных? Короткий ответ – никак. Большинство нынешних платформ блокчейнов несовместимы с нормами и требованиями GDPR.

Напомним, что GDPR трактует персональные данные (ПД), как «любую информацию , касающуюся идентифицированного или идентифицируемого лица»- субъекта данных. Блокчейн хранит ПД как в открытом, так и зашифрованном виде. Даже если ПД в блокчейн зашифровать, то эти данные в терминах GDPR будут «псевдоанонимизированы» - а сам источник ПД может быть определен. Поэтому все криптографически модифицированные ПД в блокчейн должны подчиняться нормам GDPR.

Эти очевидные рассуждения имеют масштабные следствия.

Владельцы ПД, попавших в блокчейн, могут сослаться на свои права - например, потребовать удалить ПД («право на забвение»). В защищенном от несанкционированного доступа блокчейн эти права субъекта не так просто реализовать. Безотзывность транзакций блокчейн противоречит и нормам GDPR, которые дают гражданину право менять провайдеров и забирать свои ПД без остатка. Причем перечисленное не только проблема публичных блокчейн-цепочек, но и приватных блокчейнов, в которых данные также не могут быть просто так удалены.

Оператор сети блокчейн, конечно, может хранить ПД или ссылку на эти данные вне блокчейн-сети с соответствующей криптозащитой. Однако хранение данных вне сети снижает прозрачность и увеличивает риск краж, поскольку информация распространяется по нескольким каналам. Общих официальных рекомендаций по этому поводу нет.

Что мы констатируем?

Еще до вступления в силу GDPR, его правовая база оказалась устаревшей, причем, в отношении новейших разработок в области управления данными. Проблемы GDPR касаются не только технологии блокчейн – есть вопросы в отношении технологий BigData, Machine Learning и AI . Очевидная причина юридической неопределенности - нехватка необходимого бизнес-опыта работы с инновационными технологиями. Сам блокчейн не так и плох - в зависимости от конфигурации, может как скомпрометировать так и защитить ПД. В настоящее время уже заявлен ряд технологических решений, которые помогут платформам соответствовать GDPR, но для всех платформ этого нет.

Что касается ближайших прогнозов в отношении нашего закона «О персональных данных» № 152-ФЗ – российского аналога GDPR, то следует ожидать симметричного ужесточения его норм, и, конечно, появления соответствующих рекомендаций относительно того, как могут быть построены совместимые системы. Любая технология не используется нейтрально – она отражает законодательные нормы и бизнес-цели, поэтому от отечественных регуляторов следует ожидать определенного ответа в этом отношении.

Никто не знает, в какой мере цепочки в будущем окажут положительное или отрицательное влияние на цифровую экономику. Ответ даст практика. Поддержка и ускорение технологического развития блокчейн, всех его ключевых приложений, сегодня в руках законодателей.