Рост "облаков" требует пересмотра законов
Совокупность технологических подходов, которую называют "облачными вычислениями", вплотную столкнула законодателей и юристов с новыми проблемами. Интернет стал платформой для распределенных приложений: компания может вести конфиденциальный внутренний документооборот на чужих мощностях, заключив контракт со сторонним SaaS-поставщиком, который, в свою очередь, будет обрабатывать полученные данные на вычислительных мощностях других поставщиков услуг IaaS и/или PaaS. Существующее законодательство очень плохо приспособлено к таким ситуациям.
Юридические вопросы, возникающие при использовании сервисов SaaS/PaaS/IaaS, очень "неудобны" с точки зрения существующего законодательства: каковы обязательства поставщика SaaS по отношению к пользовательским данным? Отличаются ли они от обязательств поставщика IaaS, который не осуществляет обработку данных, а просто предоставляют вычислительную площадку? Каковы могут быть юридические последствия в том случае, если поставщики SaaS/PaaS/IaaS-услуг находятся в других юрисдикциях? Какие права правохранительные органы имеют в отношении данных, принадлежащих пользователям из других стран? И напротив – насколько пользователи свободны выносить свои данные за пределы своего государства?
Основные направления реформирования законодательства в связи с ростом популярности облачных вычислений
- Защита данных, в том числе:
- доступность и целостность
- минимальные требования или гарантии
- Конфиденциальность
- Интеллектуальная собственность
- Профессиональная небрежность
- Аутсорсинговые услуги и передача контроля
Источник: Европейское агентство по сетевой и информационной безопасности (ENISA), 2009
Таким образом, британскому верховному суду пришлось разбираться с элементарными – в технологическом плане – проблемами. Это свидетельствует о явной незрелости законодательства и правоприменительной практики на глобальном уровне.
У пользователей и поставщиков разные интересы
Регулирование отношений в области облачных вычислений – сложная задача еще и потому, что интересы пользователей, заинтересованных в сохранении контроля над своими данными, и интересы поставщиков облачных услуг, заинтересованных в максимальной свободе при эксплуатации и развитии своих сервисов, расходятся в противоположных направлениях. Будущее облачных технологий во многом будет зависеть от того, на чью сторону склонится законодатель.
В одном из недавних исследований специалисты из Microsoft высказывают мнение, что существующие сегодня правовые проблемы типичны для любой новой технологии, и со временем юридические препятствия для облачных вычислений снимутся просто в силу естественного развития рынка. Законодательство по ЭЦП поначалу также очень трудно было применять на практике, однако со временем оно стало намного более гибким, считают исследователи из Microsoft. Однако в случае ЭЦП дело обстояло существенно проще. Нужно было просто создать адекватное регулирование для новой технологии, и это действительно было (а в России – во многом остается) делом времени и техники. В случае облачных вычислений законодателю нужно не просто разработать правовую модель использования новой технологии, а "рассудить" между пользователями и поставщиками, обеспечив наиболее разумный баланс между интересами тех и других.
Европейские законодательные инициативы
Российские законодатели пока что не уделяют облачным технологиям особого внимания, в то время как в Европе процесс обновления законодательства идет достаточно активно. Так, на Всемирном экономическом форуме в Давосе еврокомиссар по Цифровому развитию Нили Круус открыто признала, что европейское законодательство в сфере защиты данных устарело и Еврокомиссия ведет активную работу над его обновлением.
Одна из проблем, которые предстоит уточнить в ходе законодательной реформы – это проведение более четкой границы между контролером (controller) и обработчиком (processor) данных. При этом, согласно Директиве 95/46/EC о защите прав частных лиц при использовании персональных данных и о свободной передаче этих данных, именно на контролере лежит бремя обеспечения адекватной защиты обрабатываемых данных. В частности, контролер должен обработчика, который бы обеспечил адекватный уровень защиты данных. В то же время, к обработчику требований предъявляется довольно мало.
Это законодательство составлялось в 1990-е годы, когда сегодняшние распределенные интернет-системы еще не существовали. Постоянно возникает вопрос о том, кого сегодня считать контролером, а кого обработчиком данных. Поскольку этот вопрос решить непросто, соответственно непростой задачей оказывается определение конкретных прав и обязанностей, накладываемых на пользователей и поставщиков облачных сервисов.
США: подход отраслевых стандартов
В США государство традиционно не вмешивается в развитие новых технологий, оставляя их на усмотрение самим участникам рынка. В то же время, в стране большим авторитетом пользуются результаты исследования Национального института по стандартам и технологиям (National Institute of Standards and Technology, NIST), которому принадлежит наиболее авторитетное определение понятия "облачных вычислений". Деятельность NIST направлена в первую очередь на организации государственного сектора США – для них Институт разрабатывает рекомендации в области обеспечения безопасности и приватности, а также поддерживает специальную программу быстрой разработки стандартов для скорейшего внедрения облачных технологий (Standards Acceleration to Jumpstart Adoption of Cloud Computing).
Короткая ссылка на материал: //cnews.ru/link/a2561
