Развитие информационных технологий влечет за собой появление в информационной сфере новых отношений, не урегулированных нормами права. Одним из примеров этого являются облачные вычисления и облачные хранилища данных, используемые юридическими и физическими лицами, а также государственными органами. В связи с наличием правового пробела вопросы правового регулирования решаются на основе адаптированных правовых норм и позиций правоприменительных органов. В статье рассматриваются возможные варианты правового регулирования данной сферы отношений.
Ключевые слова: облачные вычисления, облачные хранилища, облачный сервис, провайдер, интернет-ресурс, интернет, программное обеспечение.
Cloud computing as a subject of the contract
Resume: The development of information technologies entails the emergence of new relations in the information sphere that are not regulated by the rule of law. One example of this is cloud computing and cloud storage used by businesses, individuals and governments. Due to the presence of a legal gap, issues of legal regulation are resolved on the basis of adapted legal norms and the positions of law enforcement agencies. The article discusses possible options for legal regulation of this sphere of relations.
Key words: cloud computing, cloud storage, cloud service, provider, Internet resource, Internet, software.
За текущие несколько лет облачные вычисления стали одним из основных катализаторов развития IT рынка. Результаты исследований рынка облачных вычислений[1] показывают устойчивый рост на спрос использования службы облачных вычислений.
По данным аналитической компании Synergy Research[2] увеличение капитальных вложений операторов центров обработки данных в инвестиционные активы в первом полугодии 2018 года достигло 59 % (по сравнению с предыдущим годом за тот же период) и составили 53 млрд. долларов США. На сегодняшний день количество «облачных хранилищ» достигло 420 единиц. Как утверждают аналитики, к 2019 году облачные вычисления достигли своего «совершеннолетия»[3].
Ведущими игроками рынка являются Alibaba, Amazon Web Services, Google, IBM, Microsoft Azure и Oracle (все упомянутые компании зарегистрированы на территории Китая и США).
На практике, договоры на использование облачных вычислений имеют стандартную форму, так называемая концепция «take it or leave it»[4], не являясь обсуждаемыми перед подписанием (пользователю предлагается принять условия договора без каких-либо изменений или отказаться от использования данного сервиса), и размещаются на интернет-ресурсе облачного провайдера. Примером подобных контрактов служат Клиентское соглашение Amazon[5] и Dropbox[6].
В соответствии с ГОСТ ISO/IEC 17788—2016[7] сторонами договора по использованию службы облачных вычислений являются: потребитель службы облачных вычислений (сторона, заинтересованная в получении услуги) и поставщик службы облачных вычислений (облачный провайдер – сторона, предоставляющая такую возможность).
Специфика «облачного» сервиса предполагает, что стороны могут быть как физическими, так и юридическими лицами. Обычно поставщик службы является юридическим лицом. Гражданско-правовые отношения по поводу использования службы облачных вычислений могут, в т.ч. регулироваться в соответствии со ст. 1186 Гражданского кодекса Российской Федерации, касающейся определение права, подлежащего применению к гражданско-правовым отношениям с участием иностранных лиц или гражданско-правовым отношениям, осложненным иным иностранным элементом. Как минимум, одна из сторон отношений, «которая осуществляет исполнение, имеющее решающее значение для содержания договора»[8], может находиться в другой юрисдикции.
Согласно рекомендациям[9] информационно-пропагандистской группы конечных пользователей Cloud Standards Customer Council[10], которая работает в сотрудничестве с Международной организации по стандартизации, структура соглашения на предоставления облачных вычислений основывается на «трёх артефактах»:
— соглашение на использование облачных вычислений, в основе которого лежит используемая модель предоставления облачных вычислений. Оно же определяет условия: а) оплаты по договору, б) временной приостановки договора, в) применимого права, г) срока действия договора и его прекращения, д) возмещения ущерба, е) об отказе исполнения договора, ж) обеспечения сохранности данных (включая случаи банкротства поставщика службы облачных вычислений);
— соглашение об уровне обслуживания (об уровне предоставления услуг) (Service Level Agreement – SLA) – формальный договор (Международный стандарт ISO 20000-1:2018[11]), обеспечивающий механизм поддержания бесперебойного функционирования службы облачных вычислений. Является основным документом, определяющим взаимоотношения сторон договора, и одним из способов защиты потребителя службы облачных вычислений, как стороны изначально не участвующей в составлении договора. В соглашении SLA прописываются требования по доступности услуги по каналам связи, отказоустойчивость, резервное копирование данных, запрет несанкционированного доступа провайдера к данным конечного пользователя, ответственность провайдера за скачки напряжения или отсутствие энергоснабжения, за соблюдение температурного режима. Соглашение SLA может быть приложением к основному договору, либо быть в виде публичного объявления на сайте провайдера. Заключается не только для фиксации желаемых параметров, но и для определения компенсации за их нарушение. Основой соглашения SLA является Требования к уровню услуги (Service Level Requirement – SLR[12]), используемый для согласования целевых показателей уровня услуг, разрабатываемый совместно представителями обеих договаривающих сторон;
— политика допустимого использования (Acceptable Use Policy – AUP) – документ, определяющий права и порядок доступа к информационным активам компании [13] (в случае SaaS), порядок использования разрешенных аппаратно-программных средств (в случае IaaS), а также права и обязанности потребителей согласно накладываемым ограничениям со стороны национальных законодательных актов и требований руководящих документов. Иными словами, это своего рода «гарантия освобождения от ответственности» для поставщиков службы, возникающей в результате незаконной деятельности потребителей службы, например, потребитель своими действиями допустил повышенную нагрузку оборудования, в случае IaaS, непредусмотренную соглашением. Это базовая политика безопасности[14], целью которой является установление стандартных норм безопасного использования информационных ресурсов. Примером может служить политика допустимого использования компаний HP[15] и Avast[16].
В чем заключается причина устойчивого интереса к облачным вычислениям со стороны представителей бизнеса? Прежде всего – экономическая составляющая: использование службы облачных вычислений дает возможность предпринимателям снизить расходы на развёртывание, поддержание в работоспособном состоянии и обновления собственной IT-инфраструктуры, а также мобильность в получении необходимой информации. Другими словами, аппаратное оснащение (устройства для хранения информации) принадлежат поставщику облачных вычислений (далее – облачный провайдер), а не пользователям, осуществляющим доступ к оснащению через Интернет[17].
Во-вторых, технологические (или «ключевые» в соответствии с межгосударственным стандартом ГОСТ ISO/IEC 17788—2016[18], введённым в действие в качестве национального стандарта Российской Федерации приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2016 г. № 1665-ст[19] с 1 ноября 2017 г.) особенности, заключающиеся в возможности для конечного пользователя:
– регистрироваться и получать услуги без длительных задержек (самообслуживание по требованию);
– при наличии сети, иметь доступ к физическим и виртуальным ресурсам через стандартные программы из любого места с использованием таких устройств, как смартфон, планшет, ноутбук и портативный компьютер (широкий доступ к сети);
– объединения физических и виртуальных ресурсов для обслуживания одного или более потребителей службы облачных вычислений (объединение ресурсов) и достижения максимальной производительности (быстрая эластичность);
– оплачивать только используемые им ресурсы (измеряемое обслуживание) по принципу тарификации за фактически используемые ресурсы, так называемому «pay as you go».
Однако использование службы облачных вычислений не дает пользователю полного представления о точном местоположении данных, и какая именно часть аппаратного оснащения фактически используется в определённый момент времени, хотя данная информация может иметь значение при определении применимого права.
Также не существует четкого осознания, какими именно нормами материального права регулируются правоотношения, возникающих при использовании службы облачных вычислений.
Согласно опубликованному в 2015 году Сравнительному исследованию по контрактам на облачные вычисления[20], которое было проведено по инициативе Европейской комиссии, в исследуемых странах (28 стран-участниц ЕС и США) не существует законодательства, специально регулирующего контракты на облачные вычисления. В связи с чем, возможно применение следующих видов договоров:
— большинство стран (в т.ч. США), не учитывая модель предоставления службы облачных вычислений (SaaS, PaaS и IaaS) и ссылаясь на «непрерывность» получения потребителем доступа к службе, рассматривают контракты на облачные вычисления в качестве договора возмездного оказания услуг[21];
— договор подряда, если поставщик облачных услуг выполняет только строго определенную задачу;
— договор аренды вычислительных мощностей или инфраструктуры (особенно характерно в случае PaaS и IaaS).
Наиболее цитируемым является определение, данное Национальным Институтом Стандартов и Технологий США (National Institute of Standards and Technologies – NIST)[22], согласно которому облачные вычисления представляют модель, обеспечивающую повсеместный, удобный доступ по требованию к общей сети изменяемых вычислительных ресурсов (например, сети серверов, систем хранения, приложениям или услугам), которые могут быть быстро предоставлены для использования с минимальными административными затратами или вмешательством со стороны поставщика услуг.
В соответствии с вышеуказанным стандартом существуют три основные модели обслуживания облачных вычислений:
— программное обеспечение как услуга – Software as a service (далее – SaaS) – возможность потребителя использовать программное обеспечение, предоставляемое провайдером и доступное через веб-браузер или программный интерфейс, средствами облачной инфраструктуры,
— платформа как услуга – Platform-as-a-Service (далее – PaaS),
— инфраструктура как услуга – Infrastructure-as-a-Service (далее – IaaS).
Давайте попробуем разобраться, что представляет служба облачных вычислений с точки зрения предмета договора.
В нашей стране до настоящего времени не принят отдельный федеральный закона об использовании облачных технологий. Однако подобные попытки были. В 2014 Правительством Российской Федерации был разработан проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений»[23]. Согласно пояснительной записке к законопроекту, предлагается внести изменения в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» «…в части определения основных понятий, используемых при организации предоставления услуг облачных вычислений, условий использования облачных вычислений, способов организации предоставления облачных услуг, ответственности сторон…». В соответствии с законопроектом услуги облачных вычислений являются услугами «по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации потребителя услуг облачных вычислений с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети…».
В рамках существующего законодательства, по мнению автора, наиболее близкое по смыслу функционирования службы облачных вычислений определение «поставщика службы облачных вычислений» содержится в п. 18 ст. 2[24] Федерального закона «Об информации» (от 27.07.2006 № 149-ФЗ). Так «…лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет»…» определяется законом как «провайдер хостинга».
На основании этого, автором делается вывод о том, что предметом договора услуги службы облачных вычислений (хостинга, по смыслу N 149-ФЗ от 27 июля 2006 года) являются действия поставщика службы облачных вычислений по предоставлению потребителю вычислительной мощности и распределенного хранения на серверах провайдера информации с использованием технологии облачных вычислений в виде инфраструктуры (IaaS), программного обеспечения (SaaS) или платформы (PaaS), доступной посредством сети Интернет, а также обеспечение бесперебойного предоставления услуги (техническое обслуживание).
Вычислительная мощность или производительность компьютерного оборудования — это способность компьютера (вернее процессора) обрабатывать данные, по сути, скорость выполнения вычислительных операций (единица измерения – FLOPS[25] – Floating Point Operations Per Second – количество операций с плавающей запятой в секунду). Вычислительная мощность зависит от архитектуры и тактовой частоты процессора. Как правило, процессоры с более высокой тактовой частотой имеют большую вычислительную мощность.
Таким образом, потребитель одновременно использует всю информационную систему в целом, состоящую из аппаратной и программной частей службы облачных вычислений, предоставляемую поставщиком службы для достижения своих целей и задач в ходе предпринимательской деятельности.
Соответственно, наиболее подходящей договорной конструкцией использования службы облачных вычислений является договор возмездного оказания услуг. И даже в случае инфраструктуры как услуга (IaaS), так как деятельность поставщика службы не заканчивается всего лишь предоставлением вычислительных мощностей, а продолжается в связи с обеспечением работоспособности функционирования самой инфраструктуры.
Информация об авторе:
Данельян Андрей Андреевич, доктор юридических наук, профессор, заведующий кафедрой международного права Дипломатической академии МИД России.
Information about the author:
Andrey A. Danelyan, Doctor of Law, Professor, Head of the Department of International Law of the Diplomatic Academy of the Russian Ministry of Foreign Affairs.
[1] L.Columbus. Roundup Of Cloud Computing Forecasts And Market Estimates, 2018 (https://www.forbes.com/sites/louiscolumbus/2018/09/23/roundup-of-cloud-computing-forecasts-and-market-estimates-2018/#7d8fa585507b)
[2] Капиталовложения в дата-центры достигли рекордных значений. Издание CNews (http://mcs.cnews.ru/news/top/2018-09-06_kapitalovlozheniya_v_datatsentry_dostigli_rekordnyh)
[3] Dave Bartoletti. Predictions 2019: Cloud Computing Comes Of Age As The Foundation For Enterprise Digital Transformation. 8 ноября 2018 (https://go.forrester.com/blogs/predictions-2019-cloud-computing/)
[4] Примечание автора: безусловное принятие предложенных условий
[5] https://aws.amazon.com/ru/agreement/
[6] https://www.dropbox.com/ru/privacy#terms
[7] С 1 ноября 2017 г. Межгосударственный стандарт ГОСТ ISO/IEC 17788-2016 в качестве национального стандарта Российской Федерации введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2016 г. N 1665-ст
[8] ст. 1211 ГК РФ (http://www.consultant.ru/document/cons_doc_LAW_34154/)
[9] R. Greenwell, X. Liu and K. Chalmers. Semantic Description of Cloud Service Agreements. Science and Information Conference July 28-30, 2015. London, UK (https://www.researchgate.net/publication/280553729_Semantic_Description_of_Cloud_Service_Agreements)
[10] К. Скарлетт. Облачные стандарты: средства взаимодействия приложений в облаке. developerWorks IBM, 2016 (https://www.ibm.com/developerworks/ru/library/cl-tools-to-ensure-cloud-application-interoperability/cl-tools-to-ensure-cloud-application-interoperability-pdf.pdf)
[11] ISO 20000-1:2018 (https://www.iso.org/standard/70636.html)
[12] С.Барамба. SLT, OLA, SLA Сложно о простых буквах (http://bit.samag.ru/archive/article/1602)
[13] С. А. Петренко, В. А. Курбатов. Лучшие практики создания нормативных документов по кибербезопасности в компании Труды ИСА РАН 2006. Т. 27 (http://www.isa.ru/proceedings/images/documents/2006-27/177-233.pdf)
[14] В.Шаньгин. Защита информации в компьютерных системах и сетях. Издательство ДМК, Москва, 2012
(https://books.google.ru/books?id=-P9QAgAAQBAJ&printsec=frontcover&hl=ru#v=onepage&q&f=false)
[15] https://www8.hp.com/ru/ru/acceptable-use-policy.html
[16] https://www.avast.ru/acceptable-use-policy
[17] Communication from the Сommission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. Unleashing the Potential of Cloud Computing in Europe. Brussels, 27.09.2012. COM (2012) 529 final. (https://ec.europa.eu/info/business-economy-euro/doing-business-eu/contract-rules/cloud-computing/cloud-computing-contracts_en)
[18] Настоящий стандарт идентичен международному стандарту ISO/IEC 17788:2014 «Информационные технологии. Облачные вычисления. Общие положения и терминология», («Information technology — Cloud computing — Overview and vocabulary»)
[19] Межгосударственный стандарт ГОСТ ISO/IEC 17788—2016 (http://files.stroyinf.ru/Data2/1/4293749/4293749959.pdf)
[20] Comparative study on cloud computing contracts (https://ec.europa.eu/info/business-economy-euro/doing-business-eu/contract-rules/cloud-computing/study-cloud-computing-contracts_en)
[21] Примечание автора: типы договора указаны в соответствии с принятой в ГК РФ классификацией.
[22] P. Mell and T. Grance, The NIST Definition of Cloud Computing (https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-145.pdf).
[23] Справочная правовая система КонсультантПлюс (http://www.consultant.ru/law/hotdocs/33631.html/)
[24] Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (http://www.consultant.ru/document/cons_doc_LAW_61798/)
[25] Ramesh Bangia. Dictionary of Information Technology. Laxmi Publications, Ltd., 2010 (https://books.google.ru/books?id=zQa5I2sHPKEC&pg=PA230&dq=definitions+of+Floating+Point+Operations+Per+Second&hl=ru&sa=X&ved=0ahUKEwiv8ajzgP_gAhUv06YKHcrMBVMQ6AEIRTAE#v=onepage&q=definitions%20of%20Floating%20Point%20Operations%20Per%20Second&f=false)
