Черное равно белое, или Евросоюз + блокчейн: на что можно закрыть глаза ради всеобщей идиллии
Общий регламент по защите данных (GDPR) был принят Евросоюзом в 2016 году и вступил в силу 25 мая этого года. Он усилил защиту личной информации граждан ЕС и имеет экстерриториальное действие, то есть его требования распространяются не только на компании, зарегистрированные в ЕС, но и на те, которые обрабатывают персональные данные резидентов и граждан ЕС, вне зависимости от их местоположения.
Трудности терминологии
GDPR призван защищать персональные данные, а понятие персональных данных имеет очень широкое определение. По сути, это любая информация, которая связана с идентифицируемым индивидом (последний в данном случае выступает субъектом персональных данных). При этом подобная информация включает зашифрованные данные и данные лиц, скрывающихся под псевдонимом.
Небольшая лазейка и послабление заключаются в том, что требования к защите персональных данных не распространяются на данные анонимных пользователей. Однако сфера применения полностью анонимных сервисов слишком ограничена. Хотя блокчейн и криптовалюты продолжают ассоциироваться с повышенной приватностью и защитой финансовой информации от посторонних глаз, много значимых игроков крипто-пространства встали на путь комплаенса и регулятивной прозрачности. Такие крупные биржи, как Coinbase, Poloniex, Kraken, Gemini последовательно налаживают отношения с Комиссией по ценным бумагам США (SEC) и получают брокерско-трейдерские лицензии, которые, с одной стороны, позволяют бирже расширить список торговых инструментов и вообще «не попасть в опалу» как нелегальная площадка, а с другой — предполагают раскрытие пользовательской информации.
Вне зависимости от юрисдикции — будь то SEC, FINRA или европейские институты — прохождение регистрации требует от компании соблюдения законов KYC (know your customer, или «знай своего клиента») и AML (anti money laundering, или «борьба с отмыванием денег»). Оба эти инструмента пришли в крипто-индустрию из традиционного банковского и биржевого регулирования. В рамках KYC финансовая компания должна установить личность своего клиента и проверить определенную информацию, включая персональные данные, вероятность вовлечения в нелегальную деятельность и законность средств на счету.
Что касается AML, в апреле 2018 года парламент ЕС одобрил новые меры по борьбе с отмыванием денег, которые будут применимы и к криптовалютному сектору. В правилах говорится, что криптобиржи будут обязаны верифицировать всех пользователей — от трейдеров до поставщиков криптовалютных кошельков. То есть, все, кто оказывает блокчейн-услуги, должны зарегистрироваться. Благодаря тотальному контролю всех участников рынка, парламентарии «положат конец анонимности, которая связана с виртуальными валютами и биржами», говорится в сообщении.
В таких условиях предложить популярный, пользующийся спросом и при этом гарантирующий полную анонимность криптовалютный сервис невозможно. Следовательно, желающим выжить игрокам крипто-пространства придется подружиться с нормами GDPR.
А именно
Два базовых принципа, подразумеваемых GDPR, — подотчетность и защита персональных данных.
Подотчетность при обработке персональных данных предполагает, что лица, вовлеченные в обработку данных, делятся на «контролирующие стороны» (controllers) и «обрабатывающие стороны» (processors). Контролирующие — это те, кто определяет «цели и средства» обработки данных. Обрабатывающие — те, кто следует инструкциям контролирующей стороны и обрабатывает данные по ее поручению.
GDPR требует, чтобы эти роли были заранее распределены, а затем стороны должны заключить договор, в котором будут прописаны их обязанности.
Что касается второго принципа, защиты данных, он реализуется в GDPR через передачу определенных прав субъекту данных (то есть пользователю, реальному владельцу собственной персональной информации). Так, субъект данных имеет право:
Запросить доступ к информации о себе, которая имеется в распоряжении компании;
Попросить исправить информацию, если она неверна;
Потребовать удалить определенную информацию, если вы не хотите, чтобы компания ею владела.
Второй и третий пункт раздела о защите очевидно конфликтуют с природой блокчейна, а именно с его неизменяемостью.
В действительности, как поясняет Дейв Майклс, сотрудник Исследовательского центра облачных вычислений Microsoft и член Cloud Legal Project Лондонского университета королевы Марии, «данные на блокчейне на самом деле не неизменяемы — просто их сложно изменить. Ноды совместно контролируют все копии блокчейна. Они могут изменить данные, хранящиеся на цепи, перейдя на новую версию, что называется форком».
Майклс разбирает процесс соблюдения GDPR на конкретном примере. Он предлагает представить гипотетический блокчейн, который поможет проверить подлинность информации в резюме, а именно — научную степень. Допустим, группа университетов разработала такой блокчейн. Каждый университет владеет приватным ключом, и каждая степень, которую присваивает университет своим учащимся, вносится на блокчейн и закрепляется за этим университетом. Соответственно, работодатель может увидеть эту информацию на цепи и удостовериться в подлинности информации, указанной в резюме.
При этом ученые степени содержат персональную информацию. Соответственно, создатели блокчейна должны обеспечить такую структуру, которая бы не нарушала требования GDPR по защите информации. У разработчиков есть две опции: создать открытый блокчейн (публичный) или закрытый (частный).
В первом случае любой человек сможет загрузить ПО и запустить его на своем устройстве. В таком случае это устройство, хранящее актуальную версию блокчейна, будет являться нодой и будет входить в сеть других таких же нод. Именно по такому принципу работает биткоин. Чем больше нод, тем безопаснее сеть, тем она устойчивее к централизации, атаке 51% и другим атакам по принципу двойного расходования. Однако этот сценарий очень сложен в плане соблюдения требований GDPR.
Аспект подотчетности
В данном случае проблема в том, что университеты, разработавшие этот блокчейн, не обязательно сами обрабатывают персональные данные. Это делают все ноды сети. Но ноды не контролируют работу сети.
Получается запутанное распределение ролей, при котором сложно найти «ответственных» — контролирующую и обрабатывающую стороны — как того требует GDPR. Университеты не могут считаться контролирующей стороной. Майклс проводит аналогию с устройством ресторана. Если представить контролирующую сторону как командующего рестораном шеф-повара, то университеты не соответствуют этой роли. Они, скорее, «опубликовали книгу рецептов, по которой каждый может готовить дома».
При такой системе совершенно не ясно, как определять, кто контролирует, а кто обрабатывает, и как заключать между ними необходимое по GDPR соглашение об обязательствах.
Аспект защиты прав субъекта персональных данных
«Предположим, я больше не хочу, чтобы моя ученая степень хранилась на блокчейне. Как университеты удовлетворят мой запрос на удаление?» — пишет Майклс.
Для этого они должны будут убедить каждую ноду удалить эту информацию из своей локальной копии блокчейна. И даже если все ноды согласятся это сделать, удаление данных из определенного блока меняет хэш этого блока. Это запутает хэш-указатели, которые связывают блоки в цепь.
И здесь Майклс подходит ко второй опции, которая была у разработчиков блокчейна, а именно: создание приватного блокчейна, который сделает соблюдение GDPR на практике гораздо более простым и реальным.
В таком случае контролировать блокчейн будут только сами разработчики (или одобренный круг лиц). Они и будут управлять нодами сети, которые могут быть запущены на их собственных устройствах или на арендованном месте в облаке. В таком случае нод будет, вероятнее всего, гораздо меньше, но зато между ними будет более качественная коммуникация и координация.
Аспект подотчетности
При приватной системе университеты настраивают блокчейн и управляют им вместе, соответственно, они могут считаться контролирующей стороной. Провайдер облачных услуг (если он есть) может считаться обрабатывающей стороной, поскольку он обрабатывает данные (предоставляет свои вычислительные мощности) по поручению университетов. Университеты и облачный провайдер подписывают соглашение об обязательствах. Таким образом, этот требование GDPR к подотчетности и четкому распределению ролей соблюдено.
Аспект защиты прав субъекта персональных данных
Три главных действия, которые должны позволять выполнять блокчейны, чтобы удовлетворять требования GDPR по этому пункту:
Искать все примеры использования персональных данных, относящихся к определенному индивиду;
Извлекать данные и предоставлять их индивиду в портативном формате;
Изменять или удалять данные по запросу индивида.
Последний пункт закономерно представляет наибольшую проблему.
Как удалить данные с блокчейна
Если все университеты согласны, они могут удалить определенные данные из блока. Хотя при этом будет разрушен хэш-указатель, связывающий блоки, университеты могут просто обновить линки между блоками, сделав новые хэши. Поскольку в приватном блокчейне легко обойтись без алгоритма proof-of-work, этот процесс не потребует больших вычислительных мощностей.
В данном случае доверие к информации, хранящейся на таком блокчейне, держится только на доверии к контролирующим его университетам. Однако, как утверждает Майклс, существуют и способы создания бестрастовых блокчейнов, которые будут позволять удалять информацию при одновременном сохранении неприкосновенности блокчейна (приватность по умолчанию, или «privacy-by-design»).
Первый метод, позволяющий это осуществить, использует шифровку. В рассмотренном ранее примере университеты могли зашифровать каждую запись с помощью своей пары приватного и публичного ключей и хранить данные на цепи в зашифрованном виде. Вместо удаления самого зашифрованного текста университеты могут просто удалить привязанный к нему публичный ключ. Таким образом, хотя шифр по-прежнему будет существовать на блокчейне, доступа к скрытым за ним данным больше ни у кого не будет. Вопрос о том, считается ли такая информация удаленной согласно GDPR, остается открытым. Но по крайней мере по законам Великобритании считается, отмечает Майклс.
Уязвимости такого метода заключаются в возможности того, что публичный ключ может быть похищен еще до его удаления. Учитывая примеры, когда хакерские атаки оставались незамеченными в течение нескольких лет, нельзя быть уверенным, что ваш публичный ключ не скомпрометирован и не хранится «в запасах» какой-то стороны, которая заинтересована в ваших данных или ваших средствах и воспользуется украденным ключом в нужный ей момент. Еще одна угроза, которая практически неизбежно станет реальной в определенный момент в будущем — квантовые вычисления, которые будут способны сломать любую криптографию и, таким образом, высвободить запертую персональную информацию.
Второй, более надежный метод удаления информации подразумевает использование оффчейн-хранения. Университеты могут получить хэш ученой степени, которую они хотят подтвердить, вставив эту степень в хэш-функцию. Тогда они могут хранить получившийся хэш на блокчейне, а саму степень (со всеми содержащимися в ней персональными данными) оффчейн. Удаление информации, хранящейся в оффчейне, не представляет проблемы, и в данном случае после ее удаления интересующие нас данные останутся на блокчейне только в виде хэша. При этом одна из характеристик криптографического хэша — необратимость, то есть «для заданного значения хэш-функции m должно быть вычислительно неосуществимо найти блок данных X, для которого H(X)=m». Следовательно, даже имея хэш, невозможно получить зашифрованную таким образом информацию.
Как и при первом методе, пока неясно, считается ли такой способ полноценным удалением информации по GDPR, поскольку любой, кто владеет исходными данными, может создать такую же хэш-функцию, связать ее с хранящимся на блокчейне хэшем и таким образом раскрыть личность субъекта персональных данных. Майклс отмечает, что эта проблема также может быть решена добавлением рандомной последовательности значений — значения nonce — к персональным данным. Это обеспечит защиту при условии, что сам nonce не будет скомпрометирован.
Регуляторы тоже стараются
В конце сентября Национальная комиссия по информатике и свободам Франции (CNIL) выпустила официальное руководство по взаимодействию GDPR и блокчейна. Эксперты выделили несколько важных аспектов, которые проясняет данное руководство:
1. В случае блокчейн-решений контролирующей стороной могут считаться сами пользователи, то есть субъекты персональных данных
Руководство CNIL выделяет дополнительную категорию «участников», в которую входят те, кто осуществляет транзакции на блокчейне, то есть обладает правом записывать данные на блокчейн и отправлять их на валидацию другим участникам сети (майнерам или операторам нод). Поскольку эти участники сами определяют, для каких целей будут обрабатываться персональные данные и сами выбирают средство их обработки (блокчейн), то, согласно CNIL, они выступают в роли контролирующей стороны.
Как отмечает Лаура Джель, одна из руководителей блокчейн-подразделения юридической фирмы BakerHostetler, эта часть руководства CNIL окажет значительное положительное влияние на блокчейн-решения по идентичности, которые передают контроль над персональными данными из рук корпораций в руки пользователей.
2. Криптовалютные биржи также являются контролирующей стороной
Согласно руководству CNIL, контролирующая сторона — это либо физическое лицо, которое обрабатывает персональные данные в профессиональных или коммерческих целях, либо юридическое лицо, которое записывает персональные данные на цепь. «Физическое лицо, которое вовлечено в покупку или продажу биткоина… может считаться контролирующей стороной, если оно осуществляет эти транзакции в рамках профессиональной или коммерческой деятельности [и работает] с аккаунтами других физических лиц», — говорится в документе. По этому определению криптовалютные биржи прямо подпадают под определение контролирующей стороны по GDPR и, соответственно, к ним применимы все правила контролирующей стороны.
3. Майнеры или операторы нод являются обрабатывающей стороной
Руководство CNIL предлагает считать, что любой участник, подтверждающий транзакции или записывающий данные на цепь, тем самым осуществляет обработку личной информации. Потому физические лица или предприятия, являющиеся майнерами или операторами нод, должны считаться обрабатывающими сторонами.
4. Блокчейн совместим с требуемым GDPR правом на удаление информации
CNIL предлагает еще один способ «уничтожения» персональных данных, хранящихся на блокчейне, а именно: сделать доступ к данным практически невозможным, «тем самым приближаясь к эффекту уничтожения данных». Кроме того, руководство указывает на возможность уничтожения приватного ключа или значения, из которого генерируется зашифрованный или хэшированный результат. По мнению авторов документа, этого будет «достаточно, чтобы анонимизировать криптографические обязательства таким образом, что они перестанут обладать качеством персональных данных». Учитывая, что именно такой метод «ограничения доступа» к информации посредством уничтожения приватного ключа описывал Майклс, Франция присоединяется к Великобритании в числе стран, которые приравнивают ограничение доступа к уничтожению информации и считают это достаточным для выполнения требований GDPR.
5. Участники приватного блокчейна должны выбрать одного участника, который будет контролирующей стороной. В противном случае будет считаться, что они осуществляют совместный контроль.
В случае данных, хранящихся на закрытом (приватном) блокчейне, контролирующей стороной считаются предприятия, которые определяют цели обработки и внесения данных на цепь. Для них CNIL оставляет две опции:
Создать юрлицо в формате ассоциации;
Выбрать одного участника, который будет принимать решения по защите персональной информации.
Если группа не выберет один из этих вариантов, будет действовать принцип совместного контроля, то есть каждый участник будет считаться ответственным за все приватные данные всех участников данной платформы.
6. Разработчики смарт-контрактов могут сами выбирать свою роль и быть либо контролирующей, либо обрабатывающей стороной.
Обрабатывающей стороной они будут считаться в том случае, если они разрабатывают смарт-контракты по указанию третьей стороны.
Этот аспект рассматривается в руководстве на примере конкретных смарт-контрактов, запущенных в прошлом году страховой компанией AXA. В этом случае «разработчик ПО предлагает страховой компании решение в виде смарт-контракта, который позволяет компании автоматизировать компенсационные выплаты пассажирам, когда их рейс откладывается. Этот разработчик будет считаться стороной, которая обрабатывает данные, а страхования компания — контролирующей стороной», — гласит документ.
7. Любой бизнес, который хочет использовать технологию блокчейн, должен внимательно оценить соображения конфиденциальности, прежде чем запускать свое решение.
Согласно CNIL, организация, разрабатывающая или использующая блокчейн-решения, должна ставить соответствие требованиям к защите персональных данных превыше всего, при этом заботясь как о соответствии требованиям GDPR, так и о минимизации потенциального ущерба для пользователей.
CNIL призывает компании начинать с вопроса, а действительно ли необходим блокчейн в их конкретном случае или тот же результат может быть достигнут традиционными централизованными средствами. В руководстве CNIL отмечается, что «блокчейн не всегда является лучшей технологией для обработки данных. Он может стать причиной сложностей для владельца [данных] с учетом требований GDPR».
8. Приватные блокчейны должны устанавливать минимальное количество нод для защиты неприкосновенности данных
CNIL призывает операторов блокчейнов помнить об угрозе атаки 51%, при которой участник, контролирующий более половины хэшрейта, может управлять транзакциями и, по сути, всем блокчейном. Потому руководство советует вводить обязательное требование по минимальному количеству нод, которых будет достаточно для устранения этого риска. Другой аспект касается надлежащей защиты от тайного сговора и консолидированного контроля над сетью (и, соответственно, персональной информацией), который могут осуществить операторы нод.
9. Субъекты персональных данных должны иметь возможность оспаривать результаты выполнения смарт-контрактов. Каким образом, пока неясно.
Как отмечает Лаура Джель, руководство CNIL непоследовательно в вопросе того, в какой степени владелец персональных данных может оспаривать результат выполненного смарт-контракта.
Согласно одному из пунктов, руководство требует, чтобы он мог вмешиваться в работу смарт-контрактов, утверждая, что «субъект персональных данных должен иметь право на человеческое вмешательство, чтобы выразить свою точку зрения и оспорить решение, после чего контракт может быть выполнен».
При этом в следующем предложении говорится, что достаточно позволить субъекту персональных данных оспаривать смарт-контракт после его выполнения: «...необходимо, чтобы контролирующая сторона предоставляла возможность человеческого вмешательства, которая позволит… субъекту персональных данных оспорить решение, даже если контракт уже выполнен».
Таким образом, момент вмешательства субъекта персональных данных не ясен, но CNIL обязывает разработчиков обеспечить владельцу данных такой уровень влияния на смарт-контракты.
10. Будут существовать «правильные» и «неправильные» способы использования блокчейна с точки зрения приватности и безопасности, и впоследствии будет разработано больше регуляций.
Джель отмечает, что 3 октября 2018 года Европейский парламент издал резолюцию под названием «Технологии распределенного реестра и блокчейны: построение доверия без посредников». В ней технология распределенного реестра определяется как «инструмент, который расширяет права граждан, предоставляя им возможность контролировать собственные данные». Резолюция призывает страны, входящие в Европейский парламент, способствовать принятию и распространению технологии. По ее мнению, это признак того, что вопреки опасениям Евросоюз не стремится ограничить использование блокчейна, но хочет выработать наиболее безопасные рамки его применения и даже стимулирует его использование.
Неразрешенные проблемы
При всей оптимистичности подходов к примирению GDPR и блокчейна сложно не заметить, что требование к возможности удаления информации технически невыполнимо. Далее все зависит от того, готовы ли стоящие за GDPR стороны пойти на уступки и сделать вид, что «потеря ключика» равна полному удалению зашифрованной с помощью него информации (хотя она не равна).
Еще более философский вопрос — а является ли «изменяемый блокчейн» блокчейном? Здесь, опять же, все зависит от готовности пойти на уступки в терминологии, но сделать шаг навстречу уже должна другая сторона. При этом следует отметить, что «истинные шифропанки», в частности, Тимоти Мэй, не признают приватные платформы блокчейном в истинном понимании. И хотя тренд создания закрытых корпоративных блокчейнов активно разрабатывается рядом консорциумов, для некоторых членов сообщества эти разработки уже стоят за пределами децентрализованного пространства: «Напряжение между анонимным и KYC-подходами — это ключевой вопрос. Это “децентрализация, анархия и одноранговость” против “централизации, приватности и бэкдора” (часть алгоритма, которая позволяет разработчику получить несанкционированный доступ к данным и управлять системой. — DeCenter)... Есть две дороги: свобода vs. приватные и централизованные системы», — пишет Мэй.