Контакты
Подписка 2024

Персональные данные и распределенные реестры

Ekaterina Danilina, 19.07.18

marshalko_m

 

Автор: Григорий Маршалко, эксперт ТК 26, эксперт ISO/IEC JTC1/SC 27

 

 

Персональные данные – значимый аспект человеческой жизни, обеспечению безопасности которого уделяется существенное внимание как на национальном, так и на межгосударственном и международном уровнях. В соответствии с ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” персональные данные – это любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Схожее определение дано в директивах Европейского союза и в новом основополагающем документе Европейского союза, посвященном защите персональных данных, – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation GDPR).

Защита ПДн при помощи технологии блокчейн

С развитием информационных технологий проблема защиты персональных данных становится все более сложной. Особое внимание они приобретают в современных бизнес-процессах, основывающихся на концепции KYC (Know Your Customer).

В контексте технологий цепной записи данных (блокчейн) и распределенных реестров необходимо рассматривать следующие аспекты защиты персональных данных:

  • защита персональных данных пользователей информационной системы;
  • защита данных, которые могут быть отнесены к персональным и хранящихся в записях реестра;
  • защита данных, которые могут быть отнесены к персональным и хранящихся вне реестра, но на которые есть ссылка в записях реестра;
  • защита информации о производимых операциях с записями реестра.

Большинство современных подходов к управлению персональными данными, зафиксированных в национальном и международном законодательстве, основано на наличии оператора, на которого возлагается ответственность за их обработку (в том числе в части защиты и соблюдения законодательства). Такой подход является прямым следствием централизованной архитектуры существующих информационных систем.

Архитектура

В свою очередь, то, что обычно понимается под технологией блокчейн (распределенного реестра), идеологически восходит к небезызвестному "Манифесту криптоанархиста" Тимоти Мэя, в котором декларировалась возможность создания самоуправляемого, не зависимого от контролирующих органов общества на основе использования криптографических механизмов и анонимизации (разделения цифрового представления человека (аватара) и его физического представления).

Данная идея была использована при разработке криптовалюты Биткоин на основе общедоступной, реплицированной базы данных – так называемого блокчейна, в которой хранятся все данные о состоянии системы (произведенные транзакции) и которая позволяет каждому из пользователей самостоятельно контролировать корректность производимых действий.

Описанная архитектура, с одной стороны, не предполагает наличия упомянутого оператора персональных данных, а с другой стороны, перед ней в принципе не стоит задача обработки персональных данных в силу фактического отсутствия механизмов идентификации пользователей (в том смысле, в каком пользователи идентифицируются в классических системах).

Проведенные в последние годы исследования выявили, что архитектура системы "Биткоин", да и многих других систем криптовалют, даже тех, которые изначально декларировали анонимность, не позволяет добиться полной защиты данных о пользователе. При этом, учитывая открытость реестра транзакций, данный факт существенно увеличивает угрозы безопасности как персональных данных, так и в целом неприкосновенности частной жизни.

Переосмысление подходов к обработке данных

Вместе с тем интерес бизнеса к технологиям цепной записи данных (блокчейн), наоборот, ставит задачу обработки персональных данных, идентификации пользователей в рамках выполнения требований национального и международного законодательства при использовании данной технологии, что в каком-то смысле противоречит первоначальной концепции ее применения.

Это требует переосмысления подходов к обработке данных не только по сравнению с классическими системами, но также и по сравнению с блокчейн-системами первых поколений, таких как "Биткоин" и "Эфереум".

Рассмотрим в качестве примера один из наиболее часто упоминаемых вариантов применения технологии блокчейн – сиcтемы, предназначенные для удаленной идентификации пользователей через оператора, проведшего первичную идентификацию.

В случае если персональные данные хранятся в общем реестре, то, очевидным образом, потребуется их шифрование, при этом возникают серьезные проблемы, связанные с управлением ключами (например, ограниченным сроком действия сертификатов ключей электронной подписи) и контролем доступа пользователей к данным. Отметим, что компрометация ключей вследствие потенциальной общедоступности реестра в данном случае является катастрофической для безопасности персональных данных.

Другой подход предполагает хранение персональных данных у операторов персональных данных, которые, в свою очередь, заносят в блокчейн некоторый идентификатор, позволяющий проверить наличие таких данных. При проверке персональных данных клиента оператор вычисляет по ним соответствующий идентификатор и производит поиск по базе с тем, чтобы проверить наличие идентификатора, внесенного оператором, проведшим первичную идентификацию клиента.

Традиционно для подобного решения в реестр записывается хэш-значение от данных, хранящихся у пользователя, – это, с учетом свойств криптографических хэш-функций, позволяет с вероятностью, близкой к единице, однозначно идентифицировать данные. Однако применение подобного простого механизма в случае персональных данных недопустимо. Поясним этот тезис подробнее. По своей природе персональные данные, используемые в конкретных информационных системах, являются ограниченными по числу возможных вариантов записей (имя, фамилия, адрес и т.д. из некоторого диапазона, определяемого областью применения системы). При этом для того, чтобы проводить корректные сравнения, формат записей должен быть жестко структурирован. Это позволяет злоумышленнику, используя в том числе информацию из открытых баз данных, социальных сетей и т.п., пытаться определять персональные данные в достаточно небольшом числе вариантов, проверяя корректность подбора с помощью значения хэш-функции, занесенного в реестр.  При этом чем меньше максимальный размер реестра (например, муниципальная база данных), тем более эффективной будет атака в силу ограниченного объема допустимых значений. Именно поэтому ни ЕС в своем GDPR, ни Роскомнадзор не рассматривают хэширование как метод обезличивания персональных данных.

Показательно, что в этом примере требования к обезличиванию вступают в противоречие с одним из основных свойств блокчейна – наличием однозначной связи между объектами (блоками, транзакциями, данными).

В других сферах применения технологии блокчейн ситуация может быть еще более сложной: так, например, предлагаемые рядом экспертов системы электронного голосования с использованием технологии блокчейн подразумевают проведение серьезных исследований по оценке адекватности используемых в них механизмов анонимизации данных в целях соблюдения требований Конституции Российской Федерации о тайном голосовании (других требований национального и/или международного законодательства).

Все сказанное требует как построения достаточно сложных архитектур блокчейн-систем, обрабатывающих персональные данные, так и использования специфических криптографических механизмов: протоколов привязки к биту, протоколов доказательства c нулевым разглашением, процедур управления и т.п. В этой связи интересно отметить, что в архитектуре разработанных в последнее время блокчейн-систем, обрабатывающих, например, идентификационные данные пользователей (такие как Sovrin, uPort), в большинстве случаев решения указанных проблем все равно вводятся некоторые "промежуточные" операторы, работающие с персональными данными или с их идентификаторами, что потенциально сводит на нет декларируемые преимущества децентрализации.

Немаловажным является и вопрос удаления из блокчейна информации по требованию суда (так называемое право на забвение). Несмотря на то что в настоящее время предложен ряд схем так называемого редактируемого блокчейна, для большинства систем подобное требование подразумевает перезапись всего реестра, начиная с первой указанной судом записи. И хотя с технологической точки зрения такая операция не вызывает проблем, потребуется серьезная кооперация пользователей системы для обновления локальных копий реестра. По всей видимости, для открытых блокчейнов, когда пользователи находятся в разных юрисдикциях, подобная кооперация будет затруднительной.

В заключение еще раз необходимо отметить вопрос открытости реестра. Проведенные к настоящему моменту исследования, а также ряд уже существующих коммерческих продуктов показывают принципиальную возможность деанонимизации пользователей даже в анонимных/псевдонимных системах. Учитывая множественные случаи грабежей пользователей криптовалют, это несет серьезные угрозы неприкосновенности частной жизни и ставит в том числе вопросы оценки безопасности используемых и разрабатываемых систем.

Темы:БлокчейнБлокчейн и криптовалютажурналКриптографияПДнinformation security

Еще темы...