Юридические аспекты облачного бизнеса
TRANSCRIPT
Школа облачного бизнеса Microsoft
Юридические аспекты облачного
бизнеса
семинар «Школы облачного бизнеса» Microsoft
Москва
Георгий Пчелинцев
Основные вопросы
2
• Сложности в регулировании «облачных» сервисов, отставание законодательства
• Соглашения – выработка практики
• Информационные посредники и нарушение прав на интеллектуальную собственность
Отставание нормативной базы
3
• Сравнительно новая технология, разные формы облачных технологий
(SaaS, PaaS, IaaS – имеют свою договорную и юридическую специфику)
• Специфика России – позитивное право и регулирование, хотя 421 ГК
• Законодательство заточено под оффлайновые или традиционные технологии,
нет подробного регулирования услуг
• Близко к сфере государственного регулирования (инф.право, перс.данные), но
отсутствуют специальные нормы и акты
• Нет судебной практики
Простор для творчества с оглядкой на зарубежный опыт
Отставание нормативной базы
4
• Европа наравне с другими западными государствами осознает необходимость
специального регулирования - исследования
• Определенность и предсказуемость – условия развития
• Европейская комиссия по результатам обсуждений сделала следующие
выводы:
• Существующая нормативная база создает неопределенности, не дает
возможности четко определить свои права
• Облачные технологии реализуются в глобальном масштабе, поэтому потребуется
международное законодательство
• Требуются дополнительные исследования данной проблематики
Отставание нормативной базы
5
• Европейская комиссия декларативный документ об основных условиях для
развития облачных технологий (European Commissioner for Digital Agenda 2010):
1. Разработка и внедрение стандартов и систем сертификации
(безопасность, защита данных, перемещаемость данных, совместимость
и возможность переключения)
2. Разработка унифицированного законодательства и рекомендаций в
отношении форм договоров – информированность и защита заказчиков
(take-it-or-leave-it / balanced; модельные SLA; сохранение, раскрытие и
размещение данных; ответственность; собственность на информацию)
3. Развитие государственных облачных сервисов и систем, как драйвер
рынка (крупный потребитель ИТ услуг)
Отставание нормативной базы
6
• Рецепция зарубежного опыта - Закон о ПД, Конвенция о защите физических лиц
при автоматизированной обработке ПД’1981(2005) – НО – подзаконные акты.
• Внимание гос.органов, но инициатива от рынка (АПКИТ, Ассоциация Облачных
Вычислений, РАЕК) – направление регулирования неясно.
• Илья Массух (Роскомнадзор): до конца 2011 критерии для работы с облачными
технологиями в сфере защиты ПД, «уточняющая строка в 152-м Федеральном
законе "О статусе облачных платформ", либо аналогичный подзаконный
акт».
• Законопроект АОВ «Об облачных вычислениях».
• Создание Национальной платформы распределенной обработки данных /
Ростелеком 07 (корреляция ЕС).
Отставание нормативной базы
7
• Персональные данные
• Ответственность за нарушение прав ИС
• Ответственность за оборот «запрещенной» информации
• Переносимость и совместимость информации и систем
• Защита от вмешательства государства
• Технические стандарты
• Гражданское право и природа договоров SaaS
Отставание нормативной базы
8
Проблема глобальности «облачных» сервисов, международные аспекты
• Проблема определения применимого права – нет четкого и предсказуемого
ответа законодательством каких государств регулируется сервис и
деятельность/информация пользователей
• Противоречия законодательства и стандартов разных стран:
• Персональные данные / хранение данных / защита данных;
• Основания ответственности информационных провайдеров (DMCA, European
Copyright Directive; российская практика);
• Доступ государства к информации (Megaupload, СОРМ, Retention);
• Ограничения на оборот информации;
• Законодательство о защите потребителей;
• Особенности законодательства об ИС (виды и критерии объектов).
Отставание нормативной базы
9
Проблемы глобальности «облачных» сервисов, международные аспекты
• Юрисдикция – в какой стране можете быть подан иск вами и против вас
• базовое - местонахождение ответчика (деятельности ответчика, местонахождение
сервера?)
• местонахождение имущества ответчика (информации ответчика?)
• место совершения нарушения (страна регистрации ТЗ)
• в любом государстве где доступна информация причиняющая вред
• местонахождение истца при причинении ему вреда
• Отсутствует унифицированный подход, отсутствуют специальные
международные соглашения международные договоры
Некоторые вопросы при переходе в облако
10
Заключению договоров с облачным провайдером должен предшествовать как
минимум сбор информации о нем (предпочтительнее - полноценная проверка
due diligence)
• Устойчивость облачного провайдера – финансовое состояние, отзывы
• Зависимость от поставщиков/третьих лиц – подрядчики, которые вызывают
доверие, финансовая стабильность ключевых поставщиков, дублирующие
каналы поставки ресурсов,
• Где (страны) и как хранятся данные?
• Наличие сертификаций/аккредитаций у провайдера
• Оценка плана disaster recovery / business continuity plan
Некоторые вопросы при переходе в облако
11
• Проверка политик защиты информации клиентов
• Оценка выполнения провайдером национального законодательства и рисков
прекращения деятельности из-за нарушений
• лицензия на оказание телематических услуг связи (РКН);
• лицензия на распространение средств, информационных и телекоммуникационных
систем, защищенных шифрованием (ФСБ);
• выполнение работ и услуг в области шифрования информации (ФСБ);
• обслуживание средств, информационных и телекоммуникационных систем
защищенных шифрованием (ФСБ);
• деятельность по технической защите информации (ФСТЭК).
• Какую ответственность несет провайдер за недоступность сервиса?
• Предлагается ли SLA? Какая доступность? Ответственность?
Некоторые вопросы при переходе в облако
12
• Система нотификации и отслеживания сбоев? Аудит?
• Гарантия сохранности информации? Back-up/восстановление? Цена?
• Страна хранения информации. Есть ли выбор?
• Как часто происходят обновления? Какая политика обновлений?
• Порядок изменения договора? Односторонний?
• Основания расторжения договора? Какие действия могут привести к
расторжению договора?
• Оператор связи (телематика) – СОРМ?
Некоторые вопросы при переходе в облако
13
• Собственность на информацию
• Первоначальная информация – «собственность» клиента
• созданная в облаке информация - в договор! (место создания РИД)
• права на информацию при расторжения договора – в договор!
• процедура возврата информации при каждом виде расторжения договора
• формат возвращаемых данных, экспорт (non-proprietary format)
• срок возврата после предъявления требования
• срок и обязанность удаления информации провайдером
• права на информацию при нарушении договора (неоплате) – в договор!
• удержание информации (как способ обеспечения) – в договор!
• метаданные и data mining
• Местонахождение информации (применимое право и юрисдикция)
• Право на получение сведений и отчетов
• Требование в договоре? (частное/гибридное облако)
Соглашения – трудности для клиентов
14
Аналитики Gartner провели в 2011 г. исследование в отношении договоров,
которые предлагают облачные сервисы клиентам. Были выявлены 4 ключевые
проблемы:
• Контракты зачастую упрощены и неполноценны – отсутствуют важные
детальные положения об обязанностях сервис-провайдеров, отсутствуют иные
важные положения;
• Контакты односторонние и стандартизированные – сервис-провайдеры
навязывают стандартные контракты без изменений, которые не
сбалансированы и защищают одну сторону;
• Он-лайн формы и возможность одностороннего изменения провайдером –
зачастую важная часть контракта (SLA) содержится только на сайте и может
быть односторонне изменена;
• Размытость обязательств в SLA и disclaimer.
Соглашения сторон
15
В зависимости от сложности соглашение может быть единым документом, но
чаще оно разделено на элементы.
• Terms of service – соглашение, содержащее основные условия оказания услуг,
включая перечень услуг, порядок расчётов, срок действия и прекращения
договора и иные основополагающие условия
• End User License Agreement – соглашение о предоставлении права
использования тех программ, которые провайдер делает доступными
пользователю
• Service Level Agreement – соглашение об уровне сервиса, ключевой документ,
определяющий обязательства и ответственность провайдера.
Соглашения сторон
16
• Acceptable Use Policy – правила допустимого использования; на самом деле
содержат перечень того, что пользователю запрещено (спам, диффамация,
нарушение интеллектуальной собственности, иная запрещенная законом или
пограничная деятельность)
• Privacy Policies – обязательства провайдера по сохранению
конфиденциальности данных пользователя, иные ключевые положения,
относящиеся к защите «собственности» на информацию, а также ограничения
деятельности оператора по анализу данных и сбору метаданных.
Суть облачных сервисов предполагает максимальное стандартизирование
оказываемых услуг для обеспечения их автоматизации и измеряемости,
отсюда же возникает проблема стандартных/неизменяемых договоров
Service Level Agreement
17
Соглашение об уровне обслуживания (SLA).
• ключевой инструмент управления качеством и содержанием услуг в ИТ и Телекоме
• Что? Кому? Когда? С каким качеством?
• стандартно используется за рубежом, в России распространен меньше
• только в 2011 году был официально принят ГОСТ Р ИСО/МЭК 20000-1-2010 «Информационная технология. Менеджмент услуг. Часть 1. Спецификация», содержащий определение SLA
• дополняет Соглашение об оказании услуг, реже совмещено с ним
• соблюдение формы – письменная, с использование электронной подписи, или в иным способом, соответствующим законодательству
Service Level Agreement - роль
18
Управление Ожиданиями – возможность четко зафиксировать
ожидания клиента и определить экономически целесообразные
действия провайдера
• Определение объема обязанностей провайдера
• Определение объема прав и пределов запросов клиента
• Возможность гибкой ценовой политики (уровни сервиса)
• Бесконфликтная процедура взаимодействия при нарушениях
• Средство оценки собственных услуг и направлений улучшения
• Маркетинговое и конкурентное преимущество – client satisfaction
• Ограничение ответственности провайдера (предсказуемость)
SLA - предмет и содержание
19
Основными элементами любого SLA являются
• Определение уровня и состава собственного сервиса
• Понятия, используемые в SLA
• Четкий перечень видов услуг, регламентируемых SLA
• Определение измеримых метрик для выбранных сервисов
• Перечень измеримых критериев качества по каждому сервису
• Целевой и минимальный уровень по каждой метрике
• Uptime/Downtime 99,99%= 52.56 мин. в год, TAT - время реагирования
• Mean-Time-Between-Failure (MTBF): время работы до ошибки .
• Mean-Time-To-Repair (MTTR): время на устранение ошибки
• Исключения из сферы ответственности провайдера
• Форс-мажор, сети связи и доступность Интернета
• Разумные усилия
SLA - предмет и содержание
20
• Время предоставления услуг и исключения
• Регулярное обслуживание, выходные
• Разграничение зон ответственности провайдера и клиента (напр. информационная безопасность)
• Порядок уведомления о происшествиях и разрешения разногласий
• Заявка и Trouble ticket
• Эскалация
• Последствия нарушения service levels
• Service credits, штрафы, и их пределы
• Дополнительные возмещения
• Расторжение договора
• Пересмотр договора
• Отчетность и мониторинг
SLA - противопоказания
21
Сказав почему надо использовать SLA, скажем какие обстоятельства
неблагоприятны для SLA :
• Отсутствие информации о фактически достижимых уровнях KPI и QoS
• Отсутствие технических или организационных возможностей отслеживать собственный фактический KPI и QoS
• Отсутствие возможности внедрения Operational Level Agreement внутри организации
• SLA лишь как маркетинговое средства без намерения его четко исполнять и развивать
• SLA не должен быть сверх сложным и должен быть понятен клиенту и основным вовлеченным техническим специалистам
• Отсутствие возможности заключения back-to-back SLA с партнерами/подрядчиками
SLA – средство защиты Вендора
22
• SLA – это средство обеспечения и повышения уровня сервиса
• SLA – это средство защиты Saas-вендора перед Потребителем и средство разделения рисков с провайдером PaaS / IaaS
• PaaS / IaaS требуется определить зоны ответственности каждого уровня
• SLA PaaS граница гарантированного уровня сервиса Saas-вендора для Потребителя => за ней повышенные собственные риски
• Saas-вендор устанавливает свои метрики на основе SLA с Провайдером PaaS или IaaS
• Уровень KPI Saas-вендора <= Уровень KPI Провайдера PaaS/IaaS
• Вендор в пределах Уровня KPI Провайдера PaaS/IaaS может определять размер ответственности (Sevice Credits) в своем SLA c Потребителем
• Вендор по возможности должен требовать от Провайдера PaaS/IaaS KPI в отношении Connectivity/Availability
Ответственность информационных посредников
23
• Управление рисками нарушения интеллектуальной собственности третьих
лиц – один из ключевых вопросов для облачных провайдеров (в некоторых
случаях для клиентов)
• Провайдеры - техническая роль; настаивают на отсутствии ответственности
• Закон «Об информации, информационных технологиях и защите
информации» освобождение от ответственности двух видов
«информационных посредников», но действующий ГК не содержит норм об
освобождении информационных посредников от ответственности
• Закон «Об информации …» не применяется к охране интеллектуальной
собственности, применяется к иной информации, распространение которой
ограничено законодательством (диффамация, экстремизм, и прочее)
Ответственность информационных посредников
24
• Закон «Об информации…» освобождает от ответственности за нарушение
законодательства:
• лиц, оказывающих услуги по передаче информации – если информация
передается без изменений и исправлений
• лиц, оказывающих услуги по хранению информации и обеспечению доступа к
ней – если информационный посредник не мог знать о незаконности
распространения информации
• «мог знать» – ставится вопрос о внедрении мер, направленных на
предотвращение такого рода нарушений, в том числе формирование политик
и правил сервисов, внедрение систем уведомлений и т.д.
• Освобождение от ответственности не означает отсутствие опровержения
Ответственность информационных посредников
25
• Более строгие правила в отношении интеллектуальной собственности
• Нет установленных законом норм об освобождении от ответственности
посредников за нарушение прав интеллектуальной собственности, только
судебная практика:
• Дело Мастерхост (Президиум ВАС от 23.12.2008 № 10962/08)
• Дела Рамблер Интернет Холдинг (ФАС МО от 20.07.2011 № КГ-А40/5601-11)
• Дело Агава-Софт (Президиум ВАС от 01.11.2011 № 6672/11)
• Судебная практика на уровне ВАС сформулировала условия освобождения ИП от
ответственности
Ответственность информационных посредников
26
• Факторы обуславливающие привлечение к ответственности:
• степень вовлечения провайдера в процесс передачи, хранения и обработки
информации
• возможность контролировать и изменять содержание информации
• Ответственность за передаваемую информацию отсутствует, если провайдер:
• не инициирует передачу информации
• не выбирает получателя информации
• не влияет на целостность информации
• принимает превентивные меры по предотвращению использования объектов
исключительных прав без согласия правообладателя
Ответственность информационных посредников
27
• При проверке отсутствия оснований ответственности суд учитывает:
• получил ли провайдер прибыль от деятельности, связанной с
использованием «контрафактных» материалов пользователей
• установлены ли ограничения объема размещаемой информации, ее
доступности для неопределенного круга пользователей (аутентификация)
• наличие обязанности пользователя в пользовательском соглашении по
соблюдению законодательства РФ при размещении контента
• наличие безусловного права провайдера в пользовательском соглашении
удалить незаконно размещенный контент
• отсутствие программ, способствующих нарушению исключительных прав
• наличие специальных эффективных программ, позволяющих предупредить,
отследить или удалить размещенный контрафакт
Ответственность информационных посредников
28
• При проверке отсутствия оснований ответственности суд учитывает:
• действия провайдера по удалению, блокированию спорного контента или
доступа нарушителя к сайту при получении извещения правообладателя о
факте нарушения исключительных прав;
• аналогичное реагирование при иной возможности провайдера узнать (в том
числе из СМИ) о нарушении прав третьих лиц при использовании его Интернет-
ресурса;
• отсутствие со стороны провайдера в течение разумного срока действий по
пресечению нарушений;
• пассивное поведение провайдера в отношении фактов нарушения прав третьих
при использовании сервиса, демонстративное и публичное отстранение от
содержания контента.
• ВАС указал на возможность применения к хостерам, социальным Интернет-
ресурсам и файлообменникам. SaaS, PaaS,и IaaS формально не упомянуты.
Ответственность информационных посредников
29
• Новая ст. 1253.1 ГК - законопроект № 47538-6 принят в 1-м чтении 27.04.2012
• Только два вида информационных посредников
• осуществляющие передачу материала в сети Интернет
• предоставляющие возможность размещения материалов в сети Интернет
• Обработка не упоминается в отличие от ВАС № 6672/11 – вопрос о
применимости к разным видам облачных сервисов (SaaS)
• Ответственность на общих основаниях при наличии вины (не 401 ГК)
• Статья 1253.1 ГК определяет случаи, когда предполагается отсутствие вины
Ответственность информационных посредников
30
• Посредник, осуществляющий передачу материала освобождается если:
• не изменяет материал после его получения, за исключением изменений для
обеспечения технологического процесса передачи материала
• не знал и не должен был знать о том, что использование соответствующего РИД
или СИ лицом, инициировавшим передачу материала, является неправомерным
• Посредник, предоставляющий возможность размещения освобождается если:
• не знал и не должен был знать о том, что использование соответствующего РИД
или СИ, содержащегося в таком материале, является неправомерным
• в случае получения письменного заявления правообладателя своевременно
принял необходимые и достаточные меры по устранению последствий
нарушения интеллектуальных прав, предусмотренные законодательством об
информации
Контакты
31
Георгий Пчелинцев
Советник
«Северная Cтолица»
наб. р. Мойки, 36
191186, Санкт-Петербург
Россия
Тел: + 7 812 325 84 44
Факс: + 7 812 325 84 54
E-Mail: [email protected]
© 2013 Dentons. Dentons – международная юридическая фирма, предоставляющая услуги по всему миру.
Содержание данной публикации не является юридической консультацией и не служит руководством для
выполнения каких-либо действий или отказа от действий. Более подробная информация представлена в
разделе «Legal Notices» на сайте dentons.com.