مرحباً بكم في الأمم المتحدة
اللغة:
  1. الصفحة الرئيسية
  2. ملحوظات بشأن المسائل الرئيسية المتصلة بعقود الحوسبة السحابية (أعدَّتها أمانة لجنة الأمم المتحدة للقانون التجاري الدولي، ٢٠١٩)

ملحوظات بشأن المسائل الرئيسية المتصلة بعقود الحوسبة السحابية (أعدَّتها أمانة لجنة الأمم المتحدة للقانون التجاري الدولي، ٢٠١٩)

الجزء الثاني- صياغة العقد

ياء- المسؤولية

القيود القانونية المفروضة على حرية التعاقد

مع أنَّ معظم النظم القانونية تعترف عموماً بحق الطرفين المتعاقدين في توزيع المخاطر والمسؤوليات وفي الحدِّ من المسؤولية أو استبعادها من خلال أحكام تعاقدية، فإنَّ هذا الحق يخضع عادةً لتقييدات وشروط مختلفة. فعلى سبيل المثال، يتمثل أحد العوامل المهمة في توزيع المخاطر والمسؤوليات في سياق معالجة البيانات الشخصية في ماهية الدور الذي يتولاه كل طرف فيما يتعلق بالبيانات الشخصية الموضوعة في السحابة، إذ إنَّ قانون حماية البيانات في ولايات قضائية معينة يفرض على الشخص المسيطر على البيانات مسؤولية أكبر مما يفرضه على معالجي البيانات الشخصية. والتعامل الفعلي مع تلك البيانات، بصرف النظر عن الأحكام التعاقدية، هو العامل الذي يحدد عادةً ماهيةَ النظام القانوني الذي سيخضع له الطرف بمقتضى القانون المنطبق. وقد يحق للأشخاص مواضيع البيانات الذين تكبدوا خسارة من جَرَّاء المعالجة غير المشروعة للبيانات الشخصية أو أيِّ فعل يتعارض مع اللوائح المحلية المتعلقة بحماية البيانات أن يحصلوا على تعويض مباشر من الشخص المسيطر على البيانات.

وإلى جانب ذلك، ثمة ولايات قضائية كثيرة لا يُسمَح فيها بالاستبعاد الكلي لمسؤولية الشخص عن خطأ هو مُرتكِبُه، أو تجعل ذلك الاستبعاد خاضعا لتقييدات. فقد لا يتسنى الاستبعاد الكلي للمسؤولية المتعلقة بالأذى الشخصي (بما في ذلك المرض والموت) أو بالإهمال الجسيم أو الإيذاء المتعمَّد أو العيوب أو الإخلال بالالتزامات الأساسية الضرورية لتنفيذ العقد أو عدم الامتثال لاشتراطات اللوائح المنطبقة. إذ إنَّ بعض أنواع البنود التقييدية، مثل استبعاد مقدِّم الخدمات لمسؤوليته عن الأحداث الأمنية، عندما لا تكون للزبون سيطرة على الأمر أو قدرة على توفير الأمن، يمكن أن تُعتبر "تعسُّفية"، ومن ثم باطلة. وقد تكون أحكام عقود الإذعان، التي لا تخضع عادة للتفاوض وإنما يمليها أحد الطرفين، خاضعة لتمحيص دقيق. وإلى جانب ذلك، قد تنشأ المسؤولية غير المحدودة عن أنواع معينة من العيوب المنصوص عليها في القانون (مثل استخدام أجهزة أو برامجيات معيبة).

وقد يحد القانون من إمكانية تَحمُّل المؤسسات العمومية مسؤوليات معينة، أو قد تُلزَم تلك المؤسسات بأن تلتمس موافقةً مسبقة من هيئة حكومية مختصة لكي تفعل ذلك. كما قد يُحظَر عليها قبول استبعاد أو تقييد مسؤولية مقدِّم الخدمات كلياً، أو استبعاد أو تقييد مسؤوليته عن أفعال أو إغفالات محددة في القانون.

ومن ناحية أخرى، قد يتضمن القانون المنطبق أحكاماً تنص على إعفاء طرف ما من المسؤولية إذا استوفى معايير معينة كان من شأنه لولاها أن يواجه احتمال تحمُّله المسؤولية. فعلى سبيل المثال، تقضي إجراءات "الإزالة بعد الإبلاغ" (انظر الفقرة 82 أعلاه) في بعض الولايات القضائية بإعفاء مقدِّم الخدمات من المسؤولية عن استضافة محتوى غير مشروع على مرفقه السحابي إذا أزال ذلك المحتوى حالما أصبح على علم به.

وفي بعض الولايات القضائية، يجب أن تكون البنود التي وافق عليها الطرفان والتي تتضمن أحكاماً تتعلق بإخلاء المسؤولية والحد منها مُدرجةً في العقد لكي تكون قابلةً للإنفاذ. وقد يفرض القانون المنطبق اشتراطات شكلية أو اشتراطات أخرى لكي تكون تلك البنود صالحة وقابلة للإنفاذ. 

اعتبارات أخرى بشأن صياغة البنود المتعلقة بالمسؤولية

يراعى عند التفاوض على توزيع المخاطر والمسؤوليات مقدارُ المبلغ الذي يدفع لقاء خدمات الحوسبة السحابية، إن وجد، والمخاطر التي ينطوي عليها تقديم الخدمات. ومع أنَّ الطرفين يميلان في العادة إلى استبعاد أو تقييد مسؤوليتهما فيما يتعلق بالعوامل التي لا يستطيعان السيطرة عليها أو التي لا يمكنهما السيطرة عليها إلا بقدر محدود (مثل سلوك المستعملين النهائيين، أو أفعال المتعاقدين من الباطن أو إغفالاتهم)، فإن درجة السيطرة لا تكون اعتباراً حاسماً على الدوام. فقد يكون الطرف مستعدًّا لتحمُّل المخاطر والمسؤوليات المتعلقة بعناصر ليست له سيطرة عليها من أجل إبراز نفسه في السوق. ولكنْ من المرجَّح أن يتصاعد ما يتحمله الطرف من مخاطر ومسؤوليات بالتناسب مع حجم العناصر الواقعة تحت سيطرته.

فعلى سبيل المثال، في سياق البرامجية كخدمة (SaaS) التي تنطوي على استخدام برامجية مكتبية نمطية، يرجَّح أن يكون مقدِّم الخدمات مسؤولاً عن جميع الموارد التي يوفرها للزبون تقريباً، ويمكن أن تنشأ مسؤولية مقدِّم الخدمات في كل حالة لا يجري فيها توفير تلك الموارد أو في حال تعطلها. ولكن حتى في تلك الحالات، يمكن أن يظل الزبون مسؤولاً عن بعض عناصر الخدمات، مثل تشفير البيانات الواقعة تحت سيطرته أو تخزين نسخ احتياطية منها، إذ إنَّ عدم ضمان وجود نسخ احتياطية وافية يمكن أن يفضي إلى فقدانه حق الرجوع على مقدِّم الخدمات في حال فقدان البيانات. أمَّا في سياق المرفق كخدمة (IaaS) والمنصة كخدمة (PaaS)، فيمكن ألاَّ يكون مقدِّم الخدمات مسؤولاً إلاَّ عما يوفِّره من مرافق أو منصات (مثل موارد المعدَّات أو نظم التشغيل أو البرامجيات الوسيطة)، في حين يتحمل الزبون مسؤولية جميع العناصر التي تعود إليه، مثل التطبيقات التي تدار باستخدام المرافق أو المنصات الموفَّرة، والبيانات الواردة فيها. 

الأحكام النمطية التي يعرضها مقدِّمو الخدمات

قد تستبعد الأحكام النمطية التي يعرضها مقدِّمو الخدمات أيَّ مسؤولية ضمن إطار العقد، إذ تتخذ موقفاً مفاده أنَّ البنود المتعلقة بالمسؤولية غير قابلة للتفاوض. وفي حالات أخرى، قد يكون مقدِّم الخدمات مستعدًّا لقبول المسؤولية، بما فيها المسؤولية غير المحدودة، عن الإخلالات الواقعة ضمن نطاق سيطرته (مثل الإخلال بتراخيص الممتلكات الفكرية التي يمنحها الزبون لمقدم الخدمات) ولكنه لا يقبل بمسؤوليته عن الإخلالات التي قد تحدث لأسباب خارجة عن نطاق سيطرته (مثل الأحداث غير المتوقعة أو حالات تسرُّب بيانات سرية). 

وعادة ما تستبعد الأحكام الموجودة التي يعرضها مقدِّمو الخدمات مسؤولية مقدِّم الخدمات عن حالات الخسارة غير المباشرة أو التبعية (مثل خسارة فرص أعمال تجارية من جرَّاء عدم توافُر خدمة الحوسبة السحابية). وفي حال قبول المسؤولية بوجه عام أو في بعض الحالات المحددة، كثيراً ما تحد تلك الأحكام النمطية من مقدار الخسائر المشمولة (لكل حادث، أو لكل سلسلة من الحوادث، أو لكل فترة من الزمن). وإلى جانب ذلك، كثيراً ما يحدد مقدِّمو الخدمات سقفاً إجماليا للمسؤولية المتحمَّلة بمقتضى العقد، قد يُربَط بحجم العائدات التي يتوقع الحصول عليها ضمن إطار العقد، أو بحجم مبيعات مقدِّم الخدمات، أو بمقدار الغطاء التأميني.

وعادة ما تفرض تلك الأحكام النمطية على الزبون مسؤولية عن عدم الامتثال لسياسة الاستعمال المقبول (AUP).

التنويعات المحتملة للأحكام النمطية

قد تُعرِّض بعض الأحداث (مثل انتهاك تدابير حماية البيانات الشخصية وانتهاك حقوق الملكية الفكرية) أيًّا من الطرفين لاحتمال تحمُّله مسؤولية عالية تجاه الأطراف الثالثة، أو تتسبب في غرامات بموجب اللوائح. ومن الشائع أن يُتَّفق على نظام أشد صرامة بشأن المسؤولية (المسؤولية غير المحدودة أو زيادة حجم التعويض) إذا وقعت تلك الأحداث بسبب خطأ الطرف الآخر أو إهماله.

وقد يقيد العقد أو القانون مسؤولية الطرفين أو يستبعدها فيما يتعلق بما ترتكبه الأطراف الثالثة من أفعال لا يمكنهما السيطرة عليها (على سبيل المثال، مسؤولية الزبون عن أفعال المستعملين النهائيين، أو مسؤولية مقدِّمي الخدمات عن أفعال الزبون أو مستعمليه النهائيين).

التأمين من المسؤولية

قد يتضمن العقد التزامات تأمينية تقع على عاتق الطرفين أو أي منهما، خصوصاً فيما يتعلق بالاشتراطات الخاصة بنوعية شركة التأمين والحد الأدنى لمقدار التغطية التأمينية المطلوبة. كما قد يُلزِم العقد الطرفين بأن يبلغ أَحدُهما الآخر بأيِّ تغييرات تُدخَل على نطاق التغطية التأمينية، أو بأن يزود أَحدُهما الآخر بنسخ من بوليصات التأمين السارية. 

المفردات ذات الصلة في مسرد المصطلحات

البيانات الشخصية (Personal data): هي البيانات الحساسة وغير الحساسة التي يمكن استعمالها لتحديد هوية الشخص الطبيعي الذي تتعلق به تلك البيانات. وقد يشمل تعريف البيانات الشخصية في بعض الولايات القضائية أيَّ بيانات أو معلومات ذات صلة أو علاقة مباشرة أو غير مباشرة بفرد ذي هوية محددة أو قابلة للتحديد (انظر الشخص موضوع البيانات).

معالجة البيانات الشخصية (Personal data processing): هي جمع البيانات الشخصية أو تدوينها أو تنظيمها أو تخزينها أو مواءمتها أو تغييرها أو استرجاعها أو الاسترشاد بها أو استعمالها أو إفشاؤها عن طريق بثِّها أو تعميمها أو إتاحتها على نحو آخر أو مواءمتها أو دمجها أو حجبها أو محوها أو إتلافها.

الشخص المسيطر على البيانات (Data controller): هو الشخص الذي يقرر أغراض ووسائل معالجة البيانات الشخصية.

معالج البيانات (Data processor): هو الشخص الذي يعالج البيانات نيابة عن الشخص المسيطر على البيانات.

الشخص موضوع البيانات (Data subject): هو شخص طبيعي يمكن تحديد هويته، بصورة مباشرة أو غير مباشرة، من خلال البيانات، بما في ذلك بالرجوع إلى محددات الهوية مثل الاسم ورقم التعريف والمكان وأي عوامل تتعلق بالهوية البدنية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص. وفي عدد من الولايات القضائية، يتمتع الشخص موضوع البيانات، بمقتضى لوائح حماية البيانات وحماية الخصوصية، بحقوق معيَّنة تتعلق بالبيانات التي يمكنها تحديد هويته. وقد تفضي تلك اللوائح إلى إدراج بارامترات أداء خاصة بحماية البيانات في اتفاق مستوى الخدمة (SLA)، مثل أن يقوم مدقِّق مستقل، مرة واحدة على الأقل كل سنة، بالمصادقة على الخدمات المقدمة بمقتضى العقد، استناداً إلى المعايير الخاصة بحماية البيانات ومراعاة الخصوصية المبيَّنة في العقد. (انظر أيضاً حقوق الأشخاص مواضيع البيانات، والبيانات الشخصية).

الحادث الأمني (Security incident): هو حادث يدل على وقوع تلاعُب بالنظام أو البيانات أو على فشل التدابير الموضوعة لحمايتهما. والحادث الأمني يعطِّل العمليات المعتادة. ومن أمثلة تلك الحوادث محاولة الوصول إلى النظم أو البيانات من مصادر غير مأذون لها بذلك، وتعطُّل الخدمة أو قطعها على نحو غير مخطط له، ومعالجة البيانات أو تخزينها دون إذن، وإدخال تغييرات غير مأذون بها على مرفق النظام.

المرفق كخدمة ((Infrastructure as a service (IaaS): هي نوع من أنواع خدمات الحوسبة السحابية التي يمكن بها للزبون أن يحصل على موارد المعالجة والتخزين والتشبيك ويستعملها. ولا يدير الزبون الموارد المادية أو الافتراضية الأصلية ولا يسيطر عليها، ولكنه يسيطر على نُظُم التشغيل والتخزين والتطبيقات المنشورة التي تستخدم الموارد المادية أو الافتراضية. وقد تكون لدى الزبون أيضاً قدرةٌ محدودةٌ على السيطرة على بعض مكونات الشبكات (مثل الجدران النارية للحواسيب المضيفة).

المنصة كخدمة ((Platform as a service (PaaS): هي نوع من أنواع خدمات الحوسبة السحابية، التي يمكن بها للزبون أن ينشر أو يدير أو يشغِّل تطبيقات استحدثها الزبون أو احتازها في السحابة باستخدام واحدة أو أكثر من لغات البرمجة الموجودة وبيئات التنفيذ التي يدعمها مقدِّم الخدمات.

البرامجية كخدمة ((Software as a service (SaaS): هي نوع من أنواع خدمات الحوسبة السحابية التي يمكن بها للزبون أن يستعمل تطبيقات مقدِّم الخدمات الموجودة في السحابة.

سياسة الاستعمال المقبول ((Acceptable use policy (AUP): هي جزء من عقد الحوسبة السحابية المبرم بين مقدِّم الخدمات والزبون يرسي حدودا لاستعمال الزبون ومستعمليه النهائيين خدمات الحوسبة السحابية المشمولة بالعقد.