Сфера действия проекта Закона: блокчейн и персональные данные
Согласно ст. 1 проекта Закона персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. Здесь же уточняется, что физическое лицо, которое может быть идентифицировано, — это физическое лицо, которое может быть прямо или косвенно определено, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности. Таким образом, если информация является полностью анонимной, то она находится вне сферы действия проекта Закона, так как полностью недоступна для других субъектов.
Отметим, что информация, содержащаяся в блокчейне, может быть представлена в двух формах: в текстовой форме и в зашифрованном (захешированном) виде. Очевидно, что информация, представленная в текстовой форме, не является ни анонимной, ни псевдоанонимной. Что касается зашифрованной (захешированной) информации, то таковая будет считаться псевдоанонимной, так как потенциально может быть связана с субъектом персональных данных, к примеру, при обмене криптовалют на фиатные деньги*. (* Article 29 Working Party, Opinion 04/2014 on Anonymisation Techniques, 0829/14/EN, 20 (emphasis added).)
Справочно. Основное отличие между зашифрованными и захешированными данными заключается в том, что зашифрованная информация, в отличие от захешированной, может быть расшифрована и приведена в первоначальную форму при наличии ключа расшифровки. Хеширование информации, в свою очередь, предназначено исключительно для проверки подлинности оригинальных данных.
Особым видом информации, содержащейся в блокчейне, является информация о публичных ключах. Такая информация представляется в виде буквенно-цифрового кода, что позволяет провести аналогию с логином или никнеймом в мире блокчейна, то есть данный ключ помогает идентифицировать отправителя или получателя средств. Полагаем, что информация о публичных ключах также не является анонимной, поскольку, несмотря на то что само по себе знание публичного ключа не дает представление о владеющем им лице, при сопоставлении такой информации с дополнительными данными (имя, наименование субъекта, его местоположение и т.п.), получаемыми, к примеру, в процессе проведения процедуры KYC (Know Your Client), можно определить, кому принадлежит данный ключ и какие операции проводились его владельцем.
Справочно. В силу особенностей блокчейна, как правило, все его пользователи имеют копию всей цепочки блоков и видят информацию, содержащуюся в этих блоках.
Таким образом, при сегодняшнем уровне развития цифровых технологий помещенную в блокчейн информацию нельзя назвать полностью анонимной, и, соответственно, на нее будет распространяться действие проекта Закона. Это в свою очередь означает применение к информации, содержащейся в блокчейне, таких же способов правовой защиты, как и к информации, содержащейся в классических базах данных.
Оператор персональных данных: кто это?
В соответствии со ст. 1 проекта Закона оператор — это государственный орган, физическое лицо, в том числе индивидуальный предприниматель, юридическое лицо Республики Беларусь, иная организация, самостоятельно или совместно с указанными лицами осуществляющие одно или несколько действий с персональными данными, таких как сбор, обработка, распространение, предоставление персональных данных.
При определении оператора персональных данных в децентрализованном блокчейне возможны два варианта: ни один из пользователей не является оператором или все пользователи децентрализованного блокчейна являются операторами. При этом если в первой ситуации у пользователей не возникает никаких прав и обязанностей, то второй случай представляет значительно больший интерес с точки зрения правового регулирования.
Во-первых, трудности вызывает установление личности, местоположения и иной информации о каждом пользователе. Во-вторых, сами пользователи видят только зашифрованную (захешированную) информацию, что затрудняет для них идентификацию информации того или иного субъекта персональных данных. В-третьих, они не способны изменять какую-либо информацию, содержащуюся в блокчейне. Как результат — пользователи децентрализованного блокчейна не в состоянии исполнять обязанности и задачи, которые устанавливает проект Закона для операторов персональных данных.
Как реализуются права субъектов персональных данных?
Субъект персональных данных — это физическое лицо, в отношении которого осуществляются сбор, обработка, распространение, предоставление персональных данных. Субъекты персональных данных обладают правами, ключевыми из которых являются право на ознакомление и изменение персональных данных, а также право на их удаление из системы («право на забвение»). Именно на реализации указанных прав субъектами персональных данных основывается как проект Закона, так и GDPR.
Попытаемся разобраться, существует ли возможность реализации этих прав, если персональные данные хранятся в блокчейне.
Право на ознакомление со своими персональными данными
В пп. 1–3 ст. 13 проекта Закона закреплено право субъекта на получение информации, касающейся обрабатываемых персональных данных. В случаях с блокчейном реализация этого права затруднена, поскольку оператор не знает, какие именно данные содержатся в блокчейне, ввиду их хранения в зашифрованном (захешированном) виде.
Однако с учетом особенности децентрализованного блокчейна каждый пользователь имеет возможность ознакомиться со своими данными, хранящимися в блокчейне, при условии, что у него есть приватный ключ расшифровки этих данных.
Дискуссионным остается вопрос, будет ли эта возможность надлежащим удовлетворением требований данной нормы.
На наш взгляд, это может учитываться как возможность реализовать указанное право субъектов персональных данных.
Право на изменение своих персональных данных
На основании ч. 1 п. 4 ст. 13 проекта Закона субъект персональных данных вправе требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными, с приложением при необходимости соответствующих документов и (или) сведений.
Для полной реализации такого права, учитывая особенности хранения информации в блокчейне, существует два ранее указанных препятствия. Первое препятствие — это невозможность полностью определить всех пользователей блокчейна. Второе препятствие состоит в том, что если субъекту персональных данных все же удастся идентифицировать всех пользователей (операторов) блокчейна, то они будут не способны изменить информацию, находящуюся в цепи блоков.
В такой ситуации возникает вопрос, будет ли создание новых блоков, содержащих обновленную достоверную информацию, надлежащим способом реализации права на изменение персональных данных, предусмотренного ч. 1 п. 4 ст. 13 проекта Закона. Вопрос порожден нормой ч. 2 п. 4 ст. 13 проекта Закона, которая устанавливает, что оператор обязан в 15-дневный срок после получения требования субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не предусмотрен законодательными актами. Такая правовая конструкция, на наш взгляд, оставляет возможность ответить на поднятый выше вопрос утвердительно. Тем не менее необходимо также учитывать, что в блокчейне все еще будут оставаться неполные, устаревшие или неточные данные.
Право на удаление своих персональных данных («право на забвение»)
В п. 1 ст. 15 проекта Закона закреплено право субъекта персональных данных при определенных условиях требовать от операторов персональных данных прекращения сбора, обработки (за исключением обезличивания), распространения, предоставления своих персональных данных, в том числе распространенных, а также их удаления.
При реализации права на удаление своих персональных данных («права на забвение») субъекты персональных данных вынуждены столкнуться, пожалуй, с одной из самых известных особенностей блокчейна — его неизменяемостью. Это означает, что блокчейн не допускает не только какого-либо изменения содержащейся в блоках информации, но и ее удаления. Возможно, с учетом приведенной особенности технологии блокчейн проект Закона содержит оговорку о том, что при отсутствии возможности полного удаления персональных данных оператор обязан принять меры по недопущению дальнейших обработки, распространения, предоставления персональных данных, включая их блокирование, в тот же срок (ч. 2 п. 3 ст. 15). Однако не во всех случаях можно достичь такого результата, в связи с чем остается неясным, удовлетворит ли требованиям этой нормы передача ключа для расшифровки зашифрованных данных субъекту персональных данных или удаление приватного ключа расшифровки самим субъектом персональных данных. В обоих случаях персональные данные не будут удалены из блокчейна — ограничен будет лишь доступ к их содержанию.
На наш взгляд, действия, направленные на ограничение доступа к персональным данным, делающие такой доступ практически невозможным, удовлетворяют требованию ст. 15 проекта Закона, а соответственно, и реализуют право субъекта быть забытым.
Справочно.
В Германии при разработке Закона «О персональных данных» было прямо определено, что если информацию невозможно удалить в связи с особенностями базы данных, то ее оставление не будет нарушать требование законодательства (Artikel 35 des Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680).
Как устранить противоречия?
По сути, и нормы проекта Закона, и технология блокчейн потенциально преследуют одну цель — защиту прав субъектов персональных данных. Отличие заключается в способах достижения указанной цели, которые в некотором роде являются взаимоисключающими: проект Закона призван защитить права субъектов персональных данных правовым способом, а блокчейн — технологическим.
В связи с этим представляется логичным определение и двух способов устранения противоречий между нормами проекта Закона, направленными на защиту персональных данных, и спецификой блокчейна: правового и технологического.
Технологическим способам предстоит еще развиваться до реальной возможности совершать какие-либо действия с информацией, которая хранится в блоках, что позволит субъектам персональных данных реализовать большинство прав, предусмотренных проектом Закона.
Правовой же способ должен быть направлен на предоставление возможности для дальнейшего развития проектов, связанных с новыми технологиями, в том числе с технологией блокчейн. В частности, на наш взгляд, представляется разумным установить отдельное правовое регулирование в области защиты прав персональных данных, содержащихся в блокчейне, или как минимум предусмотреть соответствующую оговорку о защите указанных прав лишь при наличии такой технической возможности.
В сложившейся ситуации это видится необходимым, поскольку неспособность учитывать особенности технологии блокчейн, а также ее стремительного распространения и развития может стать серьезным препятствием для построения цифровой экономики в Республике Беларусь.
Читайте по теме:
Хватик Ю. Криптовалюты и блокчейн глазами юриста // Юрист. — 2018. — № 1. — С. 85–88.
