Следующие несколько недель могут стать решающими для Worldcoin — криптовалюты, сканирующей глазные яблоки, соучредителем которой является Сэм Альтман из OpenAI, поделились новостью TechCrunch. Ее деятельность в Евросоюзе практически полностью остановлена после ряда жалоб на конфиденциальность, в том числе во Франции, Германии, Португалии и Испании.
Единственный рынок ЕС, где Worldcoin все еще привлекает внимание, согласно сайту Worldcoin.org, — это Германия, где у его разработчика Tools for Humanity (TfH) есть местный офис. Но ситуация может измениться в ближайшее время в зависимости от результатов расследования, инициированного органом по защите данных Баварии.
Представители ведомства сообщили, что ожидают скорого решения по этому расследованию, — по словам представителя, они будут готовы опубликовать свои выводы в середине июля. Надзорный орган начал изучать Worldcoin в прошлом году после его глобального запуска в июле 2023 года.
«Учитывая дальнейшие шаги по согласованию с другими надзорными органами, я ожидаю, что результаты, которые мы сможем использовать публично, появятся в середине июля 2024 года», — сказали в надзорном органе.
В ЕС были высказаны жалобы на то, что Worldcoin нарушает Общий регламент по защите данных (GDPR), который устанавливает правила обработки персональных данных. Регламент не только наделяет надзорные органы, они же органы по защите данных (DPA), полномочиями налагать штрафы в размере до 4% от глобального годового оборота за подтвержденные нарушения. Они также могут предписать прекратить обработку данных, не соответствующую требованиям.
Это важно, поскольку в случае с таким крипто-биометрическим проектом, как Worldcoin, который превращает скан глазного яблока человека в неизменяемый токен, хранящийся на децентрализованном блокчейне, это может означать установление условий, которые навсегда запретят ему нахождение в ЕС, если только Worldcoin не переделает свою систему так, чтобы персональные данные можно было удалять по запросу. Но, как правило, блокчейн так не работает.
Другие проблемы GDPR, связанные с Worldcoin, включают правовые основания для обработки чувствительных биометрических данных людей с целью их идентификации, а также соблюдение требований прозрачности и справедливости.
Основная критика подхода компании Worldcoin заключается в том, что она стимулирует людей передавать свои конфиденциальные биометрические данные в обмен на одноименную криптовалюту, встроенную в разработанную ею систему идентификации, подтверждающую «человечность», в то время как GDPR требует, чтобы согласие на обработку данных давалось свободно.
Опасения, что Worldcoin представляет опасность для детей, также заставили некоторые регулирующие органы ЕС ввести временный запрет на ее деятельность на своих рынках в этом году после жалоб на то, что операторы Worldcoin сканировали глазные яблоки несовершеннолетних.
Еще в марте DPA Испании приняло экстренные меры, приказав Worldcoin прекратить сбор и обработку данных местных жителей на срок до трех месяцев. Оно заявило, что действует в связи с рядом жалоб на нарушение конфиденциальности, в том числе на риски, связанные с информацией о детях. За этим последовало аналогичное распоряжение DPA Португалии, также принявшее меры в связи с жалобами Worldcoin на сканирование глаз несовершеннолетних.
Несмотря на эти меры, немецкие регуляторы конфиденциальности позволили Worldcoin продолжить сканирование глазных яблок, пока баварское DPA проводит расследование. Ранее испанская DPA объявила, что Worldcoin согласилась не возобновлять свою деятельность на рынке после того, как вскоре истечет срок действия трехмесячного запрета.
В пресс-релизе говорится, что разработчик Worldcoin обязался, по его словам, «юридически обязывающим образом» не возобновлять свою деятельность в Испании до тех пор, пока баварские власти не примут окончательное решение по расследованию (или не раньше конца года).
Изначально TfH пыталась оспорить временный запрет Испании в суде, в том числе добиваясь судебного запрета, который ей не был вынесен. Неясно, почему компания согласилась дождаться результатов баварского расследования, но, возможно, она решила, что это лучший вариант действий для снижения регуляторного риска. Возможно, она также уверена, что ждать решения не придется слишком долго.
В пресс-релизе испанского ведомства содержится еще одна информация: после принятия экстренного постановления TfH объявила об изменениях в работе Worldcoin, которые, по ее словам, включают в себя введение контроля для проверки возраста пользователей, а также «возможность отмены кода радужной оболочки глаза».
Представитель компании Ребекка Хан указала на заявление на сайте Worldcoin, в котором компания пишет, что обязалась не проводить операции с радужкой в Испании до конца 2024 календарного года или раньше, пока не завершится процесс консультаций BayLDA (баварского DPA) с другими органами ЕС по защите данных.
В заявлении Worldcoin также отмечается то, что TfH называет «серией мер конфиденциальности и безопасности», которые, по его словам, были реализованы в последние месяцы и направлены на решение проблем DPA. В нем говорится, что это включает в себя расширенные средства контроля для проверки возраста, удаление старых кодов радужной оболочки глаза путем преобразования их в общие ресурсы SMPC (Secure Multi-Party Computation), дополнительную отмену проверки World ID (включая возможность удаления кодов радужной оболочки глаза ) и многое другое.
Неясно, будет ли преобразование кодов радужки в доли SMPC считаться удалением данных в соответствии с GDPR. В своем заявлении DPA Испании сообщил, что ожидает завершения расследования баварского органа по защите данных «в ближайшее время», добавив, что ожидает, что окончательное решение будет отражать позиции всех заинтересованных европейских надзорных органов.
Если между DPA возникнут разногласия по поводу того, что делать с Worldcoin, стоит отметить, что GDPR содержит механизм рассмотрения трансграничных жалоб, который позволяет заинтересованным органам выдвигать возражения. Если большинству не удастся прийти к единому мнению, Европейский совет по защите данных может попросить вмешаться и принять окончательное решение.
В апреле Google согласилась уничтожить миллиарды записей данных, чтобы урегулировать судебный иск по поводу тайного отслеживания действий пользователей, считавших, что просматривают веб-страницы в режиме «инкогнито». По словам адвокатов истцов, сумма иска составляет от $5 млрд до $7,8 млрд. При этом Google не возмещает ущерб, но пользователи могут подать в суд на компанию в индивидуальном порядке.