Криптовалюта как личные данные
Адрес Bitcoin-кошелька — это строка из 26–35 алфавитно-цифровых символов в кодировке Base58Check, начинающаяся с "1", "3" или "bc1". Адрес Ethereum — это "0x", за которым следуют 40 шестнадцатеричных символов. Эти адреса являются псевдонимными — они не идентифицируют физические лица напрямую — но в соответствии с GDPR, псевдонимные данные, которые могут быть связаны с физическим лицом через дополнительную обработку, являются личными данными.
Криптовалютная биржа, которая хранит данные KYC (связывая адреса кошельков с проверенными идентичностями клиентов), хранит личные данные в рамках GDPR: адрес кошелька в сочетании с записью KYC идентифицирует физическое лицо. Адрес кошелька сам по себе является личными данными в среде данных биржи, потому что биржа может связать его с физическим лицом.
Регулирование ЕС MiCA (Рынки криптоактивов), вступающее в силу с декабря 2024 года, добавляет финансовый регуляторный уровень: поставщики услуг криптоактивов (CASPs) должны внедрить соответствующие меры для защиты данных клиентов. Пересечение MiCA и GDPR означает, что европейская криптобиржа сталкивается как с финансовым регулированием (требования MiCA по защите данных для CASPs), так и с общим законом о защите данных (GDPR) для одних и тех же данных адреса кошелька.
Пробел в обнаружении
Стандартные инструменты обнаружения PII были разработаны для традиционных финансовых идентификаторов: IBAN, номер счета, номер маршрутизации, SWIFT/BIC. Эти инструменты не учитывают форматы адресов криптовалюты. Документ, содержащий адрес Bitcoin-кошелька, адрес Ethereum и SWIFT-код, будет иметь обнаруженный SWIFT-код, а два адреса криптовалюты будут упущены любым инструментом, который не включает типы сущностей адресов криптовалюты.
Для европейской криптобиржи, обрабатывающей документы KYC: IBAN банковского счета клиента обнаруживаются стандартными инструментами. Адрес Bitcoin-кошелька клиента, использованный для первоначального финансирования, не обнаруживается. SWIFT-код для перевода из их банка обнаруживается. Адрес Ethereum, использованный для покупки токенов, не обнаруживается.
Недостаток обнаружения не является незначительным пробелом — адреса кошельков являются основными финансовыми идентификаторами в контексте криптовалют, столь же чувствительными, как номера счетов в традиционном банковском контексте.
Статья 32(1)(a) GDPR требует псевдонимизации и шифрования в качестве базовых технических мер. 56% штрафов по GDPR указывают на недостаточное шифрование как на способствующий фактор. Организация, которая шифрует все обнаруженные PII, но не может обнаружить адреса криптовалютных кошельков, не зашифровала ничего, что имеет отношение к ее основным бизнес-операциям.
Источники: