Рост "облаков" требует пересмотра законов

Совокупность технологических подходов, которую называют "облачными вычислениями", вплотную столкнула законодателей и юристов с новыми проблемами. Интернет стал платформой для распределенных приложений: компания может вести конфиденциальный внутренний документооборот на чужих мощностях, заключив контракт со сторонним SaaS-поставщиком, который, в свою очередь, будет обрабатывать полученные данные на вычислительных мощностях других поставщиков услуг IaaS и/или PaaS. Существующее законодательство очень плохо приспособлено к таким ситуациям.

Юридические вопросы, возникающие при использовании сервисов SaaS/PaaS/IaaS, очень "неудобны" с точки зрения существующего законодательства: каковы обязательства поставщика SaaS по отношению к пользовательским данным? Отличаются ли они от обязательств поставщика IaaS, который не осуществляет обработку данных, а просто предоставляют вычислительную площадку? Каковы могут быть юридические последствия в том случае, если поставщики SaaS/PaaS/IaaS-услуг находятся в других юрисдикциях? Какие права правохранительные органы имеют в отношении данных, принадлежащих пользователям из других стран? И напротив – насколько пользователи свободны выносить свои данные за пределы своего государства?

Основные направления реформирования законодательства в связи с ростом популярности облачных вычислений

Защита данных, в том числе:

доступность и целостность
минимальные требования или гарантии

Конфиденциальность

Интеллектуальная собственность

Профессиональная небрежность

Аутсорсинговые услуги и передача контроля

Источник: Европейское агентство по сетевой и информационной безопасности (ENISA), 2009

Сегодня все эти вопросы только начинают решаться. Так, одним из примечательных событий ноября прошлого года стало решение Верховного суда Великобритании о том, что лицо, опубликовавшее информацию в интернете, несет ответственность за соблюдение авторско-правового законодательства в отношении этой информации только в той стране, где физически расположены серверы. Иными словами, если кто-то, в нарушение авторско-правового законодательства, скопирует информацию и разместит ее на российских (или немецких, как в исходных материалах дела) серверах, то иск об этом нарушении никак не может быть направлен в британский суд.

Таким образом, британскому верховному суду пришлось разбираться с элементарными – в технологическом плане – проблемами. Это свидетельствует о явной незрелости законодательства и правоприменительной практики на глобальном уровне.

У пользователей и поставщиков разные интересы

Регулирование отношений в области облачных вычислений – сложная задача еще и потому, что интересы пользователей, заинтересованных в сохранении контроля над своими данными, и интересы поставщиков облачных услуг, заинтересованных в максимальной свободе при эксплуатации и развитии своих сервисов, расходятся в противоположных направлениях. Будущее облачных технологий во многом будет зависеть от того, на чью сторону склонится законодатель.

В одном из недавних исследований специалисты из Microsoft высказывают мнение, что существующие сегодня правовые проблемы типичны для любой новой технологии, и со временем юридические препятствия для облачных вычислений снимутся просто в силу естественного развития рынка. Законодательство по ЭЦП поначалу также очень трудно было применять на практике, однако со временем оно стало намного более гибким, считают исследователи из Microsoft. Однако в случае ЭЦП дело обстояло существенно проще. Нужно было просто создать адекватное регулирование для новой технологии, и это действительно было (а в России – во многом остается) делом времени и техники. В случае облачных вычислений законодателю нужно не просто разработать правовую модель использования новой технологии, а "рассудить" между пользователями и поставщиками, обеспечив наиболее разумный баланс между интересами тех и других.

Европейские законодательные инициативы

Почему для бизнеса доверие к вендору оказалось важнее функциональности продуктов Безопасность

Российские законодатели пока что не уделяют облачным технологиям особого внимания, в то время как в Европе процесс обновления законодательства идет достаточно активно. Так, на Всемирном экономическом форуме в Давосе еврокомиссар по Цифровому развитию Нили Круус открыто признала, что европейское законодательство в сфере защиты данных устарело и Еврокомиссия ведет активную работу над его обновлением.

Одна из проблем, которые предстоит уточнить в ходе законодательной реформы – это проведение более четкой границы между контролером (controller) и обработчиком (processor) данных. При этом, согласно Директиве 95/46/EC о защите прав частных лиц при использовании персональных данных и о свободной передаче этих данных, именно на контролере лежит бремя обеспечения адекватной защиты обрабатываемых данных. В частности, контролер должен обработчика, который бы обеспечил адекватный уровень защиты данных. В то же время, к обработчику требований предъявляется довольно мало.

Это законодательство составлялось в 1990-е годы, когда сегодняшние распределенные интернет-системы еще не существовали. Постоянно возникает вопрос о том, кого сегодня считать контролером, а кого обработчиком данных. Поскольку этот вопрос решить непросто, соответственно непростой задачей оказывается определение конкретных прав и обязанностей, накладываемых на пользователей и поставщиков облачных сервисов.

Василий Кузнецов, Институт востоковедения РАН: Формула «российские технологии + эмиратские деньги» могла бы сработать цифровизация

США: подход отраслевых стандартов

В США государство традиционно не вмешивается в развитие новых технологий, оставляя их на усмотрение самим участникам рынка. В то же время, в стране большим авторитетом пользуются результаты исследования Национального института по стандартам и технологиям (National Institute of Standards and Technology, NIST), которому принадлежит наиболее авторитетное определение понятия "облачных вычислений". Деятельность NIST направлена в первую очередь на организации государственного сектора США – для них Институт разрабатывает рекомендации в области обеспечения безопасности и приватности, а также поддерживает специальную программу быстрой разработки стандартов для скорейшего внедрения облачных технологий (Standards Acceleration to Jumpstart Adoption of Cloud Computing).