GDPR и блокчейн. Адвокат по защита на лични данни (GDPR) и блокчейн технологии.
1.Понятие. “Общият европейски регламент за защита на личните данни” (oт англ. “General Data Protection Regulation” или съкратено “GDPR”) ще влезе в сила на 25 май 2018г., като ще замени досегашната регулация от Директивата 95/46/ЕС на Европейския парламент и на Съвета от 24 октомври 1995 година относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни. Тази Директива бе имплементирана в българското законодателство в началото на 2002г. с приемането на Закона за защита на личните данни( в сила от 01.01.2002г.). Влизането в сила на GDPR ще породи правно действие и спрямо още няколко акта на ЕС, които уреждат коментираната тематика, а именно Регламент (ЕИО) № 2380/74 на Съвета от 17 септември 1974г. относно приемане на разпоредби за разпространяване на информация, свързана с научно-изследователски програми за Европейската икономическа общност, Регламента на Европейския парламент и на Съвета (ЕО) № 45/2001 от 18 декември 2000 година за защита на физическите лица по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни, както и върху Решение на Европейската комисия от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО.
Новта законодателната инициатива на Европейския съюз в коментираната насока бе инспирирана от променените дигитални реалности и предизвикателства на 21 век, свързани най-вече с информационната икономика и в частност понятията, касаещи т.нар “онлайн сигурност” – имайки предвид технологичните процеси, обуславящи личната неприкосновеност и автономия. Споменатите процеси навлязоха отскоро в публичната реч под термините "надзорен капитализъм" и "платформен капитализъм", като те визират най-вече днешната дигитална икономика и разменяната чрез нея информация под формата на лични данни, чието управление от централизирани доставчици на инфраструктура все повече се превръща в източник на различни видове доходност(печалба). Всеизвестен факт е, че вече повече от десетилетие корпорациите използват различни потребителски данни, за да таргетират по-добре предлагането на своите продукти и услуги на пазара. Ето защо съвременната икономика се отличава с фокус върху персонализацията и нишовите индустрии, с цел динамични пазарни “пробиви” при конкретна географска локализация. Всичко това води до подобряване способността за достигне до най-подходящата аудитория и задълбочаване на контакта с отделния клиент, чрез изследване на неговите навици, поведение, потребителско търсене и т.н, което е от решаващо значение за пазарната капитализация на много компании – тук не визирам само големите корпорации, но най-вече малките и средни предприятия, борещи се ежедневно за пазарен дял. Описаните процеси засилват и опасността от това доколко отделният потребител би имал реален контрол върху добросъвестното събиране и използване на личната му информация. Факт от реалността е, че в настоящето е по-скоро пожелателен режимът на съвпадение между съдържанието и профила на аудиторията, целящ познаването на всяка клиентска нужда в детайл с оглед конкретната личност, тъй като това изиска все по-интензивен технически контрол, който е поставен на ръба от сриване, при все по-динамичното и безкрайно “хищническо” привличане на клиенти.
Именно с цел предотвратяването на подобни негативни последици от описаните технически процеси и предпазването на правната сфера на потребителя от незаконосъобразни увреждания, ЕС изработи строг и широкообхватен законодателен инструмент за защита на личните данни, в лицето на GDPR. На базата на регламента, всяка компания, която осъществява бизнес на територията на Европа, ще трябва да се съобрази със законодателната рамка относно личните данни или да се изправи пред тежки и рестриктивни административни глоби (в размер до 4% от своя годишен оборот). GDPR налага стриктна защита на правата на "субекта на данните", т.е. на лицето, чиито данни се използват. Тези права включват в резюме следните правомощия:
- Правото да се отговаря на въпроси относно използването на лични данни и да се търси обезщетение, ако на тези въпроси не се дава отговор по ясен, кратък и навременен начин(чл.12 GDRP);
- Правото да се знае как се използват личните данни по време на събирането, както и продължителността на времето, за което ще бъдат съхранявани, както и информацията за контакт на събиращата страна(чл.13 и чл.14 GDRP);
- Право на достъп до личните данни, които се обработват(чл.15 GDRP);
- Правото на поправяне на неправилни лични данни(чл.16 GDRP);
- Правото на изтриване на личните данни, когато те вече не са необходими за целите, за които са събрани и няма правно основание за тяхното поддържане(чл.17 GDRP);
- Право на ограничаване на обработката на данни, когато данните са неточни, тяхното събиране е незаконно или обработването им не е необходимо(чл.18 GDRP);
- Страната, събрала данни(Регламента използва термина “администратор”), трябва да информира всички допълнително обработващи данни(“администратори”), с които тя споделя лични данни, за прекратяване на обработката на данни, които са били поправени или заличени(чл.19 GDRP);
- Право на получаване на лични данни в структуриран, често използван, машинно разпознаваем формат, който потребителите да могат свободно да споделят с други администратори(чл.20 GDRP);
- Право на възражение срещу използването на лични данни, които се използват за научни, статистически или други подобни цели, както и за директен маркетинг(чл.21 GDRP);
- Правото на възражение срещу инициирани правни резултати, насочени срещу конкретен субект, които са резултат единствено на автоматизирана обработка на данни и биха го засегнали значително(чл.22 GDRP);
В допълнение към изградената изрична презумпция, касаеща защитата на правата на субекта на лични данни (достъп до данни, преносимост на данни, право на искане за тяхното заличаване и т.н.), GDPR също така задължава администраторите на данни да се придържат към принципа на "защита на личните данни по подразбиране". Това правило сочи волята на европейския законодател към създаване на тозни нормативни решения относно неприкосновеността на личния живот като основополагащо право не всеки европейски гражданин, а не като последица или косвено правомощие. Тя включва, където е възможно, използването на техники като т.нар “псевдонимизация” (термин, който касае понятието за отделяне на конкретни данни от индивидуалната идентичност на даден субект), с цел минимизиране на използваните негови данни, чрез споделяне само на абсолютно необходимите такива, за да може по-качествено и ефективно да се защити конституционно признатия принцип на неприкосновеност на личния живот. В този контекст, Регламентът изгражда и правила за технически мерки, чрез които администраторите да бъдат задължени да използват общи технологични стандарти, с цел създаване на технологична среда, която е максимално улеснена най-вече по отношение на прехвърлянето на данни между различни доставчици, правителства, институции и т.н по тяхно усмотрение.
2.Блокчейн технологиите и GDPR или как се осъществява коментираната защита на лични данни “по техническо подразбиране”?
Юристи в ЕС са склонни да разглеждат GDPR като обща "цифрова декларация за правата, касаещи личните данни". В този ред на мисли Регламентът е на първо място в списъка на подробните нормативни изисквания на Общността, които трябва да спазва всяка институция или лице, обработващо лични данни, като поставя ограничения върху правата на "елетронните правителства" или т.нар “дигитални държави”(софтуерните платформи на правителствено ниво – в повечето държави на ЕС те вече съществуват за разлика от България) и тези, които ги използват(тук визирам най-вече администрацията). Естествено GDPR регулира и приема под крилото на своята защита и всички самостоятелни децентрализирани модели за съхранение и предаване на цифрови данни, които понастоящем са в процес на технологична замяна с по-нови, известни като т.нар “леджери”( от англ.”ledger” – “счетоводна книга на транзакциите” или “портфейл”), които стоят в основата на “блокчейн” технологията. Тя ни приближава по-близо от всякога до същността на понятието “цифрова идентичност”, което сочи отделните потребители на тази технология като основни собственици на техните лични данни.
Централизираните модели за съхранение на данни разчитат на имплицитната предпоставка, че администраторите на информация са/или ще бъдат надеждни участници в процеса на управление на лични данни. В противовес на това вярване следва да се отбележи, че блокчейн технологията бе разработена именно в отговор на честите неуспехи на едни от най-реномираните обществени централизирани организации(визирам банките) да изпълнят бизнес ангажиментите си, в качеството им на довереници на обществени фондове(влогове на граждани, фирми, държавни институции и т.н). Ето защо блокчейн софтуерът бе създаден, за да функционира в среда на "ненадеждност", в която отделните правни субекти могат да извършват директен контакт един с друг, без да се налага да се доверяват определен посредник в системата. Поради споменатия факт блокчейн концепцията води не само до децентрализирана връзка на участниците в нея, но и до разпространяемост на коментирания софтуер, именно защото нито една част от кода на мрежата, изпълняваща съответния протокол за криптиране, не действа като ауторизация на друга такава част. Техническата структура на отелните кодове, медиирана от еднопосочна криптография, гарантира целостта на книгата на транзакциите(“леджера”), споделяна от всички възли на системата, без да се разчита на човешка намеса за постигане на този консенсуален, бих казал съвършен технически резултат. В резюме – изпълнените математически алгоритми (заложени в системата като код), потвърдени от мрежата от компютри на отделните потребители (субекти на дадена сделка), служи като заместител на нуждата от физическо “администриране” на този процес.
Блокчейн технологиите премахват не само необходимостта от доверие към конкретен централизиран държавен, финансов или административен орган за поддържане на точен отчет относно конкретен вид дейност, но прави техническото наблюдение на процесите изключително логично, интуитивно и точно. Към настоящия момент в световен мащаб съществуват множество различни по вид блокчей технологии, но моделът, предлаган от “Bitcoin” е най-големият и най-сигурният блокчейн в света, проектиран с вградена псевдонимност и минимизиране на съхраняваните данни. Всичко, което записва, са следните данни:
- Публичният ключ на изпращача на транзакцията;
- Публичният ключ на получателя на транзакцията;
- Криптографски хеш за съдържанието на сделката – такива бази данни могат да съдържат всякаква информация – вещни права върху недвижими имоти или движими вещи, акт за раждане, академична диплома, права на интелектуална собственост, закупуване на даден вид облекло, валута, стойности на благородни метали и т.н.);
- Дата и час на транзакцията;
Именно тази псевдонимност на даден субект, който стои зад определена сделка се нарича в блокчейн технологията "защита на данните по техническо подразбиране". Накратко това означва, че е невъзможно да се възстанови обратно съдържанието на транзакция от еднопосочния криптографски хеш, освен ако една от страните по сделката не реши да свърже даден публичен ключ с реална си самоличност, като по този начин се публицизират транзакциите на дадени физически лица или организации. Всичко казано води до извода, че въпреки че блокчейн структурата "Bitcoin" е публична - т.е. всеки може да вижда всички транзакции по нея, то в същото време не се оповестява никаква лична информация. Всъщнност фактически така е конструиран софтуерно самият код на блокчейна - той позволява на всеки да потвърди целостта на счетоводната книга на транзакцията(“леджера”), без да се нарушава поверителността, съответно анонимността на страните, извършващи сделки по нея.
3.Дали блокчейн технологията предлага глобална “централизация”?
Блокчейн софтуерът, който стои в основата на концепцията “Биткойн” е програмиран изначално с намерението всеки отделен оператор (извършващ транзакции) да притежава свой собствен блокчейн "адрес", индивидуализиран от неговите публични и частни (софтуерни) “ключове”. Този технически процес прави отделните физически лица собственици на техните лични данни, които те могат да “транспортират” и представят за проверка, където или пред когото и да се наложи.
Управлението на собствените ключове обаче далеч не е интуитивен физически процес. Технически, той крие доста неприятни рискове - ако частният ключ бъде изгубен или откраднат, всички данни, които притежава физическото лице “Х” като част от една блокчен структура, ще бъдат загубени безвъзвратно. По тази причина много от приложенията, които записват транзакции в блокчейн структурата, не дават на потребителите свои собствени ключове. По-скоро те(приложенията) функционират като нови централизирани органи, записвайки в блокчейна информация за дадени транзакции на физически лица, използвайки собствените си ключове. Докалкото тази стратегия изглежда на пръв поглед удобна за потребителя, то тя има три основни тежки негативни последствия:
- Несигурна самоличност: при описания технически процес липсват доказателства за добросъвестност при придобиване на собствеността, касаещи проверка на самоличността (т.е. няма как да се проври, че лицето, представящо се в блокчейн системата, е това, което наистина е получило дадена транзакция) – факт, който продължава да прави системата несигурна.
- Липса на гарантирана дългосрочност: ако тези централизирани блокчейн програмни приложения “изчезнат”, физическото лице има същия проблем, какъвто би имало, ако една традиционна централизирана софтуерна платформа прекрати съществуването си (както навремето ичезна университетска сметка на “Фейсбук”) – тогава всички данните се загубват безвъзвратно. Ако това се случи и загубите информация за проследимостта на своите транзакции, логичният извод е, че губите инфирмация за “портфейла си” и всичко, което има в него.
- Зависимост от доставчик/емитент: при тази хипотеза получателят на блокчейн транзакции е в нова техническа зависимост от трето лице, което би трябвало да гарантира тяхната сигурност - доставчикът на приложения (обикновено доставчик на софтуер, но може да бъде и издаваща институция – например банка).
В контекста на всичко споменато следва да отбележа, че повечето от транзакциите, които се осъществяват на базата на блокчейн технологията, все още се случват, опосредени от модела на централизирани органи, надвишаването на правомощията на които цели да ограничи и регулира “Общият европейски регламент за защита на личните данни”. Все пак коректно е да се отбележи, че това е процес, който непрекъснато се развива и оптимизира в полза на потребителя и дори и сега някои от приложенията, базирани на блокчен технологията стриктно спазват първоначално заложената концепция за цифрова идентичност на потребителите - доктрина, чиито ценности се отразяват в законодателната рамка на GDPR.
4.“Блоксертове”(от англ. софтуерно понятие ”blockcerts”) като алтернатива на съгласуваността, предлагана от GDPR. За да се постигне широко приемане на блокчейн концепцията като технология, насочена към потребителите, ключовото техническо управление трябва да бъде радикално опростено и медиирано чрез интуитивен, според мен по-скоро империчен опит на потребителите, базиран на конкретни програмни продукти. Какво имам предвид? В настоящето се разработват множество софтуерни решения, които да спомогнат унифицирането и мониторингът над процесите, които касаят сигурността в блокчейн технологиите. Например пакетът "Блокърс" (разработен за “iOS” и “Android”) е софтуерно приложение, което е създадено, за да управлява публичните и частните ключове на потребителите по начин, който им позволява самостоятелно да получават официални записи, отразени в блокчейн структурата. Споменатата платформа не разчита на централизация, за да постигне описаните технически процеси: приложението и съхраняваните от него данни не са собственост на нито един “продавач”(от англ.”exchange”) или издаваща институция(банка), което означава, че няма централизиран “хънипот”(от англ.”honeypot” – софтуерен защитен механизъм, служещ за локализиране на неоторизиран достъп от трети лица), служещ за пробив от хакери. Освен това системата е напълно отворена за мониторинг, така че всеки може да провери кода и да потвърди, че отговаря на най-високите стандарти за сигурност или да създаде свои собствени версии на приложението.
Ето защо “блоксертовете” позволяват издаването на официални записи в блокчейнсистемата в общ, машинно четен формат (JSON-LD). С помощта на стандартите за отворена технология “блоксертовете” решават и проблема за максимална преносимост и оперативна съвместимост на официалните записи: получателите могат да ги отворят навсякъде по света и всяка организация може да провери тяхната автентичност и собствеността им от лицето, което ги представя.
Издаващата институция(например банка) може да избере да съхранява копия от издадените файлове със сертификати в собствената си база данни, в който случай ще трябва да ги защитава под егидата на GDPR, заедно с всички други данни за получателите на транзакции(физически лица), които избере да бъдат съхранявани. Но получателите на “блоксертовете” могат да бъдат сигурни, че за първи път притежават автентични цифрови документи, независими от продавачите, които те притежават директно. И тъй като потребителите са сигурни, че споменатите цифрови документи са записани в максимално сигурен блокчейн, използвайки отворен стандарт, те(потребителите) притежават тази информация до живот и могат да я проверят навсякъде по света.
В заключение бих искал да отбележа, че развитието на блокчейн технологиите дават реална технологична среда с неограничени възможности не само да се осъществи, но и да се надхвърли заложеното в законодателната рамка на “Общия европейски регламент за защита на личните данни”. Макар, че на настоящия етап не всички приложения(които записват транзакции в блокчейн структурата) успяват технологично да постигнат тази изначално заложена в споменатия софтуер концепция, някои (като "Блокърс" с неговия отворен стандарт) вече поставят началото на цифровата неприкосновеност на личните данни на европейските граждани в дългосрочен план.
Автор: адв.Атанас Костов