Юридические аспекты облачного бизнеса

Школа облачного бизнеса Microsoft

Юридические аспекты облачного

бизнеса

семинар «Школы облачного бизнеса» Microsoft

Москва

Георгий Пчелинцев

Основные вопросы

2

• Сложности в регулировании «облачных» сервисов, отставание законодательства

• Соглашения – выработка практики

• Информационные посредники и нарушение прав на интеллектуальную собственность

Отставание нормативной базы

3

• Сравнительно новая технология, разные формы облачных технологий

(SaaS, PaaS, IaaS – имеют свою договорную и юридическую специфику)

• Специфика России – позитивное право и регулирование, хотя 421 ГК

• Законодательство заточено под оффлайновые или традиционные технологии,

нет подробного регулирования услуг

• Близко к сфере государственного регулирования (инф.право, перс.данные), но

отсутствуют специальные нормы и акты

• Нет судебной практики

Простор для творчества с оглядкой на зарубежный опыт


4

• Европа наравне с другими западными государствами осознает необходимость

специального регулирования - исследования

• Определенность и предсказуемость – условия развития

• Европейская комиссия по результатам обсуждений сделала следующие

выводы:

• Существующая нормативная база создает неопределенности, не дает

возможности четко определить свои права

• Облачные технологии реализуются в глобальном масштабе, поэтому потребуется

международное законодательство

• Требуются дополнительные исследования данной проблематики


5

• Европейская комиссия декларативный документ об основных условиях для

развития облачных технологий (European Commissioner for Digital Agenda 2010):

1. Разработка и внедрение стандартов и систем сертификации

(безопасность, защита данных, перемещаемость данных, совместимость

и возможность переключения)

2. Разработка унифицированного законодательства и рекомендаций в

отношении форм договоров – информированность и защита заказчиков

(take-it-or-leave-it / balanced; модельные SLA; сохранение, раскрытие и

размещение данных; ответственность; собственность на информацию)

3. Развитие государственных облачных сервисов и систем, как драйвер

рынка (крупный потребитель ИТ услуг)


6

• Рецепция зарубежного опыта - Закон о ПД, Конвенция о защите физических лиц

при автоматизированной обработке ПД’1981(2005) – НО – подзаконные акты.

• Внимание гос.органов, но инициатива от рынка (АПКИТ, Ассоциация Облачных

Вычислений, РАЕК) – направление регулирования неясно.

• Илья Массух (Роскомнадзор): до конца 2011 критерии для работы с облачными

технологиями в сфере защиты ПД, «уточняющая строка в 152-м Федеральном

законе "О статусе облачных платформ", либо аналогичный подзаконный

акт».

• Законопроект АОВ «Об облачных вычислениях».

• Создание Национальной платформы распределенной обработки данных /

Ростелеком 07 (корреляция ЕС).


7

• Персональные данные

• Ответственность за нарушение прав ИС

• Ответственность за оборот «запрещенной» информации

• Переносимость и совместимость информации и систем

• Защита от вмешательства государства

• Технические стандарты

• Гражданское право и природа договоров SaaS


8

Проблема глобальности «облачных» сервисов, международные аспекты

• Проблема определения применимого права – нет четкого и предсказуемого

ответа законодательством каких государств регулируется сервис и

деятельность/информация пользователей

• Противоречия законодательства и стандартов разных стран:

• Персональные данные / хранение данных / защита данных;

• Основания ответственности информационных провайдеров (DMCA, European

Copyright Directive; российская практика);

• Доступ государства к информации (Megaupload, СОРМ, Retention);

• Ограничения на оборот информации;

• Законодательство о защите потребителей;

• Особенности законодательства об ИС (виды и критерии объектов).


9

Проблемы глобальности «облачных» сервисов, международные аспекты

• Юрисдикция – в какой стране можете быть подан иск вами и против вас

• базовое - местонахождение ответчика (деятельности ответчика, местонахождение

сервера?)

• местонахождение имущества ответчика (информации ответчика?)

• место совершения нарушения (страна регистрации ТЗ)

• в любом государстве где доступна информация причиняющая вред

• местонахождение истца при причинении ему вреда

• Отсутствует унифицированный подход, отсутствуют специальные

международные соглашения международные договоры

Некоторые вопросы при переходе в облако

10

Заключению договоров с облачным провайдером должен предшествовать как

минимум сбор информации о нем (предпочтительнее - полноценная проверка

due diligence)

• Устойчивость облачного провайдера – финансовое состояние, отзывы

• Зависимость от поставщиков/третьих лиц – подрядчики, которые вызывают

доверие, финансовая стабильность ключевых поставщиков, дублирующие

каналы поставки ресурсов,

• Где (страны) и как хранятся данные?

• Наличие сертификаций/аккредитаций у провайдера

• Оценка плана disaster recovery / business continuity plan


11

• Проверка политик защиты информации клиентов

• Оценка выполнения провайдером национального законодательства и рисков

прекращения деятельности из-за нарушений

• лицензия на оказание телематических услуг связи (РКН);

• лицензия на распространение средств, информационных и телекоммуникационных

систем, защищенных шифрованием (ФСБ);

• выполнение работ и услуг в области шифрования информации (ФСБ);

• обслуживание средств, информационных и телекоммуникационных систем

защищенных шифрованием (ФСБ);

• деятельность по технической защите информации (ФСТЭК).

• Какую ответственность несет провайдер за недоступность сервиса?

• Предлагается ли SLA? Какая доступность? Ответственность?


12

• Система нотификации и отслеживания сбоев? Аудит?

• Гарантия сохранности информации? Back-up/восстановление? Цена?

• Страна хранения информации. Есть ли выбор?

• Как часто происходят обновления? Какая политика обновлений?

• Порядок изменения договора? Односторонний?

• Основания расторжения договора? Какие действия могут привести к

расторжению договора?

• Оператор связи (телематика) – СОРМ?


13

• Собственность на информацию

• Первоначальная информация – «собственность» клиента

• созданная в облаке информация - в договор! (место создания РИД)

• права на информацию при расторжения договора – в договор!

• процедура возврата информации при каждом виде расторжения договора

• формат возвращаемых данных, экспорт (non-proprietary format)

• срок возврата после предъявления требования

• срок и обязанность удаления информации провайдером

• права на информацию при нарушении договора (неоплате) – в договор!

• удержание информации (как способ обеспечения) – в договор!

• метаданные и data mining

• Местонахождение информации (применимое право и юрисдикция)

• Право на получение сведений и отчетов

• Требование в договоре? (частное/гибридное облако)

Соглашения – трудности для клиентов

14

Аналитики Gartner провели в 2011 г. исследование в отношении договоров,

которые предлагают облачные сервисы клиентам. Были выявлены 4 ключевые

проблемы:

• Контракты зачастую упрощены и неполноценны – отсутствуют важные

детальные положения об обязанностях сервис-провайдеров, отсутствуют иные

важные положения;

• Контакты односторонние и стандартизированные – сервис-провайдеры

навязывают стандартные контракты без изменений, которые не

сбалансированы и защищают одну сторону;

• Он-лайн формы и возможность одностороннего изменения провайдером –

зачастую важная часть контракта (SLA) содержится только на сайте и может

быть односторонне изменена;

• Размытость обязательств в SLA и disclaimer.

Соглашения сторон

15

В зависимости от сложности соглашение может быть единым документом, но

чаще оно разделено на элементы.

• Terms of service – соглашение, содержащее основные условия оказания услуг,

включая перечень услуг, порядок расчётов, срок действия и прекращения

договора и иные основополагающие условия

• End User License Agreement – соглашение о предоставлении права

использования тех программ, которые провайдер делает доступными

пользователю

• Service Level Agreement – соглашение об уровне сервиса, ключевой документ,

определяющий обязательства и ответственность провайдера.

Соглашения сторон

16

• Acceptable Use Policy – правила допустимого использования; на самом деле

содержат перечень того, что пользователю запрещено (спам, диффамация,

нарушение интеллектуальной собственности, иная запрещенная законом или

пограничная деятельность)

• Privacy Policies – обязательства провайдера по сохранению

конфиденциальности данных пользователя, иные ключевые положения,

относящиеся к защите «собственности» на информацию, а также ограничения

деятельности оператора по анализу данных и сбору метаданных.

Суть облачных сервисов предполагает максимальное стандартизирование

оказываемых услуг для обеспечения их автоматизации и измеряемости,

отсюда же возникает проблема стандартных/неизменяемых договоров

Service Level Agreement

17

Соглашение об уровне обслуживания (SLA).

• ключевой инструмент управления качеством и содержанием услуг в ИТ и Телекоме

• Что? Кому? Когда? С каким качеством?

• стандартно используется за рубежом, в России распространен меньше

• только в 2011 году был официально принят ГОСТ Р ИСО/МЭК 20000-1-2010 «Информационная технология. Менеджмент услуг. Часть 1. Спецификация», содержащий определение SLA

• дополняет Соглашение об оказании услуг, реже совмещено с ним

• соблюдение формы – письменная, с использование электронной подписи, или в иным способом, соответствующим законодательству

Service Level Agreement - роль

18

Управление Ожиданиями – возможность четко зафиксировать

ожидания клиента и определить экономически целесообразные

действия провайдера

• Определение объема обязанностей провайдера

• Определение объема прав и пределов запросов клиента

• Возможность гибкой ценовой политики (уровни сервиса)

• Бесконфликтная процедура взаимодействия при нарушениях

• Средство оценки собственных услуг и направлений улучшения

• Маркетинговое и конкурентное преимущество – client satisfaction

• Ограничение ответственности провайдера (предсказуемость)

SLA - предмет и содержание

19

Основными элементами любого SLA являются

• Определение уровня и состава собственного сервиса

• Понятия, используемые в SLA

• Четкий перечень видов услуг, регламентируемых SLA

• Определение измеримых метрик для выбранных сервисов

• Перечень измеримых критериев качества по каждому сервису

• Целевой и минимальный уровень по каждой метрике

• Uptime/Downtime 99,99%= 52.56 мин. в год, TAT - время реагирования

• Mean-Time-Between-Failure (MTBF): время работы до ошибки .

• Mean-Time-To-Repair (MTTR): время на устранение ошибки

• Исключения из сферы ответственности провайдера

• Форс-мажор, сети связи и доступность Интернета

• Разумные усилия

SLA - предмет и содержание

20

• Время предоставления услуг и исключения

• Регулярное обслуживание, выходные

• Разграничение зон ответственности провайдера и клиента (напр. информационная безопасность)

• Порядок уведомления о происшествиях и разрешения разногласий

• Заявка и Trouble ticket

• Эскалация

• Последствия нарушения service levels

• Service credits, штрафы, и их пределы

• Дополнительные возмещения

• Расторжение договора

• Пересмотр договора

• Отчетность и мониторинг

SLA - противопоказания

21

Сказав почему надо использовать SLA, скажем какие обстоятельства

неблагоприятны для SLA :

• Отсутствие информации о фактически достижимых уровнях KPI и QoS

• Отсутствие технических или организационных возможностей отслеживать собственный фактический KPI и QoS

• Отсутствие возможности внедрения Operational Level Agreement внутри организации

• SLA лишь как маркетинговое средства без намерения его четко исполнять и развивать

• SLA не должен быть сверх сложным и должен быть понятен клиенту и основным вовлеченным техническим специалистам

• Отсутствие возможности заключения back-to-back SLA с партнерами/подрядчиками

SLA – средство защиты Вендора

22

• SLA – это средство обеспечения и повышения уровня сервиса

• SLA – это средство защиты Saas-вендора перед Потребителем и средство разделения рисков с провайдером PaaS / IaaS

• PaaS / IaaS требуется определить зоны ответственности каждого уровня

• SLA PaaS граница гарантированного уровня сервиса Saas-вендора для Потребителя => за ней повышенные собственные риски

• Saas-вендор устанавливает свои метрики на основе SLA с Провайдером PaaS или IaaS

• Уровень KPI Saas-вендора <= Уровень KPI Провайдера PaaS/IaaS

• Вендор в пределах Уровня KPI Провайдера PaaS/IaaS может определять размер ответственности (Sevice Credits) в своем SLA c Потребителем

• Вендор по возможности должен требовать от Провайдера PaaS/IaaS KPI в отношении Connectivity/Availability

Ответственность информационных посредников

23

• Управление рисками нарушения интеллектуальной собственности третьих

лиц – один из ключевых вопросов для облачных провайдеров (в некоторых

случаях для клиентов)

• Провайдеры - техническая роль; настаивают на отсутствии ответственности

• Закон «Об информации, информационных технологиях и защите

информации» освобождение от ответственности двух видов

«информационных посредников», но действующий ГК не содержит норм об

освобождении информационных посредников от ответственности

• Закон «Об информации …» не применяется к охране интеллектуальной

собственности, применяется к иной информации, распространение которой

ограничено законодательством (диффамация, экстремизм, и прочее)


24

• Закон «Об информации…» освобождает от ответственности за нарушение

законодательства:

• лиц, оказывающих услуги по передаче информации – если информация

передается без изменений и исправлений

• лиц, оказывающих услуги по хранению информации и обеспечению доступа к

ней – если информационный посредник не мог знать о незаконности

распространения информации

• «мог знать» – ставится вопрос о внедрении мер, направленных на

предотвращение такого рода нарушений, в том числе формирование политик

и правил сервисов, внедрение систем уведомлений и т.д.

• Освобождение от ответственности не означает отсутствие опровержения


25

• Более строгие правила в отношении интеллектуальной собственности

• Нет установленных законом норм об освобождении от ответственности

посредников за нарушение прав интеллектуальной собственности, только

судебная практика:

• Дело Мастерхост (Президиум ВАС от 23.12.2008 № 10962/08)

• Дела Рамблер Интернет Холдинг (ФАС МО от 20.07.2011 № КГ-А40/5601-11)

• Дело Агава-Софт (Президиум ВАС от 01.11.2011 № 6672/11)

• Судебная практика на уровне ВАС сформулировала условия освобождения ИП от

ответственности


26

• Факторы обуславливающие привлечение к ответственности:

• степень вовлечения провайдера в процесс передачи, хранения и обработки

информации

• возможность контролировать и изменять содержание информации

• Ответственность за передаваемую информацию отсутствует, если провайдер:

• не инициирует передачу информации

• не выбирает получателя информации

• не влияет на целостность информации

• принимает превентивные меры по предотвращению использования объектов

исключительных прав без согласия правообладателя


27

• При проверке отсутствия оснований ответственности суд учитывает:

• получил ли провайдер прибыль от деятельности, связанной с

использованием «контрафактных» материалов пользователей

• установлены ли ограничения объема размещаемой информации, ее

доступности для неопределенного круга пользователей (аутентификация)

• наличие обязанности пользователя в пользовательском соглашении по

соблюдению законодательства РФ при размещении контента

• наличие безусловного права провайдера в пользовательском соглашении

удалить незаконно размещенный контент

• отсутствие программ, способствующих нарушению исключительных прав

• наличие специальных эффективных программ, позволяющих предупредить,

отследить или удалить размещенный контрафакт


28

• При проверке отсутствия оснований ответственности суд учитывает:

• действия провайдера по удалению, блокированию спорного контента или

доступа нарушителя к сайту при получении извещения правообладателя о

факте нарушения исключительных прав;

• аналогичное реагирование при иной возможности провайдера узнать (в том

числе из СМИ) о нарушении прав третьих лиц при использовании его Интернет-

ресурса;

• отсутствие со стороны провайдера в течение разумного срока действий по

пресечению нарушений;

• пассивное поведение провайдера в отношении фактов нарушения прав третьих

при использовании сервиса, демонстративное и публичное отстранение от

содержания контента.

• ВАС указал на возможность применения к хостерам, социальным Интернет-

ресурсам и файлообменникам. SaaS, PaaS,и IaaS формально не упомянуты.


29

• Новая ст. 1253.1 ГК - законопроект № 47538-6 принят в 1-м чтении 27.04.2012

• Только два вида информационных посредников

• осуществляющие передачу материала в сети Интернет

• предоставляющие возможность размещения материалов в сети Интернет

• Обработка не упоминается в отличие от ВАС № 6672/11 – вопрос о

применимости к разным видам облачных сервисов (SaaS)

• Ответственность на общих основаниях при наличии вины (не 401 ГК)

• Статья 1253.1 ГК определяет случаи, когда предполагается отсутствие вины


30

• Посредник, осуществляющий передачу материала освобождается если:

• не изменяет материал после его получения, за исключением изменений для

обеспечения технологического процесса передачи материала

• не знал и не должен был знать о том, что использование соответствующего РИД

или СИ лицом, инициировавшим передачу материала, является неправомерным

• Посредник, предоставляющий возможность размещения освобождается если:

• не знал и не должен был знать о том, что использование соответствующего РИД

или СИ, содержащегося в таком материале, является неправомерным

• в случае получения письменного заявления правообладателя своевременно

принял необходимые и достаточные меры по устранению последствий

нарушения интеллектуальных прав, предусмотренные законодательством об

информации

Контакты

31

Георгий Пчелинцев

Советник

«Северная Cтолица»

наб. р. Мойки, 36

191186, Санкт-Петербург

Россия

Тел: + 7 812 325 84 44

Факс: + 7 812 325 84 54

E-Mail: [email protected]

© 2013 Dentons. Dentons – международная юридическая фирма, предоставляющая услуги по всему миру.

Содержание данной публикации не является юридической консультацией и не служит руководством для

выполнения каких-либо действий или отказа от действий. Более подробная информация представлена в

разделе «Legal Notices» на сайте dentons.com.

Юридические аспекты облачного бизнеса

Documents

Transcript of Юридические аспекты облачного бизнеса