UT Messan

Starfar þú á sviði upplýsingatækni?
Við viljum endilega kynnast þér.

Hafa Samband

Fróðleikur

Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.

LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.

Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni

Veiki hlekkur bálkakeðjunnar

3. febrúar, 2021

Veiki hlekkur bálkakeðjunnar. Grein eftir Láru Herborgu Ólafsdóttur sem birtist í viðskiptablaði Morgunblaðsins þann 3. júní 2020.

Hin margumrædda persónuverndarreglugerð gerir eins og tíðrætt er orðið ríkar kröfur til svonefndra ábyrgðaraðila og vinnsluaðila um ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga. Reglugerðin, sem innleidd var í íslenskan rétt með lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, var meðal annars lögfest til þess að bregðast við umfangsmiklum breytingum í tækni um heim allan þar sem gildandi reglur þóttu ekki fyllilega henta okkar síbreytilega umhverfi. Var reglugerðin því sett með það í huga að vera „tæknilega hlutlaus“ og ætlunin að beita henni við notkun tæknilausna um ókomin ár. Þrátt fyrir framangreint markmið hefur ákveðin togstreita skapast við framfylgd reglnanna þegar bálkakeðjutækni (e. blockchain technology) er annars vegar.

Á síðustu árum hefur tilkoma bálkakeðjutækninnar og umræða um margvíslega möguleika hennar verið áberandi í daglegu tali. Skoðast það meðal annars í ljósi þess að rafmyntir á borð við Bitcoin og Ethereum sem flestir kannast við, eru knúnar af slíkri tækni. Þrátt fyrir að bálkakeðjur hafi í upphafi verið hugsaðar fyrir rafmyntir, eru möguleikar tækninnar margvíslegir og er nú leitast við að hagnýta þær á mörgum sviðum atvinnulífsins.

Bálkakeðjutækni má í stuttu máli skilgreina sem rafrænan gagnagrunn sem geymir upplýsingar og færslur í dreifðri og samnýttri færsluskrá. Bálkakeðjan heldur skrá yfir hverja færslu sem gerð er í sambandi við bálka (e. block) sem eru tengdir með dulritun (e. cryptography), í gegnum svokallað jafningjanet (e. peer-to-peer) sem er sérstök tilhögun um deilingu gagna og gögnum er þannig deilt á milli notenda í stað þess að vera með einn höfuðmiðlara. Allir bálkar í keðjunni eru því tengdir og eldri bálkarnir hafa að geyma upplýsingar fyrir bálkana sem á eftir koma, og er því nær ómögulegt að breyta bálkakeðjunni. Gagnsæi er lykilatriði, enda er bálkakeðja aðgengilegur gagnagrunnur sem geymir upplýsingar um færslur sem hafa verið staðfestar. Notkun tækninnar hefur þannig verið talin veita aukið öryggi í viðskiptum og jafnframt öryggi fyrir hugsanlegum netárásum fyrir tilstilli víðtæks dreifinets og óbreytileika keðjunnar.

Í framkvæmd hefur reynst erfitt að samrýma notkun bálkakeðja við gildandi persónuverndarlöggjöf og hafa aðilar sem eru í forsvari fyrir notkun bálkakeðja einkum bent á tvo vankanta í því samhengi. Annars vegar mælir persónuverndarreglugerðin fyrir um það að við vinnslu persónuupplýsinga skuli vera tilgreindur ábyrgðaraðili sem hinn skráði einstaklingur getur beint kröfum sínum að í tengslum við vinnslu persónuupplýsinga sinna. Í ljósi þess að bálkakeðjur hafa að geyma dreifða færsluskrá og er án höfuðmiðlara (e. decentralised), er örðugt að uppfylla þær kröfur, sér í lagi þegar um ræðir opna bálkakeðju. Í því samhengi hefur t.d. reynst erfitt að afmarka hverjir geta talist (sameiginlegir) ábyrgðaraðilar í skilningi persónuverndarreglugerðarinnar þegar bálkakeðjutækni er annars vegar.

Hins vegar mælir persónuverndarreglugerðin fyrir um það að persónuupplýsingum geti verið breytt eða eytt, annaðhvort samkvæmt kröfu hins skráða eða á grundvelli almennrar lagaskyldu. Í tilviki bálkakeðja er hins vegar oft tæknilega ómögulegt að afmá eða breyta þeim og er það raunar hryggjarstykkið í því öryggi sem talið er felast í notkun tækninnar. Þeir aðilar sem nýta sér bálkakeðjutæknina hafa leitast við að koma til móts við umrædd sjónarmið, sem getur reynst tæknilega erfitt, með því einfaldlega að vista allar upplýsingar sem teljast til persónuupplýsinga utan bálkakeðjunnar sjálfrar. Jafnframt er möguleiki að byggja bálkakeðjur þannig upp að breyta megi þeim, að ákveðnum skilyrðum uppfylltum, og getur sú tækni komið til móts við reglur persónuverndarlöggjafar.

Framangreind álitaefni hafa verið til athugunar hjá Evrópuþinginu og sætir meðal annars skoðun hvort gefa skuli út viðmiðunarreglur af hálfu Evrópska persónuverndarráðsins við notkun bálkakeðjutækninnar. Jafnframt hefur verið mælt með því að fjármunum skuli varið í þverfaglegar rannsóknir á bálkakeðjutækninni og búnir til hvatar fyrir notendur bálkakeðja til þess að fá vottun utanaðkomandi vottunaraðila um lögmæti vinnslu persónuupplýsinga sem geymdar eru í slíkum keðjum.

Ljóst er að mörgum spurningum um vinnslu persónuupplýsinga á bálkakeðjum er enn ósvarað og því mikilvægt að yfirvöld beini sjónum sínum að tækninni í ríkari mæli. Á sama tíma og regluverk má ekki íþyngja framþróun tækni um of má ekki missa sjónar á því að bak við hinar ýmsu upplýsingar standa einstaklingar sem geta átt mikið undir því að ekki sé unnið frekar með persónuupplýsingar en heimildir standa til.

Til baka í yfirlit