Το Παράδοξο της σχέσης GDPR και Blockchain

  • Δημοσιεύτηκε από: dgiannakis

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) έχει ήδη επιβληθεί από τις 25 Μαΐου 2018. Το σίγουρο είναι ότι θα επιδράσει σε σημαντικό βαθμό σε φορείς και οργανισμούς, τόσο μεγάλου όσο και μικρού μεγέθους. Θεωρείται σημαντικό να εξεταστεί η σχέση του GDPR με τις τεχνολογίες blockchain (“αλυσίδα κοινοποιήσεων”) και συγκεκριμένα πώς σε ορισμένες περιπτώσεις ο GDPR έχει αντίθετες συνέπειες, όταν πρόκειται να συμμορφωθεί η Blockchain Αρχιτεκτονική με τον GDPR.

 

Η πλευρά του Blockchain

 

Για να εξηγήσουμε γιατί το GDPR θα μπορούσε να έχει τις αντίθετες επιδράσεις σε συγκεκριμένους τομείς όταν εφαρμόζεται η blockchain τεχνολογία, θα πρέπει εξαρχής να αναφερθούμε σε ορισμένα βασικά ζητήματα.

 

Κρυπτογράφηση και Κατατεμαχισμός (Encryption and Hashing)

 

Ο κατατεμαχισμός είναι μια μονόδρομη διαδικασία μετασχηματισμού δεδομένων, σε μια μη αναγνώσιμη μορφή δεδομένων (hash value). Με την κρυπτογράφηση μπορούμε να έχουμε μια αμφίδρομη διαδικασία μετασχηματισμού: κάποιος κρυπτογραφεί δεδομένα με την χρήση συγκεκριμένου κλειδιού, ώστε να είναι μη αναγνώσιμα. Με αυτό το κλειδί, μπορούμε πάντα να αποκρυπτογραφήσουμε το μη αναγνώσιμο σύνολο δεδομένων, στις αρχικές του τιμές.

 

Μετατροπή των Συναλλαγών (Immutability of Transactions)

 

Σίγουρα έχουμε ακούσει πως οι συναλλαγές σε μια blockchain διαδικασία είναι απεριόριστες. Δεν μπορεί κανείς να αλλάξει αυτές τις συναλλαγές, από την στιγμή που έχουν γραφτεί σε ένα blockchain. Επίσης, δεν μπορεί κανείς να διαγράψει αυτά τα δεδομένα την στιγμή που κάτι τέτοιο θα σήμαινε “σπάσιμο της αλυσίδας (chain break)” κατά μια έννοια, καθιστώντας την όλη διαδικασία του blockchain άχρηστη.

 

Διαφάνεια (Transparency)

 

Ο καθένας μπορεί να  περιηγηθεί στο πλήρες ιστορικό όλων των συναλλαγών των bitcoins, γεγονός το οποίο καθιστά πλήρως διαφανή τις συναλλαγές σε αυτές τις τεχνολογίες δημοσίου blockchain. Όμως η έννοια της διαφάνειας σε ιδιωτικά blockchains είναι μια διαφορετική διαδικασία.

Η πλευρά του GDPR

 

Το πλήρες επίσημο έγγραφο του GDPR δίνει μια ενδιαφέρουσα οπτική στις blockchain τεχνολογίες. Αφορά κυρίως το γεγονός ότι τα προσωπικά δεδομένα δεν πρόκειται να φύγουν εκτός Ε.Ε.. Αυτό ως γεγονός αποτελεί ένα σημαντικό πρόβλημα για τα δημόσια blockchains, από την στιγμή που δεν υπάρχει κανένας έλεγχος για το ποιος φιλοξενεί έναν κόμβο. Επιχειρηματολογώντας, ο IPDB δημιούργησε ένα ίδρυμα το οποίο εξασφαλίζει ότι τα δεδομένα παραμένουν εντός της Ε.Ε., επειδή είναι δημόσια προσπελάσιμα (πελάτης), αλλά φιλοξενεί αδειοδοτημένα blockchain (κόμβος).

Μείζονος σημασίας είναι μια ξεχωριστή ενότητα – Άρθρο 17 – αναφορικά με το ‘Δικαίωμα στην Λήθη’. Αυτό το ζήτημα αφορά το δικαίωμα διαγραφής δεδομένων. Παρ’ όλα αυτά, πουθενά μέσα στο κείμενο, ούτε καν στην ενότητα των ορισμών – Άρθρο 4 – δεν υπάρχει κάποια εξήγηση για το τι ακριβώς σημαίνει ο όρος erasure of data (διαγραφή δεδομένων).

Η GDPR πρωτοβουλία πιθανώς εξαρχής αναλώθηκε περισσότερο με την έννοια ότι “θα είσαι πάντα σε θέση να Διαγράψεις πληροφορία”, όταν ασχολείται με βασικές λειτουργίες της μόνιμης αποθήκευσης. Το γεγονός αυτό, το οποίο όμως με την σειρά του δεν ταιριάζει στην blockchain τεχνολογία δημιουργεί περαιτέρω προστριβές. Επειδή λοιπόν δεν υπάρχει ξεκάθαρος ορισμός μέχρι στιγμής στο GDPR για την έννοια της διαγραφής των δεδομένων (‘erasure of data’), θα πρέπει πιθανώς να ερμηνεύσουμε πιο αυστηρά τα ανωτέρω, το οποίο με λίγα λόγια σημαίνει ότι το να ξεφορτώνεται κανείς τα κλειδιά κρυπτογράφησης με τα οποία κρυπτογράφησε προσωπικά δεδομένα σε μια blockchain τεχνολογία, δεν θα πρέπει ως γεγονός να είναι αποδεκτό ως ‘διαγραφή δεδομένων’ σύμφωνα και με τον GDPR.

 

Ο συμβιβασμός είναι σπανίως καλός για τις επιχειρήσεις

 

Για την επίτευξη των βέλτιστων αποτελεσμάτων, τα ιδανικά βήματα αφορούν τις διαδικασίες της ανάκτησης και αποθήκευσης προσωπικών δεδομένων απευθείας από το blockchain (όπως άλλωστε ασχολείται ο GDPR κατά μία έννοια).

 

Τα πλεονεκτήματα

 

  • Ακολουθώντας ακριβώς τον GDPR κανονισμό η συμμόρφωση θα είναι 100% επιτυχημένη, το οποίο με την σειρά του καθιστά πιθανή την καθολική διαγραφή δεδομένων στην off-chain αποθήκευση. Κατά αυτό τον τρόπο οι συνδέσεις και οι τιμές κατατεμαχισμού που είναι αποθηκευμένες στο blockchain, καθίστανται εντελώς άχρηστες.
  • Κατά αυτόν τον τρόπο, το blockchain ως ενδιάμεσος ‘έλεγχος πρόσβασης’, δείχνει ότι τα αιτήματα είναι δημόσια επαληθεύσιμα. Κάτι τέτοιο θα έδινε σε κάποιον την δυνατότητα να αποδείξει πως κάποιος κόμβος δεν θα έπρεπε να αποθηκεύει δεδομένα μετά από ένα δικαίωμα απεγγραφής (opt-out). Φυσικά αυτό το πλεονέκτημα μπορεί να το εντοπίσει κανείς ακόμα και όταν τα προσωπικά δεδομένα είναι όντως αποθηκευμένα σε ένα blockchain.

Τα μειονεκτήματα

 

  • Το όφελος της διαφάνειας με το blockchain είναι μειωμένο. Με το αποθηκεύει κανείς τα δεδομένα του off-chain, δεν μπορεί σε καμία περίπτωση να γνωρίζει σίγουρα ποιος είχε και συνεχίζει να έχει πρόσβαση στα δεδομένα του.
  • Το όφελος της ιδιοκτησίας των δεδομένων με το blockchain είναι μειωμένο. Από την στιγμή που τα δεδομένα έχουν αποθηκευτεί off-chain, ποιος τα κατέχει; Μήπως η εταιρεία που κατέχει την βάση δεδομένων στην οποία βρίσκονται τα δεδομένα; Τουλάχιστον με την blockchain τεχνολογία, ο ιδιοκτήτης των δεδομένων έχει όλα τα κλειδιά κρυπτογράφησης για να διαχειριστεί τα δεδομένα του.
  • Περισσότεροι φορείς επίθεσης. Κάθε εταιρεία έχει τις δικές της υποδομές και τις εφαρμογές που χρησιμοποιεί. Με το να διανέμει τα προσωπικά δεδομένα της σε διαφορετικές εταιρείες, καταφέρνει να αυξάνει τον κίνδυνο ενδεχόμενων παραβιάσεων, κατά τις οποίες μπορεί να κλαπεί μέρος αυτών των προσωπικών δεδομένων.
  • Επιπρόσθετη πολυπλοκότητα. Επιπρόσθετη πολυπλοκότητα = Αυξανόμενος κίνδυνος για μη σκόπιμα σφάλματα. Το αποτέλεσμα μιας τέτοιας περίπτωσης θα είναι λιγότερο ασφαλή πληροφοριακά συστήματα.

 

Το Παράδοξο

 

Κατά αυτόν τον τρόπο φτάνουμε στο εξής παράδοξο: Ο στόχος του GDPR είναι ‘να δώσει στους πολίτες τον έλεγχο των προσωπικών τους δεδομένων, επιβάλλοντας παράλληλα αυστηρούς κανόνες σε εκείνους που φιλοξενούν και επεξεργάζονται αυτά τα δεδομένα σε οποιοδήποτε μέρος του κόσμου’. Επίσης, ένα άλλο ζήτημα που δηλώνεται κατά τον GDPR είναι το γεγονός ότι τα δεδομένα ‘θα πρέπει να έχουν την δυνατότητα διαγραφής’. Δεδομένου ότι η απόρριψη των κλειδιών κρυπτογράφησης δεν είναι η ίδια διαδικασία με την διαγραφή των δεδομένων, ο GDPR μας απαγορεύει να αποθηκεύουμε προσωπικά δεδομένα σε επίπεδο blockchain. Κατ’ επέκταση με αυτόν τον τρόπο χάνεται η ικανότητα μας να βελτιώσουμε τον έλεγχο των προσωπικών μας δεδομένων.