Облака: юридические риски, о которых должен знать каждый CIO

Неудивительно, особенно в нынешних непростых экономических условиях, что облачные вычисления продолжают наращивать популярность, поскольку часто компании рассматривают их в качестве простого способа сократить затраты на ИТ и повысить эффективность.

Эта тенденция, вероятно, сохранится, поскольку технологии развиваются, а мир становится все более взаимосвязанным. Однако прежде чем последовать этой тенденции, будущие пользователи облачных сервисов должны представить себе существенные юридические риски и последствия, связанные с облачными вычислениями. К ним относятся:

• ограниченная защита пользователя по условиям стандартного контракта;
• проблемы защиты данных и личной информации;
• сбор электронных доказательств (eDiscovery) и вопрос о хозяине данных.

Есть несколько видов облачных вычислений, а определения термина “облачные вычисления” могут существенно различаться. Вообще говоря, он относится к использованию принадлежащих сервис-провайдеру удаленной компьютерной сети или ресурсов для обработки данных, их хранения и управления ими. Конкретные сервисы тоже различаются. Но крупнейшие сервис-провайдеры (такие как Amazon.com, Google и Salesforce.com) в сущности предоставляют вычислительные сервисы как массовый товар, подобно тому, как коммунальные компании предоставляют воду, газ и электроэнергию.

Благодаря экономии, обусловленной эффектом масштаба, крупные сервис-провайдеры могут назначать цены, являющиеся, на первый взгляд, весьма привлекательными. Однако потенциальным клиентам следует поинтересоваться, что скрывается за обещанным снижением затрат, и понять, какие юридические риски и иные последствия возникают в результате соглашения с провайдером облачных сервисов.

Хотя крупные организации в некоторых случаях способны добиться внесения изменений в типовой контракт или стандартные условия, предложенные провайдером облачных сервисов, небольшие компании могут оказаться в ситуации “соглашайся или проваливай”. А типовой контракт или условия, предлагаемые многими провайдерами облачных сервисов (особенно через Интернет, когда необходимо выразить согласие, щелкнув мышкой), могут быть достаточно односторонними и содержать мало положений (или вообще не включать таковых), обеспечивающих защиту клиентов от юридических рисков и ответственности.

Например, типовой контракт или стандартные условия, предлагаемые большинством провайдеров, обычно описывают предоставляемые облачные сервисы в весьма общих выражениях и содержат мало действительно значимых обязательств провайдера. Обеспечиваемые провайдером уровни обслуживания (т. е. минимально необходимые уровни производительности), если и включаются в стандартные условия, то часто описываются так, что, по сути, не имеют никакого значения.

Как правило, согласно типовым контрактам или стандартным условиям провайдеры облачных сервисов предоставляют лишь весьма незначительные гарантии и возмещения. Столь же тщательно сформулированы ограничения ответственности по таким соглашениям, чтобы защитить провайдера и переложить риск на клиента. Например, если провайдер облачных сервисов сталкивается с нарушением системы безопасности данных, практически весь понесенный клиентом ущерб будет считаться случайным и косвенным. Согласно типовым контрактам и стандартным условиям большинства провайдеров облачных сервисов такие виды ущерба не подлежат возмещению.

Вопросы, касающиеся защиты данных и личных сведений создают наиболее важные юридические риски и проблемы, связанные с облачными вычислениями. Потенциальные клиенты облачных сервисов должны быть особенно осторожны, если собираются использовать для хранения личной или относящейся к конкретным людям информации (такой как имя, адрес, номер кредитной карты клиента и т. п.) вычислительные ресурсы провайдера, поскольку ответственность, которая может наступить в результате взлома системы безопасности облака, может быть весьма значительной (не говоря уже об ущербе для репутации клиента).

Сейчас почти в каждом штате США есть закон, требующий уведомлять всех заинтересованных лиц в случае проникновения в системы, где персональные сведения хранятся в незашифрованном виде. В некоторых отраслях, таких как здравоохранение, финансы и телекоммуникации, компании должны соблюдать дополнительные правила, касающиеся использования и раскрытия личной информации. Публичные компании США обязаны обеспечивать необходимый уровень контроля за текущими операциями, процессами и мерами защиты.

Экспортный контроль, а также строгие законы других стран о защите личной жизни (например, такие как в странах — членах ЕС), также могут применяться к данным, хранящимся в облаке. Помимо этой сложной паутины юридических ограничений, возможно, следует рассмотреть отраслевые стандарты или требования (в частности, стандарты безопасности индустрии платежных карт).

Кроме того, в определенных ситуациях хранящаяся в облаке информация (особенно сообщения электронной почты, переписка по вопросам бизнеса и созданные коллективными усилиями документы) может иметь значение для судебных процессов или быть объектом судебных постановлений. В подобных случаях клиентам облачных услуг необходима уверенность, что они смогут быстро получить доступ к релевантной информации и что вся такая информация будет должным образом сохранена.

Невыполнение судебных решений, запросов на выявление свидетельств и т. п. может иметь весьма серьезные последствия. Однако подобные вопросы, если и затрагиваются в типовых контрактах и стандартных условиях большинства провайдеров облачных сервисов, то обычно лишь для того, чтобы защитить самого провайдера.

Хотя клиенты отказываются от физического контроля над своими данными (и данными своих клиентов), которые они решат хранить в облаке, на них по-прежнему лежит ответственность за все, что может случиться с этими данными. Поэтому прежде чем отправиться в странствие по облакам, клиентам следует организовать изучение благонадежности провайдера и оценить потенциальные риски.

Вот некоторые вопросы, которые надлежит рассмотреть.

• Какие данные будут храниться в облаке?
• Будет ли среди них незашифрованная персональная информация?
• Где будут храниться данные, и будет ли клиент как-то влиять на выбор места хранения?
• Кто сможет получать доступ к данным и какими правами будет пользоваться провайдер облачных сервисов по отношению к данным (либо метаданным, касающимся этих данных)?
• Какие серьезные обязательства готов взять на себя провайдер облачных сервисов относительно доступа к данным, их сохранения и защиты?

Хотя небольшие компании не всегда располагают достаточными возможностями для внесения изменений в типовые контракты или стандартные условия, предлагаемые провайдерами облачных сервисов, любой потенциальный клиент всегда может выбирать, доверять ему данные облаку или нет.

Облачные вычисления быстро развиваются, и некоторые провайдеры облачных сервисов начинают подчеркивать в своих предложениях значение защиты данных. Потенциальным клиентам разумно было бы поискать различные варианты, сравнить предложения и условия или даже просто некоторое время понаблюдать за небом, оставаясь на земле, пока индустрия облачных вычислений достигнет зрелости.