журнал международного права и международных отношений 2014 — № 4

международное право — международное частное право

Юридические аспекты использования облачных технологий

Надежда Шакель

Статья посвящена выявлению основных правовых аспектов использования облачных технологий, связанных с хранением информации, полученной с помощью различных цифровых устройств (телефоны, планшеты, приставки и т. п.) в так называемых «облаках». На основании анализа проблем, связанных с возможностями несанкционированного доступа к хранящейся в «облаках» информации, ее хищения, уничтожения и т. п., автором предлагается внимательно оценивать положения заключаемых договоров, в том числе с учетом того, что рассматриваемые отношения зачастую осложнены иностранным элементом. Освещены некоторые аспекты развития облачных технологий в Республике Беларусь.

Облачные технологии нередко называют технологиями будущего. Вместе с тем, их использование представляется достаточно сложным, с точки зрения юридического оформления таких отношений и последующей защиты прав их участников. В последние годы наблюдаются широкая популяризация и активное развитие облачных хранилищ (соответствующие сервисы сегодня предоставляет большая часть компаний, производящих различные цифровые устройства), что требует осмысления соответствующих процессов с точки зрения права. В зарубежных государствах, в том числе Российской Федерации, США, в рамках Европейского союза данному вопросу уделяется все большее внимание в юридической литературе (Ю. С. Кожевникова [3], Т. А. Полякова, А. И. Химченко [8], Р. Марчини [12], Ч. Оппенгейм, Н. Корн [13]), предпринимаются попытки формулирования базовых принципов регулирования, особенно при использовании облачных технологий в государственном секторе. В Республике Беларусь происходит масштабное использование облачных технологий как в частной сфере (например, при использовании персональных цифровых устройств), так и в рамках перехода государственных органов и организаций на республиканскую платформу, на которой должны размещаться их программно-технические средства, информационные ресурсы и информационные системы. Вместе с тем, в юридической литературе данная тематика, несмотря на актуальность, практически не освещалась. Целью настоящей статьи является рассмотрение отдельных теоретических и практических аспектов использования облачных технологий с учетом их основных характеристик, отечественного и зарубежного опыта в данной сфере.

Облачное хранилище данных (англ. cloud storage) — модель хранения данных в компьютерных сетях, при которых размещение контента осуществляется на различных серверах (сети взаимосвязанных между собой серверов), определенный объем пространства которых предоставляется в пользование клиенту. Несмотря на то, что пользователем такое хранение воспринимается как хранение контента в одном месте, в рамках одного «облака», в действительности физически такие серверы могут находиться совершенно в разных местах, в том числе на разных континентах.

Основным преимуществом использования облачных технологий для частных лиц является возможность размещать значительный объем данных вне своего цифрового устройства (компьютера, телефона, планшета и т. п.) и получать к ним доступ из удобной точки в требуемое время. В рамках «облака» могут также осуществляться необходимые вычислительные операции, что позволяет существенно повысить производительность и скорость действия цифрового устройства, которому приходится обрабатывать меньше данных. Для бизнес-сообщества облачные технологии дают возможность предоставлять требуемый объем услуг без необходимости создавать свои серверную инфраструктуру, программное обеспечение. Увеличение объема требуемого пространства в рамках сервера, предоставление большего объема услуг и вычислительных мощностей при возникновении такой потребности осуществляется в рамках «облака» достаточно просто и оперативно с использованием существующих программных средств. Рассматриваемый механизм иногда сравнивается с коммунальным хозяйством, когда пользователям удобнее и дешевле использовать услуги центрального водоснабжения, с увеличением либо снижением потребления воды по мере необходимости, а не выкапывать свой колодец или бурить скважину, даже если водопровод делает потребителя более уязвимым и зависимым [1; 2].

В качестве примера приведем принятое компанией «Microsoft» в 2013 г. решение реализовывать функционал новой игровой консоли X-box One с использованием облачной технологии. В рамках данной деятельности предусмотрено функционирование около 300 тыс. серверов. Вся информация о профиле (например, результаты игр, музыка, видео) будет храниться в «облаке», там же будет осуществляться основная часть вычислительной обработки игрового процесса. По некоторым оценкам, это позволяет увеличить производительность приставки в 4 раза. Вместе с тем, консоль для корректной работы требует практически постоянного подключения к сети Интернет [9].

Однако облачные технологии имеют и определенные недостатки, которые следует принимать во внимание как при их практическом использовании, так и при юридическом оформлении соответствующих отношений.

В силу технологических и технических особенностей облачных хранилищ соглашения по их использованию обычно заключаются между пользователями и провайдерами облачных услуг в онлайновом режиме. Это либо так называемые «оберточные», либо «кликовые» лицензии, т. е. обычно для выражения согласия с их условиями достаточно нажать на экране кнопку «Да», «Согласен», «Yes» и т. п. После этого в соответствии с настройками многих современных цифровых устройств (телефоны, планшеты и т. п.), независимо от компании-производителя, все, что сохраняется на данных устройствах (видеофайлы, фотографии и т. п.), автоматически загружается в «облако», т. е. передается через сеть Интернет на определенный сервер в целях экономии пространства на устройстве и ускорения его производительности.

Облачный сервис предполагает значительное количество пользователей. Как следствие, вместо согласования условий договора компании идут по пути заключения договора присоединения (либо ряда договоров) с каждым обратившимся. В основе договорных отношений лежит принцип «все или ничего», когда пользователю предлагается принять условия договора без каких-либо изменений или отказаться от использования сервиса. При этом сам договор обычно размещается в сети Интернет, что позволяет провайдеру произвольно и бесконтрольно вносить в него изменения. Гражданское законодательство, безусловно, содержит нормы, посвященные договорам присоединения, однако в силу существенных временных затрат перспективы начала реальных судебных процессов по изменению соответствующих условий договора ничтожны.

Достаточно серьезной проблемой является тот факт, что далеко не всегда сервисы, предоставляющие облачные услуги, могут реально гарантировать безопасность передачи данных, отсутствие доступа к ним третьих лиц. Особенно уязвимыми считаются каналы передачи данных в «облако», поскольку достаточно часто такое соединение является недостаточно защищенным. В результате злоумышленники могут получить доступ к передаваемой информации, а также к информации, хранящейся в «облаке». Так, например, в 2014 г. в сеть Интернет попало значительное количество интимных фотографий зарубежных знаменитостей, которые были сделаны на телефоны, планшеты и т. п. устройства и загружены в облачные хранилища. Хакерам удалось несанкционированно получить доступ к учетным записям этих лиц на облачном сервисе iCloud компании «Apple» (по имеющейся в прессе информации, наряду с фишингом был осуществлен подбор ответов на достаточно простые стандартные контрольные вопросы для получения пароля) [10].

При этом контроль лица, размещающего данные в «облаке», над таким контентом недостаточно полон. Большинство облачных хранилищ информации не позволяют пользователям определять судьбу загруженных данных. Например, удаление фотографии с телефона пользователя не влечет ее удаления из его учетной записи в облачном хранилище. Если происходит удаление контента из учетной записи пользователя, то на сервере облачного хранилища в соответствии со стандартными настройками остается копия соответствующей информации. В приведенном выше примере некоторые фотографии были сделаны зарубежными знаменитостями несколько лет назад, загружены в «облако», потом достаточно быстро удалены, однако хакеры сумели получить к ним доступ.

Кроме отсутствия реального контроля за последующим использованием размещаемых в «облаке» данных у пользователей нет гарантий того, что они сами будут иметь к ним доступ (например, если пароль утерян, отсутствует подключение к сети Интернет, сервер отключен или уничтожен). При этом при анализе содержания соглашений об использовании облачных технологий обращает на себя внимание наличие в них так называемых «дисклеймеров» (англ. disclaimer) — оговорки о том, что, заключая соответствующий договор, пользователь соглашается с тем, что провайдер услуг не несет какой-либо ответственности за негативные (для пользователя) последствия использования такого сервиса (например, потеря информации), т. е. пользователь не будет иметь права привлекать его к ответственности. В данной ситуации следует учитывать, что юридическая сила таких оговорок может быть различной в зависимости от юрисдикции. Напомним, что в соответствии со статьей 8 Гражданского кодекса Республики Беларусь отказ граждан и юридических лиц от осуществления принадлежащих им прав не влечет прекращения этих прав, за исключением случаев, предусмотренных законодательными актами. Следует также оценить такие положения с точки зрения законодательства о защите прав потребителей, с учетом того, что в случае возмездного оказания определенных услуг имеются основания относить их к соответствующей сфере правоотношений.

Указанные проблемы, безусловно, влекут негативные последствия с точки зрения юридической защищенности прав пользователей «облаков». При этом следует учитывать, что рассматриваемые правоотношения осложняются иностранным элементом в различных его формах. Одна из сторон отношений (пользователь, заказчик, провайдер облачных услуг) является иностранной; объект, в связи с которым возникают отношения (программное обеспечение, вычислительные ресурсы, серверы и т. п.), находится за рубежом; юридические факты, в результате которых возникают, изменяются или прекращаются правоотношения, имеют место за границей [3]. Таким образом, можно говорить о том, что как деятельность провайдеров услуг по предоставлению облачного пространства, так и активность пользователей по размещению ими определенного контента (в том числе в части последствий размещения противоречащего законодательствам отдельных государств контента) будет затрагивать разные юрисдикции, подпадать под различные, возможно несовпадающие, правовые установления. В настоящее время нет достаточной ясности в том, как будет осуществляться выбор применимого права в данных отношениях, затрагивающих многочисленные юрисдикции. Очевидно лишь то, что при возникновении споров в сфере деятельности облачных хранилищ потребуется учитывать правовые нормы, обычаи и обыкновения, судебную и арбитражную практику различных государств. Проблемы могут возникнуть уже на стадии решения вопроса о том, в какой суд следует подавать иск (например, об удалении определенной информации, возмещении понесенных убытков): по месту нахождения истца, ответчика, их имущества, по месту осуществления ими деятельности, по месту нахождения сервера (серверов), по месту, откуда может быть осуществлен доступ к «облаку». При этом, если рассматривать такую деятельность как относящуюся к предоставлению услуг потребителям, во внимание также следует принимать правовые установления, касающиеся вопросов защиты прав таких лиц.

Исходя из изложенного можно утверждать, что разрешение споров, возникающих при использовании облачных технологий, будет достаточно сложным. В некоторой степени это связано с тем, что, как и в отношении многих иных технических и технологических новелл информационной среды, законодательное регулирование рассматриваемой сферы существенно отстает от практической деятельности.

Определенные документы приняты в отдельных государствах. Например, в США принята Стратегия правительства в области облачных технологий, в которой определено понятие облачных вычислений, обозначены преимущества этих технологий и планы их внедрения в государственные учреждения США [11].

Некоторые шаги к созданию регулирования рассматриваемой сферы были сделаны в Европейском союзе. Европейской комиссией в 2010 г. был подготовлен анализ вызовов в области безопасности и приватности в «облаке» [14], а в мае 2011 г. был опубликован План слушаний по вопросу законодательного регулирования в сфере облачных вычислений [8]. В октябре 2012 г. Европейской комиссией была представлена стратегия развития облачных вычислений «Раскрытие потенциала облачных вычислений в Европе» [15], направленная на повышение производительности европейского бизнеса и государственного сектора путем общеевропейской сертификации надежных поставщиков облачных услуг, развития справедливых условий для облачных контрактов и др.

Создание разрозненных и разноуровневых правовых актов в различных государствах также не может объективно способствовать решению возникающих проблем. Использование облачных технологий по сути носит глобальный масштаб, как следствие, возникает потребность в международном
регулировании.

С учетом имеющихся на настоящий момент остаточно фрагментированных норм до момента формирования всеобъемлющих правовых установлений практика будет и должна нарабатываться в рамках соглашений между провайдерами облачных услуг, поставщиками пространства на серверах и конечными пользователями.

Пользователям при вступлении в такие соглашения рекомендуется оценивать риск прекращения провайдером соответствующей деятельности (по возможности получать информацию о его финансовой состоятельности, опыте деятельности на рынке и т. п.).

При анализе договоров следует обратить внимание на следующее:

— прописаны ли технические характеристики (уровень сервиса, устанавливающий качественные параметры предоставляемой услуги). Следует отметить, что данные вопросы могут быть частью как общего контракта, так и отдельного соглашения об уровне обслуживания (англ. Service License Agreement SLA));

— имеется ли ответственность за недоступность сервера (временную или постоянную);

— указана ли информация о том, в какой стране (странах) находятся серверы;

— предусматривается ли обязанность по сохранению и восстановлению информации (например, создание резервных копий данных) и каковы последствия ее несоблюдения;

— зафиксированы ли обязательства провайдера облачных услуг по сохранению конфиденциальности данных пользователя, защите его данных, в том числе с помощью криптографических средств, шифрования;

— какие существуют основания и последствия расторжения договора (имеется ли обязанность удалить информацию с сервера после расторжения договора; установлен ли срок удаления информации; если информация не удаляется, в каких пределах возможно ее дальнейшее использование провайдером);

— каковы последствия неоплаты услуг (удаление информации, приостановление доступа к информации и др.).

Отметим, что, по мнению Французской национальной комиссии по информатике и свободам, одной из первых представившей руководство по заключению соглашений об использовании облачных технологий сторонами, большинство рисков может быть нивелировано именно соглашением посредством установления гарантий, штрафов и т. д. [см.: 3].

В настоящее время в Республике Беларусь на государственном уровне в рамках мероприятий по развитию современной инфраструктуры сети передачи данных предусматривается комплекс мер по внедрению облачных технологий. Создана единая республиканская сеть передачи данных (далее — ЕРСПД) — мультисервисная сеть электросвязи, являющаяся частью сети электросвязи общего пользования и представляющая собой комплекс взаимодействующих между собой сетей передачи данных государственных органов и организаций, а также других юридических лиц негосударственной формы собственности и индивидуальных предпринимателей, присоединяющих существующие сети к ЕРСПД в добровольном порядке [7]. Действует республиканский центр обработки данных (далее — РЦОД), который представляет собой комплекс вычислительных и программных систем, систем хранения данных, расположенных в отдельном специализированном помещении или здании, подключенный высокоскоростными каналами связи к опорной сети передачи данных, составляющей основу единой республиканской сети передачи данных [4].

На базе РЦОД и ЕРСПД создается республиканская платформа, действующая на основе технологий облачных вычислений, которая представляет собой программно-технический комплекс для распределенной обработки данных, реализующий технологии облачных вычислений и обеспечивающий взаимодействие с внешней средой. Оператором республиканской платформы является совместное общество с ограниченной ответственностью «Белорусские облачные технологии», которое обеспечивает создание данной платформы и ее функционирование.

В соответствии с установленным порядком перехода на республиканскую платформу государственные органы и организации совместно с оператором проводят сбор и анализ текущих и предполагаемых потребностей в вычислительных ресурсах, в результате чего формируется заявка на предоставление оператором вычислительных ресурсов с требуемыми качественными характеристиками [6]. Переход на республиканскую платформу включает в себя:

— заключение договора на подключение к республиканской платформе;

— заключение договора на перенос в РЦОД ИКТ-оборудования и (или) информационных систем и ресурсов;

— заключение договора на обслуживание (оказание услуг).

Оператор несет ответственность за сохранность, доступность, конфиденциальность и целостность информационных систем и информационных ресурсов, размещенных в РЦОД, в соответствии с законодательством Республики Беларусь, согласно условиям договоров на обслуживание (оказание услуг). Пользователи несут ответственность за соответствие содержания информационных систем и информационных ресурсов требованиям законодательства, а также за нарушение положений условий договоров на обслуживание (оказание услуг), обеспечивающих функционирование республиканской платформы.

Наряду с созданием республиканской платформы в образовательный стандарт переподготовки руководящих работников и специалистов к числу дисциплин специальности 1-40 05 71 «Программное обеспечение автоматизированных библиотечно-информационных систем» отнесена дисциплина «"Облачные" технологии в библиотечном деле» [5].

Вместе с тем, несмотря на существование указанных актов, иного законодательства, косвенно регулирующего вопросы использования облачных технологий (например, о доступе к личным данным, о деятельности в сети Интернет), в настоящее время отсутствует единое регулирование, устанавливающее правила поведения для всех участников отношений по использованию облачных технологий в Республике Беларусь. Это в целом соответствует мировой практике, в соответствии с которой в силу новизны рассматриваемой сферы данный вопрос в основном еще не стал объектом внимания законодателя.

В заключение отметим, что сегодня облачные технологии активно используются в практической деятельности отечественных и зарубежных государственных органов, применяются бизнес-сообществом (для хранения данных пользователей компьютерных онлайн-игр, социальных сетей и т. п.) и частными лицами. Анализ отдельных юридических аспектов использования «облаков», проведенный в настоящей статье, демонстрирует наличие практических проблем в рассматриваемой сфере. Как следствие, пользователям рекомендуется соблюдать должную осмотрительность при передаче соответствующих данных в «облака» с учетом имеющихся рисков и реально оценивать содержание правоотношений по получению доступа к облачным хранилищам. В целом же масштабы данных процессов обусловливают необходимость их дальнейшего доктринального осмысления в целях поиска путей решения имеющихся проблем, что в перспективе может стать основой законодательного регулирования.

Литература

1. Герасимов, А. Облачные мифы и реальность: как переубедить CIO / А. Герасимов [Электронный ресурс] // СNews: издание о высоких технологиях. — Режим доступа: <http://www.cnews.ru/reviews/free/cloud/articles/articles14.shtml>. — Дата доступа: 09.11.2014.
2. Елохин, П. В. Облачные технологии / П. В. Елохин [Электронный ресурс] // Электронный журнал «Самиздат». — 19.06.2012. — Режим доступа: <http://samlib.ru/e/elohin_p_w/cloud_tech.shtml>. — Дата доступа: 09.11.2014.
3. Кожевникова, Ю. С. Проблемы регламентации отношений, формирующихся при использовании информационных облачных технологий: сочетание регулирования и саморегулирования / Ю. С. Кожевникова [Электронный ресурс] // КонсультантПлюс: Проф / ООО «ЮрСпектр». — М., 2014.
4. Об использовании государственными органами и иными государственными организациями телекоммуникационных технологий: Указ Президента Респ. Беларусь от 23 янв. 2014 г. № 46 [Электронный ресурс] // КонсультантПлюс: Беларусь / ООО «ЮрСпектр», Нац. центр правовой информ. Респ. Беларусь. — Минск, 2014.
5. Об утверждении образовательных стандартов переподготовки руководящих работников и специалистов: постановление М-ва образования Респ. Беларусь от 16 июня 2014 г. № 78 [Электронный ресурс] // Там же.
6. Об утверждении Положения об основах использования государственными органами и организациями республиканской платформы, действующей на основе технологий облачных вычислений: приказ Оперативно-аналит. центра при Президенте Респ. Беларусь от 28 марта 2014 г. № 26 [Электронный ресурс] // Там же.
7. О некоторых мерах по развитию сети передачи данных в Республике Беларусь: Указ Президента Респ. Беларусь от 30 сент. 2010 г. № 515 [Электронный ресурс] // Там же.
8. Полякова, Т. А. Актуальные организационно-правовые вопросы использования облачных технологий: российский и международный опыт / Т. А. Полякова, А. И. Химченко [Электронный ресурс] // КонсультантПлюс: Проф / ООО «ЮрСпектр». — М., 2014.
9. Ходаковский, К. Microsoft: облачные технологии вчетверо увеличат мощность Xbox one / К. Ходаковский [Электронный ресурс] // 3DNews. Daily Digital Digest. — 28.05.2013. — Режим доступа: <http://www.3dnews.ru/645835/print>. — Дата доступа: 12.10.2014.
10. Apple усилит безопасность iCloud [Электронный ресурс] // Интернет-газета «Вести». — 05.09.2014. — Режим доступа: <http://hitech.vesti.ru/news/view/id/5556>. — Дата доступа: 12.10.2014.
11. Federal Cloud Computing Strategy [Electronic resource] // U. S. Department of Homeland Security. — 08.02.2011. — Mode of access: <http://www.dhs.gov/sites/default/files/publications/digital-strategy/federal-cloud-computing-strategy.pdf>. — Date of access: 10.10.2014.
12. Marchini, R. Cloud Computing: A Practical Introduction to the Legal Issues / R. Marchini // London: BSI British Standards Institution, 2010. — 166 p.
13. Oppenheim, Ch. The No-nonsense Guide to Legal Issues In Web 2.0 and Cloud Computing / Ch. Oppenheim, N. Korn // London: Facet Publishing, 2012. — 160 p.
14. The Cloud: Understanding the Security, Privacy and Trust Challenges: Final Report / N. Robinson [et al.] [Electronic resource] // European Commission. — 30.11.2010. — Mode of access: <http://cordis.europa.eu?fp7/ict/security/docs/the-cloud-understanding-security-privacy-trust-challenges-2010_en.pdf>. — Date of access: 08.11.2014.
15. Unleashing the Potential of Cloud Computing in Europe [Electronic resource] // European Commission. — 2012. — Mode of access: <http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_cloud>. — Date of access: 10.10.2014.