Blockchain Law Lecture Notes

These flashcards cover key concepts and definitions related to blockchain law, governance, smart contracts, and data protection principles.

Blockchain

A decentralized digital ledger that records transactions across many computers in such a way that the registered transactions cannot be altered retroactively.

Node

A computer that participates in the blockchain network by executing the blockchain software and contains a copy of the blockchain.

Proof of Work

A consensus mechanism that requires participants to expend effort solving mathematical problems to validate transactions and create new blocks.

Proof of Stake

A consensus mechanism where participants validate transactions based on the number of coins they hold and are willing to 'stake' as collateral.

Hard Fork

A type of blockchain upgrade that is not backward-compatible, resulting in a divergence in the blockchain, leading to two separate chains.

Soft Fork

A type of blockchain upgrade that is backward-compatible, allowing newer nodes to communicate with older nodes.

Smart Contract

A self-executing contract with the terms of the agreement directly written into lines of code on the blockchain.

Cryptography

The practice and study of techniques for securing communication and information through the use of codes.

Decentralization

The distribution of authority and responsibility away from a central authority, often seen in blockchain systems to enhance security and control.

Mining

The process of validating transactions and adding them to the blockchain ledger, often involving solving complex mathematical problems.

Blockchain Governance

The rules and processes that guide decision-making in a blockchain network, including protocols for updates and community engagement.

Market Abuse

Practices that manipulate or interfere with the integrity of financial markets, such as insider trading or pump-and-dump scams.

Data Protection Principles

Key principles outlined in regulations like GDPR meant to protect personal data, including lawfulness, fairness, and transparency.

Self-Sovereign Identity (SSI)

A digital identity management system that gives individuals control over their personal data without needing a central authority.

Zero-Knowledge Proof (ZKP)

A cryptographic method where one party can prove to another that a statement is true without revealing any other information.

Data Minimization

The principle that personal data collected should be limited to what is necessary for the intended purpose.

DAO (Decentralized Autonomous Organization)

An organization represented by rules encoded as a computer program that is transparent, controlled by organization members and not influenced by a central government.

Permissioned Blockchain

A type of blockchain where access is restricted to certain users, offering enhanced control and privacy.

Consent GDPR

The permission given by a data subject for their personal data to be processed, which must be informed, explicit, and freely given.

Ideology web 2 vs web 3

• web 3 aanhangers bekritiseren web2 om haar concentratie level en ’tyrannical’ gedrag. Web2 is efficient zeggen web2 aanhangers.

Infrastructure web 2 vs web 3

• web2 gebruiken product (of service) layers doormiddel van platforms. Web3 is gedecentraliseerd en ‘offers protocols’

• attractiveness web 2 vs web 3

• web3 door network en (value of) token effects, web2 alleen van network (meer gebruikers, meer voordelen).

• Governance structures web 2 vs web 3

• web2 is ‘pilot in the cockpit’ en web3 is ‘passengers are the pilots’. Gecentraliseerd vs gedecentraliseerd

• Web2:

  • Speed +

  • Ancticipation +

  • Trust +/-

• Web3:

  • consensus +

  • Democratic +

• ⁃ Trust +/-

• Different value propositions web 2 vs web 3

• keuze tussen unieke en intangible (onaanraakbare) assets (web3) tegen flexibiliteit van ecosysteem (web2)

• Value capture at a more macro level web 2 vs web 3

• web2 giganten zijn gecentraliseerd en kunnen bij de data die haar product of service genereert. Web3 is gedecentraliseerd, kunnen niet verdienen van de infrastructuur zelf.

• Legal environments web 2 vs web 3

• US en EU hebben nieuwe regels om web2 giganten te reguleren. Web3 is momenteel vrijer van specifieke regelgeving, maar de omgeving veranderd snel.

  • Web 2 -> confrontational

• ⁃ Web 3 -> confrontational & cooperative

Web 2 anti-competitive playbook

How to get consent GDPR in blockchain?

• Lastig om toestemming te krijgen bij blockchain doordat blockchain ‘permisionless’ kan zijn (permissionless blockchain zoals Blockchain of Ethereum die open zijn voor iedereen)

  • Kan worden opgelost door toestemming te geven middels smart contracts

    • Nadeel: kunnen fouten in de smart contract zitten

    • Dit nadeel kan mogelijk worden opgelost door het gebruik van ontology and privacy modeling language om conflicterende regels te achterhalen

• ⁃ Toestemming staat in de blockchain met een public key en kan gecontroleerd worden door ‘controllers’

Fairness GDPR in blockchain

• Determining who will be in charge of assessing fairness or appointed as a DPO in the decentralized blockchain is challenging.

• Transparancy in blockchain

• The controller must inform the data subject about collected data, users, purposes, periods, and rights transparently

• Oplossingen:

  • Tracking provenance (herkomst) door middel van smart contract. Data subject kan data zien doordat het op de blockchain komt in encrypted vorm

  • a monitoring agent in the cloud was used to collect provenance data. In this method, the agent extracts GDPR-related metrics from the provenance data and stores them in the blockchain. The monitoring agent is installed in a container; hence, it is compatible with any cloud platform. A data subject invokes a smart contract to verify the logs and notifies the agent module if there are violations.

• ⁃ when a user queries the off-chain database, the query results are generated, packaged with a smart contract, and sent back to the user. The smart contract includes codes that can automatically log the activities on the data whenever a user processes data. The logs generated from the smart contract are stored in the side-chain in the form of action reports

• Data minimization, accuracy and storage limitation in blockchain

• lastig doordat blockchain immutable (onveranderbaar) is

  • Bypassing immutability without modifying the design of the blockchain -> store data as off-chain storage while storing only a hash value in the blockchain

    • 1) the goals of the blockchain may be ignored ;

    • 2) complexity and additional delays in transferring on-chain data to off-chain storage may occur;

    • 3) the security level of the blockchain reduces;

    • 4) this method makes the system inconsistent

  • Modifying the design of the blockchain ->  Blockchain pruning verwijdert oude blocks na een vooraf bepaalde periode, waarbij alleen de block header behouden blijft. Data kan ook worden verwijderd uit een side-chain zonder de main chain te wijzigen. Een andere methode is het gebruik van een chameleon hash, een cryptografische hashfunctie met een 'trapdoor' die het efficiënt creëren van botsingen mogelijk maakt, waardoor blocks kunnen worden verwijderd, gewijzigd of ingevoegd. Een afgeknotte hashwaarde kan ook worden gebruikt om een block hash te berekenen op basis van een doelwaarde van de transactie, in plaats van de transactie zelf. Ten slotte kan een consensusmechanisme worden gebruikt voor dataverwijdering in de blockchain, waarbij een meerderheid van de nodes moet instemmen met de verwijdering

• ⁃ Amending (kleine aanpassingen/verbeteringen) the regulation -> Een andere benadering is om de AVG aan te passen om bepaalde activiteiten als verwijderingsmethoden toe te staan, bijvoorbeeld bij permissioned blockchains met toestemming van de betrokkene om hun recht op vergetelheid niet uit te oefenen, bij het verplaatsen naar een nieuw block, het creëren van een 'fork', het beperken van toegangsrechten of het hashen van persoonsgegevens

• Confidentiality and integrity in blockchain

• Een verwerkingsverantwoordelijke moet persoonsgegevens veilig verwerken om vertrouwelijkheid en integriteit te garanderen. De vereisten zijn afhankelijk van het type blockchain. In een permissionless blockchain heeft elke gebruiker direct of via een smart contract toegang tot transacties, waardoor extra oplossingen voor toegangscontrole per gebruiker nodig zijn. In permissioned blockchains is de toegang beperkt door een toegangsbeleid dat door een gecentraliseerd systeem wordt beheerd, maar dit is niet altijd voldoende voor AVG-compliance.

  • Anonimisering van data: Data-encryptie is een representatieve methode om ongeautoriseerde toegang te beperken. Zero-knowledge proof (ZKP) kan worden gebruikt om binaire antwoorden (ja/nee, check/kruis) te geven zonder de onderliggende data te onthullen. Local differential privacy anonimiseert data door 'ruis' toe te voegen. Fully homomorphic encryption maakt wiskundige bewerkingen op versleutelde data mogelijk.

  • Toegangscontrolemechanismen: Toegang tot data wordt gereguleerd door een smart contract waarin toegangsbeleid is gecodeerd. Dit beleid bepaalt wie, wanneer en tot welke data-items toegang heeft. Toegangsbeleid kan op verschillende manieren worden geconstrueerd, waaronder attribute-based policy en attribute-based encryption (ABE). CP-ABE is uitgebreid onderzocht als methode voor toegangscontrole. Verbeterde ABE-mechanismen zijn voorgesteld om tekortkomingen zoals computationele overhead, updateproblemen en key escrow-risico's te overwinnen.

  • Private data transactions: In Hyperledger Fabric kunnen data alleen met geautoriseerde peers worden gedeeld.

  • Gebruikerssleutelverificatie: Een gebruikersaanvraag kan in de wachtrij worden geplaatst totdat de sleutel van de gebruiker is geverifieerd.

  • Multichain: Dit model biedt tegelijkertijd twee soorten blockchains: permissionless blockchains voor transparante opslag van attributen en permissioned blockchains voor vertrouwelijke dataopslag.

• Accountability in blockchain

• Het identificeren van de verwerkingsverantwoordelijke in de blockchain is cruciaal voor het aantonen van verantwoordingsplicht, maar dit is lastig in een permissionless blockchain vanwege de gedecentraliseerde aard. Het traceren van de daadwerkelijke eigenaar van de verwerkingsverantwoordelijke is ook moeilijk omdat blockchain-adressen pseudoniem zijn.

• ⁃ Het traceren van de verwerkingsverantwoordelijke is noodzakelijk. IP-adressen, certificaten of gebruikers-ID's van off-chain databases die aan het blockchain-adres zijn gekoppeld, worden gebruikt om de eigenaar te identificeren, maar dit is onvoldoende. Er zijn discussies over wie de verwerkingsverantwoordelijke in de blockchain is. Individuele gebruikers, data-eigenaren of elke node kunnen als verwerkingsverantwoordelijke worden gezien. Het is belangrijk om de verwerkingsverantwoordelijke zorgvuldig te identificeren, omdat individuele gebruikers mogelijk niet aan de verplichtingen van een verwerkingsverantwoordelijke kunnen voldoen

Core scope and coverage of MiCA:

• Issueres of crypto-assets

• Crypto Assets Service Providers (CASPs)

• Assets-referenced tokens (ARTs)

• E-money tokens (EMTs)

• Utility tokens

• ⁃ General crypto assets (like bitcoin, ethereum)

OUT OF SCOPE MiCA:

• Financial instruments onder MiFID II

• Electronic Money (except EMTs) (e-money directive)

• Deposits and structured deposits

• Securization positions

• NFTs

• DeFi protocols

• Mining operations and airdrops

Crypto-asset

a digital representation of a value or a right that is able to be transferred and stored electronically using distributed ledger technology or similar technology

Four pillars of MiCA

• Legal framework for seance of crypto-assets

• Set of rules for crypto-asset services

• Specific rules for stable coins

• ⁃ Market abuse rules

CASPs under MiCAR

• Gateway to financial world

• No bonus cap

• Requirements similar to MiFID:

  • Governance requirements

  • Prudential requirements

  • Segregation of assets

  • Market abuse

• Competent authorities -> AFM and DNB

• EU passport -> Wanneer je een licentie hebt in 1 EU land, kan je je web3 business implementeren in de gehele EU

• ⁃ Notification procedure for certain financial institutions

Practical implementation for CASPs under MiCAR:

• Registration requirements

• Capital requirements

• Operational systems

• Risk management

• ⁃ Consumer protection measures

• ⁃ MiCAR hoofdonderdelen

• Stablecoins

  • Asset Referenced Token (ART)

    • Refers to a basket of assets

    • Any entity can request authorization

      • No more than 2 million transactions a day

      • Significant = Supervision EBA (European Banking Authority)

      • Prohibition on granting interest

    • Electronic Money Token (EMT)

      • Refers to 1 fiat currency (full coverage at all times)

      • An issuer needs to hold a license as e-money institution or credit institution

      • No limitations for broad usage in payment

      • Significant = Supervision EBA (European Banking Authority)

      • Prohibition on granting interest

• Crypto-dienstverlening (Crypto service providers (CASPs))

• Overige crypto-assets

• ⁃ Marktmisbruik

DNB tasks

Prudential supervision (toezicht houden op financiële instellingen om ervoor te zorgen dat ze solvabel blijven en voldoende kapitaal aanhouden om aan hun verplichtingen te voldoen)

• Monitors the financial health of banks, insurers and pension funds

• Ensures that financial institutions have sufficient buffers to absorb risks

• ⁃ Prevents systematic risks that could destabilize the economy

AFM tasks

conduct supervision (te zorgen dat financiële instellingen eerlijk, transparant en in het belang van hun klanten handelen. Consumentenbescherming)

• Ensures that financial markets operate fairly, transparently and with integrity

• Monitors whether financial institutions and advisors provide correct and fair information to consumers

• Enforces regulations related to investment products, credit provision and market discipline

Who is supervising CAPs?

Mainly AFM, except the prudential requirements (that does the DNB)

Issuers of crypto assets DNB/AFM

• ARTs -> mainly DNB (AFM is given a role in conduct supervision (white papers + advertising)

• EMTs -> mainly DNB (AFM is given a role in conduct supervision (white papers + advertising)

• ⁃ Other tokens -> AFM