вторник, 17 октября 2017 г.

Европейское законодательство о защите персональных данных GDPR и блокчейн


Заметка румынского специалиста Марии Максим (Maria Maxim – на фото), партнера в юридической фирме Wolf Theiss, была опубликована на сайте социальной сети LinkedIn 30 сентября 2017 года. В ней затрагиваются сразу две актуальные темы – новое европейское законодательство о защите персональных данных (GDPR) и блокчейн-технологии. Взаимосвязь одного с другим – на мой взгляд, очень интересный вопрос.

Меня уже несколько раз спрашивали о моем мнении относительно исполнения требований нового европейского законодательства GDPR в случае обработки персональных данных с помощью технологий «блокчейна», и ниже приведены мои первые мысли по данному вопросу.

Платформы на основе блокчейна, как утверждается, были разработаны для обеспечения высокой защищённости данных и транзакций, с тем, чтобы затруднить несанкционированное манипулирование ими и кибератаки. В основном известно об использовании блокчейна для финансовых транзакций (как в системе Биткойн). Эти технологии можно было бы использовать и в других областях, в том числе в государственном секторе, например, при уплате налогов, совершении правоустанавливающих действий, при проведении выборов / голосования и т.д.

Очевидно, что эти платформы на основе технологий распределенных реестров (DLT, Distributed Ledger Technologies) должны соответствовать требованиям европейского закона GDPR (см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ) о защите персональных данных, и соблюдать права субъектов ПДн / пользователей таких технологий на защиту их персональных данных. Как часто отмечалось в дискуссиях, в которых я принимала участие, очевидно, что возможен ряд трудностей с выполнением правил GDPR - например, с соблюдением права на переносимость данных при обработке ПДн на основании согласия их субъекта или в ходе исполнения контракта; или же «права быть забытым».

Проблемы возникают вследствие того, что (рассматривая вопрос упрощённо) сеть, на основе которой работает блокчейн, не имеет центрального хранилища данных, и её администрирование осуществляется многочисленными серверами, расположенными в различных юрисдикциях (открытый блокчейн), или же на базе общепринятого подхода, при котором DLT-система (даже платформы, используемая ограниченным числом участников) опирается на цепочку записей, в которой создаётся блок за блоком. Ввиду этого удаление записанных в цепочке транзакций повлияло бы на все остальные записи, которые пришлось бы ввести снова, поскольку каждый блок связан с предшествующим ему блоком. Изменение и манипулирование транзакциями повлияло бы, таким образом, на точность данных и протоколов безопасности сети, поскольку пошло бы вразрез с намерением хранить транзакции постоянно, с возможностью их аудита, обеспечивая неизменность времени и контента записей.

С другой стороны, право переносимости и право быть забытым, приведенные здесь в качестве примеров требований GDPR, должны интерпретироваться в контексте, блокчейн-технологий и тех ситуаций, которые рассматривает GDPR (в приведенных примерах, это статья 20 о праве на переносимость данных и статья 17 о праве быть забытым).

Соответственно, право на переносимость данных применимо в том случае, если обработка ПДн основывается на согласии (ст.6, п.(1)(а)) или осуществляется в целях выполнения контракта (ст.6, п.(1)(b)); и в обоих случаях выполняется с применением автоматических средств. При анализе права на переносимость данных в контексте блокчейна имеет существенное значение п.2 ст.20, согласно которому требовать соблюдения этого права возможно только в тех случаях, когда это технически осуществимо. Как подтверждают многие ИТ-специалисты, весьма спорно, что право на переносимость данных может быть применимо в отношении блокчейна, поскольку оно противоречит ключевой идее данной технологии, предусматривающей сохранение данных в неизменном виде.

Мой комментарий: Опыт ряда стран показывает, что законодатели, если хотят, легко и непринуждённо устраняют такого рода препятствия – просто объявляют незаконным умышленное проектирование и внедрение систем, не обеспечивающих исполнение требований законодательства. Соответственно, аргумент о том, что блокчейн-система физически не может что-либо выполнить, если и сработает, то лишь в течение сравнительно недолгого переходного периода. Хуже того, даже если первоначально интерпретация закона будет благоприятной для блокчейн-систем, нет никакой гарантии, что суды и регуляторы через несколько лет не передумают; и тогда приведение уже накопившей немало данных системы в соответствие с требованиями законодательства может оказаться куда более дорогостоящей и сложной задачей.

Что касается права быть забытым, то ситуации, в которых субъекты ПДн могут потребовать его реализации, намного сложнее, чем в случае требования о переносимости данных. Из случаев, предусмотренных статьей 17 GDPR, меня в основном интересуют следующие:
  • Персональные данные не нужны для достижения той цели обработки, для которой они были собраны или обрабатывались - что не имеет места при использовании блокчейн-технологий (на данный момент я вижу два аргумента: техническая причина, связанная с тем, что на технологию повлияет любое изменение сохраненных на платформе записей; и несколько юридических причин, связанных, например, с требованием сохранения точности данных или обеспечения долговременной сохранности данных в различных секторах (например, в сфере налогового администрирования, в зависимости от юрисдикции);

    Мой комментарий: Не факт, что суд впечатлят технические проблемы организатора системы, если будет установлено, что обработка персональных данных не имеет под собой законных оснований – «шерифа не волнуют проблемы индейцев» :) Что касается аргумента о необходимости более длительного хранения данных, то, во-первых, для этого также должны быть законные основания (например, прямые требования различных законов), и, во-вторых, хорошо сформулированная цель обработки уже должна включать хранение данных во исполнение требований законодательства. Таким образом, хотя эти аргументы могут и сработать, полагаться на них довольно-таки рискованно, особенно если речь идёт о системе, рассчитанной на длительное применение.

  • Субъект ПДн отзывает своё согласие на их обработку, - которое, хотя его использование и нельзя полностью исключить, тем не менее, не является наиболее подходящим правовым основанием для обработки ПДн при применении технологии блокчейна. По моему мнению, другие правовые основания, предусмотренные п.1 ст.6 GDPR, более уместны при использовании такой технологии;

    Мой комментарий: Проблема с согласием именно в том, что субъект ПДн в любой момент может его отозвать, что тут же создаст проблемы для оператора ПДн. Граждане же склонны использовать такую возможность как своего рода орудие мести своим обидчикам.

  • Субъект ПДн возражает против обработки его персональных данных, выполняемой ради законных интересов оператора ПДн или в интересах общества. Здесь вопрос должен решаться на основе баланса интересов заинтересованных сторон (с одной стороны, это заинтересованность и фундаментальное право субъекта ПДн на уничтожение его персональных данных, а с другой - законные интересы оператора или заинтересованность общества, реализуемые путем хранения персональных данных в блокчейне);

  • Субъект ПДн возражает против обработки его персональных данных в маркетинговых целях (это связано с упомянутой выше ситуацией дачи / отзыва согласия);

  • Персональные данные обрабатывались незаконно; или оператор ПДн должен исполнить требование законодательства об уничтожении персональных данных из блокчейна; или же персональные данные в момент их сбора принадлежали несовершеннолетнему, в связи с обработкой при оказании услуг информационного общества.
Хотя мы не должны преуменьшать вероятность попадания в ситуации, предусмотренные статьей 17 GDPR, меня больше интересовал конкретный случай незаконной обработки персональных данных с помощью технологии блокчейна. В такой ситуации первостепенное значение приобретает заложенная в проект системы и предусматриваемая по умолчанию защита персональных данных (privacy by design and by default).

Очень важны выполнение оператором ПДн своей обязанности по проведению оценки воздействия на неприкосновенность личной жизни (privacy impact assessment, PIA) до внедрения DLT-платформы (статья 35), признание проблематичности удаления персональных данных в случае их незаконной обработки, разработка сценариев рисков и индивидуализированных технологических и организационных мер для их устранения, включая соответствующие политики, процедуры и протоколы безопасности – что не снимает, однако, главную проблему, вызванную основной принципиальной особенностью, а именно, проблематичностью, если не невозможностью, изменить один блок, не затрагивая все предшествующие или последующие.

На будущее оценка воздействия на неприкосновенность личной жизни и выявленные риски, при попытке минимизировать воздействие в рамках разработанных сценариев риска, должны рассматриваться с концептуальной точки зрения, согласно которой все технические и правовые решения должны быть индивидуально настроены в зависимости от цели использования, доступа для пользователей, технических меры, нормативно-правовой базы, прав регуляторов, расположения серверов, применимого законодательства и т.д. Неохваченные риски должны стать предметом дальнейших обсуждений с уполномоченными государственными органами (статья 36), причём в каких-то случаях власти могут ввести даже процесс авторизации. Таким образом, авторизация использования блокчейна может стать одним из рассматриваемых уполномоченным органом вариантов, особенно в случае использования данной технологии в государственном секторе.

В качестве заключительного замечания отмечу, что дискуссии по поводу исполнения требований GDPR применительно к блокчейн-системам (открытым / публичным или частным) предполагают рассмотрение вопроса с нескольких точек зрения, а не только с точки зрения «права быть забытым». Я считаю, что в случае применения технологии блокчейна риски, связанные с «правом быть забытым» и все иные риски, связанные с защитой персональных данных и обеспечением их безопасности, должны стать предметом тщательного анализа. Должны применяться подходы обеспечения запроектированной, по умолчанию защиты неприкосновенности частной жизни – и/или устанавливаться в конкретных ситуациях баланс между правами субъектов ПДн на защиту персональных данных и законными интересами операторов ПДн, применяющих технологии распределенных реестров.

Буду признательна всем за любые другие мысли или идеи.

Мария Максим (Maria Maxim)

Мой комментарий: С моей точки зрения, есть один вариант применения блокчейн-систем, при котором решаются все правовые проблемы – и он настолько очевиден, что просто странно, что о нём практически не вспоминают! Я имею в виду государственные (или официально признаваемые государством) блокчейн-системы, правовая основа для которых может быть установлена специализированными законами, как это сейчас делается в отношении ключевых государственных баз данных, реестров и регистров. Эти законы могут и должны делать легитимной обработку в этих системах и для их целей соответствующих персональных данных.

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/gdpr-blockchain-maria-maxim/

Комментариев нет:

Отправить комментарий