Адаптация блокчейна к требованиям GDPR

Есть способы привести блокчейн в соответствие с европейскими правилами соблюдения конфиденциальности GDPR, пишет на портале InformationWeek заместитель председателя IEEE Blockchain Standard и соучредитель BEC-Blockchain Engineering Council Клаудио Лима.

Защита данных и конфиденциальности являются, помимо прочего, двумя важными причинами всеобщего энтузиазма по поводу блокчейна. Эта технология трансформирует способ осуществления доверительных, транспарентных и прослеживаемых транзакций через Интернет.

Парадокс в том, что первая оценка блокчейна в связи с принятием GDPR гласила, что данная технология плохо сочетается с новыми директивами Европейского Союза. Эта оценка оказалась поверхностной, непродуктивной и ложной. Более внимательный взгляд на лежащие в основе блокчейна концепции и технологии обнаруживает, что эта технология усиливает определенные в GDPR фундаментальные основы конфиденциальности данных и безопасности. Все зависит от того, как спроектировать решение, чтобы оно соответствовало требованиям GDPR.

Адаптация новой децентрализованной одноранговой интернет-технологии блокчейн к директивам GDPR, которые теснейшим образом связаны с традиционным централизованным Интернетом, представляет собой фундаментальную проблему.

Альтернативные блокчейн-методы согласуются с GDPR. Эти методы требуют глубокого понимания технологий распределенного реестра и их экосистемы. Процессы управления идентификацией в блокчейне, которые хранят и обрабатывают идентифицирующую человека информацию (personally identifiable information, PII), имеют ключевое значение для проектирования соответствующих требованиям GDPR решений.

Решение проблемы неизменности

Одной из важнейших в GDPR является ст. 17 «Право на стирание» (или «право быть забытым»). В соответствии с ней потребители могут в любое время потребовать, чтобы обработчики (или «контролеры») удалили их персональную информацию.

Однако из-за неизменности записей в блокчейне любые содержащиеся в блокчейн-транзакциях данные практически невозможно модифицировать. Данные копируются на узлы одноранговой сети, которые выступают в роли распределенных баз данных или реестров и являются главными компонентами блокчейна. Данные, добавленные в публичную, не требующую разрешений сеть блокчейн, сохраняются навечно. Такие данные и метаданные не могут быть изменены. Блоки и транзакции блокчейна созданы так, что любая информация и любые записи, включенные в распределенные реестры, общедоступны, защищены от подделки и неизменны.

Итак, делает ли неизменность транзакций данных, являющаяся неотъемлемым свойством распределенных реестров, несовместимой блокчейн со ст. 17 GDPR? Не обязательно. Одним из альтернативных подходов для решения этой проблемы является использование гибридных архитектур без цепочек (off-chain) для распределенного хранения данных. Другие альтернативы предлагают хранить PII на устройствах пользователей, создавая метаданные и хэши этой информации, и ссылаться на эти локальные данные, используя сторонние серверы или сам блокчейн. Это создает различные уровни соответствия блокчейна и GDPR.

Далее, одна из альтернатив для учета требования ст. 17 заключается в том, чтобы все подпадающие под действие этой статьи информация и данные хранились бы вне цепочки на распределенных или облачных серверах, а в блокчейне сохранялись бы только соответствующие хэши. Таким образом, хэши служили бы контрольными указателями на подпадающие под действие GDPR данные, хранящиеся вне цепочки. Контрольные указатели являются не данными о пользователях, которые защищает GDPR, а псевдонимами исходных данных. На другую базу, хранящую исходные данные, не распространяются проблемы, связанные с неизменностью записей, которую обеспечивает блокчейн. Для соблюдения требований ст. 17 сервис-провайдер может стереть связи хэш-указателей блокчейна с данными, размещенными на распределенных серверах вне цепочки, как только получит соответствующее требование.

Решение проблемы анонимности

Наверное, самой интересной — и самой спорной — статьей, затрагивающей применимость GDPR к блокчейну, является ст. 25 «Защита данных по замыслу и по умолчанию», которая касается методов присвоения псевдонимов сохраняемым данным о потребителях.

В блокчейне методом присвоения псевдонимов является хэширование. Имеются две основные интерпретации этого метода с точки зрения ст. 25. Согласно первой, поскольку данным присваиваются псевдонимы, но не обеспечивается их анонимность, данные после этого не могут считаться персональными. Согласно другой, псевдонимы все-таки удастся связать с исходной PII. Может потребоваться математическое доказательство, что кибератака посредством грубой силы с целью получения находящихся вне цепочки данных способна иметь успех.

Эта дискуссия приводит к выводу, что проблема пока не поддается решению. Поскольку инновации в области блокчейна ускоряются, а GDPR начинает применяться, нас ожидают важные юридические и технические споры. GDPR следует адаптировать и быстро учесть ответвления, вопросы и возможности, создающие основу для технологии децентрализованного Интернета нового поколения, использующего блокчейн.