Не то чтобы Россия была в стороне от всех основных мировых трендов, но в отличие от Евросоюза у нас в стране пока что уделяется меньше внимания как перспективным разработкам в области облачных услуг, так и связанным с ними законодательным проблемам. Более того, не до конца проработан даже вопрос терминологии и определений. Если учесть, что активные исследовательские работы по облачным вычислениям начались в 2009 г., то отставание России от Евросоюза составляет уже не менее двух лет.
В ЕС вопросам разработки в области облачных услуг придается первостепенное значение. Подтверждением этому служит то, что еще в декабре 2010 г. в опубликованном докладе Еврокомиссии на тему: “Анализ проблем в области безопасности и приватности при использовании облачных вычислений” ее представители заключили, что действующее законодательство в сфере защиты данных устарело и необходима активная работа по его обновлению, поэтому в мае 2011-го Еврокомиссией были начаты публичные слушания по вопросу законодательного урегулирования в сфере облачных вычислений, которые завершились 31 августа. Итоги этих слушаний помогут Еврокомиссии выработать единую стратегию в сфере облачных вычислений для ЕС, которая должна быть реализована в 2012 г.
В состав стратегии войдет три блока проблем. В рамках юридического блока будут освещены такие вопросы, как защита данных и обеспечение приватности, в том числе в международных масштабах. В рамках технического блока будут затронуты вопросы перспективных исследований по таким направлениям, как безопасность и бесперебойность облачных сервисов, стандартизация API и форматов данных, а также разработка типовых контрактов и соглашений об уровне сервиса (SLA). Наконец, в рамках рыночного блока планируется обеспечить поддержку пилотных проектов по развертыванию облачных систем.
Всего в консультациях приняло участие 538 респондентов, 230 из которых — представители компаний, 182 — физические лица, 33 — государственные служащие, 42 — ученые и 51 респондент из категории “другие”.
63% от общего количества опрошенных пришли к общему выводу, что существует юридическая неопределенность разделения прав и обязанностей при трансграничной передаче данных. Выводы проиллюстрированы мнением отдельных респондентов: “Предоставляемые провайдерами пользователям облачные ИТ-услуги должны быть стандартизированы при помощи типовых контрактов и соглашений об уровне сервиса”, “Существует неопределенность в отношении безопасности пользовательских данных, особенную обеспокоенность в этой связи вызывает именно безопасность медицинских пользовательских данных ”, “Предоставляемые облачными провайдерами услуги должны четко описывать права и обязанности сторон, и особенно это актуально для пользователей, которые должны понимать свою долю ответственности за передаваемую ими в облако информацию”, “Конечного пользователя беспокоит конфиденциальность хранимой в облаке информации — будь-то коммерческая или приватная, но мы как провайдер не понимаем своей степени ответственности за ее хранение. Должен быть принят закон, регулирующий права и ответственность между провайдером и конечным пользователем”.
92% респондентов придерживаются мнения, что в Евросоюзе на данный момент отсутствуют правовые рамки, которые определяют степень ответственности при трансграничной передаче данных. Среди опрошенных этой точки зрения придерживается и 90% представителей компаний, так как понимание степени своей ответственности при хранении информации в облаке особенно актуально для провайдеров. Некоторые из физических лиц — респондентов считают, что провайдеры недостаточно информируют пользователей о предоставляемых услугах и не предупреждают о возможных рисках. Они уверены, что между пользователем и провайдером ответственность сторон за предоставляемую (со стороны пользователя) и хранимую (со стороны провайдера) информацию должна быть четко урегулирована договором. При этом проблема заключается в том, что некоторые юридические нормы (например, о защите пользовательских данных) варьируются в разных странах Евросоюза. Как следствие, существует необходимость в согласовании различных правовых актов как в рамках ЕС, так и на международном уровне. Кроме того, провайдер должен нести юридическую ответственность за конфиденциальность, сохранность и клиентский доступ к информации не только на территории своей страны, но и за ее пределами.
Свое понимание вопроса территориальной юрисдикции, применяемой в сфере облачных вычислений, выказали более половины респондентов — представителей компаний и лишь одна треть физических лиц. Некоторые респонденты считают, что оказание услуг облачным провайдером сразу в нескольких странах окажет на него дополнительное давление в связи с возможным пересечением сразу нескольких международных норм и правил, регулирующих его деятельность в этих странах.
Также подавляющее число респондентов высказались в поддержку того, что было бы правильным, если бы в процессе предоставления облачных услуг существовал общий свод руководствующих принципов, справочных материалов и типовых договоров. Особенно важным моментом в предоставлении облачных услуг респонденты считают то, что типовые соглашения об уровне сервиса и конечные пользовательские соглашения должны пройти сертификацию ЕС.
Некоторые из опрошенных, как видно из доклада, считают, что ЕС следует разработать положения, регулирующие отношения между игроками рынка облачных услуг, которые должны отличаться простотой и недвусмысленностью понятий, а также быть принятыми всеми заинтересованными сторонами. Кроме того, странами — участниками ЕС должны быть выработаны общие регулирующие и судебные процедуры, создана общая модель соглашения между пользователем и провайдером. Особенно важна такая правовая определенность для малых и средних предприятий, которым зачастую не хватает ресурсов для разработки или пересмотра соглашений, необходимых при трансграничной передаче данных.
На вопрос о том, будет ли директива ЕС по защите данных содействовать развитию облачных услуг при одновременном сохранении приватности, из 152 респондентов -- физических лиц, принявших участие в этом раунде обсуждений, 86 ответили утвердительно, в то время как 66 — отрицательно. Положительным моментом считают большинство респондентов и внесение в директиву изменений, упрощающих трансграничную передачу данных как внутри ЕС, так и в глобальном масштабе, что должно повлечь выработку международных стандартов безопасности, которые не будут зависеть от географического местоположения субъектов.
В докладе также сказано, что существующая директива служит барьером для развития европейских облачных провайдеров не только вне зоны ЕС, но даже внутри нее. Провайдеры, изучив законодательства 13 стран ЕС, пришли к выводу о юридическом дисбалансе между данной директивой и правовыми нормами, регулирующими предоставление облачных услуг в этих странах. Особенно строгим в этом отношении является германское законодательство, утверждающее, что облачный аутсорсинг вообще юридически невозможен. Законодательные же акты Люксембурга вообще не предусматривают возможности хранения пользовательской информации за пределами страны в принципе.
Также, как подчеркивается в докладе, на данный момент существует большая неопределенность как в отношении прав потребителей, так и в отношении обязательств поставщиков. Иногда даже сложно разграничить компетенции вовлеченных сторон. Это могут быть отношения не только между провайдером и потребителем, но и между самими потребителями. К примеру, потребитель, хранящий у себя в облаке информацию другого потребителя, повлек ее изменение, что, в свою очередь, может вызвать путаницу в сложной цепи взаимоотношений между провайдером и потребителями. Особенно их могут усложнить различные юрисдикции участников вне территории ЕС.
Актуален и вопрос доступа третьих лиц (органы безопасности, налоговые службы и т. д.). Эти и другие выводы приводят докладчиков к мысли о скорейшем введении на территории ЕС общих прозрачных прав и обязанностей между пользователями и провайдерами, а также к поиску пути для их практического применения.
Что же до участия государства, то оно должно стимулировать развитие рынка облачных услуг, содействовать построению пилотных проектов в сфере публичных облачных сервисов. Они также полагают, что такие вопросы, как свобода выражения, защита приватности и персональных данных, сетевой нейтралитет и сохранение открытости Интернета, государство не может оставлять на откуп рынку. Госсектор имеет возможность сыграть роль лидера, обеспечив развертывание электронного правительства, а если говорить в целом о рынке облачных вычислений, то самый лучший способ популяризировать его – самому стать активным участником этого рынка.
77% респондентов подтвердили необходимость дальнейших исследований в сфере применения облачных технологий. При этом 58% опрошенных респондентов полагают, что при этом было бы уместным использовать, в том числе и государственное финансирование.
В заключении доклада делается вывод, что общественные консультации определили понятие облачных услуг как глобальную инфраструктуру. На вопрос: “Какие, на ваш взгляд, самые важные проблемы в сфере облачных вычислений на данный момент, которые следует вынести на всеобщее обсуждение?” – респонденты ответили, что пользователей больше всего волнует полнота доступа к своим данным и услугам в любом месте и в любое время.
Отмечается также, что в ЕС на данный момент существуют такие правовые рамки, в которых понятие облачных услуг пугает респондентов, принимавших участие в этих консультациях, своей неопределенностью. Поэтому, как заметили докладчики, существует необходимость в разъяснении прав, обязанностей и ответственности участников рынка облачных услуг, особенно это касается трансграничной передачи данных. Государственному сектору докладчики отводят роль регулятора этого рынка, который должен выработать общие требования, а также стандарты безопасности и технологической совместимости при переносе данных в облако, стимулируя таким образом быстрое его развертывание.
Облачные вычисления уже осознаются как стратегическое направление для европейской экономики и, по некоторым оценкам, могут принести Европе 35 млрд. евро прибыли в 2014 г.