GDPR ja lohkoketjut
Kesällä kaikkien puhelimet alkoivat piippaamaan ja kyselemään tietosuojasta. Sähköpostit täyttyivät samankaltaisista kyselyistä. Lehdet riepottelivat EU:n uutta tietosuoja-asetusta kertomalla, kuinka vaikeaksi muun muassa urheiluseurojen elämä muuttuu. Hieman pienemmälle huomiolle jäivät lohkoketjujen ja muiden hajautettujen järjestelmien haasteet asetuksen suhteen.
Euroopan Unioni antoi keväällä 2016 yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR). Asetuksella kumottiin henkilötietodirektiivi, joka oli Suomessa pantu täytäntöön henkilötietolailla. GDPR tuli jäsenvaltioissa suoraan sovellettavaksi toukokuussa 2018. Asetuksen perimmäisenä tarkoituksena on tarjota kuluttajille parempaa kontrollia heidän henkilötiedoistaan.
GDPR:llä on laajamittaisia vaikutuksia moniin eri toimijoihin, kuten kuluttajiin ja organisaatioihin. Voidaksemme puhua näistä vaikutuksista tulee ensiksi selvittää, mitä eri toimijoita on henkilötietojen käsittelyssä. GDPR määrittelee kolme erilaista roolia.
- Datan kohde (data subject)
Tämä tarkoittaa kaikessa yksinkertaisuudessaan sitä henkilöä, jonka henkilötiedoista on kyse.
2. Dataa hallinnoiva taho (data controller)
Dataa hallinnoiva taho on henkilö tai jokin muu laillinen toimija, joka kerää henkilötietoja. Hän on vastuussa keräämistään henkilötiedoista ja on taho johon datan kohde ottaa yhteyttä, jos datan kohteella on kerättyjen henkilötietojensa suhteen kysyttävää, huomautettavaa tai valitettavaa.
3. Datan prosessoija (data processor)
Datan prosessoija on taho, joka kerää ja käsittelee henkilötietoja dataa hallinnoivan tahon puolesta.
Tällä hetkellä EU:ssa käydään kiivasta keskustelua dataa hallinnoivista tahoista lohkoketjuissa. Yksityisissä ja konsortiolohkoketjuissa keskustelu on helpompaa, koska roolit ovat selkeämmin määriteltyjä. Julkisissa lohkoketjuissa on hankala määritellä dataa hallinnoivaa tahoa. Useimmiten tilanne nähdään kuitenkin niin, että lohkoketjujen kehittäjiä ei nähdä dataa hallinoivina tahoina. Kehittäjät luovat ainoastaan työkalun käyttäjille, mutta eivät kerro kuinka työkaluja tulisi käyttää. Lohkoketjujen kehittäjien asettamista dataa hallinnoivan tahon rooliin, on sama kuin asettaisi Tim Berners-Leen vastuuseen kaikesta mitä internetissä tapahtuu. Useimmiten myöskään louhivia solmuja ei nähdä dataa hallinnoivina tahoina, koska he eivät tiedä mitä lohkoketjussa tapahtuu. Heidän tehtävänsä on ainoastaan ylläpitää järjestelmää. Toisaalta, koska louhijat voivat vaikuttaa lohkoketjun kehitykseen valitsemalla mitä päivityksiä tukevat, ovat he myös tietoisia louhimansa lohkoketjun toiminnasta. Viimeisimpänä toimijana julkisissa lohkoketjuissa ovat itse käyttäjät. Ne käyttäjät, jotka haluavat tallentaa henkilötietoja lohkoketjuun osana yritystoimintaa ovat dataa hallinnoivia tahoja. On kuitenkin huomioitava, että käyttäjän tallentaessa ainoastaan omia henkilötietojaan lohkoketjuun kuuluu hän todennäköisesti kotitalouspoikkeuksen alle, eikä näin ollen ole GDPR:n mukaan dataa hallinoiva taho. Seurauksena suurimmalle osalle dataa ei ole selkeää dataa hallinnoivaa tahoa, joka tekee GDPR:n soveltamisesta julkisissa lohkoketjuissa hankalaa.
Kun tiedämme kaikki GDPR:n mukaiset toimijat, voimme syventyä asetukseen. GDPR:n perimmäisenä tarkoituksena on tarjota kuluttajille parempaa kontrollia heidän henkilötiedoistaan. Käytännössä tämä kiteytyy kuuteen ydin kohtaan.
- Laillisuus, oikeudenmukaisuus ja läpinäkyvyys
GDPR:n mukaan kaiken kerätyn henkilötiedon tulee olla laillisesti, oikeudenmukaisesti ja läpinäkyvästi kerättyä, sekä käsiteltyä. Tämä tarkoittaa, että dataa hallitsevilla tahoilla tulee olla hyvä syy kerätä henkilötietoja ja heidän tulee selkeästi ilmoittaa, miten henkilötietoja tullaan käyttämään. Henkilötietoja kerätessä täytyy datan kohteelta myös pyytää lupa datan keräämisestä, tallentamisesta ja hyödyntämisestä.
2. Henkilötietojen käytön rajoittaminen
Henkilötietoja voidaan kerätä vain ennalta määriteltyjä laillisia toimia varten. Lisäksi henkilötietoja saa käyttää vain ennalta määriteltyihin toimiin. Jos henkilötietoja tarvitaan johonkin uuteen toimeen, tulee henkilötietojen käyttöön kysyä uusi lupa.
3. Datan rajallisuus
Dataa ei saa kerätä rajattomasti. Kaiken datan tulee olla asianmukaista ja tarpeellista. Tämän takia esimerkiksi pizzeria ei saa kysyä asiakkaan suhdestatusta.
4. Datan oikeellisuus
Kaiken hallussa olevan datan tulee olla oikein ja datan vanhentuessa täytyy se päivittää ajan tasalle viipymättä. Datan kohteella on oikeus pyytää dataa hallinnoivaa tahoa päivittämään hänen tietonsa.
5. Datan säilyttämisen rajoittaminen
Henkilötietoja tulee säilyttää, niin että datan kohdetta ei voida tunnistaa kuin välttämättömän ajan. Dataa hallinnoivan tahon tulee poistaa henkilötiedot, kun niitä ei enää tarvita.
6. Luottamuksellisuus
Dataa hallinnoivan tahon vastuulla on suojata dataa esimerkiksi hakkerointia, vahinkoja ja datan tuhoutumista vastaan.
Käyttäjän oikeus parempaan henkilötietojen hallinnointiin on käyttäjännäkökulmasta erinomainen asia, mutta miten tämä sopii lohkoketjuihin. Lohkoketjujen perimmäisiä ajatuksia ovat muuttumattomuus ja läpinäkyvyys. Muuttumattomuudellaan se mahdollistaa kaikille osapuolille luotettavampaa dataa, koska kukaan ei voi muuttaa dataa jälkikäteen. Läpinäkyvyys tarjoaa myöskin kaikille luotettavampaa dataa, koska kaikki voivat nähdä kaiken datan, sekä tehdyt muutokset. Nämä molemmat ovat kuitenkin auttamattomasti GDPR:n vastaisia.
Ovatko kaikki lohkoketjut GDPR-asetuksen vastaisina laittomia? Eivät välttämättä.
GDPR-asetuksen vaikutukset rajoittuvat henkilötietoihin ja niiden käsittelyyn. Henkilötietoja ovat kaikki informaatio, jotka liittyvät tunnistettuun tai tunnistettavaan luonnolliseen henkilöön. Tunnistettavissa oleva henkilö on luonnollinen henkilö, joka voidaan suorasti tai epäsuorasti tunnistaa tunnisteesta. Tunnisteita ovat muun muassa nimi, tunnistenumero, paikannustieto, online tunniste. Tunnisteita ovat myös yksi tai useampi spesifi fyysinen, psykologinen, geneettinen, henkinen, ekonominen, kulttuurillinen tai sosiaalinen tunniste, jonka avulla luonnollinen henkilö voidaan tunnistaa. (GDPR kappale 4(1).) Lohkoketjuihin tallennetaan kahdenlaista dataa, jotka täyttävät henkilötietojen määritelmät: siirtojen sisältämä data, sekä julkiset avaimet. Tärkeää henkilötietojen määritelmästä on kuitenkin huomata, että datan ollessa anonyymiä, ei sitä nähtäisi henkilötietona. Anonymiteetin vaatimukset on kuitenkin asetettu hyvin korkealle GDPR:ssä. Käytännössä anonymiteettikysymyksessä tulee pohtia kahta asiaa;
- Riskiä, että datasta voitaisiin palauttaa henkilötietoja
- Data pystytään linkittämään luonnolliseen henkilöön
Jos datasta ei voida palauttaa henkilötietoja, eikä sitä pystytä linkittämään datan kohteeseen, voitaisiin tieto tallentaa lohkoketjuun. Katsotaanpa seuraavaksi, miten se voisi olla mahdollista.
Siirtojen data voidaan tallentaa lohkoketjuihin kolmella eri tavalla: tekstinä, salattuna tekstinä tai tiivisteinä.
GDPR:n mukaan datan täytyy olla peruuttamattomasti tunnistamattomissa, joten tekstinä tallennetut tiedot ovat auttamattomasti GDPR vastaisia.
Salattu data voidaan purkaa oikeilla avaimilla ja täten datan kohde ei ole peruuttamattomasti tunnistettamattomissa. Salausta pidetään EU:ssa pseudonymiteettitekniikkana. Koska salatun datan avulla voidaan edelleen epäsuorasti tunnistaa luonnollinen henkilö, ei se ole anonymiteettitekniikka. Salattu data lohkoketjussa ei siis täytä GDPR:n ehtoja.
Myös tiivistetty data on GDPR:n vastainen, vaikka tiivisteestä ei voida palauttaa alkuperäistä dataa. Tiivistetty data on myös pseudonymiteettitekniikka, eikä anonymiteettitekniikka. Tiiviste ei ole anonymiteettitekniikka, koska data on edelleen mahdollista linkittää luonnolliseen henkilöön metadatan avulla. Lisäksi tiivistealgoritmeissä on eroja ja teoriassa tiiviste on mahdollista palauttaa, jos alkuperäinen data tiedetään ja alkuperäinen data on suhteellisen pieni kokoinen.
Seurauksena kaikki siirtojen data tallennettuna lohkoketjuun on GDPR:n vastainen.
On mahdollista, että tulevaisuudessa SHA-256 tai SHA-3 tiivistealgoritmit julistetaan anonymiteettitekniikoiksi Euroopan Data Protection Supervisor toimesta, koska niistä ei ole mahdollista palauttaa alkuperäistä dataa. Kaikki toivo ei kuitenkaan ole lakimuutoksissa. Kehitteillä on useita ratkaisuja, joiden ansiosta GDPR-asetuksia ei rikottaisi. Yksi tällainen on kryptograafisesti turvallinen obfuscatio, jota Vitalik Buterin pitää lohkoketjuturvallisuuden Graalin maljana.
Muita vaihtoehtoja on kaiken henkilötietojen tallentaminen lohkoketjun ulkopuolelle. Lohkoketjun ulkopuolelle tallennettuun dataan voidaan luoda tiivisteosoitin samalla tavalla kuin tiivisteellä osoitetaan edelliseen lohkoon lohkoketjussa. Lopputuloksena kaikki henkilötiedot on muutettavissa olevassa salatussa tietokannassa. Lohkoketju Laboratoriossa olemme käyttäneet tämänkaltaista ratkaisua kehittäessämme turvallisempaa ja varmempaa tietokantaa tutkintotodistuksia varten. Tällaisissä ratkaisuissa on tärkeää huomioida, että metadataa käsitellään oikein, jotta epäsuora tunnistaminen metadatan avulla estetään.
Julkiset avaimet ovat hieman hankalampia, kuin siirtojen data. Toisinkuin siirtojen data, julkisia avaimia ei voida siirtää off-chain. Tämä tarkoittaa, että julkisia avaimia pitäisi muuttaa sellaiseen muotoon, ettei niistä voi tunnistaa suoraan tai epäsuoraan avaimen omistajaa. Ratkaisuvaihtoehtoja on, mutta ne ovat hyvin rajatusti käytössä. Yksi ratkaisu on stealth-osoitteiden käyttäminen. Nämä osoitteet ovat kertaluontoisia ja hyödyntäisivät tiivistettyjä avaimia. Kertaluonteisuutensa ja oikein käytettyjen tiivisteiden ansiosta avaimen omistajan tunnistaminen on mahdotonta.
Kryptograafinen tutkimus on kehittänyt myös toisen mahdollisen ratkaisun; “zero-knowledge proof” (zk-todiste), joka palauttaa binäärisesti joko toden tai epätoden paljastamatta dataa, josta vastaus saatiin. Esimerkiksi kryptovaluutta Zcash käyttää zk-todistetta hyväkseen. Kaikkien siirtojen ollessa julkisessa lohkoketjussa pysyvät siirtojen yksityiskohdat silti piilossa. Lohkoketjusta voidaan ainoastaan todeta, onko siirto tapahtunut vai ei, mutta julkista avainta tai siirtosummaa ei lohkoketjusta löydy. Tämä ratkaisu onkin jo käytössä oleva ja toimivaksi testattu tapa, joka on myös GDPR:n mukainen.
Kolmas mahdollinen tapa on lisätä “melua” siirtoihin. Melulla tarkoitetaan tässä tilanteessa useiden siirtojen yhdistämistä yhdeksi siirroksi. Lopputuloksesta ulkopuolisen on mahdotonta saada siirron tietoja selville. Kuka, mitä, kenelle, koska ja kuinka paljon jäävät kaikki ulkopuoliselle taholle mysteeriksi. GDPR:n puolesta tämä on hyvä vaihtoehto, koska EU on myös huomioinut ratkaisun ja hyväksynyt sen anonymiteettitekniikkana.
Kaiken kaikkiaan GDPR:n soveltaminen lohkoketjuihin ja muihin hajautettuihin järjestelmiin on äärimmäisen haastava. Tämä ei tarkoita, että se olisi mahdotonta ja EU:n “Blockchain and GDPR” -raportin mukaan kehittäjien tulisi jatkaa työtään. EU haluaa jatkaa uusien tekniikoiden tukemista ja monia lohkoketjuihin liittyviä kiistoja tullaan raportin mukaan selvittämään tapauskohtaisesti. Raportti on hyvässä hengessä kirjoitettu ja antaa ymmärtää, että EU haluaa mahdollistaa lohkoketjujen käyttämisen tulevaisuudessakin, kunhan henkilötietoihin liittyviin asioihin saadaan selvyys. Voidaankin toivoa, että EU on jo työstämässä GDPR-asetukseen jatkoa, joka ratkaisisi lohkoketjuihin liittyvät haasteet.
