Савельев А.И., кандидат юридических наук, магистр частного права (РШЧП), юрисконсульт компании IBM (Россия/СНГ), старший научный сотрудник НИУ ВШЭ .

Высказанные в настоящей статье суждения являются личным мнением автора и могут не совпадать с официальной позицией компании IBM. В статье использованы результаты исследований, осуществленных в рамках Программы фундаментальных исследований НИУ ВШЭ в 2015 г. В статье приводятся фрагменты работы: Savelyev A. Software-as-a-Service — Legal Nature: Shifting the Existing Paradigm of Copyright Law // Computer Law & Security Review. 2014. Vol. 30. Issue 5.

Данная статья посвящена рассмотрению правовой природы договоров, в рамках которых осуществляется предоставление одной из наиболее массовых современных IT-технологий, известной под названием «облачные сервисы».

Сложность и многогранность возникающих при этом отношений создают богатые условия для проверки на практике принципа свободы договора, в том числе в его соотношении с положениями авторского права и законодательства о персональных данных.

В частности, автором анализируются различные варианты квалификации договоров на предоставление «облачных» сервисов: договор аренды, лицензионный договор, договор возмездного оказания услуг, смешанный договор, непоименованный договор, а также различные аргументы «за» и «против» той или иной модели.

Приводится отечественная и зарубежная судебная практика по данной проблематике, анализируются положения законопроекта о регулировании «облачных» сервисов, подготовленного Минкомсвязью России.

Ключевые слова: «облачные» сервисы, лицензионный договор, программное обеспечение как услуга, смешанный договор.

Legal nature of cloud services: freedom of contract, copyright law and high technologies

A.I. Savelyev

Savelyev A.I., Ph.D., Master of Private Law, Legal Attorney of IBM Russia/CIS, Senior Legal Researcher of National Research University — Higher School of Economics.

The paper is focused on the analysis of the legal nature of contracts under which one of the most popular and widespread IT-technology is provided, known as «cloud services».

The complex and multifaceted nature of the relations arising from such contracts create a unique opportunity to test the freedom of contract principle in practice, including its correlation with copyright and data protection laws.

The author analyzes the applicability of various types of agreements to cloud services (lease, license, services, mixed and innominate contracts), as well as existing «pros and cons» of their usage.

The paper also covers existing case law, both Russian and foreign one, as well as the draft of the law intended to regulate cloud services, prepared by Ministry of Communications of Russia.

Key words: cloud services, license agreement, Software-as-a-Service, mixed agreement.

1. Введение

По мере того как современные информационные технологии все глубже проникают в коммерческий оборот, появляются новые вопросы и проблемы, связанные с их надлежащим правовым регулированием.

Однако особые вопросы вызывают технологии, которые принято именовать прорывными (distruptive) , поскольку они подрывают сложившееся положение вещей (status quo) и формируют тем самым основу для дальнейшего развития информационного общества.

К числу таких «флагманских» информационных технологий можно отнести, в частности:

Данное понятие было впервые введено в 1995 г. Клейтоном Кристенсеном, который изучал причины, из-за которых крупнейшие компании и мировые лидеры в своей сфере рано или поздно теряют свои доминирующие позиции, утрачивают свое первенство. В качестве главной причины было обозначено появление так называемых прорывных (distruptive) инноваций, которые благодаря заложенным в них ценностям и качествам отвергаются на уже сложившихся рынках, но при этом создают новые, со временем вытесняя конкурентов и со старых. Типичные примеры: телефон (вытеснил телеграф), электронная почта (вытесняет обычную почту). Прорывным инновациям противостоят эволюционные (sustainable), которые улучшают существующие продукты и процессы, не создавая новых рынков сбыта. Приведенная классификация инноваций и технологий считается ныне общепринятой. См.: Christensen C.M. The Innovator's Dilemma: When New Technologies Cause Great Firms to Fail. Harvard Business Review Press, 1997.

• программное обеспечение с открытым исходным кодом (open source), которое не только изменило парадигму процесса разработки компьютерных программ, но и повлекло возникновение новых видов лицензионных договоров — свободных или — в терминологии российского гражданского законодательства — открытых лицензий, сфера применения которых постоянно расширяется и уже начинает распространяться в том числе и на аппаратное обеспечение;
• Интернет вещей (Internet of Things) как новую форму взаимодействия устройств, подключенных к сети Интернет, между собой, осуществляемую в интересах их обладателей. Данная технология знаменует дальнейшую ступень эволюции электронной коммерции;
• технологии аналитики больших данных (big data), которые заставляют бизнес по-новому взглянуть на природу информации, рассматривая ее в качестве «новой нефти» — основного фактора производства в информационную эпоху. Как следствие, новые виды информации приобретают коммерческую ценность и оборотоспособность (данные сенсоров технических устройств, геолокационные данные, персональные данные и пр.) .

См. подробнее: Савельев А.И. Направления эволюции свободы договора под влиянием современных информационных технологий // Свобода договора: Сборник статей / Рук. авт. кол. и отв. ред. докт. юрид. наук М.А. Рожкова. М.: Статут, 2016; Он же. Проблемы применения законодательства о персональных данных в эпоху «больших данных» (Big Data) // Право. Журнал Высшей школы экономики. 2015. N 1; http://ecsocman.hse.ru/hsedata/2015/04/20/1095377106/Savelyev.pdf.

Эффективное развитие, а порой и возникновение указанных технологий стали возможными лишь благодаря широкому использованию так называемых «облачных» сервисов, которые обеспечивают их необходимыми для функционирования вычислительными мощностями.

Не будет преувеличением сказать, что в настоящее время часть существующих организаций использует «облачные» технологии в своей инфраструктуре, а современные цифровые сервисы обычно предоставляются пользователям из «облака».

«Облачные» вычисления обозначены в Стратегии развития отрасли информационных технологий в Российской Федерации на 2014 — 2020 гг. и на перспективу до 2025 г.

в числе направлений для фундаментальных и поисковых исследований в области информационных технологий, на которых необходимо сфокусироваться и которые в перспективе 10 — 15 лет с высокой вероятностью могут обеспечить глобальную технологическую конкурентоспособность России .

При этом Минкомсвязь РФ прогнозирует, что «до 2018 года применение «облачных» сервисов в корпоративной среде в России станет массовым, особенно в сфере малого и среднего бизнеса». Рост этого сегмента бизнеса может превысить 80% в год, и, по прогнозам аналитиков, мировой рынок «облачных» вычислений к 2020 г. может достигнуть 240 млрд. долл. США.

Распоряжение Правительства РФ от 1 ноября 2013 г. N 2036-р «Об утверждении Стратегии развития отрасли информационных технологий в Российской Федерации на 2014 — 2020 годы и на перспективу до 2025 года». Распоряжение Правительства РФ от 30 декабря 2013 г. N 2602-р «Об утверждении плана мероприятий («дорожной карты») «Развитие отрасли информационных технологий» (с изменениями и дополнениями).

Парадоксально, но с популярностью данных сервисов не корреспондирует их проработанное правовое регулирование, что, по заявлениям ряда экспертов, затрудняет их развитие на российском рынке .

Существует множество проблем, связанных с применением к «облачным» сервисам налогового законодательства, законодательства о персональных данных, положений о лицензировании отдельных видов деятельности и т.д.

Но все они так или иначе производны от основного вопроса — правовой квалификации договоров на предоставление «облачных» сервисов в системе координат российского договорного права.

Правовая квалификация договора предопределяет права и обязанности его сторон и правовой режим соответствующих взаимоотношений сторон в целом. В значительной степени она определяет налоговые и иные публично-правовые последствия, возникающие в связи с заключенным договором.

См., например: Паус А.С., Целовальникова О.А. Тенденции развития облачных технологий на российском рынке // Новые информационные технологии в автоматизированных системах. 2014. N 17. С. 491; http://cyberleninka.ru/article/n/tendentsii-razvitiya-oblachnyh-tehnologiy-na-rossiyskom-rynke.pdf; Ирина Гришанова: «Целей номер один должно быть несколько» // ВОблаке.РФ. 2014. N 1; http://www.makecloud.ru/news/357; Ульянова Н. Правоохранители в облаках // Московский бизнес-журнал. 2013. N 5. С. VIII; Облачные сервисы: Взгляд из России / Под ред. Е. Гребнева. М.: CNews, 2011. С. 81; http://expo-itsecurity.ru/upload/iblock/909/CloudTechnology.pdf.

Все это обуславливает особую актуальность вопросов правового регулирования договоров, опосредующих предоставление «облачных» сервисов гражданам, организациям и публично-правовым образованиям. Однако прежде чем перейти к данному вопросу, необходимо несколько подробнее рассмотреть, что же понимается под данным термином.

https://www.youtube.com/watch?v=VFt8BU6uQ20\u0026pp=ygVB0J_RgNCw0LLQvtCy0LDRjyDQv9GA0LjRgNC-0LTQsCDQvtCx0LvQsNGH0L3Ri9GFINGB0LXRgNCy0LjRgdC-0LI%3D

Термин «облачный сервис» является переводом английского термина «cloud service», производного, в свою очередь, от термина «cloud computing» («облачные вычисления»).

В технической среде до сих пор не выработано общепризнанного определения данных терминов, в связи с чем не вызывает удивления их отсутствие в законодательстве Российской Федерации, как, впрочем, и в законодательстве других стран.

Слово «облако», которое часто используют как сокращение терминов «облачные вычисления» или «облачные технологии», первоначально было метафорой.

Рисунок облака на различного рода схемах и компьютерных диаграммах изначально символизировал Интернет, иллюстрируя тот факт, что вся сложная инфраструктура и технические детали ее функционирования скрыты от конечного пользователя, которому важен не процесс, а результат .

Erl Th., Puttini R. Cloud Computing: Concepts, Technology & Architecture. Prentice Hall, 2013. P. 33.

Наибольшую известность и распространение в мировой практике получила дефиниция «облачных» вычислений, разработанная Национальным институтом стандартизации и технологий США (National Institute of Standards and Technologies (NIST)).

В соответствии с данной технически насыщенной и потому малоудобоваримой для юридического ума дефиницией под «облачными» вычислениями понимается «модель предоставления удобного сетевого доступа в режиме «по требованию» к коллективно используемому набору конфигурируемых вычислительных ресурсов (например, сетей, серверов, хранилищ данных, приложений или сервисов), которые могут быть оперативно задействованы и высвобождены при минимальном взаимодействии с поставщиком услуги и минимальных собственных управленческих усилиях» .

Mell P., Grance T. The NIST Definition of Cloud Computing: Recommendations of the National Institute of Standards and Technology (Special Publication 800-145, September 2011; http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf. P. 2.

Абстрагируясь от отдельных технических аспектов функционирования «облачных» сервисов, обозначенных выше, для юридических целей данное определение «облачного» сервиса можно представить в упрощенном виде как автоматизированный способ предоставления вычислительных мощностей, в том числе программного обеспечения, в режиме удаленного доступа через сеть Интернет по запросу клиента. Или еще проще: под «облачными» сервисами можно понимать технологическую модель, при которой вместо какого-либо физического ресурса предоставляется его виртуальная модель.

Традиционно «облачные» сервисы принято подразделять на три модели обслуживания, к которым относятся:

1. программное обеспечение как услуга (Software-as-a-Service (далее — SaaS))

На 7-ом небе: правовые аспекты работы с облачными сервисами

Облачные сервисы и технологии — невероятно удобный способ хранения и обработки данных вне пределов сети. Доступ к таким хранилищам можно получать в любое время практически из любой точки мира. Но как обстоят дела, если рассматривать использование таких сервисов с правовой стороны?

Давайте разберемся, стоит ли не задумываясь принимать условия лицензионного соглашения таких сервисов, поймем куда могут утекать наши загрузки и выясним, какими принципами и законами должны руководствоваться владельцы таких облаков, чтобы защитить данные своих пользователей.

Пару слов о себе и статье

Возможно, после изучения статьи будет удивительно узнать о том, что я не являюсь дипломированным юристом.

Будучи специалистом в сфере информационной безопасности, порой я и сам забываю, что никогда не учился на юридическом.

А все из-за того, что организационно-правовое обеспечение информационной безопасности нередко требует не меньших знаний в области права, чем в рамках самой безопасности.

Я начал интересоваться темой облаков чуть больше года назад, когда в России резко возросла необходимость в импортозамещении зарубежных облачных сервисов как для бизнеса, так и для рядовых пользователей. И в своей статье я, по большей части, рассматриваю проблему безопасности сервисов именно с точки зрения такого пользователя.

Конечно, мы немного углубимся и в требования к провайдерам, но сделано это, скорее, для целостного понимания картины.Прошу принять, что в этой статье мне довольно сложно выделить точную аудиторию, потому что у таких сервисов она невероятно обширна. Волей-неволей, но каждый из нас использовал их или хранил там персональные данные.

На мой взгляд, люди технологий выступают здесь примером, на который ориентируются все остальные. Ведь если мы будем пренебрегать изучением договоров, игнорировать вопрос сохранности и конфиденциальности данных, а также продолжим спустя рукава глядеть на то, что провайдер делает с нашей информацией, кто сделает это за нас?

И конечно, мы можем игнорировать проблему обеспечения безопасности облачных хранилищ. Но тогда наши конфиденциальные данные, оказавшиеся в новой базе утечек станут лишь вопросом времени. И едва ли будет важно из какой именно информационной системы выгрузили эти сведения: государственной, частной или коммерческой. Я за что, чтобы защищать их все!

Основная часть

Как облачные хранилища выглядят со стороны закона?

В связи с особенностями таких сервисов, их лицензионное соглашение, как правило, заключается между заказчиком и провайдерами услуг в онлайн-режиме. Вы самостоятельно выбираете: принять условия соглашения, нажать «Я согласен» и стать счастливым пользователем сервиса или не принимать условия и отказаться от использования услуги.

https://www.youtube.com/watch?v=VFt8BU6uQ20\u0026pp=YAHIAQE%3D

В то же время, сам договор размещен прямо в интернете и позволяет поставщику в любой момент внести изменения без надзора со стороны пользователя.

Закон, конечно, устанавливает нормы, посвященные подобным договорам присоединения, но в силу колоссальных временных затрат шансы для появления судебных процессов по подобному изменению соглашения провайдером без уведомления пользователя остаются ничтожными.

А в чем проблема?

Главной проблемой облачного хранилища является вовсе не договор лицензионного соглашения. Ее корень в том, что по своей сути подобные сервисы не способны гарантировать безопасность передачи данных, их безоговорочную сохранность, а также отсутствие доступа к ним третьих лиц из-за разобщенности инфраструктуры и огромного количества пользователей.

Наиболее уязвимыми здесь, конечно, являются каналы передачи в облако, поскольку подобное соединение с сервисами редко обеспечено должным уровнем защиты от перехвата передачи, а то и вовсе выполняется из общественной сети.

К этому также добавляются подбор контрольных вопросов учетных записей и методы социальной инженерии, применяемые к пользователю, для осуществления злоумышленником доступа к личному кабинету пользователя.

И все это — не затрагивая возможные уязвимости информационной безопасности в инфраструктуре провайдера облака.

А владеет ли информацией пользователь?

Немаловажной проблемой является и недостаточный контроль пользователя над своими данными в облачном хранилище. Так, при удалении файла его копия может оставаться в облаке еще очень продолжительное время. Кажется неожиданным, но и в этому случае применимо выражение «Все что попало в интернет — остается там навсегда».

Кроме того, при размещении в инфраструктуре облака, заказчик не получает гарантий того что сам всегда и безоговорочно будет иметь к ним доступ.

Что делать если сведения нужна здесь и сейчас, а сведения об учетной записи утеряны, сервер провайдера выключен на техобслуживание, выведен из строя или с любой из сторон отсутствует доступ к сети.

Тут то и нарушаются основные принципы информационный безопасности, а именно — КЦД.

КЦД в информационной безопасности — это конфиденциальность, целостность и доступность информации.

Подобные огрехи упорно пытаются нивелировать так называемыми «Дисклеймерами», в которых владельцы облаков старательно пытаются освободить себя от ответственности при возникновении описанных выше проблем. Однако, все это зависит от юрисдикции в которой функционирует сервис. Так, ссылаясь на статью 9 гражданского кодекса РФ можно определить:

Отказ граждан и юридических лиц от осуществления принадлежащих им прав не влечет прекращения этих прав, за исключением случаев, предусмотренных законом.

Не стоит забывать и о законе «О защите прав потребителей», который всегда стоит брать во внимание при оказании услуг на возмездной основе. Все это влечет последствия как для провайдера, так и для пользователя хранилища.

А если сервис зарубежный?

Тут все становится гораздо интереснее!

Если сервис функционирует за пределами РФ, то одна из сторон — заказчик или провайдер облачных услуг – является иностранной. Это значит что объект в связи с которым возникают возмездные отношения — программное обеспечение и вычислительные мощности или серверы находятся заграницей. А уже это значит, что все юридические факты таких правоотношений имеют действие там, за рубежом.

Так что деятельность провайдера облачных услуг, что действия пользователя по размещению в облаке информации будут попадать под разные юрисдикции.

А установления разных юрисдикций, в свою очередь, могут не совпадать или даже иметь противоречащие друг другу параграфы и статьи.

При возникновении разбирательств придется учитывать правовые нормы сразу нескольких государств. И это будет отнюдь не просто.

Ведь первые проблемы ждут вас уже на этапе подачи искового заявления. Нужно будет выбрать сразу из нескольких вариантов подачи: по месту нахождения истца, по месту нахождения ответчика, по месту расположения серверной инфраструктуры, адресу осуществления деятельности или месту, из которого осуществили доступ к облаку.

https://www.youtube.com/watch?v=V0lBzz3GNac\u0026pp=ygVB0J_RgNCw0LLQvtCy0LDRjyDQv9GA0LjRgNC-0LTQsCDQvtCx0LvQsNGH0L3Ri9GFINGB0LXRgNCy0LjRgdC-0LI%3D

Это разрешает нам сделать вывод о том, что решение подобных трансграничных споров будет непростым, если вообще возможным в текущих реалиях. А часто отстающее законодательство разных государств в отношении облачных технологий еще больше усугубит возникающие сложности в течении процесса.

В России все проще (не для операторов)

Во время выбора облака стоит учитывать территориальные ограничения на обработку и хранение данных, действующие в РФ.

Больше всего нас интересуют:

• Федеральный закон №152
• Федеральный закон №149
• Приказ ФСТЭК России №17

В рамках обработки и хранения ПДн:

• Федеральный закон №152 говорит, что хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должно осуществляться с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.Так как подобные сервисы в большинстве своем и используются для хранения персональных данных они попадают под это ограничение.

Что же касается органов государственной власти и государственных и муниципальных информационных систем:

• Федеральный закон №149 обязывает, чтобы все технические средства государственных органов, органов местного самоуправления, государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений целиком и полностью находились на территории Российской Федерации.Минкомсвязь России ведет реестр мест расположения технических средств ИС и контролирует выполнение предъявленных требований.
• Приказ ФСТЭК №17 гласит, что все государственные и муниципальные информационные системы должны быть аттестованы.Если информационная система расположена в зарубежном облаке или центре обработки данных — аттестовать ее не получится.

Правда, в нашем законодательстве существуют и требования, предъявляемые к заказчику.

В соответствии с Постановлением Правительства №1119 заказчик должен:

• Выявить типы угроз безопасности персональных данных;
• Установить необходимый уровень защищенности для конкретных ПДн;
• Подобрать средства защиты информации.

А приказ ФСТЭК №17 обязывает его:

• Классифицировать информационную систему в рамках требований, предъявляемых к защите информации;
• Найти угрозы БИ, которые могут привести к нарушению безопасности информации и, основываясь на них, разработать соответствующую модель угроз;
• Выявить требования к системе защиты информации.

На что обратить внимание в договоре?

Подытоживая правовую секцию статьи, рассмотрим список пунктов, на которые стоит обратить внимание при принятии условий договора использования облачного сервиса:

• Указаны ли технические характеристики. Например: уровень сервиса, устанавливающий качественное описание предоставляемой пользователю услуги;
• Присутствует ли ответственность за неработоспособность сервера. При этом обращайте внимание как на временное, так и постоянное отсутствие доступа;
• Указано ли местонахождение аппаратуры и есть ли у оператора обязанности по сохранению и восстановлению информации (к примеру, резервное копирование данных), а также какие наступают последствия их несоблюдения;
• Прописана ли обязанность провайдера хранилища сохранять конфиденциальность данных пользователей и защищать эти данные. В том числе с использованием криптографии и шифрования;
• Какие последствия и основания для расторжения договора (обязан ли оператор стереть информацию после прекращения действия договора; существует ли срок для удаления информации; а если сведения не удаляются, то как оператор может использовать их в дальнейшем);
• Какие последствия наступают при неоплате услуг (форматирование информации, приостановка и блокирование доступа и др.).

Выводы

В заключении хотелось бы пояснить, что облачные сервисы и технологии — это неизбежная часть нашей жизни, с которой большинство из нас сталкивается ежедневно.

Своей статьей я не призываю бойкотировать такие хранилища. Я лишь прошу всех с умом подходить к выбору провайдера облачных технологий: лучше, если он будет отечественным.

Всегда анализируйте условия договора, его пункты, обязанности сторон и ответственность в случае их нарушения.

А также разумно оценивайте риски безопасности информации и возможные последствия утраты данных во время использования таких сервисов.

Надеюсь, именно эту мысль вы и смогли почерпнуть для себя в моей первой статье.

Большое спасибо за внимание!

«Облачные» услуги и особенности их правового регулирования в Российской Федерации

 Елин В.М.

Для решения государственных и общественных задач в сфере информатизации в настоящее время все большее распространение получает применение технологий распределенных вычислений, под которыми понимаются в первую очередь «облачные» вычисления, технологии больших данных, технологии блокчейнов.

Программа «Цифровая экономика Российской Федерации» [1] прямо заявляет о том, что «облачные» технологии относятся к одному из уровней цифровой экономики, влияющей на жизнь граждан и общества в целом.

При этом данная Программа напрямую связана с выполнением положений как Стратегии научно-технологического развития Российской Федерации [2], так и Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы [3].

Положениями Государственной программы «Информационное общество (2011 — 2020 годы)» [4] определен комплекс мер развития информационного общества, мер по созданию национальной платформы «облачных» вычислений.

Распоряжением Правительства Российской Федерации определено, что основными точками роста сегмента разработки программного обеспечения на ближайшие годы станут «облачные» технологии, системы автоматизации бизнеса, технологии обработки больших массивов данных и приложения для мобильных устройств [5].

• Целесообразность использования «облачных» сервисов в деятельности государственных органов регулируется для бюджетной сферы [6], судебной системы [7, 8] и других отраслей государственного строительства.
• Официальное определение «облачных» сервисов дано National Institute of Standards and Technology (NIST, Национальный институт стандартов и технологий США), согласно которому под «облачными» сервисами следует понимать «модель обеспечения повсеместного и удобного сетевого доступа по требованию к вычислительными ресурсным пулам (например, сетям, серверам, системам хранения, приложениям, сервисам), которые могут быть быстро предоставлены или выпущены с минимальными усилиями по управлению и взаимодействию с поставщиком услуг» [9].
• В общем случае под «облачными» вычислениями понимают любые услуги, вычислительные мощности, ресурсы, предоставляемые пользователю на расстоянии, через сеть Интернет.

По мнению ряда авторов, «деятельность в IT-сфере напрямую связана с передачей части функций: обслуживания сетевой инфраструктуры, проектирования и планирования автоматизированных бизнес-систем с последующим их развитием и сопровождением, системной интеграции; размещения корпоративных баз данных на серверах специализированных компаний, создания и поддержки публичных WEB-серверов, управления информационными системами, приобретения в лизинг компьютерного оборудования; офшорного программирования и т.д.» [10].

В «облаке» предоставляется возможность доступа к ряду услуг, изначально определяемых как сервисы или услуги: «Все как услуга» (EaaS); «Инфраструктура как услуга» (IaaS); «Платформа как услуга» (PaaS); «Программное обеспечение как услуга» (SaaS); «Аппаратное обеспечение как услуга» (HaaS); «Рабочее место как услуга» (WaaS); «Информационное обеспечение как услуга» (DaaS); «Безопасность как сервис» (SecaaS).

Наибольшее распространение получили категории: Infrastructure as a Service, Platform as a Service и Software as a Service.

Инфраструктура как услуга (Infrastructure as a Service) (IaaS) заключается в том, что провайдер поставляет два типа ресурсов: вычислительные мощности (в том числе ресурсы сети) и ресурсы хранения (ресурсы памяти).

При оказании Platform as a Service («Платформа как услуга») (PaaS) провайдер предоставляет платформу (серверы приложений) для клиентов, иногда предоставляет инструмент для разработки программного обеспечения.

Область применения Software as a service («Программное обеспечение как услуга») (SaaS) простирается от почтовых серверов, редакторов документов, систем управления взаимоотношениями с клиентами и т.д.

1. В настоящее время остро стоит проблема как правового регулирования собственно оказания услуг в сфере «облачных» технологий в целом [11, 12, 13, 14], так и обеспечения информационной безопасности при использовании «облачных» технологий в частности [15].
2. Однако, по данным исследований European Union Agency for Network and Information Security (ENISA), не существует реальной возможности обеспечить информационную безопасность при оказании облачных сервисов [16]. Несмотря на это [17], международным сообществом предпринимается ряд мер, направленных на обеспечение безопасности в «облаке», к числу которых можно отнести:
3. — руководство информационной безопасностью при заключении договоров SLA, что включает в себя разработку ряда сервисных контрактов между клиентами и провайдерами «облачных» услуг;
4. — анализ критических «облачных сервисов» — выражается в анализе и обсуждении с заинтересованными сторонами последствий сбоя «облачных» служб и обстоятельств, при которых «облачные» технологии следует рассматривать как критические информационные инфраструктуры;
5. — экспертная оценка «облачной» безопасности и устойчивости — включает в себя работу постоянной экспертной группы ENISA Cloud Security and Resilience Expert Group;
6. — выработка предложений об эффективной практической деятельности для обеспечения безопасности правительственных облаков;
7. — отчеты об инцидентах «облачных» вычислений — определяют методику предоставления информации об инцидентах «облачной» безопасности в критических секторах и для государственных органов;
8. — список схем сертификации «облака» (Cloud Certification Schemes List, CCSL), актуальных для потенциальных клиентов «облачных» вычислений;
9. — сертификация «облачных» Стратегий Евросоюза [18].

Правовая природа договоров на предоставление «облачных сервисов»

Лосев Александр Вячеславович, Омская юридическая академия, г. Омск

В рамках данной статьи будут рассмотрены наиболее подходящие конструкции договоров на предоставление «облачных сервисов».

Появление новых технологий расшатывает сложившееся положение вещей, приводит к упадку в одних сферах деятельности и резкому скачку в других.

Особую роль в сложившейся ситуации играют так называемые прорывные технологии (distruptive), которые благодаря заложенным в них ценностям и качествам отвергаются на уже сложившихся рынках, но при этом создают новые, со временем вытесняя конкурентов и со старых [1].

Одной из технологий, которая вывела коммерческий оборот на новый уровень, является облачный сервис. В контексте данной статьи облачный сервис рассматривается как услуга по предоставлению вычислительных мощностей — Software-as-a-Service (далее – SaaS).

Распространенность и развитие облачных технологий обусловлено низкими издержками на получение услуг.

Иначе говоря, пользователю не требуется нести затраты на оборудование, его содержание и обслуживание, он несет лишь операционные затраты, связанные с использованием облачных технологий [2].

Вторым фактором является доступность — возможность воспользоваться услугой из любого места, где есть выход в интернет.

Договор аренды. Согласно ст. 606 ГК РФ по договору аренды (имущественного найма) арендодатель (наймодатель) обязуется предоставить арендатору (нанимателю) имущество за плату во временное владение и пользование или во временное пользование. Возникает вопрос: могут ли вычислительные мощности быть предметом договора аренды?

Предметом договора аренды является индивидуально-определенная непотребляемая вещь, а вычислительные мощности вещью назвать нельзя в принципе, т.к. они носят виртуальный характер и предоставляются клиенту посредством онлайн доступа.

Также под сомнение ставится возможность применения правовых норм договора аренды. В статье 611 ГК РФ указано, что арендодатель обязан предоставить арендатору имущество в состоянии, соответствующем условиям договора аренды и назначению имущества.

Какое имущество передается и каково его назначение? Предоставляется, как правило, только право доступа и использования вычислительных мощностей. Несут ли стороны какие-либо обязанности по содержанию имущества (ст.

616 ГК РФ); имеет ли преимущественное право арендатор на заключение договора на новый срок (ст. 621 ГК РФ) [3]?

Таким образом можно прийти к выводу, что договор аренды не способен отразить специфику договора по предоставлению вычислительных мощностей, и его использование не является целесообразным.

Лицензионный договор. По лицензионному договору одна сторона — обладатель исключительного права на результат интеллектуальной деятельности или на средство индивидуализации (лицензиар) предоставляет или обязуется предоставить другой стороне (лицензиату) право использования такого результата или такого средства в предусмотренных договором пределах (п. 1 ст. 1235 ГК РФ).

В доктрине основанием для квалификации в качестве лицензионного договора ученые считают тот факт, что в рамках предоставления облачных сервисов присутствует программное обеспечение, которое согласно ст.

1259 ГК РФ является программой для ЭВМ и охраняется авторским правом.

Поскольку программы для ЭВМ охраняются авторским правом, то использование и распоряжение должно производиться с помощью специальных договорных конструкций: лицензионного договора или договора на отчуждение исключительного права.

Данную позицию можно подвергнуть критике, основываясь на положениях закона и судебной практики. Охрана авторским правом отношений правообладателя и пользователя предполагает наличие у пользователя экземпляра программы для ЭВМ (ст.

1272, 1289 ГК РФ), в то время как использование облачного сервиса не сопровождается передачей пользователю экземпляра программы для ЭВМ (по общему правилу). Происходит только предоставление пользователю доступа.

Следовательно, система охраны программ для ЭВМ требует наличия у пользователя экземпляра программного обеспечения и не может применяться в отношении облачных сервисов, к которым предоставляется доступ. Также нельзя говорить о монополии специальных договорных конструкций по отношению к интеллектуальной собственности. В гражданском праве действует принцип свободы договора.

Согласно п. 2 ст. 421 ГК РФ стороны могут заключить договор, как предусмотренный, так и не предусмотренный законом или иными правовыми актами. Например, ст. 1013 ГК РФ допускает заключение в отношении интеллектуальных прав договора доверительного управления, что уже выходит за рамки договоров, предусмотренных частью 4 ГК РФ.

Несмотря на изложенное, применение лицензионного договора допускается. Во-первых, согласно п.1 ст. 1270 ГК РФ автору произведения или иному правообладателю принадлежит исключительное право использовать произведение в любой форме и любым не противоречащим закону способом.

Отсюда следует, что стороны соглашения могут использовать указанную договорную конструкцию. Во-вторых, подп. 26 п. 2 ст. 149 НК РФ предусмотрены льготы в виде освобождения от НДС при реализации на территории РФ некоторых объектов интеллектуальной собственности.

Это позволит существенно снизить стоимость сделки, что может сыграть ключевую роль в выборе договорной конструкции.

Так, Арбитражный суд рассмотрел дело о признании недействительным решения о привлечении к ответственности за совершение налогового правонарушения в части признания необоснованным применения пп. 26 п. 2 ст. 149 НК РФ в отношении обновлений программ для ЭВМ.

В ходе рассмотрения дела установлено, что имеет место фактическое предоставление только результатов интеллектуальной деятельности, что соответствует правовой природе лицензионного договора. Суд пришел к выводу, что предметом заключенных договоров является предоставление права использования ПС и обновлений ПС.

Таким образом, заявитель правомерно использовал налоговый вычет [4].

Договор возмездного оказания услуг.

По договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги (совершить определенные действия или осуществить определенную деятельность), а заказчик обязуется оплатить эти услуги (ст. 779 ГК РФ).

Предметом указанного договора является оказание услуг, что вполне согласуется со спецификой предоставления облачных сервисов. К тому же, п. 2 ст. 778 ГК РФ напрямую говорит нам об информационных услугах, к которым вполне можно отнести облачные сервисы.

Договор возмездного оказания услуг имеет следующие преимущества в сравнении с иными договорными формами.

Во-первых, предметом договора возмездного оказания охватывается предоставление услуг «облачных сервисов», что позволяет применять к данному договору нормы главы 39 ГК РФ.

Во-вторых, конструкция договора возмездного оказания услуг предоставляет возможность детальной регламентации качества предоставляемых услуг (ст. 783 ГК РФ).

В-третьих, учитывается специфика оплаты услуг (ст. 781 ГК РФ). Сторонам предоставлено право осуществлять оплату только за фактически потребленные вычислительные мощности, что является более выгодным в сравнении с лицензионным договором, который предусматривает оплату за сам факт предоставления права [5].

В судебной практике наиболее распространенной договорной конструкцией является договор возмездного оказания услуг. Так, при рассмотрении дела об обеспечении функционирования программно-технического комплекса государственного учреждения, суд пришел к выводу, что по своей правовой природе договор N 205 является договором оказания услуг [6].

На основании изложенного можно прийти к выводу, что из существующих договорных конструкций наиболее предпочтительными для облачения отношений по предоставлению облачных сервисов являются договоры возмездного оказания услуг и лицензионный договор, что подтверждается судебной практикой. Тем не менее более корректным является все же договор возмездного оказания услуг, так как именно в рамках этой конструкции учитывается специфика и многие нюансы отношений по предоставлению облачных сервисов.

Библиографический список:

1. Christensen C.M. The Innovator's Dilemma: When New Technologies Cause Great Firms to Fail. Harvard Business Review Press, 1997.
2. Савельев А.И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. N 5. С. 62 — 99.
3. Гражданский кодекс Российской Федерации (часть вторая): федер. закон от 26 января 1996 г. № 15-ФЗ.
4. Постановление ФАС Московского округа от 11.06.2013 по делу N А40-130312/12-140-876.
5. Постановление Девятого арбитражного апелляционного суда от 16 января 2015 г. N 09АП-55322/2014 по делу N А40-77325/14.

Правовые риски защиты персональных данных лиц, использующих облачные сервисы, и пути их минимизации



В статье автор анализирует правовое регулирование отношений, складывающихся по поводу оказания облачных услуг, выявляет правовые риски использования облачных услуг, возникающих в области защиты персональных данных. В настоящей работе автором предложены способы минимизации данных рисков, которые заключаются в совершенствовании юридического оформления отношений между заказчиком и облачным провайдером.

Ключевые слова: облачные технологии, пользователь, правовые риски, SLA-договор, защита прав потребителей.

Облачные технологии стали одним из хедлайнеров новой информационной эпохи и приобрели огромную популярность прежде всего благодаря своей многофункциональности и высокой эффективности в плане скорости и удобства в использовании.

С внедрением новой технологии в жизнь общества соответственно стали анализироваться правовые риски использования такой инновации пользователями, и очень скоро стали ясны не только достоинства облачных технологий, но также и их недостатки, связанные с нарушением прав и свобод граждан при предоставлении облачных услуг.

Облачные технологии повсеместно используются социальными сетями, внедряются компаниями для хранения и обработки корпоративной информации и данных работников и клиентов, а также ежедневно используются пользователями — например, мы активно размещаем информацию в Гугл-диске, используем iCloud, Яндекс.Облако и другие облачные сервисы.

Сложность механизма предоставления облачных услуг и многосубъектность возникающих правоотношений с одной стороны, а также рекомендательный характер правовых актов, в которых предпринималась попытка урегулировать оборот инновационного продукта с другой стороны, привели к тому, что потребитель услуги подвергается риску недолжного обеспечения безопасности его персональных данных.

Особенности функционирования провайдеров облачных услуг, различные формы предоставления облачных технологий порождает ряд правовых вопросов.

Например, каким образом распределена ответственность между заказчиком и провайдером облачных услуг? Каким образом обеспечивается защита персональных данных в «облаке», насколько современное состояние рынка облачных технологий соответствует законодательству РФ о персональных данных и каков правовой механизм реагирования на нарушение прав потребителя облачных услуг — субъекта персональных данных?

Прежде всего, нужно отметить, что в «облаках» может быть размещена самая разнообразная информация, однако именно сохранность персональных данных вызывает особые опасения по следующим причинам.

Во-первых, она является информацией ограниченного доступа, так как разглашение персональных данных субъекта часто может привести к неблагоприятным последствиям для субъекта персональных данных и использоваться в незаконных целях для извлечения прибыли, а во-вторых, в условиях информационного общества такая информация приобрела коммерческую ценность и стала одним из наиболее востребованных активов и объектом конкуренции компаний [1, c. 169, 184]. Однако персональные данные по смыслу российского законодательства не являются объектом гражданских прав [2, ст. 128], они представляют собой разновидность нематериальных благ, и могут быть использованы только с согласия их обладателя — то есть они не могут быть рассмотрены в том числе в качестве встречного предоставления за использование облачных услуг в случае, если провайдер облачных технологий занимается их обработкой в собственных коммерческих целях.

Уязвимость персональных данных при размещении их в облачных сервисах нередко приводит к утечкам персональных данных из облачных сервисов ряда глобальных корпораций [3]. Большинство утечек происходит по причине активного использования публичных облаков для хранения данных клиентов компаниями и одновременного отставания в обеспечении необходимого уровня киберзащиты.

На первый взгляд кажется, что вопросы безопасности данных клиентов касаются исключительно технических решений — однако причины безответственного отношения компаний к персональным данным связаны с недостаточной правовой разработкой соглашений, заключаемых с клиентами, что приводит к тому, что компании часто уклоняются от ответственности в силу отсутствия указания в соглашениях условий о размере и виде санкций за нарушение правил о персональных данных, а также в силу неосведомленности пользователей о правовых рисках и надлежащем ответчике. На наш взгляд, четкое разграничение ответственности за нарушение конфиденциальности и сохранности персональных данных клиентов в договоре о предоставлении облачных услуг способно повысить мотивацию компаний в активном развитии технологий по обеспечению кибербезопасности.

Говоря об отсутствии комплексного правового фундамента для разграничения правовых статусов всех субъектов, участвующих в соглашении об использовании облачных технологий, следует обратить внимание на уже упомянутый рекомендательный характер существующих правовых актов в области регулирования данной информационной технологии.

Например, облачные технологии указаны в качестве приоритетного направления информационных и коммуникационных технологий в Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы [4].

Правовыми актами, направленными на регулирование деятельности провайдеров облачных технологий, являются также акты различных служб и ведомств, которые несут главным образом разъясняющий характер и вносят ясность в терминологию отношений в сфере облачных вычислений [5].

Попытки придать отношениям по использованию облачных вычислений правовую определенность предпринимались также в США, Великобритании, Чехии [6, c. 36–41].

В США также превалирует рекомендательный характер регламентации услуг по предоставлению облачных вычислений, при этом нибольшее внимание уделено применению облачных технологий именно в государственном секторе — например, Федеральная программа США по управлению рисками и авторизацией при отборе провайдеров облачных технологий для государственных органов 2012 года представляет собой документ методического характера в рамках деятельности государственных учреждений.