По материалам: Accounting Web
Все мы слышали про то, как блокчейн изменит нашу жизнь навсегда, но что будет, когда эта технология натолкнется на неизбежные ограничения в виде GDPR, нового Регламента по защите персональных данных? Зарубежный эксперт Кевин Филлипс (Kevin Phillips), основатель и исполнительный директор IDU Software, пытается разобраться, что одно означает для другого.
В современном и быстро меняющемся мире в привлекательность технологии распределенных реестров в значительной мере относится на ее устойчивость и неизменность. Но сама эта ключевая характеристика, неспособность к изменениям - и одно из очевидных преимуществ, которая в практическом плане имеет следствием минимизацию неэффективности, финансовых хищений, коррупции – не станет ли она же непреодолимым препятствием, будучи поставленной в условия действия нового Регламента по защите персональных данных, выступившего в силу 25 мая сего года?
Кевин Филлипс уже имел возможность частично разобраться с GDPR как в плане нагрузки, которую он создает на малый и средний бизнес, так и в плане его непрактичности (если рассматривать право клиентов потребовать, чтобы их персональные данные были стерты) и того, как он вообще скажется на способности компаний вести бизнес. Теперь его занимает вопрос влияния этого права “быть забытым” на весь неограниченный потенциал технологии распределенных реестров, который только начинает осваиваться. Ведь очевидно, что одно вступает с другим в противоречия.
Напомним, что Регламент по защите персональных данных дает каждому возможность потребовать от организации, которая с этими данными работает, их удалить. Есть определенные условия, при которых это можно сделать, например: данные более не нужны в тех целях, для которых они изначально собирались; сам клиент высказывает возражения против дальнейшей обработки его или ее персональных данных; хранение данных производится с нарушением самого Регламента или противоречит иным нормам законодательства; либо же речь идет о персональных данных несовершеннолетних.
Казалось бы, все довольно четко, но возникает резонный вопрос практического плана: а что означает сам факт стирания в цифровом контексте? Значит ли это полное стирание, или же можно просто сделать данные недоступными? В отличие от централизованных реестров, контролируемых отдельной организацией (например, банком), публичные распределенные реестры распределены по огромному числу анонимных, соединенных друг с другом компьютеров. Люди, которые участвуют в обработке транзакций, не знают друг друга, и о доверии друг к другу речи, конечно, тоже не идет.
В определенные моменты времени части реестра (называемые “блоками” – отсюда название технологии) с помощью механизма криптографии перманентно записывают информацию, поступившую с предыдущего блока, и добавляются в цепь. Исходя из ключевого принципа, что большинство участников “честны”, если информация в каком-либо блоке не соответствует информации в других блоках, ее замещает та информация, с которой согласно большинство. Иными словами, самая длинная цепь – самая “правдивая”.
Конечно, в первую очередь блокчейн известен как основа для криптовалют, но не секрет, что его можно применять во множестве других областей. Для примера, Мальта сегодня подумывает над введением регистрации на этой основе в земельных отношениях и здравоохранении. А граждане Эстонии могут подключиться к распределенным реестрам с записями данных об оказанных услугах здравоохранения и посмотреть точно, кто имел доступ к их данным. Экономия от использования блокчейна на самом деле ошеломительная: по оценкам Goldman Sachs, одни только рынки ценных бумаг сэкономят на комиссиях $11-12 млрд., если начать использовать блокчейн в клиринге и расчетах.
Так что же произойдет тогда в случае с той же Эстонией, если гражданин, пользуясь своим правом, дарованным GDPR, попросит стереть идентификационную информацию? Если оставить в стороне его или ее последующую способность получить доступ к услугам здравоохранения, как это выполнимо физически? Получается, что в цепи каждая из ячеек должна будет как бы дать свое согласие на откат ради внесения изменений в блоки. Если рассуждать теоретически, то это можно было бы осуществить, но процесс в любом случае продолжительный, что означает, что цепь на определенное время будет выведена из действия.
А что насчет всех блоков, которые идут следом, и чья информация основывается на данных измененных блоков? И что если один из участвующих в обработке компьютеров более не активен в силу тех или иных причин? Ведь невозможно физически отследить все компьютеры, чтобы проверить, есть ли еще данные на их жестких дисках. А что если цепь просто откажет во внесении изменений? И если смотреть на сам Закон – кто кого будет наказывать в ЕС, ведь непонятно, кто, в соответствии с принятой терминологией, является контролерами данных, а кто – обработчиками?
Если брать ограниченные частные сети, с ними вопрос решается проще, так как проще получить согласие на удаление от участников, но в этом случае обратной стороной медали является снижение самой ценности блокчейна в качестве устойчивой децентрализованной системы. А равным образом возникает и вопрос к управлению: например, бухгалтеры, как известно, не корректируют дебет путем удаления его, а корректируют через кредит.
Есть прототипы решений (один из которых был предложен компанией Accenture), которые позволяют редактировать и переписывать блоки без разбиения цепи. Редактирование оставляет “шрам”, по которому можно понять, что блок был изменен. По мнению компании Accenture, способность редактировать блокчейн необходима для того, чтобы технология имела коммерческий смысл, а само решение-прототип не сводит, по ее мнению, блокчейн к “традиционной” базе данных, поскольку все по-прежнему сохраняют для себя преимущества устойчивости и безопасности благодаря встроенному криптографическому механизму. Правда, “пуристы” с такой точкой зрения могут и не согласиться, и в чем-то они правы.
Будет в конечном итоге найдено решение проблемы или нет, сама ситуация – наглядная иллюстрация того, как регулирование и вопросы безопасности часто отстают от инноваций, и если не уделить этому должного внимания – способны вообще остановить их развитие. GDPR был введен в действие только в этом году и пока что находится на “младенческой” стадии своего развития. Есть планы корректировать законодательство, уже отталкиваясь от первых судебных случаев, но вряд ли среди компаний найдется много добровольцев выступить в роли объектов тестирования.