вторник, 21 апреля 2020 г.

Германия: Национальный орган по стандартизации DIN опубликовал спецификации DIN SPEC 4997 по запроектированной защите персональных данных в блокчейн-решениях


В конце марта 2020 года немецкий национальный орган по стандартизации DIN сообщил о публикации спецификаций DIN SPEC 4997:2020-04  «Запроектированная зашита персональных данных в блокчейн-решениях: Стандартизированная модель обработки персональных данных с использованием технологии блокчейна» (Privacy by Blockchain Design: Ein standardisiertes Verfahren für die Verarbeitung personenbezogener Daten mittels Blockchain-Technologie; самоназвание на английском языке: Privacy by Blockchain Design: A standardised model for processing personal data using blockchain technology) объёмом 58 страниц, см. https://www.din.de/en/innovation-and-research/din-spec-en/current-din-specs/wdc-beuth:din21:321277504

Документ, подготовленный на английском языке, можно бесплатно скачать со страницы сайта издательства Beuth Verlag: https://www.beuth.de/en/technical-rule/din-spec-4997/321277504 , а также здесь: https://www.researchgate.net/...

Во вводной части документа отмечается следующее:
«Технологии распределённых реестров, в том числе технология блокчейна, медленно внедряются на сложившихся рынках. Отчасти это связано с высокой степенью правовой неопределенности в плане соответствия законодательству о защите персональных данных. Одной из причин такого положения вещей является то, что правовая база, такая, как «Общие правила защиты персональных данных» (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ) Евросоюза ориентирована на обработку данных в односерверных структурах, которыми управляют имеющие правовой статус и техническую инфраструктуру известные посредники. Проблема заключается в том, чтобы втиснуть децентрализованные и распределенные ИТ-системы в рамки данной правовой базы.

Одна из проблем обеспечения соответствия требованиям законодательства о защите персональных данных связана с определением того, при каких обстоятельствах данные, обрабатываемыми в ИТ-системах на основе технологии распределенных реестров (DLT) и, в частности, технологии блокчейна (далее называемых BC/DLT-системами), рассматриваются как персональные данные. Еще одна проблема для BC/DLT-систем связана с тем, что правовой анализ нередко основан на популярных упрощённых представлениях о технологиях блокчейна и распределённых реестров, в результате чего появилась тенденция игнорировать потенциальные технические подходы к обеспечению исполнений требований законодательства.

Правовая неопределенность в отношении интерпретации законодательства о защите персональных данных в контексте технологий блокчейна и распределённых реестров стала причиной широко распространенного мнения о том, что «персональные данные не следует обрабатывать в блокчейн-решениях». Но возможно ли это вообще? Первоначальные попытка решить данную проблему посредством хранения персональных данных вне блокченй-цепочки (off-chain), анонимизации этих данных или передачи данных в BC/DLT-систему исключительно в режиме M2M (машина-машина) в попытке обойти закон о защите персональных данных, оказались недостаточно оптимальными и чрезмерно сложными.

Непосредственная цель настоящих спецификаций – способствовать проведению анализа степени идентификации физического лица в BC/DLT-системах, предоставляя их разработчикам инструменты и методы, обеспечивающие сохранение неприкосновенности частной жизни и снижающие риск правовой неопределенности. В спецификациях рассматривается риск для субъекта персональных данных и описываются технические меры, увеличивающие уровень усилий, необходимых для воссоздания связи данных с их субъектом.

В спецификациях дана классификация различных подходов к обработке персональных данных, которые проиллюстрированы соответствующими архитектурными моделями (architectural blueprints). Последние описывает типовые технические решения, используемые для смягчения риска и, тем самым, для повышения уровня защиты персональных данных в ИТ-системе.
В целом, разработка данных спецификаций опиралась на принцип «запроектированной защиты персональных данных» (Privacy by Design, см. ст. 25 закона GDPR). Спецификации определяют технические и организационные меры в соответствии с принципами, изложенными в GDPR, и призваны заложить основу, понятную как юристам, так и ИТ-специалистам. Разработчики спецификаций DIN SPEC 4997 стремятся достичь этой цели посредством предоставления:
  • Описания функциональных требований к BC/DLT-системам, способствующих обеспечению соответствия требованиям закона GDPR;

  • Руководство по обработке персональных данных с использованием технологии блокчейн;

  • Архитектурных моделей, иллюстрирующих применение блокчейн-решений для улучшения защиты неприкосновенности частной жизни;

  • Процедур для бизнес-процессов, направленных на интерактивное сопровождения и обеспечения качества защиты персональных данных.
… Настоящие спецификации устанавливает общие принципы и методы обработки персональных данных в BC/DLT-системах. Они определяют технические и организационные меры защиты персональных данных, принимая во внимание принцип «запроектированной защиты персональных данных», а также требования, вытекающие из соответствующего законодательства, такого как GDPR.

В документе определены соответствующие термины, предназначенные для использования как юристами, так и ИТ-специалистами, и описана методологическая основа, помогающая идентифицировать типы данных (зашифрованные и незашифрованные), а также установить соответствие между правовыми принципами GDPR и теми техническими мерами, которые могут быть использованы для совершенствования защиты персональных данных и/или смягчения рисков, связанных с обработкой персональных данных в BC/DLT-системах.

Настоящие спецификации направлены на обеспечение высокого уровня защиты неприкосновенности частной жизни в BC/DLT-системах. Данный документ применим к любым BC/DLT-системам.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Персональные данные
6. Ключевые положения закона GDPR
7. Принципы защиты персональных данных и соответствующие риски с точки зрения запроектированной защиты персональных данных
8. Смягчение связанного с обработкой персональных данных риска и снижение идентифицируемости посредством технических мер
Приложение A (нормативное): Рекомендации по обработке персональных данных в блокчейн-приложениях
Приложение B (нормативное): Ключевые положения закона GDPR
Приложение C (нормативное): Контрольный лист: Степень реализации принципов защиты персональных данных в решениях на основе технологий блокчейна и распределенных реестров 
Приложение D (справочное): Краткое описание применимых методологий оценки риска
Приложение E (справочное): Дополнительные сведения о технических мерах Библиография
Источник: сайт издательства Beuth Verlag
https://www.beuth.de/en/technical-rule/din-spec-4997/321277504

Комментариев нет:

Отправить комментарий