Проблемы применения режима конфиденциальности данных в блокчейне
Проблемы применения режима конфиденциальности данных в блокчейне
Image via iStock.com
Это третья часть серии, в которой анализируются законы о конфиденциальности и блокчейн. Нажмите здесь для первой части и здесь для второй части.
Регуляторы все еще рассматривают, как реализации блокчейнов могут соответствовать законам о конфиденциальности данных. Одним из первых, кто решает эту проблему материально, является французская комиссия по защите данных Nationale Informatique & Liberté. Ниже мы обсудим рекомендации и мнения CNIL по ряду вопросов соблюдения.
Определение, кто является контроллером, а кто процессор
Одной из самых больших проблем для регуляторов конфиденциальности является определение того, кто является контроллером в случае блокчейна и распределенных регистров. В этих случаях, как правило, не существует ни одного физического или юридического лица, которое бы соответствовало определению и могло легко выполнить обязательства контролера, поскольку многие физические или юридические лица могут вносить и / или контролировать личные данные, которые добавляются в цепочку или бухгалтерскую книгу. Легкость идентификации одного или нескольких контроллеров, которые могут обеспечить соблюдение конфиденциальности, будет варьироваться в зависимости от типа используемой цепочки блоков или регистра.
Частные цепочки блоков: это форма цепочки блоков, в которой участник может присоединиться к частной сети только через аутентичное и проверенное приглашение, и проверка необходима оператором (ами) сети или четко определенным протоколом, реализованным сетью. В этих цепочках блоков, хотя у регуляторов пока нет четких указаний, оператор (ы) сети был бы логичным выбором в качестве контроллера (ов) по вопросам конфиденциальности.
Блокчейны на основе разрешений: это форма сети, в которой любой может присоединиться к разрешенной сети после соответствующей проверки своей личности, но пользователям предоставляются ограниченные разрешения и они могут выполнять только определенные действия в сети. Поскольку эти сети часто создаются несколькими различными сторонами, CNIL рекомендовал, чтобы консорциумы блокчейна идентифицировали контроллеры или совместные контроллеры как можно раньше в течение срока действия проекта.
Публичные общедоступные блокчейны: эта форма сети полностью открыта, и любой может присоединиться, оставить, прочитать, записать и проверить текущие действия в общедоступной сети блокчейнов, что помогает общедоступной цепочке блоков сохранять свою самоуправляемую природу. Проблема, однако, заключается в том, чтобы определить, кого считать контроллером в отношении личных данных, хранящихся в сети. Некоторые полагают, что разработчики протоколов выступают в качестве контроллеров, но есть опасения, что такие разработчики на самом деле не предписывают, как используется сеть или какие данные загружаются. Для управления узлами валидации, являющимися контроллерами данных, может быть лучше обосновано то, что через процесс загрузки и запуска программного обеспечения узлы определяют цель и средства обработки.
Интеллектуальные контракты: это контракты, которые выполняются самостоятельно, а условия соглашения между покупателем и продавцом записываются в виде строк кода. Код и содержащиеся в нем соглашения существуют в распределенной децентрализованной сети блокчейнов. В настоящее время ведутся споры о том, должен ли оператор программного обеспечения, который учитывает умные контракты, или пользователи сети, которые получают доступ к программному обеспечению и заключают контракты, должны быть контролером.
Как показывает приведенное выше обсуждение, все еще существует необходимость в дальнейших указаниях и разъяснениях со стороны регуляторов относительно правильного определения контроллеров и процессоров в этих сетях. Тем временем разработчики и операторы должны рассмотреть возможность разработки согласованной структуры для обеспечения конфиденциальности данных.
Определение объема и правовой базы персональных данных на блокчейне
Как отмечалось выше, GDPR требует законной основы для обработки персональных данных. В случае частной сети или сети на основе разрешений разработчики и операторы таких сетей могут устанавливать правила участия, в том числе типы собираемых данных и цель сбора данных. Это обеспечит уведомление и прозрачность с самого начала. Кроме того, если от участников требуется согласие с условиями, договор может служить основой для обработки персональных данных. Законный интерес также может служить основой, но для этого обычно требуется определить контроллер и интересы, которые контролер обслуживает при обработке персональных данных, и сопоставить эти интересы с правами и свободами субъектов данных. Если личность контроллера не ясна, будет трудно применить этот анализ в контексте блокчейна.
Публичные сети создают большую проблему, потому что не всегда легко идентифицировать контроллер. Согласие может быть логической основой для обработки данных, поскольку каждый участник, вероятно, намеревается разместить свои данные в сети блокчейна. Тем не менее, неясно, кому пользователь дает согласие, если только сети четко не идентифицируют другую сторону как получателя данных. Кроме того, GDPR требует, чтобы согласие было конкретным и недвусмысленным, а не подразумеваемым. Блокчейны должны быть установлены
Регуляторы все еще рассматривают, как реализации блокчейнов могут соответствовать законам о конфиденциальности данных. Одним из первых, кто решает эту проблему материально, является французская комиссия по защите данных Nationale Informatique & Liberté. Ниже мы обсудим рекомендации и мнения CNIL по ряду вопросов соблюдения.
Определение, кто является контроллером, а кто процессор
Одной из самых больших проблем для регуляторов конфиденциальности является определение того, кто является контроллером в случае блокчейна и распределенных регистров. В этих случаях, как правило, не существует ни одного физического или юридического лица, которое бы соответствовало определению и могло легко выполнить обязательства контролера, поскольку многие физические или юридические лица могут вносить и / или контролировать личные данные, которые добавляются в цепочку или бухгалтерскую книгу. Легкость идентификации одного или нескольких контроллеров, которые могут обеспечить соблюдение конфиденциальности, будет варьироваться в зависимости от типа используемой цепочки блоков или регистра.
Частные цепочки блоков: это форма цепочки блоков, в которой участник может присоединиться к частной сети только через аутентичное и проверенное приглашение, и проверка необходима оператором (ами) сети или четко определенным протоколом, реализованным сетью. В этих цепочках блоков, хотя у регуляторов пока нет четких указаний, оператор (ы) сети был бы логичным выбором в качестве контроллера (ов) по вопросам конфиденциальности.
Блокчейны на основе разрешений: это форма сети, в которой любой может присоединиться к разрешенной сети после соответствующей проверки своей личности, но пользователям предоставляются ограниченные разрешения и они могут выполнять только определенные действия в сети. Поскольку эти сети часто создаются несколькими различными сторонами, CNIL рекомендовал, чтобы консорциумы блокчейна идентифицировали контроллеры или совместные контроллеры как можно раньше в течение срока действия проекта.
Публичные общедоступные блокчейны: эта форма сети полностью открыта, и любой может присоединиться, оставить, прочитать, записать и проверить текущие действия в общедоступной сети блокчейнов, что помогает общедоступной цепочке блоков сохранять свою самоуправляемую природу. Проблема, однако, заключается в том, чтобы определить, кого считать контроллером в отношении личных данных, хранящихся в сети. Некоторые полагают, что разработчики протоколов выступают в качестве контроллеров, но есть опасения, что такие разработчики на самом деле не предписывают, как используется сеть или какие данные загружаются. Для управления узлами валидации, являющимися контроллерами данных, может быть лучше обосновано то, что через процесс загрузки и запуска программного обеспечения узлы определяют цель и средства обработки.
Интеллектуальные контракты: это контракты, которые выполняются самостоятельно, а условия соглашения между покупателем и продавцом записываются в виде строк кода. Код и содержащиеся в нем соглашения существуют в распределенной децентрализованной сети блокчейнов. В настоящее время ведутся споры о том, должен ли оператор программного обеспечения, который учитывает умные контракты, или пользователи сети, которые получают доступ к программному обеспечению и заключают контракты, должны быть контролером.
Как показывает приведенное выше обсуждение, все еще существует необходимость в дальнейших указаниях и разъяснениях со стороны регуляторов относительно правильного определения контроллеров и процессоров в этих сетях. Тем временем разработчики и операторы должны рассмотреть возможность разработки согласованной структуры для обеспечения конфиденциальности данных.
Определение объема и правовой базы персональных данных на блокчейне
Как отмечалось выше, GDPR требует законной основы для обработки персональных данных. В случае частной сети или сети на основе разрешений разработчики и операторы таких сетей могут устанавливать правила участия, в том числе типы собираемых данных и цель сбора данных. Это обеспечит уведомление и прозрачность с самого начала. Кроме того, если от участников требуется согласие с условиями, договор может служить основой для обработки персональных данных. Законный интерес также может служить основой, но для этого обычно требуется определить контроллер и интересы, которые контролер обслуживает при обработке персональных данных, и сопоставить эти интересы с правами и свободами субъектов данных. Если личность контроллера не ясна, будет трудно применить этот анализ в контексте блокчейна.
Публичные сети создают большую проблему, потому что не всегда легко идентифицировать контроллер. Согласие может быть логической основой для обработки данных, поскольку каждый участник, вероятно, намеревается разместить свои данные в сети блокчейна. Тем не менее, неясно, кому пользователь дает согласие, если только сети четко не идентифицируют другую сторону как получателя данных. Кроме того, GDPR требует, чтобы согласие было конкретным и недвусмысленным, а не подразумеваемым. Блокчейны должны быть установлены
Yorumlar
Yorum Gönder