Научная статья на тему '"облачные" технологии: российское и зарубежное законодательство и практика правоприменения'

"облачные" технологии: российское и зарубежное законодательство и практика правоприменения Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1521
464
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ОБЛАЧНЫЕ СЕРВИСЫ И ВЫЧИСЛЕНИЯ / CLOUD SERVICES AND COMPUTING / ИНТЕЛЛЕКТУАЛЬНАЯ СОБСТВЕННОСТЬ / INTELLECTUAL PROPERTY / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / PERSONAL DATA / ДОГОВОР УСЛУГИ / SERVICE AGREEMENT / КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ / CONFIDENTIAL INFORMATION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Карцхия Александр Амиранович

В статье рассматриваются правовые аспекты применения цифровых технологий в новых условиях цифровой экономики, а также новые вызовы для традиционных институтов современного права. Широкое практическое применение современных революционных технологий (искусственный интеллект, технологии блокчейн, аналитические базы данных, «облачные вычисления», самоуправляемые системы) формирует новую «цифровую экосистему», адаптация к которой необходима современному праву. «Облачные» вычисления и «облачные» сервисы как составные элементы современной цифровой экономики и технологической инфраструктуры цифровой экосистемы образовали новый правовой институт в составе цифровых услуг. Современное российское законодательство, законодательство стран ЕС и США в сфере «облачных» технологий адаптируются к возможностям цифровых технологий и потребностям их широкого практического использования. В статье анализируются особенности правового регулирования «облачных» сервисов и вычислений в российском и зарубежном праве и правоприменительной практике. Автор приходит к выводу о том, что «облачные» вычисления и «облачные» сервисы как новые виды Интернет-услуг (сервисов) способны формировать гражданский цифровой оборот в структуре современной цифровой экосистемы, а операционные возможности этих цифровых технологий служат инструментом адаптации права к реалиям современного цифрового мира.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

‘CLOUD' TECHNOLOGIES: RUSSIAN AND FOREIGN LAWS AND LAW ENFORCEMENT PRACTICE

Legal aspects of using digital technologies in the new conditions of digital economy, as well as new challenges for traditional institutions of modern law are considered in the paper. Wide practical application of modern revolutionary technologies (artificial intelligence, blockchain technology, analytical databases, “cloud computing”, self-managed systems) forms a new “digital ecosystem” to which modern law should adapt. “Cloud” computing and “cloud” services as components of the modern digital economy and technological infrastructure of the digital ecosystem have formed a new legal institution within the structure of digital services. Modern Russian laws, the EU and US laws in the area of “cloud” technologies are adapting to the capabilities of digital technologies and the needs of their broad practical use. The paper analyses features of legal regulation of “cloud” services and computing in Russian and foreign laws as well as law enforcement practice. The author comes to the conclusion that “cloud” computing and “cloud” services as new types of Internet services are able to form a civil digital turnover in the structure of the modern digital ecosystem, and the operational capabilities of these digital technologies serve as an instrument for adapting the law to the realia of the modern digital world.

Текст научной работы на тему «"облачные" технологии: российское и зарубежное законодательство и практика правоприменения»

«Облачные» технологии: российское и зарубежное законодательство

и практика правоприменения

Карцхия А. А.1

Ключевые слова: облачные сервисы и вычисления, интеллектуальная собственность, персональные данные, договор услуги, конфиденциальная информация.

Аннотация. В статье рассматриваются правовые аспекты применения цифровых технологий в новых условиях цифровой экономики, а также новые вызовы для традиционных институтов современного права. Широкое практическое применение современных революционных технологий (искусственный интеллект, технологии блокчейн, аналитические базы данных, «облачные вычисления», самоуправляемые системы) формирует новую «цифровую экосистему», адаптация к которой необходима современному праву. «Облачные» вычисления и «облачные» сервисы как составные элементы современной цифровой экономики и технологической инфраструктуры цифровой экосистемы образовали новый правовой институт в составе цифровых услуг. Современное российское законодательство, законодательство стран ЕС и США в сфере «облачных» технологий адаптируются к возможностям цифровых технологий и потребностям их широкого практического использования. В статье анализируются особенности правового регулирования «облачных» сервисов и вычислений в российском и зарубежном праве и правоприменительной практике. Автор приходит к выводу о том, что «облачные» вычисления и «облачные» сервисы как новые виды Интернет-услуг (сервисов) способны формировать гражданский цифровой оборот в структуре современной цифровой экосистемы, а операционные возможности этих цифровых технологий служат инструментом адаптации права к реалиям современного цифрового мира.

DOI: 10.21681/2226-0692-2018-2-36-41

П роцессы глобализации, расширение сфер трансграничного оборота товаров, услуг и капиталов в совокупности с применением современных технологий в условиях цифровой экосистемы формируют новый правовой ландшафт и расширяют сферы действия прав интеллектуальной собственности. Современные достижения в сфере облачных технологий, баз данных и мобильных технологий обусловили переход от автоматизации и применения промышленных роботов к искусственному интеллекту как реальному инструменту практической деятельности, способному не только заменить человека в рутинном труде, но составить ему конкуренцию в интеллектуальной сфере. Развитие цифровых технологий стало движущим фактором цифровизации права [1,17]. В 2006 году один из крупнейших Интернет-магазинов Amazon впервые предложил рынку новую Интернет-услугу: предоставление клиентам возможности использовать имеющиеся у компании вычислительные ресурсы, технические устройства и приложения для удаленного хранения данных и выполнения операций.

«Облачные» вычисления и «облачные» сервисы как новые технологии и как новые виды цифровых услуг создают современную цифровую экосистему, а операционные возможности этих цифровых технологий явля-

ются инструментом адаптации права к реалиям современного цифрового мира.

1.«Облачные» сервисы: российское право и практика правоприменения

Определение «облачных» сервисов в свое время было дано Национальным институтом стандартов и технологий США (National Institute of Standards and Technology (NIST), под которыми следует понимать модель обеспечения повсеместного и удобного сетевого доступа по требованию к вычислительными ресурсным пулам (например, сетям, серверам, системам хранения, приложениям, сервисам), которые могут быть быстро предоставлены или выпущены с минимальными усилиями по управлению и взаимодействию с поставщиком услуг [2].

Можно сказать, что «облачный» сервис в упрощенном виде представляет собой «автоматизированный способ предоставления вычислительных мощностей, в том числе программного обеспечения, в режиме удаленного доступа через сеть Интернет по запросу клиента... или ... технологическую модель, при которой вместо какого-либо физического ресурса предоставляется его виртуальная модель» [3].

1 Карцхия Александр Амиранович, кандидат юридических наук, профессор РГУ нефти и газа (НИУ) им. И. М. Губкина, г. Москва, Российская Федерация.

E-mail: [email protected]

Термин «облачный сервис», как отмечает Савельев А.И., является переводом английского термина «cloud service», который в свою очередь является производным от термина «cloud computing» («облачные вычисления») [4].

В российском законодательстве понятие «облачные вычисления» приводится в Стратегии развития информационного общества в Российской Федерации на 2017—2030 годы2 (далее — Стратегия) как информационно-технологическая модель обеспечения повсеместного и удобного доступа с использованием сети «Интернет» к общему набору конфигурируемых вычислительных ресурсов («облаку»), устройствам хранения данных, приложениям и сервисам, которые могут быть оперативно предоставлены и освобождены от нагрузки с минимальными эксплуатационными затратами или практически без участия провайдера.

Кроме того, в Стратегии дается и понятие «туманные вычисления», которые определяются как информационно-технологическая модель системного уровня для расширения облачных функций хранения, вычисления и сетевого взаимодействия, в которой обработка данных осуществляется на конечном оборудовании (компьютеры, мобильные устройства, датчики, смарт-узлы и другое) в сети, а не в «облаке».

При этом к публичным, так называемым «теневым» облакам относят электронную почту, тестирование ПО, хранение файлов, игры, магазины и т.д.

Наряду с системами обработки больших объемов данных, Интернета вещей и индустриального Интернета, искусственного интеллекта, робототехники и биотехнологии, радиотехника и электронная компонентная база, информационной безопасности развитие облачных технологий выделено в Стратегии как направление в развитии информационной и коммуникационной инфраструктуры РФ.

Под «облачными» вычислениями обычно понимают любые услуги, вычислительные мощности, ресурсы, предоставляемые пользователю на расстоянии, через сеть Интернет, которые, как отмечают эксперты [5], предоставляют возможность доступа к таким услугам (сервисам), как сервисы: «Все как услуга» (EaaS); «Инфраструктура как услуга» (IaaS); «Платформа как услуга» (PaaS); «Программное обеспечение как услуга» (SaaS); «Аппаратное обеспечение как услуга» (HaaS); «Рабочее место как услуга» (WaaS); «Информационное обеспечение как услуга» (DaaS); «Безопасность как сервис» (SecaaS). Наибольшее распространение получили сервисы Infrastructure as a Service, Platform as a Service и Software as a Service. В соответствии с сервисом Инфраструктура как услуга (Infrastructure as a Service) (IaaS) провайдер поставляет два типа ресурсов: вычислительные мощности (в том числе ресурсы сети) и ресурсы хранения (ресурсы памяти). Предоставление сервиса Platform as a Service ("Платформа как услуга") (PaaS) заключается в том, что провайдер предоставляет платфор-

2 Указ Президента РФ от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017— 2030 годы" // Собрание законодательства Российской Федерации, 15.05.2017, № 20, ст. 2901.

му (серверы приложений) для клиентов или инструмент для разработки программного обеспечения. Область применения Software as a service ("Программное обеспечение как услуга") (SaaS) связана с предоставлением услуг почтовых серверов, редакторов документов, систем управления взаимоотношениями с клиентами и др.

Хотя в российском законодательстве не содержится специальных норм, регулирующих «облачные» сервисы, предоставление «облачных» услуг (сервисов) осуществляется в соответствии со ст.779 и в целом главы 39 ГК РФ на основании договоров оказания возмездных услуг, правила которых применяются и к договорам оказания услуг связи, медицинских, ветеринарных, аудиторских, консультационных, информационных услуг, услуг по обучению, туристическому обслуживанию и иных, за исключением услуг, оказываемых специально поименованными договорами.

Однако ввиду специфики отношений, включающих как частно-правовой (договорные отношения), так и публичный (безопасность, обработка персональных данных) аспекты, на практике используются так называемые SLA-договоры. Предмет SLA-договора (Service Level Agreement) предусматривает подключение клиента к приложению поставщика (провайдера) «облачных» сервисов, а «облачный» провайдер принимает на себя обязательства по управлению системой, мониторингу трафика и потребностей клиентов, хранение и обработку информации в «облаке».

К существенным условиям SLA обычно относят: определение перечня видов и параметры предоставляемых услуг; методологию мониторинга, включая характеристики и методику измерения параметров безопасности в режиме реального времени; условия независимого тестирования; диапазоны параметров, которые вызывают предупреждения аd hoc, реагирования на инциденты или восстановления; регулярные отчеты об уровне обслуживания (зеркальные) и их содержание; пороги реагирования, определяемые в соответствии с профилем риска организации; пределы и основания ответственности сторон и санкции за нарушение договорных обязательств. Особо оговариваются условия обеспечения безопасности и защиты информации, контроль за деятельностью исполнителя, защита прав интеллектуальной собственности, а также порядок электронного документооборота и использования электронной подписи [5].

Тем не менее, SLA-договоры могут иметь свою специфику в зависимости от вида сервиса, предоставляемого провайдером. Так, договор на сервисные услуги SaaS не исключает возможность присутствия в нем положений, свойственных лицензионным соглашениям по использованию объектов интеллектуальной собственности. Как отмечает А.И.Савельев [4], это может быть связано с предоставлением провайдеры прав использования размещаемой в «облаке» информации, которая храниться на оборудовании провайдера, или применение вспомогательного программного обеспечения (enabling software), которое клиент устанавливает локально для использования сервиса SaaS. Однако это дополнительные (сопутствующие) услуги, входящие

в общий комплекс услуг сервиса, которые не меняют в целом правовую природу договора услуги.

Квалификация «облачных» сервисов на основании договора оказания услуг (SLA-договор) также предоставляет возможность регулировать качество предоставляемых услуг (сервиса) в силу ст.783 ГК РФ, в то время как вопросы качества программного обеспечения по лицензионному договору по правилам статей 1123— 1238 ГК РФ не регулируются, а судебная практика исходит из того, что предметом лицензионного договора является «неисключительное право, которое, не являясь вещью, не может быть некачественным»3.

Однако имеется иная точка зрения. Так, в частности, И.А.Близнец полагает необходимым в любом случае заключать лицензионный договор на использование программного продукта [6].

В то же время, глобальное использование сети Интернет, появление трансграничных онлайн-сервисов, участие физических лиц в инициировании процессов передачи данных, развитие «облачных» сервисов существенно осложнило применение положений о трансграничной передаче персональных данных, которые ориентированы на географические границы [7]. В силу этого возрастает роль регулятора сферы обработки и передачи персональных данных. В соответствии со ст.23 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных»4, контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных возложен на уполномоченный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Операторы Интернет-ресурсов или мобильных приложений, посредством которых осуществляются сбор и обработка персональных данных, обязаны предоставлять Роскомнадзору наряду с информацией о назначении и функционале таких ресурсов, перечня обрабатываемых и собираемых данных, сведениями об используемых базах данных, в которых хранятся и обрабатываются данные, также и данные о привлекаемых оператором персональных данных, провайдерах «облачных» сервисов, хостинга, сервисов аналитики данных и др.

2. Правовое регулирование облачных вычислений в странах ЕС

Европейский союз проявляет особый интерес к облачным вычислениям. В сентябре 2012 года Европейская комиссия приняла Стратегию «Раскрытие потенциала облачных вычислений в Европе (Unleashing the Potential of Cloud Computing in Europe) [8], которая явилась результатом анализа общих политических, нормативных и технологических ландшафтов, поощряет использование облачных вычислений во всех секторах европейской экономики. В ней излагаются наиболее важные и акту-

3 Постановления ФАС Московского округа от 2 июля 2013 г. по делу N А40-111104/12-26-947, от 30 сентября 2009 г. N КГ-А40/9849-09.

4 Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3451

альные действия и определяются три ключевых направления: (1) безопасные и справедливые условия контрактов; (2) расчистка большого количества («джунглей») стандартов в сфере облачных вычислений; (3) а также создание европейского «облачного партнерства».

Благодаря стандартизированным интерфейсам, организованному сопровождению инфраструктуры и обеспечения безопасности работы центров обработки данных, предприятия и компаний, включая государственные структуры, могут использовать облачные сервисы в качестве заменителя внутренних центров обработки данных, а также департаментов, ответственных за информационно-коммуникационные технологии. Без собственных вложений в создание информационной инфраструктуры, компании могут предложить будущим потребителям услуги и работы [9].

В развитие Стратегии Комиссия ЕС в 2012 году, а Европарламент принял Резолюцию 10 декабря 2013 года для развития облачных сервисов и технологий, которые предусматривали реализации различных вопросов, такие как: «облако» как инструмент роста и занятости; рынок ЕС и «облако»; государственные закупки и закупки инновационных решений; национальные стандарты; права потребителей в «облака»; интеллектуальная собственность, гражданское право и другое законодательство; а также защита персональных данных, основных прав граждан и правоохранительных органов.

В дополнение к общеевропейским директивам и указаниям ЕС, которые применимым к облачным вычислениям, страны ЕС приняли национальные законодательные акты о защите данных и облачных вычислений. Например, в Чехии в 2013 году принят закон о защите персональных данных в «облачных» сервисах, который включает: (1) определения терминов «облачные вычисления», «IaaS», «SaaS», «PaaS», «публичное облако», «Частное облако» и «Гибридное облако», (2) определения контроллера данных и обработчика данных, (3) порядок оценки адекватности уровня защиты, (4) правила, касающиеся передачи персональных данных за пределы Чешской Республики, и (5) разъяснение стандартных условий договоров по использованию облачных данных и обязательных корпоративных правил.

В Соединенном Королевстве в 2012 году принят свод руководящих принципов для компаний по вопросам облачных вычислениям в дополнение к общим правилам, установленным в Законе о защите данных (Data Protection Act 1998). В частности, предусмотрены требования к обработке информации в облаке при ICO (три основные типа моделей облачного развертывания (частные, публичные и смешанные)

В странах ЕС вопросы конфиденциальности и защиты данных имеют первостепенное значение при рассмотрении облачных вычислений и это логично, так как предоставление услуг через Интернет приводит во многих случаях к обработке персональных данных. Это создает повторяющиеся проблемы, связанные с применимым правом, определением регулятора и провайдера, их правомочий, условий заключаемых контрактов на облачные услуги (сервисы) и международной передачей данных.

Основные руководящие акты по осуществлению облачных вычислений провайдеров, которые действуют на территории Европейской экономической зоны (ЕЭЗ), первоначально изложены в Директиве ЕС о защите данных (95/46/EC) (EU Data Protection Directive 1995) о защите и обработке персональных данных в рамках Европейского Союза, которая была заменена новым директивным документом ЕС — Общеевропейским регламентом по защите данных (GDPR) (ЕС) 2016/6795 (вступил в силу в 2018 году), — который регулирует вопросы защиты персональных данных и конфиденциальности для всех лиц в рамках Европейского Союза, а также сферу экспорта персональных данных за пределы ЕС в целях контроля гражданами и жителями ЕС за своими персональными данными, а также упрощения регуляторной среды для международного бизнеса путем унификации регулирования в рамках ЕС. Отношения в Интернет-пространстве ЕС регулируются также Директивой о конфиденциальности и электронных средствах связи, это так называемая «ePrivacy Директива» 2002/58/EC (с изм. Директивой 2009/136/ЕС и 2013)6, которую планируется существенно изменить, поскольку вступила в силу Директива GDPR (ЕС) 2016/679.

ePrivacy Директива является частью нормативной базы всех государств-членов ЕС и регулирует электронные коммуникации, обработку персональных данных и защиту частной жизни в секторе электронных коммуникаций. Объем правил, изложенных в ePrivacy Директиве, ограничен услугами, которые квалифицируются как «служба электронной связи». В частности, ePrivacy Директива устанавливает правила в отношении (1) обязательств по обеспечению безопасности поставщиками услуг электронной связи; (2) конфиденциальность электронных сообщений и связанных с ними данных о трафике; (3) конфиденциальность оконечного оборудования электронной связи; (4) обработка данных и данных о трафике и (5) отправка незапрашиваемых сообщений. Директива по защите данных 95/46/EC и ePrivacy Директива являлись взаимодополняющими, поскольку обе применялись к сектору электронных коммуникаций, хотя их соответствующие области отличаются. Директива по защите персональных данных применяется ко всем секторам, включая сектор электронных коммуникаций, при условии, что данный вопрос не регулируется lex specialis, установленным ePrivacy Директивой7.

Особую категорию данных, к которым применяется специальный правовой режим в соответствии

5 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). URL: http://eur-lex.europa.eu/.

6 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). ePD Directive. URL: http://eur-lex.europa.eu/.

7 Evaluation and review of Directive 2002/58 on privacy and the electronic communication sector. Final report. For European Commission by Deloitte, 2016. URL: https://ec.europa.eu/digital-single-market/en/ news/evaluation-and-review-directive-200258-privacy-and-electronic-communication-sector

с Директивой ЕС о защите данных, относятся так называемые «конфиденциальные данные». Обоснование усиленного правового режима защиты таких данных базируется на презумпции того, что использование этой категории данных может иметь более серьезные последствия для основных прав и свобод. Например, неправильное использование медицинских данных может быть необратимо и иметь долгосрочные последствия для индивида, а также его социальной среды.

Учитывая, что облачные вычислительные сервисы и инфраструктуры все чаще используются для хранения и обработки конфиденциальных данных (медицинских данных о состоянии здоровья человека, его антропометрических данных и т.п.), в соответствии с Директивой ЕС о защите данных к конфиденциальным данным относятся личные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также данные, касающиеся здоровья или половой жизни.

Требования обеспечения безопасности персональных данных и защиты их целостности является ключевым в указанном выше европейском законодательстве, которое возлагает на оператора обработки данных принять соответствующие технические и организационные меры, необходимые для защиты персональных данных от случайного или незаконного уничтожения, случайной потери, а также от изменения, доступа и любой другой несанкционированной (в том числе хакерской) обработки персональных данных, включая случаи, когда обработка влечет передачу данных по сети Интернет. Такие меры должны обеспечивать уровень безопасности, соответствующий рискам, связанным с обработкой и характером защищаемых данных. Аналогичные положения о безопасности данных содержаться и в национальных законах стран ЕС о защите данных.

Кроме того, помимо национальных органов стран ЕС по защите данных, специальный орган ЕС — Европейское агентство сетевой и информационной безопасности (ENISA) — обеспечивает разработку руководящих принципов и рекомендаций по информационной безопасности (включая защиту от инцидентов и безопасность в облачной среде), а также осуществляет мониторинг их применения.

Актуальную проблему в сфере информационной безопасности стран ЕС, в том числе и в облачных сервисах, составляет аутентификация участников киберпро-странства. Проблема связанна с анонимным или псевдо-нимным отображением данных и обусловлена своим появлением новым технологиям — большие базы данных (big data), Интернет вещей (IoT) и облачные вычисления (cloud computing). Несомненно, при использовании таких технологий возникает настоятельная необходимость в учете вопросов, связанных с конфиденциальностью и обработкой персональных данных. Поэтому вполне естественен интерес к методам, которые позволят устранить или, по крайней мере, смягчить риски, связанные с обработкой таких данных [16].

Директива ЕС о защите данных определила основные принципы защиты данных, которые должны применяться к любой информации, касающейся идентифицированного или идентифицируемого лица, а также учитывать все средства, которые могут быть разумно использованы оператором данных или любым другим лицом для идентификации указанного лица.

Анонимизация — это процесс, с помощью которого осуществляется манипулирование информацией с тем, чтобы затруднить идентификацию персональных данных лица. Это также достигается путем, удаления или пропуска идентификационных данных, либо агрегированием информации. Псевдонимизация предполагает замену имен или других прямых идентификаторов кодами или цифрами, а также использование методов шифрования. Шифрование — это процесс преобразования простого текста в непонятный код. Использование шифрования является необходимым условием для более широкого внедрения облачных вычислительных сервисов. В связи с этим есть утверждение, что, поскольку шифрование является эффективным, что требует сильного алгоритма шифрования и надежного ключа шифрования, который хранится в безопасности, данные не могут считаться личными в руках провайдера (поставщика) облачных услуг («CSP»). Действительно, CSP может не знать, что зашифрованные данные хранятся на его (или его суб-провайдера) инфраструктуре, учитывая, что данные загружены клиентом в режиме самообслуживания. Если данные «обезличены», то не может применяться и правовой режим защиты персональных данных [10,11,12].

Однако обращение к процессу анонимизации может не представлять собой разумный подход по той причине, что, например, анонимизация может быть использована для соблюдения статьи 6(1) Директивы ЕС о защите данных, которая требует, чтобы информация хранилась не дольше, чем это необходимо для целей, для которых данные были собраны или для которых они обрабатываются в форме, допускающей идентификацию. В этом смысле анонимизация может представлять собой обязательную обработку данных, которая позволяет выполнять свои обязанности по защите данных [13].

К примеру, во Франции и Соединенном Королевстве приняты специальные руководства по применению положений о защите данных. В частности, Управление комиссара по информации (Information Commissioner's Office, ICO) Великобритании опубликовало свод практических правил по управлению рисками, связанными с анонимизацией8. Свод содержит механизм, позволяющий практикам оценить риски анонимизации, связанные с защитой данных и идентификацией физических лиц, включает примеры того, как может быть достигнута успешная анонимизация, например, как личные данные могут быть анонимизированы для медицинских исследований. Кроме того, ICO также объявлено, что консорциум, возглавляемый Манчестерским университетом, вместе с университетом Саутгемптона, управлением Национальной статистики и новым Институтом открытых

8 Guide to Data Protection Act, UK. URL: https://ico.org.uk/for-organisations/guide-to-data-protection/

данных будет управлять новой британской сетью Анонимизации («UKAN»), которая позволит обмениваться передовой практикой, связанной с анонимизацией, в государственном и частном секторе.

Исключительную актуальность этой, казалось бы, теоретической дискуссии, мы можем наблюдать в наши дни на примере судебного спора компании Telegram и Роскомнадзора.

3. Правовое регулирование облачных вычислений в США

Широкое распространение облачные сервисы получили в США, где, как отмечает В.Л.Энтин [14], последовательно поддерживается тенденция к сохранению публичности полученных научных результатов, произведений науки, культуры и искусства. К примеру, в США условием получения финансирования из публичных источников является обязательность публикации результатов всех научных работ. Свободный доступ к оцифрованной учебной информации применяет Масса-чусетский технологический университет, выложивший в открытый доступ большое число лекций по широкому кругу дисциплин. Компания Apple запустила новый онлайн сервис технического сервиса доступа к музыкальным произведениям и расчетов с правообладателями — облачный музыкальный сервис iCloud. Ожидается также, что Apple распространит в дальнейшем концепцию iCloud на фильмы, телепередачи и другой цифровой контент. Новый «облачный» сервис Apple составляет серьезную конкуренцию звукозаписывающим компаниям таким, как Warner Music, Sony Music Entertainment, EMI Group, Universal Music.

Учитывая тот факт, что многие крупнейшие поставщики облачных услуг располагаются в США, а размер рынка страны привлекает многих производителей и потребителей таких услуг, важным фактором становится практика правоприменения законов США об облачных сервисах. В этом смысле получило особую известность дело «США против Microsoft» (Microsoft Warrants, 2014 г.), по которому Окружной суд США вынес решение против апелляции компании Microsoft, которая возражала против судебного приказа на раскрытие содержания электронной почты и других записей в конкретной учетной записи электронной почты MSN.

Суд постановил, что местонахождение данных (в г. Дублин, Ирландия) не имеет существенного значения, поскольку компания Microsoft осуществляла общее управление своей деятельностью за рубежом и поэтому была обязана предоставить информацию о содержании электронной почты в соответствии с Законом США о хранении сообщений [15]. Характерно, что компании Apple, Cisco, Verizon и AT&T подали amicus записки в поддержку апелляции Microsoft на том основании, что позиция властей США об экстерриториальном применении иностранных законов противоречит законам ЕС о защите данных, нарушает нормы международного права, а также может препятствовать достижению цели защиты прав физических лиц, которые гарантируются в ЕС.

Стремление к распространению действия законов США на иностранные юрисдикции последние годы становится устойчивой тенденцией. В этой связи следует обратить внимание на то, что в марте 2018 г. в составе актов федерального бюджета США был принят Закон "Об уточнении правомерности использования хранящихся за рубежом данных" (The Clarifying Lawful Overseas Use of Data Act (Cloud Act)9, уточняющий и дополняющий Закон о хранении информации 1986 года. CLOUD Act упрощает правоохранительным органам США доступ к данным пользователей Интернета (электронной переписке, документам и иным данным, хранящимися онлайн), вне зависимости от того, в какой стране они хранятся. Закон также разрешает США заключать соглашения с другими странами о передаче последним данных с американских серверов и предлагает альтернативу нынешнему процессу обмена информацией об Интернет-пользователях между странами, называемому MLAT (Mutual legal assistance treaty) — договор о взаимной правовой помощи.

Положения этого Закона значительно облегчат применение правоохранительными органами США принципа экстерриториальности в отношении данных, хранящихся в облачных сервисах за рубежом, и, в частности, в ситуации вышеуказанного дела США против

Microsoft. Вполне закономерно, что правозащитники выражают озабоченность и утверждают, что Cloud Act может способствовать злоупотреблению правами человека со стороны иностранных правительств, помогая им получить доступ к онлайн-данным своих граждан.

Заключение

«Облачные» технологии или «облачные» вычисления как Интернет-сервисы получили широкое распространение благодаря своей надежности, безопасности и доступности. Эти операционные особенности технологий способствуют развитию механизмов правового регулирования, применяемые в различных странах. Тем не менее, все более возрастающую конкуренцию «облачным» сервисам оказывают технологические платформы на базе распределенного реестра (блокчейн технологии), создаваемые крупными IT компаниями, такими как Apple и Google. «Облачные» вычисления и «облачные» сервисы как составные элементы современной цифровой экономики и технологической инфраструктуры цифровой экосистемы образовали новый правовой институт в составе цифровых услуг.

Литература

1. Понкин И.В., Редькина А.И. Искусственный интеллект и право интеллектуальной собственности // Интеллектуальное право. Авторское право и смежные права. 2018. № 2. С. 35—44.

2. NIST Definition of Cloud Computing // URL: https://csrc.nist.gov/publications/detail/sp/800-145/final

3. Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. М.: Статут, 2016. // Консультант Плюс, Л. 231.

4. Савельев А.И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. № 5. С. 62—99. // Консультант Плюс, Л. 3.

5. Елин В.М. «Облачные» услуги и особенности их правового регулирования в Российской Федерации // Информационное право. 2017. № 4. С. 28—33.

6. Интернет-интервью с И.А. Близнецом, ректором Российской государственной академии интеллектуальной собственности: «Реализация государственной политики в области интеллектуальной собственности» // http://www.consultant.ru/law/ interview/bliznets2/.

7. Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М.: Статут, 2017. // Консультант Плюс, Л. 79.

8. Unleashing the Potential of Cloud Computing in Europe. European Commission, Memo/12/713, Brussels, 27 September 2012.

9. Аубакиров М.З., Никульчев Е.В. Задачи разработки облачных платформ для обеспечения информационных потребностей государственного сектора // Электронный журнал Cloud of Science. 2015. T. 2. № 2. URL: http://cloudofscience.ru , ISSN 2409-031X.

10. Hon W Kuan, Christopher Millard, Ian Walden. The Problem of Personal Data in Cloud Computing — What Information is Regulated? The Cloud of Unknowing. International Data Privacy Law (2011) 1(4), 211-214.

11. Paul Ohm. Broken Promises of Privacy: responding to the surprising failure of anonymisation. UCLA Review 57, 2009, 1707.

12. Neil Robinson, Hans Graux, Maarten Botterman, and Lorenzo Valeri. Review of the European Data Protection Directive (2009) RAND Europe technical report, 26-27.

13. Anonymisation: managing data protection risk code of practice. UK ICO, 2012. URL: https://ico.org.uk/

14. Энтин В.Л. Авторское право в виртуальной реальности (новые возможности и вызовы цифровой эпохи). М.: Статут, 2017. // Консультант Плюс, Л. 43.

15. Hurley Lawrence, Volz Dustin (February 27, 2018). "U.S. Supreme Court wrestles with Microsoft data privacy fight". Reuters. Retrieved April 2, 2018 — via The Globe and Mail.

16. Карцхия А.А. Цифровизация в праве и правоприменении // Мониторинг правоприменения, № 1 (26). 2018. С. 36—40.

17. Карцхия А.А. Цифровое будущее классической цивилистики // Интеллектуальная собственность. Авторское право и смежные права. 2018. № 5. С. 35—46.

9 The Clarifying Lawful Overseas Use of Data Act, 2018 (CLOUD Act) (H.R. 4943, S. 2383). URL: https://www.congress.gov/bill/115th-congress/ house-bill/4943/text

i Надоели баннеры? Вы всегда можете отключить рекламу.