Opublikowano Kategorie blockchain, zmiany w prawie

Blockchain i outsourcing

Do polskich regulacji, które wprost odnoszą się do blockchaina, dołączy 19 września rozporządzenie Rady Ministrów z dnia 9 marca 2020 r. w sprawie dokumentów związanych z czynnościami bankowymi, sporządzanych na informatycznych nośnikach danych. Rozporządzenie wyraźnie umożliwia bankom przechowywanie dokumentów związanych z czynnościami bankowymi na blockchainie.

Zgodnie z § 5 ust. 2 nowego rozporządzenia dokument może być przechowywany w formie rozproszonej i zdecentralizowanej bazy danych. Bank prowadzi bazę danych w sposób zapewniający bezpieczeństwo i integralność zawartych w niej dokumentów. Użyty w przytoczonym przepisie zwrot „rozproszona i zdecentralizowana baza danych” odnosi się do blockchaina. Wskazuje na to wyraźnie uzasadnienie do projektu rozporządzenia. Ponadto identyczny zwrot jest używany w innych aktach prawnych w celu odniesienia do technologii blockchain (np. w Kodeksie spółek handlowych w przepisach poświęconych rejestrowi akcjonariuszy).

Zawarcie w rozporządzeniu wyraźnego odniesienia do technologii blockchain jest ważnym krokiem na drodze ku zwiększeniu absorbcji tej technologii przez tradycyjny sektor finansowy. Do tej pory część instytucji finansowych miała wątpliwości, czy wykorzystywanie tej technologii jest w ogóle legalne. Omawiany przepis przesądza to, że kierunkowo banki mogą korzystać z technologii DLT na potrzeby prowadzonej przez siebie działalności.

Praktyczne wykorzystanie tej technologii będzie jednak możliwe dopiero po pokonaniu szeregu wyzwań regulacyjnych, które się z tym wiążą.

Blockchain jako outsourcing?

Chciałbym tu zasygnalizować jedno z takich wyzwań, mam wrażenie, że nadal niedoceniane. Chodzi o zastosowanie przepisów o outsourcingu do rozwiązań zakładających wykorzystanie blockchaina.

Instytucja finansowa decydująca się na wykorzystywanie blockchaina do przechowywania informacji lub dokumentów musi rozstrzygnąć, w jakim stopniu uznaje tę okoliczność za outsourcing. Zgodnie z Wytycznymi EBA w sprawie outsourcingu z outsourcingiem mamy do czynienia wtedy, kiedy zewnętrzny usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłyby realizowane przez samą instytucję finansową. W standardowych przypadkach, w których bank wykorzystuje w celu przechowywania dokumentów elektronicznych zasoby zewnętrznego dostawcy (np. w postaci zewnętrznych serwerów), nie mamy raczej wątpliwości, że tego rodzaju relacja może być z dużym prawdopodobieństwem uznana za outsourcing. Taki przypadek zasadniczo odróżnia od wykorzystania blockchaina jedynie rodzaj oraz architektura używanej technologii. Funkcjonalnie w obydwu przypadkach mamy do czynienia z sytuacją, w której bank w celu przechowywania dokumentów wykorzystuje zasoby zewnętrzne względem własnych zasobów. Bank ma dostęp do określonych treści, natomiast treści te są przechowywane na infrastrukturze, która nie znajduje się pod pełną kontrolą banku.

Blockchain jako chmura obliczeniowa?

Kolejnym wyzwaniem jest ustalenie, czy do rozwiązań wykorzystujących blockchain będzie miał zastosowanie Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Jednym z warunków zastosowania Komunikatu jest przetwarzanie przez instytucje nadzorowane przez KNF informacji w chmurze obliczeniowej. Ta ostatnia jest zdefiniowana jako pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy. Definicja ta nie była zapewne tworzona z myślą o blockchainie, niemniej jednak można zasadnie zapytać, czy blockchain może być tak rozumianą „chmurą obliczeniową”. „Rozproszona i zdecentralizowana baza danych” – jak definiują blockchaina polskie regulacje – jest w pewnym sensie również „dostępnym na żądanie zasobem obliczeniowym”. Zasób ten jest utrzymywany przez węzły, które często wykorzystują do tego celu również rozwiązania chmurowe.

A jeśli tak, to co?

Kwalifikacja wykorzystywania blockchaina przez instytucje finansowe jako regulowanego outsourcingu skutkowałaby praktyczną niemożnością korzystania z wielu rozwiązań blockchainowych, w szczególności z tzw. blockchainów publicznych. Stosowanie przepisów outsourcingowych oraz postanowień Komunikatu chmurowego do takich rozwiązań jest bowiem z założenia niemożliwe. Przede wszystkim podstawą do outsourcingu powinna być umowa zawarta przez instytucję finansową z outsourcerem. W przypadku blockchaina publicznego nie sposób zidentyfikować dostawcy, z którym taka umowa miałaby zostać zawarta. Rozwiązania blockchainowe są tworzone w oparciu o zupełnie inne paradygmaty niż tradycyjne rozwiązania IT. Regulacje outsourcingowe nie są do nich w ogóle dostosowane.

W obliczu powyższego może się okazać, że wprowadzanie do kolejnych przepisów wyraźnego upoważnienia do korzystania przez instytucje finansowe z technologii blockchain jest dalece niewystarczające. Pełne wykorzystanie tych technologii będzie możliwe dopiero po dokonaniu zasadniczych zmian w regulacjach outsourcingowych.

Poszukując możliwych kierunków takich zmian, warto zwrócić uwagę na podejście przedstawione w Wytycznych EBA w sprawie outsourcingu. Co do zasady przyjmują one, że korzystanie przez instytucje nadzorowane z „infrastruktury globalnej sieci” nie powinno być traktowane jako outsourcing. Wydaje mi się, że czas rozpocząć dyskusję nad tym, czy przynajmniej niektóre rodzaje blockchainów nie powinny zostać uznane za elementy „infrastruktury globalnej sieci”. Podobnie jak w przypadku internetu, są pewne bazowe warstwy funkcjonowania sieci, które traktujemy jako dane i nie stosujemy do nich przepisów o outsourcingu (np. nie wymagamy od banków tego, aby zawierały umowy outsourcingowe z globalnymi punktami wymiany ruchu internetowego, jakkolwiek operatorzy tych punktów do pewnego stopnia uczestniczą w realizowaniu komunikacji przez bank). Analogicznie w przypadku blockchainów publicznych moglibyśmy zastanowić się nad wyodrębnieniem bazowych warstw technologicznych, których wykorzystywanie nie skutkowałoby koniecznością stosowania przepisów o outsourcingu.

Krzysztof Wojdyło