Блокчейн: комплаенс, принадлежность данных и другие правовые вопросы

Блокчейн позволит человеку взять под контроль свои данные и защитить их от использования сторонними людьми и организациями, но технологии еще предстоит решить ряд правовых вопросов, утверждает на портале Techopedia член ICANN, юрист Даниэль Димов, специализирующийся на интернет-праве.

Интернет превратился из однонаправленного портала, предоставляющего пользователям доступ к различным платформам, в мир, где люди сознательно — а иногда и несознательно — создают онлайн-профили, изобилующие личной информацией, привычками и предпочтениями. В современном Интернете ежедневно генерируются терабайты личных данных. Таким образом, важно, чтобы потенциальный пользователь осознавал, предназначен ли дизайн той или платформы, чтобы принести потребителю пользу, или его данные пытаются использовать в корыстных целях. Компании сосредоточили свое внимание на получении огромных объемов таких данных, и поэтому законодательство, ориентированное на конфиденциальность, такое как Общий регламент ЕС о защите данных (GDPR), направлено в первую очередь на то, чтобы защитить и расширить возможности индивидуальных пользователей и изменить подход организаций к конфиденциальности данных.

К сожалению, последние события в сфере обеспечения безопасности, в том числе взлом Equifax и несанкционированный сбор личных данных, в чем уличили Facebook, показали, что бывает, когда централизованно хранимые данные компрометируются. В случае утечки личных данных GDPR разрешает органам по защите данных ЕС налагать штрафы в размере до 20 млн. евро или 4% от общегодового оборота компании во всем мире (в зависимости от того, что больше). Нужно заметить, что они регулярно пользуются своими полномочиями. Например, в июле 2020 г. румынское управление по защите данных оштрафовало авиакомпанию за то, что она не предусмотрела технические и организационные меры для защиты процесса обработки данных, и это привело к несанкционированному раскрытию персональных данных пяти пассажиров. Тот же орган в том же месяце оштрафовал еще одну компанию, которая пренебрегла мерами по защите конфиденциальности. Ее бездействие привело к тому, что в Facebook был опубликован документ, раскрывший личные данные 436 человек.

Вопросы принадлежности данных

Важным преимуществом блокчейн-сетей является то, что они значительно повышают безопасность основных данных, а это, в свою очередь, позволяет компаниям избежать нарушения законов о защите данных. Кроме того, технология блокчейн открывает возможность для смены парадигмы в плане хранения и использования персональных данных, которая способна устранить центральные точки отказа и дать людям возможность контролировать и монетизировать свои собственные данные.

Google, Facebook и другие крупные компании, бизнес которых во многом зависит от персональных данных пользователей, подвергаются серьезной критике за их несправедливое использование. Претензии к ним сводятся к следующему:

• пользователи обладают недостаточным контролем над личной информацией;
• риск повторной идентификации анонимных персональных данных;
• лишение пользователей возможности давать или не давать согласие на пользование их личной информацией.

И это далеко не весь список претензий. Особенность блокчейна состоит в том, что он лишает любую организацию возможности контролировать личную информацию пользователей, а также продавать или монетизировать ее. Данные транзакций могут быть зашифрованы с помощью уникальной цифровой подписи пользователя (приватного ключа), что открывает для пользователей возможность монетизации путем расшифровки части их истории транзакций и персональных данных для рекламодателей или брендов. У компаний есть ряд причин для включения технологии блокчейн в свои предложения, в том числе снижение затрат, дополнительный слой безопасности и уникальная возможность использовать криптоэкономику для стимулирования поведения клиентов.

Интерпретация прав собственности на блокчейн, скорее всего, будет регламентироваться дизайном новых блокчейн-платформ и сопутствующих экосистем. Блокчейн позволит пользователю решать, как и когда использовать его данные, и получать за это компенсацию. Она, конечно, не сильно значимая: в 2017 г. Facebook зарабатывал с одного пользователя в среднем 20,21 долл., тем не менее вопрос владения собственными данными и способность контролировать их — довольно важный. Токенизация экосистем, созданных на основе общедоступной цепочки блоков, позволяет встроить механизмы стимулирования, позволяющие получать компенсацию за раскрытие персональных данных с разрешения пользователя.

В таких экосистемах люди будут владеть своими личными данными до тех пор, пока они не предоставят за определенную плату доступ третьей стороне. Следует отметить, что блокчейн-компании, позволяющие пользователям контролировать свои личные данные и извлекать из них выгоду, уже существуют. Одна из таких платформ — digi.me. Джулиан Рейнджер, один из разработчиков платформы, описал ее работу следующим образом: «Мы создаем всемирную децентрализованную сетку персональных данных, принадлежащих самим людям. Мы не строим службы на основе этих данных. digi.me для людей — библиотека и почтальон, если требуется обмен данными».

Вопросы юрисдикции блокчейн-приложений

Если при разработке блокчейн-приложений не будут предприняты меры предосторожности, то потенциально они могут столкнуться с проблемами юрисдикции. Компьютеры или узлы, проверяющие транзакции в цепочке блоков, предположительно будут находиться (и, возможно, так и должно быть) в различных юрисдикциях с различными законодательными требованиями, регулирующими право собственности. Поскольку в проверке транзакции играет роль каждый узел, можно допустить, что ее регулирование должно осуществляться той юрисдикцией, в которой размещен узел. По большей части регулирующие органы еще не вынесли своего суждения по вопросам юрисдикции, но вряд ли оно устроит все стороны блокчейн-цепи.

Разработчикам блокчейн-приложений наверняка стоит рассмотреть вопрос о включении в смарт-контракты и публичные документы положения о главенствующем праве и юрисдикции, чтобы обеспечить определенность в отношении взаимоотношений сторон. Особенно серьезные проблемы с юрисдикцией могут вызвать блокчейн-приложения, выпущенные по модели первичного размещения токенов (initial coin offering, ICO), поскольку многие из регуляторов начали следить за законностью ICO. Регуляторы некоторых юрисдикций требуют, чтобы все компании, которые собираются провести или уже провели ICO, получили соответствующие лицензии.

Массовое регулирование ICO началось в 2018 г. вследствие его растущего значения во всем мире. С января по ноябрь 2018 г. через ICO было привлечено около 21,7 млрд. долл. Нарушение законов, регулирующих ICO, может привести к серьезным последствиям. Например, мальтийский закон о виртуальных финансовых активах (Maltese Virtual Financial Assets Act), регулирующий проведение ICO и связанных с ним документов, позволяет наказывать нарушителей штрафами и даже тюремным заключением.

Вопросы подотчетности

В большинстве случаев человек или компания несут полную ответственность за данные, хранящиеся на централизованных серверах. Например, в деле Google против AEPD суд ЕС постановил, что поисковая система несет ответственность за защиту личных данных на веб-сайтах, доступных через ее службу. А кто несет ответственность за данные, хранящиеся в децентрализованных публичных блокчейн-сетях? Учитывая, что обычно они хранятся на тысячах компьютеров, ответственность за это не может нести никто.

Вопросы конфиденциальности

Многие эксперты по безопасности данных утверждают, что технологии блокчейн не могут соответствовать различным законам о конфиденциальности, включая GDPR, потому что те требуют, чтобы контролеры (data controller) и обработчики данных (data processor) несли ответственность за собранную и обработанную ими информацию. Однако в контексте блокчейн-приложений существует неопределенность по поводу того, кто ими является. Термин «контролер данных» относится к юридическому или физическому лицу, ответственному за целевое назначение обработки определенной персональной информации, тогда как термин «обработчик данных» относится к лицу, которое обрабатывает персональные данные от имени обработчика данных.

Организацией работы и поддержкой многих блокчейн-сетей занимаются сами пользователи. По факту это может означать, что контролером или обработчиком данных является каждый пользователь блокчейн-приложения. Говоря более конкретно, того, кто передает личные данные в блокчейн-систему, можно рассматривать как контролера, тогда как пользователь, который обрабатывает их, будет считаться обработчиком данных. Еще одним недостатком конфиденциальности блокчейн-технологий является то, что они передают данные между узлами, расположенными в большом количестве стран. В соответствии с GDPR и другими законами о конфиденциальности данные, передаваемые за пределы ЕС, подлежат определенным гарантиям защиты.

Такие гарантии включают заключение соглашений об обработке данных и прохождение сертификации на защиту конфиденциальности. Поскольку публичные блокчейн-сети полностью децентрализованы, реализация таких мер безопасности практически невозможна. Но у технологии блокчейн имеются другие преимущества в отношении конфиденциальности. С учетом того, что их основой является децентрализованный реестр, это значит, что у них не существует единой точки отказа и это значительно снижает шансы киберпреступников, потому что изменение каждого узла блокчейна потребует огромных вычислительных мощностей. Таким образом, децентрализованная природа блокчейн-сетей обеспечивает качественную защиту личной информации. Еще одним ее преимуществом для защиты персональных данных является возможность использования криптографии.

Риск кибератак

Как уже говорилось, у блокчейн-сети отсутствует единая точка отказа и сделать ее неработоспособной практически невозможно, но они уязвимы для распределенных атак типа «отказ в обслуживании» (DDoS). Эти атаки могут сделать приложения блокчейна и связанные с ними данные непригодными для использования. DDoS-атаки направлены на то, чтобы сделать компьютерную систему недоступной для пользователей, перегружая ее интернет-трафиком. Риск DDoS-атак особенно высок в случаях, когда реестры сосредоточены на нескольких высокопроизводительных узлах.

Особенно уязвимы к DDoS-атакам биткоин-биржи. В этом году перестали работать две крупные биржи — Bitfinex и Okex. Их вывели из строя при помощи сложной атаки с интенсивностью передачи трафика 400 Гб/с. В 2017 г. DDoS-атаки на криптобиржи снизили стоимость рынка криптовалют на 53 млрд. долл. В 2018 г. в результате DDoS-атаки свою деятельность приостановила криптовалютная биржа BitMEX, что привело к падению цены биткоина на 300 долл.