اللائحة العامة لحماية البيانات وبلوكتشين: هل تعتبر لائحة حماية البيانات للاتحاد الأوروبي الجديدة تهديدًا أم حافزًا؟

أصبحت اللائحة العامة لحماية البيانات (GDPR)، وهي إطار عمل قانوني واسع ومتحكم في الاتحاد الأوروبي لخصوصية البيانات الشخصية، ساريًا في ٢٥ مايو. وسواء كنا مستعدين أم لا، فسيعمل هذا الإطار على تحويل نشاط أي مشروع رقمي بشكلٍ جذري. حيث تتوقع الرابطة الدولية لمهنيي الخصوصية (IAPP) أنه سيتم إنشاء ٧٥٠٠٠ وظيفة خصوصية على الأقل نتيجة لذلك، وستنفق شركات فورتشن غلوبال البالغ عددها ٥٠٠ ما يقرب من ٨ مليارات دولار لضمان توافقها مع اللائحة العامة لحماية البيانات. ولكن ماذا يعني هذا بالنسبة لبلوكتشين؟  

تتمثل أهداف اللائحة العامة لحماية البيانات في: إنشاء إطار موحد لتنظيم البيانات داخل أوروبا، وتقوية سيطرة الأفراد على تخزين واستخدام بياناتهم الشخصية. وقد تم اعتمادها في عام ٢٠١٦، وبعد فترة انتقالية مدتها سنتان، أصبحت الآن سارية.

الالتزامات والحقوق

تقدم اللائحة العامة لحماية البيانات التزامات إجرائية وتنظيمية جديدة لـ "معالجي البيانات" - بما في ذلك الشركات والهيئات العامة، كما تمنح المزيد من الحقوق إلى "الأشخاص المسجلة بياناتهم" - وهو المصطلح الذي تستخدمه للأفراد.

كذلك تميل المؤسسات العامة والخاصة، عند تركها لنفسها، إلى جمع البيانات حتى قبل معرفة ما ستفعل بها، كنوع من "حمى الذهب" في الحصول على البيانات الشخصية. وتتعارض اللائحة العامة لحماية البيانات مع هذه العادة من خلال تحديد أن معالجي البيانات يجب ألا يجمعوا البيانات إلا فيما هو مفيد بشكل مباشر لتفاعلهم المباشر مع المستهلكين. وفي الواقع، يجب أن يكون جمع البيانات "مناسبًا وملائمًا ومحدودًا بالحد الأدنى الضروري بالنسبة للأغراض التي تتم معالجتها" (المادة ٣٩ من اللائحة العامة لحماية البيانات).

وإلى جانب تحديد ما هو مسموح أو غير مسموح به، تحدد اللائحة العامة لحماية البيانات أيضًا المبادئ التوجيهية التنظيمية التي سيحتاج معالجو البيانات إلى اعتمادها من الآن فصاعدًا. فعلى سبيل المثال، يجب أن تمحو البنية التكنولوجية الخاصة بهم بيانات المستهلك الافتراضية بعد استخدامها - "الخصوصية حسب التصميم".

ثانيًا، سوف يُطلب من أي كيان يُعتبر "وصلة بيانات" أن يكون لديه مسؤول عن حماية البيانات (DPO) والذي يتحمل مسؤولية إدارة الامتثال للائحة العامة لحماية البيانات. وسوف يكون هذا الشخص مسؤولًا بشكل قانوني عن تنبيه السلطة الإشرافية كلما نشأ خطر على خصوصية الأشخاص المسجلة بياناتهم (المادة ٣٣).

New European Data Protection Regulation

 ومن ناحيةٍ أخرى، سيتم إعلام الأشخاص المعنيين بالبيانات بالطريقة الأفضل التي سيتم بها تخزين ومعالجة بياناتهم الخاصة (المادة ١٥). وسيكون لهم، على سبيل المثال، الحق في طلب نسخة من المعلومات التي تحتفظ بها الشركات عنهم. علاوةً على ذلك، يجب على معالجي البيانات إبلاغ الأشخاص المسجلة بياناتهم بالتفاصيل حول معالجة البيانات، وكيفية مشاركتها أو الحصول عليها.

وإلى جانب الشفافية، توفر اللائحة العامة لحماية البيانات للمواطنين مزيدًا من التحكم في كيفية استخدام بياناتهم. وتورد المادة ١٧ الشروط التي يمكن بموجبها طلب حذف البيانات من قواعد بيانات الأعمال، أو ما يسمى "حق الشطب".

وحسبما أشارت سارة جوردون وعلية رام في فاينانشيال تايمز، "ففي النهاية، على الرغم من ذلك، سيعتمد تأثير اللائحة العامة لحماية البيانات على إذا ما كان الأفراد يقررون ممارسة الصلاحيات الأكبر التي تعطيها لهم القواعد". متى كانت آخر مرة رفضت فيها موافقتك على سياسة خصوصية فيسبوك؟

مسدّس محشو بتأثير عالمي

تفرض اللائحة العامة لحماية البيانات رسومًا باهظة للغاية على الشركات التي لا تلتزم بها. وعلاوة على ذلك، فإن نطاقها يتجاوز الاتحاد الأوروبي.

فبالنسبة للشركات، قد تصبح زيارة من مدقق حماية البيانات مخيفة أكثر من زيارة مفتش الضرائب. وسيؤدي عدم الالتزام المتعمد أو المتكرر للمبادئ المنصوص عليها في اللائحة العامة لحماية البيانات إلى دفع غرامة تصل إلى ٢٠ مليون يورو أو ما يصل إلى ٤٪ من قيمة التداول السنوية لمرتكب الجريمة - أيهما أكبر. فبدلًا من الاعتماد فقط على مسؤولي حماية البيانات بالشركات للإبلاغ عن الانتهاكات، سيتم إجراء تدقيقات منتظمة لحماية البيانات.

وعلى الرغم من كونها محصورة بالمعنى الحرفي، حيث إنها تحمي فقط الأشخاص المسجلة بياناتهم داخل الاتحاد الأوروبي، إلا أن نطاق تأثير اللائحة العامة لحماية البيانات يعتبر، من الناحية العملية، عالميًا. فكبداية، سيتعين على شركات معالجة البيانات الموجودة خارج الاتحاد الأوروبي والتي تتعامل مع المعلومات الشخصية لسكان الاتحاد الأوروبي الالتزام بها.

كذلك، يقوم الاتحاد الأوروبي بالابتكار من حيث أنه يربط الآن تدفق البيانات بالتدفقات التجارية: أي بلد يريد التوقيع على اتفاقية تجارية مع الاتحاد الأوروبي، عليه أن يوقع على احترام اللائحة العامة لحماية البيانات. ففي العقد الماضي، أصبحت الولايات المتحدة الأمريكية الشرطة الاقتصادية العالمية، مع فرض غرامات ضخمة على البنوك لعدم امتثالها لقواعد مكافحة غسل الأموال الخاصة بها. ومع اللائحة العامة لحماية البيانات، هل سيصبح الاتحاد الأوروبي بطل حماية البيانات في العالم؟

هل ستهرب بلوكتشين من اللائحة العامة لحماية البيانات؟

تم اقتراح اللائحة العامة لحماية البيانات لأول مرة من قبل المفوضية الأوروبية في عام ٢٠١٢، مع التركيز المبدئي على الخدمات السحابية والشبكات الاجتماعية، في وقتٍ لم تكن فيه بلوكتشين كلمة معروفة. حيث كان يتم تنظيم الخدمات السحابية والشبكات الاجتماعية، على الأقل في عالم ما قبل بلوكتشين، في الغالب بشكلٍ مركزي: يتفاعل العديد من الأشخاص المسجلة بياناتهم مع كيان خادم فريد - شركة المعالجة/التحكم بالبيانات. فالإدارة المركزية تخلق نقطة هجوم واحدة سهلة للمنظمين. ولكن كيف ستؤثر اللائحة العامة لحماية البيانات على البروتوكولات اللامركزية مثل شبكات بلوكتشين العامة؟

من الواضح أنه نظرًا للخط الرفيع بين عدم الكشف عن الهوية والتعريف - تخزن بلوكتشين بعض البيانات الشخصية المحتملة - بدءًا من سجل المعاملات. ويمكنها أن تدخل في نطاق اللائحة العامة لحماية البيانات.

للوهلة الأولى، قد يعتقد المرء أن هناك تناقضًا مباشرًا بين اللائحة العامة لحماية البيانات وشبكات بلوكتشين العامة.  فعلى سبيل المثال، من بين العديد من المبادئ المنصوص عليها في اللائحة العامة لحماية البيانات، يبدو أن "الحق في الشطب" يتعارض بشكل خاص مع الطبيعة الثابتة التي تشكل، في اللغة الشائعة، جوهر تكنولوجيا بلوكتشين. وإذا افترضنا أن هذا التناقض ما زال قائمًا، فإن هذا يطرح السؤال: من هم معالجي البيانات الخاضعين للمساءلة في نظام بلوكتشين لامركزي بحت؟

فبشكل عام، يبدو من الصعب تحديد منطق اللائحة العامة لحماية البيانات وبلوكتشين، باستخدام "معالج البيانات"/"الأشخاص المسجلة بياناتهم". ولا شك في أن نقاشًا قانونيًا صعبًا ينتظرنا.

بلوكتشين مع اللائحة العامة لحماية البيانات؟

مع ذلك، تشارك بلوكتشين العديد من الأهداف مع اللائحة العامة لحماية البيانات. فكلاهما يهدف إلى تحقيق اللامركزية في مراقبة البيانات، وتخفيف التفاوت في السلطة بين مقدمي الخدمات المركزية - جزئيًا عن طريق قمع هذه، في معتقدات بلوكتشين - والمستخدمين النهائيين. وعلى الرغم من أن مواصفات بيتكوين الأصلية لم تضمن إخفاء الهوية، إلا أن العديد من الابتكارات التكنولوجية، بدءًا من خدمات الخلط الأساسية إلى تطبيقات zk-SNARK، أوصلتنا إلى هذا النموذج. وقد لا يكون هذا النوع من المجهولية على الأرجح هو ما تسعى وراءه الجهة التنظيمية بعد ذلك - فهل هناك حلول مقترحة من قبل بلوكتشين والتي يمكن قبولها بسهولة أكثر من قبل الهيئة التنظيمية؟

أحد الطرق البحثية الواعدة بشكل خاص هو الجمع بين الأجهزة الموثوقة وبلوكتشين. فعلى شبكات بلوكتشين العامة، يتم نسخ جميع البيانات ومشاركتها عبر جميع الأجهزة في الشبكة. وهذا يجعل حذف بيانات المعاملات، والخصوصية، كابوسًا للمستخدمين. حيث بدأت الأبحاث الحديثة دراسة كيف يكن لـ "معازل الحوسبة الموثوقة"، مثل Intel SGX، توفير تخزين آمن وسري للبيانات والخصوصية.

فالجمع بين الحوسبة الموثوقة مع الحواجز العامة يعني أنه يمكن حماية خصوصية البيانات من التهديدات الخارجية، وتخزينها خارج السلسلة، مع عمل بلوكتشين كقاضي نهائي لمن يمكنه الوصول إلى تلك البيانات أو لا. ونظرًا لأن العقود الذكية تعني أنه لم يعد هناك حاجة إلى الوثوق بمزودي الخدمة المركزية، يمكن إدارة حقوق البيانات حصريًا عبر أجهزة الكمبيوتر والمكونات الموثوق بها من قبل المستخدمين؛ مما يعيد التحكم وخصوصية بياناتهم مرة أخرى إليهم. كذلك تسعى عدة مشاريع حاليًا وراء هذه الفكرة، على أمل أن تتمكن من تحويل بلوكتشين من كابوس للائحة العامة لحماية البيانات إلى قصة خيالية.

وإحدى هذه المحاولات هي جهد مشترك من جامعة إمبيريال كوليدج لندن وجامعة كورنيل. وتيتشين، هو مشروع يستخدم أجهزة موثوق بها لتمكين إجراء معاملات آمنة وفعالة خارج سلسلة بلوكتشين العامة. ويستغرق الأمر خطوة مثيرة للاهتمام نحو السؤال عما إذا كان يمكن العثور على خصوصية المعاملة على جميع شبكات بلوكتشين العامة، وليس فقط تلك التي توفر إخفاء الهوية بشكل افتراضي. وأيضًا جاء مشروع بديل، والذي أدى إلى برهنة حية، كتعاون بين iExec وIntel تم إنشاؤه ضمن تحالف إيثريوم إنتربرايز ألاينس (EEA).

فهل تتخذ مشاريع بلوكتشين المفضلة لديك الخطوات اللازمة للتكيف مع زلزال قانون الخصوصية هذا؟ إذا لم يكن الأمر كذلك، فربما حان الوقت لتطبيق المنتجات التي تتضمن مبدأ "الخصوصية حسب التصميم" في جوهرها. وكما هو الحال دائمًا، فإن القيود سوف تولد الإبداع.

 

 شارك في كتابة المقال جوشوا ليند، وهو مرشح في علوم الحاسب الآلي وحاصل على دكتوراه