Больше денег: что такое Ethereum и как блокчейн меняет мир - Виталий Дмитриевич Бутерин
Контроль как ответственность
VITALIK.CA
9 мая 2019 года
В последние десять лет мы наблюдаем серьезные изменения в нормативно-правовой базе онлайн-сервисов и приложений. В 2000‐х годах, когда начался расцвет крупномасштабных платформ социальных сетей, никто не видел ничего плохого в массовом сборе данных. Это были времена, когда Марк Цукерберг провозгласил конец эпохи конфиденциальности, а Эрик Шмидт заявил: «Если вы не хотите, чтобы кто-то узнал о каких-то ваших действиях, возможно, вам вообще не следовало их совершать». Вполне осознанно они размышляли так: каждый бит данных о людях создает возможности для машинного обучения, любые ограничения его затрудняют, а если произойдет утечка данных, цена будет относительно невысока. Но прошло десять лет, и все изменилось.
Особенно стоит выделить несколько конкретных тенденций.
▒ Конфиденциальность. За последние десять лет по всему миру, особенно в Европе, появилось много новых законов о конфиденциальности. Самый последний из них – GDPR[63]. GDPR содержит много пунктов, но среди наиболее значимых: 1) требования к ясно выраженному согласию; 2) требование иметь законное основание для обработки данных; 3) право пользователей выгружать все свои данные; 4) право пользователей требовать, чтобы все их данные удалили. Другие юрисдикции рассматривают введение аналогичных правил.
▒ Законы о локализации данных. Индия, Россия и другие страны все чаще вводят или планируют ввести правила, по которым данные о пользователях, находящихся на территории страны, должны храниться внутри этой страны. И даже там, где подобных правил еще нет, наблюдается все большая обеспокоенность, что данные могут попасть в страны, которые предположительно недостаточно их защищают.
▒ Регулирование экономики совместного потребления. Компаниям в экономике совместного потребления – вроде Uber – сегодня трудно доказывать в судах, что при том уровне контроля над водителями, который достигается через приложения, водителей нельзя юридически рассматривать как сотрудников компании.
▒ Регулирование криптовалют. В недавнем руководстве FinCEN[64] есть попытки разъяснить, какие категории деятельности, связанной с криптовалютой, подпадают или не подпадают под действие нормативных лицензионных требований в Соединенных Штатах. Запуск электронного кошелька на сервере? Регулируется. Запуск кошелька, где пользователь сам контролирует свои средства? Не регулируется. Запуск криптовалютного миксера[65]? Если вы им управляете, то регулируется. Если вы просто пишете код… не регулируется.
Руководство по криптовалютам FinCEN писали вовсе не наобум. Скорее в нем пытались разделить приложения на две категории: те, где разработчик активно контролирует средства, и те, где у разработчика нет никакого контроля. Например, там тщательно описано, как кошельки с мультиподписью, ключи от которых хранятся и у оператора, и у пользователя, в разных случаях требуют или не требуют регулирования:
Если провайдер кошелька с мультиподписью ограничивает свою роль созданием не размещаемых на сервере кошельков, которые для проверки и завершения транзакций требуют добавить к закрытому ключу владельца кошелька второй ключ авторизации, то провайдер не будет считаться отправителем денег, поскольку он не принимает и не передает средства. С другой стороны, если… средства представлены в виде записи на счетах провайдера; если владелец не взаимодействует с платежной системой напрямую или если провайдер сохраняет полный независимый контроль над средствами, тогда провайдер также будет квалифицироваться как отправитель денежных переводов.
Хотя все это происходит в самых разных контекстах и отраслях, я бы выделил одну общую тенденцию: контроль над данными, цифровым имуществом и активностью пользователей постепенно превращается из полезного ресурса в ответственность. Раньше любой контроль приносил вам пользу: он открывал новые пути к получению дохода, если не сейчас, то в будущем. Теперь же любой контроль накладывает на вас ответственность: приходится внимательно следить за соблюдением всех правил. Если вы открыто контролируете криптовалюту пользователей, то вы – отправитель денежных переводов. Если вы «устанавливаете тарифы по своему усмотрению; взимаете с водителей штраф, когда они отменяют поездки; запрещаете водителям забирать пассажиров, не использующих ваше приложение, и замораживаете или деактивируете аккаунты водителей», то вы – работодатель. Если вы контролируете данные пользователей, вам нужно уметь аргументировать законность своих действий; нанять специалиста, который проследит за соблюдением всех правовых норм, и предоставить пользователям доступ к выгрузке или удалению данных.
Если вы разрабатываете приложения, но при этом ленивы и боитесь проблем с законом, то соблюсти все эти новые правила для вас не составит большого труда: просто не надо делать приложения с централизованным контролем. Создайте кошелек, где пользователь будет хранить свои приватные ключи, а вы останетесь «просто поставщиком программного обеспечения». Если вы создадите «децентрализованный Uber» – по сути, просто стильный пользовательский интерфейс с платежной системой, системой репутации и поисковой системой, которые вы не будете самостоятельно контролировать, то легко избежите многих юридических проблем. Создайте сайт, который просто… не собирает данные, и вам даже не придется думать о GDPR.
Конечно, такой подход возможен не для всех. Никуда не денутся ситуации, в которых отказ от удобств централизованного контроля будет обходиться разработчикам и пользователям слишком дорого или когда будет выгодней использовать бизнес-модель, завязанную на более централизованном подходе (например, запретить использовать программное обеспечение пользователям, которые не хотят за него платить, будет проще, если разместить его на ваших серверах). Но не стоит забывать, что пока мы знаем далеко не все возможности более децентрализованных подходов.
Бывает так, что закон, созданный для запрета чего-то конкретного, непреднамеренно блокирует целые виды деятельности. Обычно считается, что это плохо. Но в данном случае я бы сказал, что вынужденный переворот в мышлении разработчиков от «на всякий случай хочу больше контроля» к «на всякий случай хочу меньше контроля» может привести и к позитивным последствиям. Людям не свойственно добровольно отказываться от властных полномочий и отрезать себе пути к злоупотреблениям. Хотя сегодня и существуют проекты, которые идеологически стремятся к максимальной децентрализации, едва ли у таких сервисов есть большие шансы пробиться в мейнстрим индустрии. Однако новые тенденции в регулировании могут стать отличным стимулом для приложений, готовых встать на путь «can’t be evil»[66] с минимумом централизации и максимумом суверенитета пользователей.
Выходит, что, хотя изменения в регулировании и не направлены на защиту свободы (по крайней мере, свободы разработчиков приложений), а превращение интернета в объект политического внимания неизбежно влечет за собой множество негативных последствий, сама по себе тенденция превращения контроля в ответственность каким-то странным образом даже более соответствует духу шифропанка (пусть и ненамеренно!), чем политика максимальной свободы разработчиков приложений. Хотя современный нормативно-правовой ландшафт практически по всем параметрам далек от оптимального, сложилась очень удачная ситуация для сторонников минимума ненужной централизации и максимума контроля пользователей над их собственными активами, закрытыми ключами и данными. И было бы здорово этим воспользоваться.
Рождественский спецвыпуск
VITALIK.CA
24 декабря 2019 года
Раз уж сегодня Рождество и теоретически мы должны отвлечься