Правовые риски защиты персональных данных лиц, использующих облачные сервисы, и пути их минимизации



В статье автор анализирует правовое регулирование отношений, складывающихся по поводу оказания облачных услуг, выявляет правовые риски использования облачных услуг, возникающих в области защиты персональных данных. В настоящей работе автором предложены способы минимизации данных рисков, которые заключаются в совершенствовании юридического оформления отношений между заказчиком и облачным провайдером.

Ключевые слова: облачные технологии, пользователь, правовые риски, SLA-договор, защита прав потребителей.

Облачные технологии стали одним из хедлайнеров новой информационной эпохи и приобрели огромную популярность прежде всего благодаря своей многофункциональности и высокой эффективности в плане скорости и удобства в использовании. С внедрением новой технологии в жизнь общества соответственно стали анализироваться правовые риски использования такой инновации пользователями, и очень скоро стали ясны не только достоинства облачных технологий, но также и их недостатки, связанные с нарушением прав и свобод граждан при предоставлении облачных услуг.

Облачные технологии повсеместно используются социальными сетями, внедряются компаниями для хранения и обработки корпоративной информации и данных работников и клиентов, а также ежедневно используются пользователями — например, мы активно размещаем информацию в Гугл-диске, используем iCloud, Яндекс.Облако и другие облачные сервисы. Сложность механизма предоставления облачных услуг и многосубъектность возникающих правоотношений с одной стороны, а также рекомендательный характер правовых актов, в которых предпринималась попытка урегулировать оборот инновационного продукта с другой стороны, привели к тому, что потребитель услуги подвергается риску недолжного обеспечения безопасности его персональных данных.

Особенности функционирования провайдеров облачных услуг, различные формы предоставления облачных технологий порождает ряд правовых вопросов. Например, каким образом распределена ответственность между заказчиком и провайдером облачных услуг? Каким образом обеспечивается защита персональных данных в «облаке», насколько современное состояние рынка облачных технологий соответствует законодательству РФ о персональных данных и каков правовой механизм реагирования на нарушение прав потребителя облачных услуг — субъекта персональных данных?

Прежде всего, нужно отметить, что в «облаках» может быть размещена самая разнообразная информация, однако именно сохранность персональных данных вызывает особые опасения по следующим причинам. Во-первых, она является информацией ограниченного доступа, так как разглашение персональных данных субъекта часто может привести к неблагоприятным последствиям для субъекта персональных данных и использоваться в незаконных целях для извлечения прибыли, а во-вторых, в условиях информационного общества такая информация приобрела коммерческую ценность и стала одним из наиболее востребованных активов и объектом конкуренции компаний [1, c. 169, 184]. Однако персональные данные по смыслу российского законодательства не являются объектом гражданских прав [2, ст. 128], они представляют собой разновидность нематериальных благ, и могут быть использованы только с согласия их обладателя — то есть они не могут быть рассмотрены в том числе в качестве встречного предоставления за использование облачных услуг в случае, если провайдер облачных технологий занимается их обработкой в собственных коммерческих целях.

Уязвимость персональных данных при размещении их в облачных сервисах нередко приводит к утечкам персональных данных из облачных сервисов ряда глобальных корпораций [3]. Большинство утечек происходит по причине активного использования публичных облаков для хранения данных клиентов компаниями и одновременного отставания в обеспечении необходимого уровня киберзащиты. На первый взгляд кажется, что вопросы безопасности данных клиентов касаются исключительно технических решений — однако причины безответственного отношения компаний к персональным данным связаны с недостаточной правовой разработкой соглашений, заключаемых с клиентами, что приводит к тому, что компании часто уклоняются от ответственности в силу отсутствия указания в соглашениях условий о размере и виде санкций за нарушение правил о персональных данных, а также в силу неосведомленности пользователей о правовых рисках и надлежащем ответчике. На наш взгляд, четкое разграничение ответственности за нарушение конфиденциальности и сохранности персональных данных клиентов в договоре о предоставлении облачных услуг способно повысить мотивацию компаний в активном развитии технологий по обеспечению кибербезопасности.

Говоря об отсутствии комплексного правового фундамента для разграничения правовых статусов всех субъектов, участвующих в соглашении об использовании облачных технологий, следует обратить внимание на уже упомянутый рекомендательный характер существующих правовых актов в области регулирования данной информационной технологии. Например, облачные технологии указаны в качестве приоритетного направления информационных и коммуникационных технологий в Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы [4]. Правовыми актами, направленными на регулирование деятельности провайдеров облачных технологий, являются также акты различных служб и ведомств, которые несут главным образом разъясняющий характер и вносят ясность в терминологию отношений в сфере облачных вычислений [5]. Попытки придать отношениям по использованию облачных вычислений правовую определенность предпринимались также в США, Великобритании, Чехии [6, c. 36–41]. В США также превалирует рекомендательный характер регламентации услуг по предоставлению облачных вычислений, при этом нибольшее внимание уделено применению облачных технологий именно в государственном секторе — например, Федеральная программа США по управлению рисками и авторизацией при отборе провайдеров облачных технологий для государственных органов 2012 года представляет собой документ методического характера в рамках деятельности государственных учреждений.

Основополагающим документом в Европе, нацеленным на обозначение правовых рамок фунционирования облачных технологий является опубликованная Европейской комиссией 27 сентября 2012 года Стратегия развития облачных технологий «Раскрытие потенциала облачных технологий в Европе». Данная Стратегия содержит ряд важных идей, обозначающих правовые пробелы, устранение которых представляет особенную значимость — в частности, это цель развития безопасных и справедливых условий соглашений между всеми вовлеченными субъектами, и соответствие облачных информационных систем европейским и национальным правовым актам в области защиты персональных данных. Данные цели находят реализацию в форме частно-государственного партнерства в рамках деятельности отраслевой группы по облачным вычислениям (англ. Cloud Select Industry Group, C-SIG), в которую входят такие провайдеры облачных технологий, как Amazon, Microsoft, Google, IBM и др. [7] В результате деятельности данного объединения был разработан ряд правовых актов, направленных на повышение безопасности использования облачных вычислений, регламентацию условий соглашения между заказчиком и провайдером, однако в большинстве случаев они также носят рекомендательный характер и имеют своей целью стандартизацию предоставления облачных услуг. Например, это Рекомендации по стандартизации соглашений об уровне обслуживания, Кодекс делового поведения и этики по защите данных для облачных провайдеров, сертификационные схемы для оценки деятельности облачных провайдеров.

Облачные технологии представляют собой уникальную технологию, позволяющую хранить, обрабатывать, передавать, получать и производить большие объемы информации, а также осуществлять самые разнообразные функции (например, вплоть до размещения приложения), получая доступ к вычислительным мощностям облачного провайдера из любой точки мира посредством Интернета и экономя таким образом свои собственные ресурсы (время, вычислительные мощности и др.). Правовая природа соглашения между провайдером облачных технологий и пользователем является дискуссионной в правовой науке. А. И. Савельев, в частности, отмечая наличие в заключаемом соглашении признаков лицензионного договора, определяет договор между заказчиком и провайдером облачных технологий как договор возмездного оказания услуг по предоставлению вычислительных мощностей [8, c. 71]. Нужно сказать, что большинство исследователей разделяет данную точку зрения, полагая, что к рассматриваемому соглашению в силу его неурегулированности нормами права можно применять по аналогии правила, применяемые к договору оказания услуг. В то же время на современном этапе в основе соглашения заказчика и провайдера облачных услуг лежит SLA-соглашение, активно используемое для правового закрепления предоставления различного рода IT-технологий.

SLA-договор (Service Level Agreement) — это так называемое соглашение об уровне обслуживания, которое предусматривает подключение клиента к приложению поставщика (провайдера) облачных технологий и содержит права и обязанности сторон, а также содержание предоставляемой услуги. Особенность SLA-соглашений в том, что они представляют собой типовые соглашения и обладают признаками договора присоединения в том смысле, что при его заключении заказчик не обладает правом вносить какие-либо предложения об изменении его содержания или, например, включения дополнительных условий и оговорок. Поэтому несмотря на то, что в целом договор о предоставлении облачных услуг подпадает под регулирование ст. 779 и в целом главы 39 ГК РФ [9], заказчик занимает заранее не выгодное положение и может лишь сравнивать условия, предлагаемые различными провайдерами с правовой, экономической и технических точек зрений, и часто не может дать объективную оценку своих рисков.

На наш взгляд, существует как минимум два способа разрешения данной проблемы. Первое решение состоит в формировании типовых соглашений, предусматривающих справедливые условия для каждой из сторон, и в первую очередь содержащие обязательное условие об осведомленности конечного пользователя обо всех возможных операциях с предоставленными им персональными данными. Важным также является включение позиций, касающихся удаления персональных данных по первому требованию субъекта, получения их резервной копии, а также обеспечение доступа субъектов к цепочке соглашений, которая выстраивается при привлечении провайдером облачных технологий соисполнителей — в деле защиты персональных данных от различного рода нарушений конфиденциальности персональных данных чрезвычайно важно соблюдение принципа прозрачности в предоставлении облачных услуг [10, c. 83].

Второе решение состоит в трансформации SLA-соглашений в более «гибкие» договоры, которые предусматривают возможность внесения в них соответствующих правок и дополнительных условий заказчиком в целях достижения наибольшего компромисса и уверенности в безопасности своих персональных данных. Данное решение кажется особенно рациональным ввиду того, что опыт правовой регламентации информационных технологий показал, что технический прогресс всегда будет опережать соответствующие правовые конструкции — это требует так называемой «технической нейтральности» правовых актов, которые могут быть применимы также в случае существенного технического совершенствования и изменения рассматриваемой технологии. Именно поэтому диспозитивность, на наш взгляд, должна выступать опеределяющим методом: при этом утверждение справедливых условий для сторон соглашения в свою очередь зависит от норм существующего законодательства о защите персональных данных, а также законодательства о защите прав потребителей и норм о добросовестном поведении сторон договора. На данный момент ведение переговоров провайдерами облачных технологий с заказчиками невозможно в силу автоматизации процессов и удаленности друг от друга субъектов соглашений, но представляется, что данная проблема в ближайшем будущем вполне устранима технически.

Особенность правового статуса сторон в рассматриваемых отношениях и как следствие распределения ответственности между ними состоит в том, что статусом оператора информационной системы обладает одновременно и провайдер, и пользователь в силу того что информация, в том числе и персональные данные, находятся в распоряжении обоих субъектов соглашения. В соответствии с действующим законодательством, оператор информационной системы — это гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных [11].

Действительно, провайдер облачных технологий так или иначе осуществляет деятельность по эксплуатации массивов информации, однако часто заказчик практически не обладает информацией, позволяющей оценить уровень безопасности облачного сервиса и степень гарантии сохранности конфиденциальной информации. На современном этапе он не получает доступа к механизмам защиты располагаемой им информации в облаке и не имеет возможности повлиять на степень ее защищенности.

В соответствии с ФЗ «О персональных данных» обработка персональных данных возможна только с согласия субъекта персональных данных, она должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (ст. 5 ФЗ о персональных данных). При этом разрешение вопроса о том, является ли провайдер облачных услуг оператором персональных данных (оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными [12]) зависит от типа облака и характера предоставляемых им услуг, особенностей функций облачного сервиса.

Облачные вычисления могут быть представлены в форме трех услуг: программное обеспечение как услуга (Software-as-a-Service), платформа как услуга (Platform-as-a-Service), инфраструктура как услуга (Infrastructure-as-a-Service). Например, Software-as-a-Service представляет собой программное обеспечение как услугу. Пользователь получает доступ к облачному программному обеспечению с помощью веб-браузера или мобильных приложений. В данной модели нельзя сказать, что провайдер облачного сервиса выполняет автоматизированную обработку внесённых (загруженных) в систему данных, так как фактически предоставляет только платформу для накопления, а сам процесс сбора, обработки осуществляет пользователь, который и выступает в этом смысле оператором персональных данных. В случае, если заказчиком является юридическое лицо — например, компания, размещающая данные своих работников в «облаке», именно она по смыслу действующего российского законодательства о персональных данных будет являться оператором персональных данных и нести ответственность за их сохранность и соблюдение конфиденциальности.

При обработке персональных данных провайдером облачных услуг с ним заключается также договор поручения помимо основного договора — в этом документе один оператор персональных данных (заказчик) поручает другому оператору (сервис-провайдеру) хранение и обработку персональных данных субъектов (п. 3 ст. 6 ФЗ «О персональных данных»). В этом случае ответственность за сохранность и защиту персональных данных пользователей разграничивается между оператором и провайдером облачных технологий. Границы ответственности каждого из операторов, в особенности в отношении защиты персональных данных субъектов, должны быть разграничены между сторонами исходя из технологических функций каждого из них и предусмотрены как в договоре поручения, так и в политике конфиденциальности/иного документа, заключаемого непосредственно с субъектами персональных данных в целях соблюдения принципа прозрачности. Данное условие является критически важным для обеспечения должной защиты персональных данных и возможности пользователей, чьи права могут быть нарушены в результате утечки персональных данных или иных нарушений, эффективно восстановить свои права и требовать справедливой компенсации в судебном порядке.

Подводя итог проведенному исследованию, можно сделать вывод о том, что облачные технологии представляют собой одну из самых передовых технологий, повсеместно используемых практически всем информационным сообществом. В то же время характер соглашения между заказчиком и провайдером облачных услуг приводит к большим правовым рискам для заказчика, который оказывается в заведомо невыгодном положении — в силу сложности механизма функционирования технологии облачных вычислений пользователь часто остается не осведомленным относительно операций, которые выполняются провайдером с его персональными данными, отсутствует четкое разграничение ответственности за их сохранность в силу множественности субъектов на стороне исполнителя и специфичности облачных услуг, а также отсутствует реальная возможность заказчика повлиять на степень безопасности своих персональных данных, получить доступ к механизму их защиты и правовым гарантиям соблюдения законодательства о персональных данных. Все эти проблемы в конечном итоге приводят к утечкам персональных данных из облачных хранилищ, при этом в подавляющем большинстве случаев пользователи остаются не защищенными с правовой стороны и несут убытки. Таким образом, мы считаем необходимым уделение особого внимания совершенствованию правовой конструкции SLA-соглашения, а также распределению ответственности между его субъектами, которое обязательно должно находить отражение в оформляемом соглашении.

Литература:

1. Карр Дж. Н. Великий переход. Что готовит революция облачных технологий. М.: Манн, Иванов и Фербер. 2013. 253 с.
2. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 31.01.2016)// Собрание законодательства РФ. 1994. № 32. Ст. 330
3. «Утечки информации из облака возросли в два раза» // URL: https://securenews.ru/utechci-informatsii-vozrosli/ (дата обращения: 05.07.2023).
4. Указ Президента РФ от 09.05.2017 N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы» // Собрание законодательства РФ. 15.05.2017. N 20. Ст. 2901
5. Приказ Росстандарта от 10.11.2016 N 1665-ст «О введении в действие межгосударственного стандарта ГОСТ ISO/IEC 17788–2016 «Информационные технологии. Облачные вычисления. Общие положения и терминология»// СПС «КонсультантПлюс»
6. Карцхия А. А. «Облачные» технологии: российское и зарубежное законодательство и практика правоприменения// Мониторинг правоприменения. № 2 (27). 2018. C. 36–41
7. Cloud Select Industry Group // URL: https://ec.europa.eu/digital-agenda/en/cloud-select-industry-groupservice-level-agreements (дата обращения: 05.07.2023).
8. Савельев А. И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. № 5. С. 62–99. // СПС «КонсультантПлюс»
9. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 N 14-ФЗ (ред. от 18.03.2019, с изм. от 03.07.2019) // Собрание законодательства РФ. 29.01.1996. N 5. Ст. 410.
10. Бикбулатова Ю. С. Информационно-правовое регулирование отношений, формирующихся при использовании облачных вычислений (сервисно-ориентированных распределённых информационных систем) [Текст]: дис. …канд.юрид.наук: 12.00.13: защищена 21.12.2018: утв. 19.03.2019 / Бикбулатова Юлиана Сергевна. М., 2018. 159 с.
11. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 02.12.2019) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 13.12.2019) // Российская газета. N 165. 29.07.2006.
12. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных» // Российская газета. N 165. 29.07.2006.