Криптовалута като лични данни
Адресът на биткойн портфейла е низ от 26–35 буквено-цифрови знака в кодиране Base58Check, започващ с „1“, „3“ или „bc1“. Адресът на Ethereum е "0x", последван от 40 шестнадесетични знака. Тези адреси са псевдонимни — те не идентифицират директно физическите лица — но съгласно GDPR псевдонимните данни, които могат да бъдат свързани с физическо лице чрез допълнителна обработка, са лични данни.
Борса за криптовалута, която съхранява KYC данни (свързване на адреси на портфейли с проверени самоличности на клиенти), съхранява лични данни в обхвата на GDPR: адресът на портфейла, в комбинация с KYC записа, идентифицира физическо лице. Самият адрес на портфейла е лични данни в средата на борсата с данни, тъй като борсата може да го свърже с физическо лице.
Регламентът на ЕС MiCA (пазари на крипто-активи), в сила от декември 2024 г., добавя финансов регулаторен слой: доставчиците на услуги за криптовалутни активи (CASP) трябва да прилагат подходящ контрол за защита на данните на клиентите. Пресечната точка на MiCA и GDPR означава, че европейската крипто борса е изправена както пред финансова регулация (изискванията на MiCA за защита на данните за CASP), така и към общ закон за защита на данните (GDPR) за едни и същи данни за адреса на портфейла.
Пропускът в откриването
Стандартните инструменти за откриване на PII са проектирани за традиционни финансови идентификатори: IBAN, номер на сметка, номер за маршрутизиране, SWIFT/BIC. Тези инструменти не познават форматите на адресите на криптовалута. Документ, съдържащ адрес на биткойн портфейл, адрес на Ethereum и SWIFT код, ще има открит SWIFT код и двата адреса на криптовалута, пропуснати от всеки инструмент, който не включва типове обекти на крипто адрес.
За европейска крипто борса, обработваща KYC документи: IBAN на банковата сметка на клиента се откриват от стандартни инструменти. Адресът на биткойн портфейла на клиента, използван за първоначално финансиране, не е открит. Кодът SWIFT за банковия превод от тяхната банка е открит. Адресът на Ethereum, използван за покупки на токени, не е открит.
Липсващото откриване не е малка празнина — адресите на портфейла са основни финансови идентификатори в крипто контексти, толкова чувствителни, колкото номерата на сметки в традиционните банкови контексти.
GDPR Член 32, параграф 1, буква а) изисква псевдонимизация и криптиране като базови технически мерки. 56% от глобите по GDPR посочват неадекватното криптиране като допринасящ фактор. Организация, която криптира всички открити PII, но не успява да открие адреси на портфейли за криптовалута, не е криптирала нищо свързано с нейните основни бизнес операции.
Източници:
- [Регламент на ЕС MiCA: Изисквания за защита на данните на пазарите на крипто-активи] (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32023R1114)
- [GDPR Член 32: Технически мерки и изисквания за криптиране] (https://gdpr-info.eu/art-32-gdpr/)
- EDPB: Изисквания за псевдонимизация на финансови данни съгласно GDPR