Время хранения информации на съемном устройстве давно осталось позади. Развитие технологий дало возможность пользоваться облачными хранилищами не только для хранения огромных потоков данных, но и для обмена данными. DropBox, Google Drive, SkyDrive (OneDrive) и иные облачные хранилища стали неотъемлемой частью современного информационного общества. Вместе с тем специфика отношений, возникающих при использовании облачных технологий, требует детального правового осмысления. Настоящая статья освещает некоторые теоретические и практические аспекты регулирования облачных технологий с точки зрения казахстанского законодательства, с учетом зарубежного опыта в данной сфере.
Облачное хранилище данных (cloud storage) представляет собой множество распределенных в сети серверов, которые могут находиться в различных частях мира. Основным преимуществом использования таких технологий является возможность размещения и хранения значительного объема данных без необходимости создания собственной серверной инфраструктуры и программного обеспечения.
В настоящее время, однако, практическое использование облачных технологий, а также юридическое оформление возникающих при их использовании отношений нередко сопровождается рядом правовых сложностей. Так, в Казахстане, впрочем, как и за рубежом, пока отсутствует специальное законодательное регулирование сферы облачных вычислений. В связи с этим представляется, что субъекты таких правоотношений должны руководствоваться общими нормами действующего законодательства, которые не всегда предлагают решения, соответствующие сути отношений, возникающих между облачным провайдером и пользователем услуги.
Ниже представлены некоторые аспекты, вызывающие наибольший интерес у пользователей публичных облачных решений:
Правовое оформление отношений при использовании облачных технологий
Соглашения по использованию публичных облачных технологий, которые, как правило, предоставляются на безвозмездной основе, заключаются в форме так называемых «кликовых лицензий». Особенностью таких соглашений является выражение согласия с их условиями путем нажатия соответствующей кнопки в режиме онлайн. Такая форма заключения договора лишает получателя услуги возможности согласовать договорные условия. Это сравнимо с заключением договора присоединения, когда пользователь либо соглашается со всеми условиями договора, либо отказывается от него вовсе. Несмотря на то, что гражданское законодательство предусматривает договор присоединения, перспективы оспаривания условий таких договоров сравнительно малы.
Вопрос безопасности данных, размещаемых на публичном «облаке»
Особую озабоченность вызывает тот факт, что далеко не всегда сервисы, предоставляющие «облачные» услуги, могут обеспечить безопасность хранения и передачи данных, а также гарантировать предотвращение незаконного доступа к ним третьих лиц. Большинство публичных облачных хранилищ данных не позволяют пользователям контролировать собственный контент. Так, удаление данных с внешнего устройства (мобильный телефон, компьютер) не влечет их удаления из учетной записи в облачном хранилище, что влечет риск их последующего использования как самим провайдером, так и третьими лицами. В рамках ЕС данный вопрос наиболее ярко освещен в деле Google v. AEDP. Результатом судебного разбирательства стало решение, обязывающее оператора поисковой службы рассматривать индивидуальные требования физических лиц по удалению ссылок в свободном интернет-доступе на их имена, что также известно как «Право быть забытым» (Right to be forgotten). Несмотря на то, что в Казахстане и ближнем зарубежье пока отсутствует похожая судебная практика, не исключено, что в ближайшем будущем вопрос станет актуальным и на постсоветском киберпространстве.
Хранение и трансграничная передача данных
Существующая практика в использовании публичных облачных сервисов для хранения и передачи информации вступает в коллизию с нормами казахстанского законодательства.
Так, Законом «О персональных данных и их защите» (далее «Закон») установлено, что «(…) хранение персональных данных осуществляется (…) в базе, которая хранится на территории Республики Казахстан». Тем самым, законодатель в императивном порядке установил место хранения персональных данных. Вполне очевидно, что, несмотря на то, что законодательство Казахстана не содержит термина «облачные технологии», данное требование применимо и в отношении хранения информации в «облаке». В связи с этим представляется, что даже в свете сомнительности судебных споров, для соблюдения требований Закона такие публичные «облачные» провайдеры, как Google, Microsoft, Facebook и прочие, обязаны обеспечить физическое присутствие серверного оборудования на территории Казахстана.
Более того, при использовании облачных технологий, особое внимание следует уделять таким понятиям, как передача и трансграничная передача данных на территорию иностранных государств. Закон позволяет трансграничную передачу персональных данных, среди прочего, если страна, куда они передаются, предоставляет их защиту. Данный подход «повторяет» практику европейского законодателя, допускающего передачу персональных данных в третьи страны только при условии обеспечения «адекватного уровня защиты» передаваемых данных. По мнению ЕС, пока только Канада, Израиль и Швейцария отвечают данному требованию.
Иностранный элемент как «отягчающее обстоятельство»
Присутствие иностранного элемента (провайдера; собственника оборудования; оператора, осуществляющего обработку персональных данных) зачастую влечет неясность в юридических фактах, в результате чего возникают, изменяются или прекращаются правоотношения по использованию облачных сервисов. Многочисленность юрисдикций является основной сложностью в выборе применимого права в данных отношениях. Очевидно лишь, что при возникновении споров по вопросам облачных хранилищ потребуется учитывать правовые нормы, обычаи и судебную практику различных государств.
По нашему мнению, в целях минимизации негативных последствий при использовании сервисов облачного хранилища, пользователям / получателям услуг следует сфокусироваться на положениях договора, имеющих существенное правовое воздействие. Вот лишь некоторые из них:
ответственность за недоступность сервера, утрату данных и наличие оговорок провайдера (disclaimer);
защита данных от несанкционированного доступа (приватность), а также пределы и возможность использования данных в рекламных целях;
обязанность провайдера уведомлять об изменениях и о доступе третьих лиц к хранящимся у него данным;
обязанность провайдера по обеспечению сохранности и восстановления информации (посредством создания резервных копий данных) и соблюдения режима конфиденциальности данных;
основания и последствия расторжения договора (наличие требования по удалению информации с сервера после расторжения договора с указанием срока).
В заключение отмечаем, что облачные технологии имеют всеобщий интерес как у государственных структур, так и у бизнес-сообщества, а также глубоко укоренились в повседневной жизни частных лиц. Обзор некоторых аспектов использования «облаков» демонстрирует наличие пробелов, что обусловлено стремительным практическим развитием и недостаточной правовой регламентацией соответствующей сферы.
В настоящее время в Казахстане на государственном уровне в рамках программы «Информационный Казахстан-2020» предусмотрен комплекс мероприятий, нацеленных на развитие информационных технологий в качестве залога модернизации экономики и жизни граждан современного Казахстана. Хочется надеяться, что данные меры будут верным шагом на пути четкого правового регулирования в использовании «облачных» технологий в правовом поле Казахстана.
Виктория Тян, старший юридический консультант, «Делойт»