Blockchain a GDPR. Když je regulace zastaralá už v době vydání

General Data Protection Regulation, velký strašák mnoha firem, který vstoupí v platnost letos 25. května, je hned v několika svých bodech v přímém rozporu s technologií veřejného blockchainu. Jak je možné, že dva roky existující a 20 let připravovaná regulace zcela ignoruje existenci technologie, kterou EU sleduje a údajně též podporuje minimálně od roku 2013?

Evropská komise od roku 2013 spolufinancuje podporu blockchainových iniciativ prostřednictvím výzkumných programů FP7 a Horizon 2020. Do roku 2020 mohou evropské projekty využívající blockchainovou technologii šanci vyčerpat z uvedených programů rozpočet do výše 340 milionů EUR. Letos navíc EK spustila další iniciativu – blockchainovou pozorovatelnu a fórum, které mají pomáhat vytváření standardů a sjednocovat blockchainovou ekonomiku v rámci Evropské unie. Přesto paralelně s těmito kroky evropským parlamentem bez potíží projde regulace, která je (alespoň s technologií veřejného) blockchainu v zásadním rozporu. Jak je to možné a je šance, že se u regulace, která zanedlouho vstoupí do své vymahatelné fáze, dočkáme v dohledné době nějaké úpravy?

Evropská komise spustila „Blockchainovou pozorovatelnu“

Potenciál veřejného blockchainu versus evropský úředník

GDPR má již dnes velký (a často možná i nezamýšlený) dopad na celou škálu internetového byznysu. Snad nikde ale nenalezneme takový rozpor jako v případě technologie, jejíž princip je postavený na neměnitelnosti jednou uložených dat (transakcí) a požadavku na vymazatelnost osobních dat v případě GDPR. Nemožnost data falšovat, transparentnost a rezistence vůči cenzuře, to jsou tři esa v rukách distribuované databáze, kterou nazýváme veřejný blockchain. Zapsat do něho data je, jak s oblibou říká expert na kryptografii Nick Szabo, jako když pravěká vážka zůstane uvězněná v kusu jantaru – obojí je zde víceméně navždy.

Decentralizovaný konsensus blockchainu umožnil vytvářet mnohem robustnější systémy všude tam, kde pracujeme s vlastnictvím a také v atestačních úlohách. To je (v případě EU již jen teoreticky) velmi užitečné například u záznamů o zdravotní péči nebo zápisů v katastru nemovitostí (již dnes existují první vlaštovky tohoto typu – BenBen, Bitfury, Velox.re). Podařilo se totiž díky němu značně eliminovat riziko podvodů (neoprávněné nakládání s daty, zpronevěry finančních záloh – platbu za nemovitost je možné zahrnout rovnou do smart kontraktu) a snížit celkové náklady na zápis a provoz databáze. Další elegantní aplikaci představují akademické certifikáty, které jsou v blockchainu snadno dohledatelné a ověřitelné, ale hlavně trvalé (není třeba vystavovat úředně potvrzované kopie jako v případě ztráty papírové verze), prověřování autenticity a sdílení práv k autorským a uměleckým dílům (Ascribe) nebo třeba sledování původu retailového zboží (například Provenance umožňující zjistit, odkud pocházejí jednotlivé potraviny nebo jejich složky). Další (dnes možná ještě trochu sci-fi) aplikace se nabízí ve světě vysoce automatizovaných hierarchických procesů (průmysl 4.0, nahrazování úředníků nebo řízení autonomních organizací). Obrovský potenciál pro aplikaci se nabízí ve sféře pojištění. Jenže! S GDPR za zády má většina podobných projektů problém.     

GDPR po společnostech vyžaduje, aby na vyžádání byly schopné kompletně vymazat osobní data kteréhokoli občana EU, který o to požádá (právo být zapomenut – článek č. 17). Velká část byznysu, který již dnes využívá například bitcoinový blockchain nebo smart kontrakty na ethereum síti, těží právě z toho, že jsou data transparentní a za vším zůstává dobře sledovatelná datová stopa. Smazání, nebo alespoň neprůstřelná anonymizace některých dat, prostě není technicky možná. Situaci nenahrává ani fakt, že GDPR záměrně definuje osobní údaje značně ze široka. Teoreticky pokrývá veškeré informace, které se týkají identifikovatelného živého jedince (jméno a příjmení, číslo zdravotního nebo sociálního pojištění) nebo jeho přímé či nepřímé identifikace (IP adresa, poznávací značka auta, data o poloze mobilu přes GPS, identifikátor elektronického zařízení, číslo účtu). Může se tak jednat třeba o veřejnou bitcoinovou adresu, která je svázána s konkrétním jménem. Šifrovaná data jsou ostatně například podle právnické firmy Hogan Lovells v rámci směrnice interpretována jako data osobní a ne anonymní povahy.

Ne, že by se problém nedal obcházet přesunem „osobních dat “ zpátky do tradičních databází a k blockchainu přistupovat pouze skrze anonymizovaná data, čímž se byrokracii učiní zadost. To je ale jednak značný náklad navíc (problém zejména pro malé společnosti a startupy), anonymizace nikdy z principu stejně nebude 100% (musela by využívat dokonalý generátor náhody) a hlavně tím mizí všechny výhody využívání blockchainu. K čemu je dobré, že bude například existence nějakého certifikátu potvrzená v blockchainu, když samotný dokument je uložený v externí databázi (se všemi nevýhodami)?

Pokud uložíme do blockchainu pouze hash (algoritmus jednosměrně převádějící vstupní hodnotu na její otisk v podobě jedinečného čísla) dokumentu, nebude jí byrokracie interpretovat jako šifru se všemi z toho vyplívajícími důsledky? Technicky vzato by jí samozřejmě být neměla, neboť hash z definice nelze převést na původní dokument. Takové jemné nuance, ale mohou již být pod rozlišovací schopností úředníka, soudního „znalce“, nebo pověřeného soudce.

Čeká nás rok krocení kryptoměn. Máme se začít bát?

Praktická demonstrace

Na blockchainu dnes funguje řada placených služeb, které jsou v přímém rozporu s GDRP a jmenovitě zejména s právem být zapomenut už v principu. Přitom často nedělají nic jiného, než že zpřístupňují některé jeho základní vlastnosti. Abychom ale nemluvili pouze abstraktně, vezměme si jako příklad třeba službu CryptoGraffiti využívající původně bitcoinový a od loňského roku pak z důvodu vysokých transakčních poplatků Bitcoin cash blockchain. Na webu cryptograffiti.info je možné nalézt „nekonečnou“ nástěnku, na které je možné za drobný poplatek ukládat texty a obrázky, které navždy zůstanou uloženy v Bitcoin cash blockchainu. Služba vlastně nedělá nic jiného, než formou jednoduchého rozhraní zpřístupňuje vzkazy, které byly ve formě ASCII textu v rámci transakcí přiloženy k výstupním bitcoinovým adresám. Tímto způsobem lze do blockchainu vložit teoreticky jakákoli data. Služba samotná nabízí vedle této funkcionality ještě tzv. Proof-of-Existence, tedy časová razítka potvrzující existenci konkrétního dokumentu v určitém čase (bez prozrazení jeho původního obsahu). Přestože služba samotná nedělá nic jiného, než formou jednoduchého rozhraní zpřístupňuje základní vlastnosti blockchainu, dostává se s GDRP do přímého rozporu. Do souladu s pravidly se přitom ani při nejlepší vůli již z principu dostat nemůže.

Pokud prostřednictví takové služby uložím například vyznání lásky a později si to rozmyslím a využiji svého „práva být zapomenut“, mohu sice požádat cryptograffiti.info a ta se bude muset pokusit nějak zařídit, aby se vzkaz na nástěnce nezobrazoval, přesto již navždy zůstane součástí transakce, a tím pádem lehce dostupný například prostřednictvím některého z populárních blockchain explorerů (v daném případě např. blockexplorer.com, blockdozer.com). Musel bych tedy požadavek odeslat také jim a stejně bych si příliš nepomohl, i nadále bude existovat v tisícovkách kopií na každém Bitcoin cash nodu. Teoreticky bych mohl adresovat všechny těžaře (ti představují z pohledu GDPR zpracovatele dat), aby změnili transakční historii, v praxi je to ale i přes existenci určité centralizace těžby nesmysl a čím dále do historie blockchainu půjdeme, tím technicky neproveditelnější požadavek je.

Bitcoin i Bitcoin cash představují (i když v druhém případě se o tom dá trochu pochybovat) veřejné blockchainy, nikdo je nevlastní, a tak u nich na rozdíl od na burzách kotovaných sociálních sítí a obřích internetových firem neexistuje jedna entita, která je za dodržování GDPR zodpovědná a kterou by bylo možné v případě nutnosti pohnat ke skládání účtů. Jak dokazuje devět let existence Bitcoinu, veřejný blockchain sám o sobě může existovat nehledě na nesmyslnost řady lokálních regulací – je globální, distribuovaný a decentralizovaný. Zcela záměrně postrádá centrální autoritu, na kterou by bylo možné vyvíjet nátlak (například z důvodů cenzury). Veřejný blockchain proto kvůli právu být zapomenut ani zbytku GDPR nezanikne. To již ovšem nemusí platit pro řadu slibně vypadajících aplikací. Jisté ale zůstává, že veřejný blockchain současným požadavkům EU z principu vyhovět nemůže a žádná velká firma v tomto ohledu nebude ochotná riskovat. Postižené startupy mají na výběr zavřít, nebo odejít z Evropy, protože nic jiného momentálně nedává technologicky ani ekonomicky příliš smysl. Další možný scénář je, že nakoupí komerční databáze, zahodí všechny výhody veřejného blockchainu a ten budou využívat jen jako databázi propojující (samozřejmě dostatečně anonymizovaným způsobem) jejich vlastní netransparentní databáze, což je scénář ještě absurdnější.

Právo být zapomenut ale není jediný problém. Dalším problematickým bodem je nařízení, že osobní data nesmí opustit EU. V případě veřejného blockchainu, kde nikdo nemá kontrolu nad tím, kde se nacházejí jednotlivé nody, další neřešitelný problém. Blockchainovým technologiím tak navzdory vzletné rétorice EU o jejich podpoře v současné Evropě moc pšenka nekvete.

Každá druhá firma nebude včas připravena na GDPR

Evropský parlament 2013, připomínkování „Práva být zapomenut“.  (foto: archiv autora)

Jak jeden zastaralý právní pohled vedl k vytvoření nového (také zastaralého)

Regulace mají obecně určité zpoždění za vývojem technologií, protože na ně reagují, v případě GDPR se ale toto zpoždění za technologickým vývojem protáhlo na více jak desetiletí. GDPR začalo vznikat jako reakce na masové rozšíření internetu. Z technologického vývoje nová legislativa reflektuje hlavně cloudové služby a sociální sítě, cokoli přišlo později (internet věcí, BYOD, rozvoj neuronových sítí, strojové učení a blockchain) z jejího pohledu jako by neexistovalo. Vedle směrnice z roku 1995 nahrazuje GDPR také rámcové rozhodnutí o přeshraničním zpracování údajů z roku 2008 a vypadá to, že právě v tomto roce se myšlení úředníků zastavilo.

Nezamýšlený paradox

Základním cílem revize bylo dát lidem kontrolu nad osobními údaji dříve, než nad nimi kontrolu ztratí. To se s příchodem bezplatných služeb typu Google a později sociálních sítí a masivním sběrem dat pro potřeby profilování (postup, kdy se na základě vámi poskytnutých dat vyhodnocuje a předpovídá váš další výkon nebo chování) stalo záležitost tří kliknutí. A zde se odhaluje zajímavý paradox. Namísto větší kontroly nad našimi daty ji díky rigidně nastaveným pravidlům pro hostování a zpracování dat a podmínce, aby byla data za všech okolností „vymazatelná“ (sám termín se vyskytuje ve směrnici asi na 12 místech), naopak ztrácíme.

Protože na blockchainu data zůstávají již napořád a odhodit privátní klíče není totéž, co data smazat, GDPR prakticky znemožňuje ukládat osobní data (v jejich širším smyslu) přímo do blockchainu. Blockchain přitom paradoxně představuje místo, kde nad nimi máme největší kontrolu. S příchodem blockchainu se objevila možnost, jak významně zkomplikovat podvržení identit, posílit vlastnictví dat, transparentnost a důvěru mezi jednotlivými aktéry. S příchodem GDPR se oproti tomu musí osobní data vrátit zpátky do starých systémů se všemi jejich nevýhodami. Opět nebudeme vědět, kdo naše data vlastní, kdo k nim má přístup, jestli jsou alespoň chráněna šifrováním a kde jsou uložena (kromě toho, že jsou uložena v EU). Navzdory přísným sankcím za nedodržení GDPR rizika zneužití dat spíše vzrůstají – větší komplexnost a nepřehledná škála jednotlivých infrastruktur přináší nutně více možných vektorů útoku. Mít data zpátky v desítkách či stovkách databází různých společností znamená také adekvátně znásobené riziko, že naše data budou ukradena nebo zneužita.

Šance na rychlou úpravu GDRP, která by tento problém vyřešila, moc není. Regulace vznikají léta a v Evropě z pravidla ještě mnohem déle. Jediná naděje je tedy benevolentnější (závazný) výklad, uvidíme, zdali se jej dočkáme.

Newsletter