Применение Общего регламента ЕС о защите данных (далее - GDPR) в отношении блокчейна с самого начала вызывало много вопросов, так как данная технология во многом кажется противоречащей новым европейским правилам обработки персональных данных. Кого в блокчейне считать контроллером данных, а кого процессором (обработчиком)? Обязательно ли реализовывать в блокчейне принцип privacy-by-design? Как обеспечить в блокчейне исполнение прав субъектов данных (физлиц) на удаление и исправление данных, а также запрет на дальнейшую обработку данных?
На все эти вопросы попытался ответить французский регулятор в области защиты персональных данных CNIL (Национальная комиссия по информатике и свободам граждан) и сформулировал рекомендации о том, какие подходы в контексте GDPR могут применяться к обработке персональных данных в блокчейн-системах.
Исполнительный директор Центра цифровых прав, Денис Лукаш положительно оценил инициативу французского регулятора: «На сегодняшний день видна разница в подходах выполнения диспозитивных положений GDPR в зависимости от конкретной территории ЕС. Мнение национальных регуляторов по защите данных Евросоюза может в какой-то степени различаться. Это хорошо, что CNIL открыл свое видение по соответствию обязательным требованиям связки GDPR - Blockchain. Публикации CNIL вообще славятся своей уникальностью и проработкой».
Юрист-эксперт Иван Чопык (John Chopyk) в свою очередь в статье в онлайн-журнале Lawless.tech составил обзор свежей позиции французского регулятора и выделил спорные моменты. Как отмечает эксперт, основное внимание CNIL уделяется определению статуса участников блокчейна в контексте GDPR, правовым рискам использования блокчейна и вопросам эффективной реализации своих прав субъектами персональных данных.
Субъектный состав
Разграничение субъектов в GDPR для российской аудитории может показаться достаточно специфическим. Центр цифровых прав ранее делал обширный обзор всего содержания регламента GDPR и более подробно описывал особенности правового статуса каждого из субъектов.
Напомним, что кратко субъектный состав по GDPR можно описать следующим образом:
●субъекты персональных данных (далее - ПДн) - лица, чьи ПДн обрабатываются;
●контролеры ПДн, которые определяют как и для каких целей обрабатываются ПДн;
●совместные контролеры ПДн - лица, которые вместе определяют как и для каких целей обрабатываются ПДн (в том числе в разной степени),
●процессоры ПДн - лица, которые могут обрабатывать ПДн от имени контролера.
Эксперт Иван Чопык отмечает, что в блокчейне однозначная дифференциация субъектов, участвующих в обработке персональных данных, проблематична, поскольку блокчейн по своей сути является децентрализованной технологией.
●Контролеры данных
Например, не всегда представляется возможным установить, кто в блокчейне определяет цели и средства обработки и, таким образом, становится контролером. По мнению французского регулятора, «участники, которые имеют право делать записи в блокчейне и которые передают данные майнерам для подтверждения транзакций, могут считаться контролерами». Если говорить более конкретно, CNIL различает две категории контролеров ПДн:
●физическое лицо, которое обрабатывает ПДн в рамках своей профессиональной или предпринимательской деятельности;
●юридическое лицо, которое вносит ПДн в блокчейн.
CNIL приводит в качестве примера первой категории контролеров ПДн нотариат на базе блокчейна (нотариус регистрирует документы в блокчейне, что является отличным примером «профессиональной деятельности», выполняемой физическим лицом). Эксперт И. Чопык иллюстрирует вторую категорию на следующем примере: система KYC (знай своего клиента), разработанная банком Crédit Mutuel Arkéa и компанией IBM, где банк выступает в качестве контролера ПДн своих клиентов.
Таким образом, субъект, который создал приватный блокчейн - это контролер ПДн. Но ситуация осложняется, если мы говорим о публичном блокчейне, где нет определенного регулятора, а ПДн вносятся в блокчейн самими пользователями.
●Процессоры данных
Французский регулятор CNIL также делает попытки определения положения процессоров ПДн в блокчейне.
В частности, в статье на Lawless.tech приводится пример страховой компании AXA. Она запустила сервис, который функционирует на основе смарт-контрактов Ethereum и предусматривает автоматическую систему страховых выплат за задержку рейса. С учётом позиции французского CNIL, разработчик ПО в данном случае будет считаться процессором, а AXA - контролером.
Что касается майнеров, то они по общему правилу не являются процессорами, так как они не имеют прямого доступа к ПДн и не принимают активного участия в обработке. Но может быть и по-другому. Чтобы проиллюстрировать данную ситуацию, CNIL приводит следующий пример: несколько страховых компаний присоединяются к блокчейн-системе, получая доступ к данным клиентов других страховых компаний. В таком случае, согласно позиции CNIL, одна из компаний может считаться контролером ПДн, а другие будут действовать в качестве процессоров, которые должны заключать договор с контролером, как предписано в ст. 28(3) GDPR. Такие компании (процессоры) являются майнерами, так как осуществляют функции подтверждения транзакций.
Однако, как отмечает эксперт Иван Чопык, на самом деле любая из этих страховых компаний может рассматриваться как контролер, процессор и майнер одновременно. Страховая компания становится контролером в отношение ПДн своих клиентов, обработчиком (процессором) - в отношение ПДн клиентов других страховых компаний и, так как каждая из них будет подтверждать транзакции, одновременно все они будут майнерами. Иными словами, возникают опасения, что в приведённом CNIL примере не учитывается возможность смешения ролей субъектов в такой ситуации. В частности, майнерами потенциально могут быть и другие компании, и их клиенты, использующие тот же самый приватный блокчейн и подтверждающие транзакции по смарт-контрактам без какого-либо фактического доступа к содержащимся в системе персональным данным.
●Майнеры
Важно обозначить, что регулятор CNIL считает, что по общему правилу майнеры не являются ни контролерами, ни процессорами, поскольку обычно считаются простыми пользователями. На простых пользователей распространяется исключение ст. 2(2)(c) GDPR как на физических лиц, осуществляющих деятельность в личных или домашних целей.
Что касается группы лиц, то CNIL рекомендует либо создать юридическое лицо, либо назначить контролером одного из участников. В противном случае, согласно позиции регулятора, все эти лица могут рассматриваться как совместные контролеры по смыслу ст. 26 GDPR, что может повлечь за собой необходимость дальнейшей формализации их статуса и определения совместных процедур по исполнению GDPR. Кроме того, отмечается, что однозначное определение контролера будет облегчать взаимодействие с ним как субъектов данных, так и уполномоченных органов по защите ПДн.
Резюмируя вышесказанное, относительно субъектного состава обработки персональных данных в блокчейне CNIL различает следующие типы субъектов:
●Два типа контролеров: юридические лица и физические лица, которые занимаются какой-либо профессиональной или коммерческой деятельностью (например, нотариусы);
●Процессоры: обычно это компании-разработчики программного обеспечения;
●Майнеры: регулятор в общем не относит их к процессорам (и уже тем более контролерам), при условии что они не имеют непосредственного доступа к персональным данным.
Риски использования блокчейна в контексте GDPR
В целом, позиция CNIL по отношению к использованию блокчейн-технологий является достаточно взвешенной. Регулятор отмечает, что неизменность блокчейна обеспечивает безопасность обработки ПДн, но одновременно существуют некоторые значительные риски несовместимости блокчейна с требованиями GDPR.
●Требование «проектируемой конфиденциальности»
В частности, французский регулятор отмечает возможное несоответствие блокчейн-технологий требованиям «проектируемой конфиденциальности» (privacy by design).
●Меры защиты при трансграничной передаче ПДн
Французский регулятор подчеркивает, что контролеры в рамках блокчейн-систем не всегда могут достоверно определить местоположение майнеров, которым данные передаются для подтверждения транзакций. В результате, контролеры практически не могут применять соответствующие меры защиты данных при их передаче за пределы ЕС, которые предусмотрены в ст. 44 GDPR.
●Принцип минимизации данных и ограничения срока их хранения
Как отмечается в уже упомянутом обзоре Центра цифровых прав, принцип минимизации данных означает, что нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки. А принцип ограничения срока хранения подразумевает, что личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
Относительно блокчейна CNIL отмечает, что использование открытых ключей, принадлежащих всем участникам системы, может не соответствовать принципу минимизации данных. В то же время, как указывает Иван Чопык, публичные ключи вряд ли подпадают под формулировки GDPR, ведь они фактически не идентифицируют их владельцев и не являются в терминологии GDPR “средствами, разумно вероятными для использования” (“the means reasonably likely to be used”).
Помимо этого французский регулятор выделяет ещё одну проблему в контексте минимизации данных, а именно проблему полезной нагрузки (дополнительных данных, прикрепленных к блоку, которые может содержать ПДн).
Чтобы соответствовать европейскому регламенту, CNIL рекомендует принять определенные меры:
●хранить непосредственно сами данные вне блокчейна, а в блокчейн вносить только информацию, подтверждающую существование таких данных;
●использовать хеширование или шифрование;
●хранить сами данные, только если были предприняты надлежащие меры предосторожности (например, оценка воздействия).
Таким образом CNIL, хотя и считает блокчейн безопасным с точки зрения защиты данных, призывает тщательно взвешивать необходимость его использования.
Обеспечение прав субъектов персональных данных
Особое внимание CNIL уделяет анализу блокчейна в контексте обеспечения прав субъектов ПДн, очертив круг возможных проблем в данной области:
●право на забвение;
●право на исправление;
●право на ограничение обработки.
Основная проблема с правом на исправление и правом на забвение заключается в неизменяемости блокчейна: если информация была зафиксирована в публичном блокчейне, ее уже нельзя удалить. В ситуации с приватным блокчейном такая проблема не возникает, так как вся цепочка контролируется частным лицом и отдельные блоки могут быть изменены. Однако существуют опасения, что в таком случае отчасти нивелируется сам смысл использования блокчейна. Что же касается публичного блокчейна, то, по мнению CNIL, проблема с неизменностью может разрешаться путем «перезаписи» уже имеющейся информации в новый блок с внесением необходимых обновлений.
В целях реализации такой «перезаписи» эксперт Иван Чопык предлагает следующие решения:
●сделать всю цепочку блоков разветвленной. Для этого можно осуществить «атаку 51%», то есть получить согласие большинства майнеров на построение новой действительной цепочки. Или же осуществить «хардфорк» самим разработчикам, то есть построить новую цепочку в принудительном порядке. Однако отмечается, что разветвление блокчейна не изменит и не позволит удалить данные полностью, они в любом случае будут содержаться в оставленных блоках. Кроме того, такие действия создают угрозу целостности всего реестра.
●Токенизация данных. Предлагается не хранить данные в блокчейне, а использовать токены, служащие ссылками на сами данные, хранящиеся за пределами реестра. Таким образом, исходные источники ПДн могут быть изменены в любое время, а ссылка на них будет постоянно храниться в блокчейне.
Кроме того, как отмечает исполнительный директор Центра Цифровых Прав, Денис Лукаш, национальный надзорный орган Великобритании ICO допускает реализацию права на забвение через принцип «beyond use», который позволяет оставлять данные в бэкапах и архивах: «Конечно, эта позиция изложена по отношению к бэкапам. Вместе с тем, описание данного принципа делает его пригодным и для некоторых блокчейн-проектов».
Заключение
Очевидно, что стремительное развитие блокчейн-технологий порождает неизбежную необходимость гарантировать их совместимость с требованиями законодательства о защите ПДн. Однако в настоящее время в этой области остаются значительные сложности: возникают неоднозначности в определении субъектного состава, существуют значительные риски нарушения прав субъектов ПДн и иных требований GDPR, а также возникают серьезные сомнения в необходимости в принципе использовать блокчейн-технологии для работы с ПДн. Иными словами, пока использование блокчейна вызывает множество вопросов в контексте европейского законодательства о защите персональных данных. В то же время рекомендации французского регулятора CNIL - это, без сомнения, значительный шаг вперед на пути к достижению правовой определенности по данному вопросу.