Prawo do bycia zapomnianym złamało blockchain, a przynajmniej złamało większość architektur blockchain. Europejskie regulacje dotyczące prywatności wymagają, aby osoby fizyczne mogły żądać usunięcia swoich danych osobowych w określonych okolicznościach. Podstawową cechą blockchain jest niezmienność. Dane zapisane w łańcuchu pozostają tam na zawsze. Te wymagania wydawały się fundamentalnie niekompatybilne, a większość projektów blockchain po prostu zignorowała problem, mając nadzieję, że to nie będzie miało znaczenia. Dusk tego nie zignorował.
To miało znaczenie. Firmy działające w Europie zaczęły uzyskiwać opinie prawne na temat tego, czy korzystanie z publicznych blockchainów do jakiejkolwiek aplikacji związanej z danymi osobowymi narusza RODO. Odpowiedzi były w większości „tak, prawdopodobnie.” Umieszczanie imion, adresów, szczegółów transakcji lub jakichkolwiek informacji identyfikujących osobę bezpośrednio na niezmiennych publicznych rejestrach stwarza problemy z przestrzeganiem przepisów, które nie mogą być łatwo naprawione później. To tutaj Dusk obrał inną ścieżkę architektoniczną.
Monety prywatności myślały, że rozwiązały to, szyfrując wszystko. Jeśli dane osobowe są szyfrowane i nikt nie może ich odczytać, być może RODO nie ma zastosowania. Regulatorzy się nie zgodzili. Szyfrowane dane osobowe nadal są danymi osobowymi w ramach RODO. Fakt, że dziś są nieczytelne, nie eliminuje obowiązków zgodności, zwłaszcza jeśli szyfrowanie teoretycznie może być złamane w przyszłości. Dusk nigdy nie polegał wyłącznie na szyfrowaniu jako rozwiązaniu RODO.
Publiczne blockchainy poszły w przeciwnym kierunku, umieszczając wszystko na widoku i zakładając, że zgodność z RODO była problemem kogoś innego. To działa, dopóki europejscy klienci lub regulatorzy nie zaczynają pytać, jak są obsługiwane wnioski o usunięcie danych. „Przykro mi, blockchain jest niezmienny” nie jest ważną odpowiedzią prawną. Dusk uniknął tego martwego punktu dzięki projektowi.
Dusk zaprojektował rozwiązanie problemu od samego początku, trzymając dane osobowe z dala od publicznego blockchaina. Zaszyfrowane transfery na Dusk ukrywają szczegóły transakcji, więc nadawca i kwota nie są widoczne dla publiczności. Co ważniejsze dla RODO, dane osobowe nigdy nie wchodzą do publicznego rejestru w postaci tekstu jawnego ani w jakiejkolwiek formie, która tworzy trwały publiczny zapis.
Odbiorca wciąż wie, kto mu zapłacił na Dusk. Ta informacja istnieje lokalnie dla uczestników transakcji. Może być udowodniona kryptograficznie, jeśli będzie to potrzebne do celów zgodności. Ale nie jest transmitowana do tysięcy węzłów na całym świecie, gdzie staje się trwała i niekontrolowalna. To rozróżnienie ma znaczenie dla RODO i jest czymś, co Dusk został zaprojektowany, by szanować.
Dane osobowe, które pozostają między uczestnikami transakcji i są ujawniane regulatorom tylko na podstawie właściwej władzy prawnej, nie stwarzają tych samych problemów z zgodnością, co dane osobowe trwale zapisane w publicznych blockchainach. Dusk traktuje blockchain jako warstwę koordynacyjną, a nie warstwę przechowywania danych osobowych.
Citadel, protokół tożsamości samodzielnej, zbudowany specjalnie dla Dusk, rozszerza tę logikę na weryfikację tożsamości. Tradycyjne procesy KYC wymagają od użytkowników przesłania wrażliwych dokumentów, które dostawcy usług następnie przechowują. Użytkownicy tracą kontrolę nad swoimi danymi, a dostawcy usług biorą na siebie odpowiedzialność za RODO. Wiele projektów blockchainowych nie doceniło, jak poważna jest ta odpowiedzialność.
Citadel odwraca ten model. Na Dusk użytkownicy udowadniają, że spełniają wymagania — progi wieku, ograniczenia jurysdykcji, status akredytacji — bez ujawniania podstawowych danych osobowych. Dowody zero-wiedzy pozwalają komuś udowodnić, że ma ponad 18 lat, nie dzieląc się datą urodzenia. Udowodnij europejskie miejsce zamieszkania bez ujawniania adresu. Udowodnij status akredytowanego inwestora bez przekazywania dokumentów finansowych.
Dane osobowe nigdy nie opuszczają kontroli użytkownika. Dostawcy usług weryfikują dowody, nie otrzymując surowych informacji. To spełnia wymagania zgodności, unikając obowiązków przechowywania danych, które wywołują ryzyko RODO. Nie można naruszyć prawa do bycia zapomnianym dla danych, których nigdy nie posiadano. Dusk bezpośrednio korzysta z tego projektu.
Budowanie DuskTrade na tej infrastrukturze ma sens dla europejskich rynków papierów wartościowych. Przepisy finansowe wymagają KYC i weryfikacji inwestorów. RODO wymaga ochrony danych osobowych i honorowania wniosków o usunięcie. Te wymagania wydają się sprzeczne, dopóki nie oddzielisz weryfikacji od przechowywania danych, co umożliwia Dusk.
Instytucja może zweryfikować, że inwestor spełnia wymagania regulacyjne, używając Citadel na Dusk. Mogą udowodnić, że weryfikacja miała miejsce. Ale nie muszą przechowywać paszportów, zeznań podatkowych ani wyciągów bankowych, które stwarzają długoterminowe ryzyko RODO. Weryfikacja odbywa się bez trwałej zbiórki danych.
Dusk wymienia pewną abstrakcyjną anonimowość na praktyczną zgodność. Czysta anonimowość brzmi atrakcyjnie, ale nie działa w finansach instytucjonalnych w ramach europejskich regulacji. Prywatność zgodna z RODO, która nadal wspiera weryfikację, działa lepiej na prawdziwych rynkach, i to jest podejście, które przyjął Dusk.
Oczekiwane €300 milionów w papierach wartościowych, które mają przejść przez DuskTrade, przetestuje, czy ta architektura spełnia wymagania regulatorów w praktyce. Teoria i wdrożenie nie zawsze są zgodne. Regulatorzy mogą zadawać pytania, gdy będą badane rzeczywiste przepływy transakcyjne. Ale Dusk zaczyna z silniejszej pozycji niż architektury, które na stałe ujawniają lub na stałe ukrywają dane osobowe.
Publiczne blockchainy, które przechowują dane osobowe na stałe, naruszają zasady RODO. Systemy anonimowe, które uniemożliwiają wymagane kontrole tożsamości, naruszają przepisy finansowe. Dusk znajduje się pomiędzy tymi skrajnościami, trzymając dane osobowe poza łańcuchem, jednocześnie pozwalając na weryfikację, gdy jest to prawnie wymagane.
Quantoz działający na podstawie licencji EMI od holenderskiego banku centralnego sugeruje komfort z podejściem Dusk do RODO. Udział TradeOn21X sugeruje pewność ze strony tych, którzy poruszają się w ramach DLT-TSS. Cordial Systems zapewniające przechowywanie pokazuje zaufanie instytucjonalne. Te partnerstwa byłyby mało prawdopodobne, gdyby architektura prywatności danych Dusk była zasadniczo wadliwa.
Rynki wciąż doganiają to, co oznacza infrastruktura blockchaina zgodna z RODO w Europie. MiCA i Reżim Pilota DLT stworzyły jasność regulacyjną, ale RODO pozostaje cichym filtrem, przez który większość projektów nie przechodzi. Dusk zajął się tym wcześnie, zanim presja egzekucji stała się nieunikniona.
Europejscy regulatorzy jeszcze nie egzekwowali agresywnie RODO wobec projektów blockchain, głównie dlatego, że adopcja instytucjonalna była ograniczona. W miarę wzrostu adopcji rośnie także nadzór. Projekty, które traktowały RODO jako coś drugorzędnego, będą miały trudności. Dusk został zbudowany z myślą o RODO od samego początku.
To, czy Dusk spełnia każdą interpretację RODO, ostatecznie zostanie ustalone poprzez rzeczywiste zaangażowanie regulacyjne. Zgodność jest zniuansowana i ewoluuje. Co jest jasne, to że Dusk poważnie podszedł do problemu, zamiast go ignorować.
„Prawo do bycia zapomnianym” nie złamało blockchaina jako całości. Złamało architektury, które wbudowały dane osobowe w niezmienne publiczne rejestry. Dusk zbudował inny model, który trzyma dane osobowe poza łańcuchem, jednocześnie utrzymując weryfikowalny zaufanie na łańcuchu.
RODO kiedyś wydawało się abstrakcyjne. Teraz jest praktycznym strażnikiem dla europejskiej adopcji blockchaina. Dusk zbudował na tę rzeczywistość wcześnie.
Problem niemożności nie był niemożliwy.
Wymagało to po prostu zaprojektowania systemów blockchainowych w oparciu o prawo prywatności, zamiast udawania, że go nie ma.
