среда, 19 декабря 2018 г.

Немецкое правительство задумалось о совместимости законодательства о защите персональных данных с инновационными технологиями вроде блокчейна


Данная небольшая, но очень интересная заметка швейцарского специалиста Йорна Эрбгута (Jörn Erbguth – на фото) – консультанта по тематике блокчейна, смарт-контрактов и зашиты персональных данных, имеющего одновременно юридическое и техническое образование, - была опубликована в социальной сети LinkedIn 28 ноября 2018 года.

Правительство Германии засомневалось в правильности чрезмерно строгой позиции уполномоченных органов по защите персональных данных в отношении того, что должно считаться персональными данными.

В своём ответе на парламентский вопрос правительство Германии отметило, что оно видит необходимость в чёткой правовой оценке того, являются ли хеши персональных данных персональными данными, и является ли шифрование формой анонимизации персональных данных. Это весьма примечательно, поскольку европейские уполномоченные органы уже высказали свое мнение по данному вопросу - мнение, которое я считаю чрезмерно строгим и в не полной мере опирающимся на п.26 преамбулы «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR – закон Евросоюза о защите персональных данных – Н.Х.). На мой взгляд, такая трактовка должна зависеть от особенностей варианта использования в каждом конкретном случае.

Конечно, правительство Германии не имеет полномочий интерпретировать GDPR, но данный факт можно рассматривать как знак того, что события развиваются в правильном направлении.

Йорн Эрбгут (Jörn Erbguth)

Мой комментарий: Йорн ссылается на опубликованный 20 ноября 2018 года 24-страницный документ (Deutscher Bundestag Drucksache 19/5868, см.
http://dipbt.bundestag.de/doc/btd/19/058/1905868.pdf
) - ответ федерального правительства Германии на ряд заданных группой парламентариев вопросов на общую тему «Технологии блокчейна и распределенных реестров – Потенциал и применение» (Blockchain und Distributed-Ledger-Technologien – Potenziale und Anwendungsfelder).

Обращают на себя и сам факт обсуждение этого вопроса в парламенте, и то, что правительство сочло необходимым дать развёрнутые ответы на поставленные вопросы.

По опыту участия в многочисленных дискуссиях о блокчейне и распределенных реестрах, могу сказать, что международное сообщество экспертов именно вопросы соблюдения законодательств различных юрисдикций о защите персональных данных считают главным потенциальным препятствием для широкого внедрения технологий блокчейна и распределенных реестров, которые стремятся обеспечить немодифицируемость однажды зарегистрированной информации – что может быстро войти в противоречие, в частности, с предусмотренным европейским законодательством «правом быть забытым».

Это право, как и в целом право на защиту персональных данных, рассматривается как фундаментальное право человека, поэтому отказ от него считается ничтожным (соответственно, проблему нельзя закрыть посредством включения соответствующих положений в контракты). В европейском законодательстве данное право явным образом предусматривает именно уничтожение данных, а не блокирование доступа к ним.

Европейские регуляторы – причем вполне обоснованно, со своей точки зрения – склонны считать, что хеши персональных данных также являются персональными данными, и что шифрование не может рассматриваться как анонимизация персональных данных. В результате у профессионального сообщества складывается весьма пессимистический настрой – что персональные данные вообще нельзя размещать непосредственно в блокчейне, их нужно хранить где-то «на стороне», а в блокчейне регистрировать только соответствующие хеши (которые, однако, тоже могут быть признаны персональными данными!).

Ниже я привожу перевод того вопроса и ответа на него (см. стр.8 немецкого документа), которые привлекли внимание Йорна.
Вопрос: С точки зрения федерального правительства, каким требованиям должны удовлетворять технологии блокчейна и распределённых реестров, как в целом, так и в зависимости от их соответствующей сферы применения, для того, чтобы соответствовать требованиям по обеспечению  прозрачности, правовой определенности, ИТ-безопасности и защиты персональных данных; и на что в этой связи должны быть нацелены соответствующие меры регулирования?

Ответ: Требования к обеспечению правовой определенности и защиты персональных данных, вытекающие из текущей правовой ситуации и, следовательно, независимые от соответствующей области применения, в целом справедливы. Вопросы, связанные с защитой персональных данных, в основном возникают только при обработке персональных данных.

В условиях конфликта между характерной для технологии блокчейна и распределенных реестров прозрачности и требуемой законодательством защитой персональных данных, проведенные с разработчиками, стартапами и ассоциациями обсуждения выявили необходимость четкой правовой оценки того, какие данные «всё ещё» следует рассматривать как персональные (например, хеш персональных данных) и какие процессы (сокрытие, шифрование, агрегирование данных) обеспечивают достаточную анонимизацию.

В настоящее время продолжается диалог как на национальном, так и на европейском уровне. Отдельные страны, такие, как Франция (а именно, Национальная комиссия по информатике и свободам граждан - Commission nationale de l'informatique et des libertés, CNIL, http://www.cnil.fr/  - французский уполномоченный орган по вопросам защиты персональных данных – Н.Х.) дали первоначальные национальные оценки по этому вопросу, и этот процесс продолжается.
Источник: LinkedIn / сайт немецкого Бундестага
https://www.linkedin.com/feed/update/urn:li:activity:6473153494252548096
http://dip21.bundestag.de/dip21/btd/19/058/1905868.pdf
http://dipbt.bundestag.de/doc/btd/19/058/1905868.pdf

Комментариев нет:

Отправить комментарий