Согласование технологии блокчейна с законом о защите прав потребителей в Калифорнии

Согласование технологии блокчейна с законом о защите прав потребителей в Калифорнии

Источник · Перевод автора

Калифорнийский закон о защите прав потребителей от 2018 года (California Consumer Privacy Act, CCPA), уоторый вступит в силу 1 января 2020 года, ознаменовал новый толчок в Соединенных Штатах к усилению и расширению правил конфиденциальности, аналогично тенденциям, которые наблюдаются в Европейском союзе во время прохождения и внедрение Общего регламента защиты данных (General Data Protection Regulation, GDPR).

CCPA предоставляет покрываемым потребителям новые права на неприкосновенность частной жизни, которыми в США не пользуются иным образом. В соответствии с CCPA организация, квалифицируемая как «бизнес», должна предоставить:

  • Сокращенное раскрытие информации о личной информации, которая собирается от или о покрываемых потребителях (Cal. Civ. Code § 1798.100).
  • Некоторые другие расширенные раскрытия в отношении личной информации, полученной от или о покрываемых потребителях (id. § 1798.110 (a)).
  • Раскрытие информации о продаже или раскрытии личной информации в коммерческих целях (id. § 1798.115).
  • Отказ от «продажи» личной информации (id. § 1798.120).
  • Требование о согласии перед продажей личной информации несовершеннолетнего (id. § 1798.120 (c)).
  • Возможность для защищенных потребителей получить доступ и / или удалить личную информацию, полученную от них или о них (id. §§ 1798.105, 1798.100 (d)).

Подлежащие бизнесу также должны принять меры для предотвращения дискриминации в отношении потребителей, которые осуществляют свои права в соответствии с CCPA (id. § 1798.125). Из-за этих новых обязательств внедрение CCPA может создать серьезные проблемы для организаций, использующих технологию блокчейна.

Что CCPA означает для блокчейна?

Технология блокчейна используется для разработки решений и инструментов, которые предоставляют людям гораздо больший контроль над своими данными. Часто открытые и неизменные бухгалтерские книги этой технологии обещают ввести новый уровень прозрачности в том, как используются данные отдельных лиц. Технология блокчейна (особенно когда она используется в общедоступной / недопустимой среде) децентрализована таким образом, что часто означает, что способ хранения, обработки или иного использования данных не обязательно зависит от централизованного органа или одного «управляющего» или « контроллер ». Во многих отношениях технология блокчейн использует традиционные модели сбора и хранения персональных данных, обеспечивая децентрализацию, тем самым устраняя сторонних посредников.

Однако большинство законов о конфиденциальности данных, включая CCPA, предполагают работу традиционной модели данных, что затрудняет их согласование с децентрализованной или распределенной моделью данных. Таким образом, несмотря на тот факт, что CCPA философски согласуется со многими целями блокчейн-технологии (то есть целостностью данных, кибербезопасностью и прозрачностью), некоторые присущие большинству блокчейн-технологий проблемы могут создавать проблемы соответствия – в частности, децентрализованная структура блокчейна и неизменность данных, введенных в блокчейн-регистры.

Большая часть неопределенности, связанной с CCPA (как в целом, так и в применении к технологии блокчейн)а, проистекает из широких определений в уставе. Например, определение личной информации включает «информацию, которая идентифицирует, относится к, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством». (Id. § 1798.140 ( о) (1)). Несмотря на призывы к законодательному органу предоставить дополнительные разъяснения – в том числе те, которые были озвучены на многочисленных публичных форумах генерального прокурора в ожидании принятия каких-либо дополнительных поправок – статут, как он написан в настоящее время, вступает в силу 1 января 2020 года.

Примечательно, что исполнительные меры генерального прокурора могут быть возбуждены через шесть месяцев после публикации окончательных постановлений или 1 июля 2020 года, в зависимости от того, что наступит раньше (Id. § 1798.185 (c)). Гражданские штрафы включают судебные запреты и штрафы в размере до 2500 долларов США за нарушение, а также отягчающие штрафы в размере до 7500 долларов США за умышленное нарушение. Обратите внимание, что потребителям предоставляется ограниченное частное право на действия в ситуациях, когда их личная информация «подвергается несанкционированному доступу и краже, краже или разглашению в результате нарушения бизнесом обязанности по внедрению и поддержанию разумных процедур и методов безопасности».

Когда блокчейн-бизнес подпадает под действие CCPA?

Обязательства CCPA ограничены «бизнесом», который определяется как любая коммерческая компания, занимающаяся бизнесом в Калифорнии, которая собирает личную информацию и удовлетворяет по крайней мере одному из следующих порогов:

  • Получает годовой валовой доход свыше 25 миллионов долларов.
  • Ежегодно покупает, продает или, в коммерческих целях, получает или передает личную информацию как минимум 50 000 потребителей, домашних хозяйств или устройств в Калифорнии.
  • Получает 50% или более своего годового дохода от «продажи» личной информации потребителей в Калифорнии.

Обратите внимание, что «ведение бизнеса» не определено в уставе и может быть истолковано как охватывающее блокчейн-платформу с узлами, которые работают в Калифорнии или которые собирают данные от калифорнийских потребителей (п. 1798.140 (с) (1)).

Хотя первый ответ теста порогового значения CCPA довольно очевиден, второй и третий ответ менее очевидны. Простой акт размещения информации в цепочке блоков можно рассматривать как «обмен» личной информацией, особенно когда узлы рассматриваются как «устройства» под вторым звеном теста. Например, наличие 500 узлов в сети блокчейна, в которых все хранят копию книги, может представлять собой «совместное использование» в соответствии с уставом (хотя в настоящее время нет нормативных указаний по этой теме).

Определение «продажа» также очень широкое. Оно включает в себя «аренду, выпуск, раскрытие, распространение, предоставление, передачу или иное устное, письменное или электронное или иное сообщение» личной информации для «другого ценного рассмотрения». (Cal. Civ. Code § 1798.140 (t.) (1)). Что представляет собой «другое ценное соображение», остается неуказанным.

Таким образом, из лицевого языка устава следует, что блокчейн-компании можно считать «продающими» личную информацию, просто размещая и эксплуатируя блокчейн-платформу, через которую люди и организации могут обмениваться личной информацией, особенно если блокчейн-компания взимает плату (будь то в токенах, действующих на блокчейне или в какой-либо другой форме внешнего рассмотрения) для доступа к блокчейну или получения других «ценных соображений» от размещения и эксплуатации платформы, которая облегчает обмен личной информацией.

Точно так же возможно, что операторы узлов или майнеры в среде блокчейна, которые получают токены или криптовалюту в обмен на выполнение услуг проверки транзакций или подтверждения книги в сети, аналогичным образом считаются «продающими», поскольку они «общаются [… ] электронным или иным способом »личной информации, которая записывается в блокчейн. Если будет обнаружено, что покрываемый бизнес «продает» личную информацию, будут применяться дополнительное уведомление, раскрытие и другие обязательства – даже если бизнес не занимался тем, что традиционно считалось «продажей» за денежное вознаграждение.

Более того, хотя псевдонимизация может помочь запутать данные, она не делает данные субъекта не персональными. Поскольку закон применяется к личной информации, которая «может быть связана или может быть разумно связана, прямо или косвенно» с индивидуумом, такие методы могут оказаться недостаточными из-за риска повторной идентификации.

Как бизнес с блокчейном может наилучшим образом соответствовать требованиям CCPA?

Предприятиям, которые внедряют блокчейн-технологию, следует тщательно учитывать, в какой степени личная информация записывается в регистры на основе блокчейнов, и существуют ли способы смягчения проблем, возникающих в результате этого, в соответствии с требованиями и требованиями CCPA.

Например, предприятия могут рассмотреть возможность хранения личной информации вне цепочки (то есть не в блокчейне) при использовании главной книги для отслеживания и обеспечения доступа к личной информации. Решение такого типа может позволить бизнесу напрямую ссылаться на личную информацию вне цепочки для отчетности по обязательствам в соответствии с CCPA, сохраняя при этом целостность своей бухгалтерской книги и не обязательно помещая данные в цепочку, так что бизнес не сможет удалить эти данные по требованию. В этом сценарии удаление выполняется просто: просто извлекая данные из цепочки, любые неизменяемые ссылки в цепочке становятся ссылками на несуществующие данные и становятся бессмысленными.

Однако обходные обходные пути могут добавить нежелательную сложность, которая противоречит целям простоты и прозрачности многих блокчейн-платформ. Кроме того, эти обходные пути часто не решают проблемы безопасности, связанные с наличием параллельных источников данных в статус-кво, которые так элегантно решают решения на основе цепочки блоков.

Если решение вне цепочки нецелесообразно, компании, использующие блокчейн, могут рассмотреть возможность использования всех доступных способов обфускации данных, чтобы максимально обезличить данные (например, применяя методы подсчета, шифрования и хеширования ко всем данным в цепочке). Однако данные в блокчейне почти всегда связаны с открытым ключом регистра (то есть адресом регистра) и поэтому связаны с физическим или юридическим лицом, которое добавляло данные по этому адресу. Соответственно, открытые ключи могут считаться «личной информацией» в рамках CCPA в той степени, в которой они принадлежат или могут быть связаны с потребителем из Калифорнии.

Наконец, предприятия должны начать предпринимать шаги по соблюдению CCPA как можно скорее: во время беседы в Perkins Coie LLP в 2018 году Элеонора Блюм (Eleanor Blume), специальный помощник генерального прокурора Калифорнии, подчеркнула, что компании будут оцениваться по их CCPA. соблюдение частично превентивных мер, которые они приняли в 2019 году.

Эта статья была написана в соавторстве с Джо Катлером (Joe Cutler), Чарлином Хо (Charlyn Ho), Анной С. Морлам (Anna C. Mourlam), Мариной Гатто (Marina Gatto) и Теей Персиваль (Thea Percival).