Политика безопасности (приватности) и блокчейн. Перевод
Обратимся к документу - https://www.mclane.com/thought-leadership/blockchain-information-security-and-privacy. Вот его содержание:
Технология Blockchain и её производные, такие как Bitcoin и "умные" контракты, за последние пару лет породили много заголовков, привлекающих внимание. По мере того, как использование (как реальное, так и теоретическое) и общественная осведомлённость о блочной цепи продолжают расти, мы продолжаем сталкиваться с напряжённостью между этой технологией и существующими парадигмами. Например, регуляторы и налоговые органы, занимающиеся регулированием ценных бумаг, с трудом пытаются сформулировать, как следует характеризовать и трактовать криптовалютные операции в существующих рамках. Та же парадигма, что и в случае с "блок-цепочкой", может вскоре прийти и в мир конфиденциальности данных и информационной безопасности, поскольку нормы регулирования конфиденциальности и технология блок-цепочки продолжают развиваться.
Во-первых, что такое технология blockchain? Говоря просто, этоо сеть блоков представляющая собой распределённую бухгалтерскую книгу (т.е. децентрализованную базу данных, или гроссбух). Распределение/децентрализация означает, что данные "не живут в одном месте" и нет единого владельца или администратора данных; вместо этого данные реплицируются и синхронизируются в нескольких местах в сети (одновременно). Вместо автоматической клиринговой палаты для электронных переводов, существует Биткоин, где транзакция проверяется путём проверки её параметров на соответствие записям, рассредоточенным по сети; вместо эскроу-агента, существуют "умные"-контракты, где транзакции могут автоматически выполняться при наступлении определённых условий. Среди т.н. событий, которые приходят с технологией блок-цепочки, одной из важных особенностей является то, что записи в распределённой бухгалтерской книге являются неизменными - по определённым техническим причинам, которые выходят за рамки данной статьи, записи фактически не могут быть изменены.
Особенности технологии блок-цепочки делают её отличным выбором для обеспечения безопасности данных. Одним из основополагающих принципов безопасности данных является триада "C-I-A", которая означает конфиденциальность, целостность и доступность. Технология блокчейн может помочь во всех трёх отношениях. Она может улучшить конфиденциальность данных и транзакций, потому что криптография (т.е. шифрование) является центральным звеном в ней. Например, "умный"-контракт или другое приложение, основанное на блокчейне, может позволить проверить условия и параметры сделки и выполнить её без раскрытия лежащих в её основе существенных данных. Блокчейн может также улучшить целостность данных, поскольку записи являются неизменными и не могут быть изменены, как только они попадают в блокчейн - даже самим первоначальным создателем записи. Наконец, блок-цепочка может улучшить доступность данных, поскольку записи распределены или/и децентрализованы. Отказ любого одного места, в котором хранится копия данных, не поставит под угрозу возможность доступа к этим данным - т.е. нет единой точки отказа.
Многие люди могут путать безопасность с конфиденциальностью, но функции проектирования сети блокчейн, которые делают её таким полезным инструментом для безопасности данных, на самом деле делают её проблематичной для частной жизни (по мнению авторов данного документа - прим. @menaskop). Это становится очевидным после рассмотрения вопроса о том, каким образом любое приложение, использующее blockchain, может соответствовать требованиям Общего регламента о защите персональных данных Европейского Союза ("GDPR") и Калифорнийского закона о защите частной жизни потребителей от 2018 года ("CCPA"). GDPR, вступивший в силу 25 мая 2018 года, и CCPA, вступающий в силу не ранее 1 января 2020 года, гарантируют, что физические лица сохраняют определённый контроль над своими персональными данными и личной информацией, однако приложения внутри блокчейна предназначены для того, чтобы предотвратить изменение физическими лицами информации, содержащейся в их цифровых регистрационных книгах.
Например, ст. 16 ГПР, которая регулирует право индивида на исправление, трудно применить в сети блокчейн. Она предоставляет каждому субъекту данных, т.е. идентифицированному или идентифицируемому физическому лицу, право на получение исправления его персональных данных, хранящихся у контролёра, т.е. физического или юридического лица, принимающего решения об обработке персональных данных. Однако, в децентрализованной блочной сети, такой как Bitcoin и другие криптографические валюты, не обязательно есть чётко идентифицированный контроллёр для данных, с которым субъект должен связаться, чтобы обеспечить соблюдение этого права.
Проблемы существуют и в других разделах GDPR. Статья 17 предоставляет субъектам данных право на забвение, или, другими словами, право требовать, чтобы контролёр удалил все персональные данные субъекта. В контексте блок-цепочки это, скорее всего, означает удаление блока в цепочке, содержащей данные субъекта данных, но это не обязательно возможно, когда ни один блок в цепочке не может быть удалён. Статья 18 предоставляет субъектам данных право накладывать ограничения на обработку их персональных данных, но это может ограничить функциональность всей цепочки. Например, заявка на блокировку, которая выдает жетоны/токены, которые могут быть использованы для розничных скидок, на основании данных о каждом лице в цепочке, может функционировать не так, как задумывалось, если некоторые лица в цепочке реализуют свои права в соответствии с GDPR.
При вступлении в силу данных актов может возникнуть аналогичная проблема. В соответствии с новым разделом 1798.120(а) Гражданского кодекса Калифорнии потребитель имеет право дать указание предприятию не продавать свою личную информацию третьей стороне. Это довольно просто, когда эта информация существует как запись в базе данных. Однако предприятию, которое пытается продать сеть блок-цепей, будет труднее удалить отдельные блоки из каждой цепочки.
Сложности, создаваемые GDPR и CCPA, не обязательно являются непреодолимыми, и на самом деле, некоторые ограничения в этих законах могут создать полезные исключения для приложений блок-цепочки. Но если вы представляете клиентов, которые используют или рассматривают возможность использования технологии блок-цепочки, они должны знать о требованиях, которые предъявляют к ним новые и находящиеся на рассмотрении законы о конфиденциальности. Клиенты, которые знают и учитывают эти требования при построении своих сетей блокировки, или внедряют технологии блокировки в свои бизнес-процессы, смогут воспользоваться преимуществами функций безопасности данных в протоколе блокировки, не натыкаясь на вопросы конфиденциальности.
А что вы думаете по этому поводу?
До!