Журнал "Information Security/ Информационная безопасность" #2, 2018

То, что обычно понимает- ся под технологией блок- чейн (распределенного рее- стра), идеологически восхо- дит к небезызвестному "Манифесту криптоанархи- ста" Тимоти Мэя, в котором декларировалась возмож- ность создания самоуправ- ляемого, не зависимого от контролирующих органов общества на основе исполь- зования криптографических механизмов и анонимизации (разделения цифрового представления человека (аватара) и его физического представления) С развитием информацион- ных технологий проблема защи- ты персональных данных ста- новится все более сложной. Особое внимание они приобре- тают в современных бизнес- процессах, основывающихся на концепции KYC (Know Your Customer). В контексте технологий цеп- ной записи данных (блокчейн) и распределенных реестров необходимо рассматривать сле- дующие аспекты защиты пер- сональных данных: l защита персональных данных пользователей информацион- ной системы; l защита данных, которые могут быть отнесены к персо- нальным и хранящихся в запи- сях реестра; l защита данных, которые могут быть отнесены к персо- нальным и хранящихся вне рее- стра, но на которые есть ссылка в записях реестра; l защита информации о про- изводимых операциях с запи- сями реестра. Большинство современных подходов к управлению персо- нальными данными, зафикси- рованных в национальном и международном законодатель- стве, основано на наличии опе- ратора, на которого возлагается ответственность за их обработ- ку (в том числе в части защиты и соблюдения законодатель- ства). Такой подход является прямым следствием централи- зованной архитектуры суще- ствующих информационных систем. В свою очередь, то, что обыч- но понимается под технологией блокчейн (распределенного рее- стра), идеологически восходит к небезызвестному "Манифесту криптоанархиста" Тимоти Мэя, в котором декларировалась воз- можность создания самоуправ- ляемого, не зависимого от конт- ролирующих органов общества на основе использования крип- тографических механизмов и анонимизации (разделения цифрового представления чело- века (аватара) и его физиче- ского представления). Данная идея была использо- вана при разработке криптова- люты Биткоин на основе обще- доступной, реплицированной базы данных – так называемого блокчейна, в которой хранятся все данные о состоянии систе- мы (произведенные транзакции) и которая позволяет каждому из пользователей самостоятель- но контролировать корректность производимых действий. Описанная архитектура, с одной стороны, не предполага- ет наличия упомянутого опера- тора персональных данных, а с другой стороны, перед ней в принципе не стоит задача обра- ботки персональных данных в силу фактического отсутствия механизмов идентификации пользователей (в том смысле, в каком пользователи иденти- фицируются в классических системах). Проведенные в последние годы исследования выявили, что архитектура системы "Бит- коин", да и многих других систем криптовалют, даже тех, которые изначально деклари- ровали анонимность, не позво- ляет добиться полной защиты данных о пользователе. При этом, учитывая открытость рее- стра транзакций, данный факт существенно увеличивает угро- зы безопасности как персональ- ных данных, так и в целом неприкосновенности частной жизни. Вместе с тем интерес бизнеса к технологиям цепной записи данных (блокчейн), наоборот, ставит задачу обработки пер- сональных данных, идентифи- кации пользователей в рамках выполнения требований нацио- нального и международного законодательства при исполь- зовании данной технологии, что в каком-то смысле противоре- чит первоначальной концепции ее применения. Это требует переосмысления подходов к обработке данных не только по сравнению с класси- ческими системами, но также и по сравнению с блокчейн-систе- 8 • БЛОКЧЕЙН И КРИПТОВАЛЮТА Персональные данные и распределенные реестры ерсональные данные – значимый аспект человеческой жизни, обеспечению безопасности которого уделяется существенное внимание как на национальном, так и на межгосударственном и международном уровнях. В соответствии с ст. 3 Федераль- ного закона от 27.07.2006 N 152-ФЗ “О персональных дан- ных” персональные данные – это любая информация, относя- щаяся к прямо или косвенно к определенному или определяе- мому физическому лицу (субъекту персональных данных). Схожее определение дано в директивах Европейского союза и в новом основополагающем документе Европейского союза, посвященном защите персональных данных, – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free move- ment of such data, and repealing Directive 95/46/EC (General Data Protection Regulation GDPR). П Григорий Маршалко, эксперт ТК 26, эксперт ISO/IEC JTC1/SC 27