‏ملحوظات بشأن المسائل الرئيسية المتصلة بعقود الحوسبة السحابية (‏أعدَّتها أمانة لجنة الأمم المتحدة ‏للقانون التجاري الدولي، ٢٠١٩)

الجزء الأول- الجوانب الرئيسية السابقة للتعاقد

ألف- التحقق من استيفاء الاشتراطات القانونية الإلزامية والاشتراطات الأخرى

قد يفرض الإطارالقانوني المنطبق على الزبون أو مقِّدم الخدمات أو كليهما شروطا لإبرام عقد الحوسبة السحابية. كما قد تكون تلك الشروط منبثقة من التزامات تعاقدية، منها تراخيص  الممتلكات الفكرية. وينبغي للطرفين أن يكونا على وجه الخصوص على علم بالقوانين واللوائح المتعلقة بالبيانات الشخصية وحماية المستهلك والأمن السيبراني ومراقبة الصادرات والجمارك والضرائب والأسرار التجارية، وبما قد يسري عليهما وعلى عقدهما المستقبلي من لوائح خاصة بالملكية الفكرية ولوائح خاصة بقطاعات معينة. وقد تكون لعدم الامتثال للاشتراطات الإلزامية عواقب سلبية شديدة، منها ُبطلن العقد أو جزء منه أو عدم قابليته للإنفاذ والغرامات الإدارية والمسوؤولية الجنائية.

وقد تتباين شروط إبرام عقد للحوسبة السحابية تبعًا للقطاع والولاية القضائية. ويمكن أن تتضمن اشتراطات باتخاذ تدابير خاصة لحماية حقوق الأشخاص مواضيع البيانات،  وبنشر نموذج معين (مثل سحابة فردية مقابل سحابة عمومية)، وتشفير البيانات الموضوعة في السحابة، وتسجيل معاملة لدى السلطات الحكومية أو برامجية مستخدمة في معالجة البيانات الشخصية. ويمكن أن تتضمن أيضا اشتراطات تتعلق بتوطين البيانات، وكذلك اشتراطات تتعلق بمقدم الخدمات.

توطين البيانات

قد تكون اشتراطات توطين البيانات منبثقة، على وجه الخصوص، من القانون المنطبق على البيانات الشخصية والبيانات المحاسبية، وكذلك بيانات القطاع العام، وعن قوانين ولوائح  مراقبة الصادرات التي قد تقِّيد نقل بعض المعلومات أو البرامجيات من بلدان معينة أوإقليم معين أواإليها. والامتثاُل لاشتراطات توطين البيانات التي ينص عليها القانون المنطبق هو أمر بالغ الأهمية للطرفين. ولن تكون للعقد َغلبة على تلك الاشتراطات.

 

وقد تنشأ اشتراطات توطين البيانات أيضاً عن الالتزامات التعاقدية (مثل تراخيص الممتلكات الفكرية التي قد تشترط تخزين المحتوى المرَّخص على الخواديم الآمنة الخاصة بالمستعمل نفسه). وقد يكون توطين البيانات أمراً مفضلاً لدواع عملية محضة، مثل تقليص فترة الانتظار، مما قد يكون له أهمية خاصة في العمليات الآنَّية، مثل المتاجرة في البورصة. (اقرأ المزيد عن الضمانات التعاقدية المتعلقة بتوطين البيانات).

 

اختيار الطرف المتعاقد

قد يكون اختيار الطرف المتعاقد مقيدا باشتراطات قانونية، اإلى جانب القيود المتعلقة بظروف السوق. فقد يكون هناك حَظر قانوني مفروض على إبرام عقد حوسبة سحابية مع  أشخاص أجانب أو مع اأشخاص من ولايات قضائية معينة أو مع اأشخاص غير مُعتمدين لدى السلطات الحكومية المختصة. كما قد يُشترط على الشخص الأجنبي أن يكِّون مشروعاً مشتركاً مع كيان وطني أو أن يحتاز تراخيص وأُذونًا محلية، بما فيها أذون خاصة بمراقبة الصادرات، من أجل تقديم خدمات حوسبة سحابية في ولاية قضائية معينة. ويمكن اأن تتأثر عملية اختيار الطرف المتعاقد اأيضاً باشتراطات توطين البيانات (انظر أعلاه)، وكذلك بالالتزامات القانونية التي تقع على عاتق أي من الطرفين بشأن الإفصاح عن البيانات وغير ذلك من المحتويات أو إتاحة الوصول إليها لسلطات حكومية أجنبية.

باء- تقييم المخاطر السابقة للتعاقد

قد يشترط القانون الإلزامي المنطبق إجراء تقييم للمخاطر كشرط مسبق لإبرام عقد الحوسبة السحابية. وحتى في حال عدم وجود اشتراطات قانونية، قد يقرر الطرفان إجراء تقييم  للمخاطر ليساعدهما على تحديد استراتيجيات للحد من المخاطر، بما في ذلك التفاوض على بنود تعاقدية مناسبة.

وقد لا تكون جميع المخاطر الناشئة عن عقود الحوسبة السحابية خاصة بالسُّحب،

إذ قد تعالجَ بعض المخاطرخارج نطاق عقد الحوسبة السحابية (مثل المخاطرالناشئة عن انقطاع وصلات الإنترنت)، وقد لا يمكن تخفيف جميع المخاطر بتكلفة مقبولة (مثل الأضرار المتعلقة بالسُّمعة). كما أَّن تقييم المخاطرلن يكون حدثًا يحصل مرة واحدة قبل إبرام العقد، فقد يكون مستمرا طوال مدة العقد، وقد تستلزم نتائجه تعديل العقد أو إنهاءه.

التحقق من المعلومات المتعلقة بخدمة حوسبة سحابية معيَّنة وطرف متعاقد مختار

قد تكون المعلومات التالية ذات أهمية للطرفين عند نظرهما في استعمال خدمة حوسبة سحابية معيَّنة واختيار طرف متعاقد:

(أ) تراخيص الممتلكات الفكرية اللازمة لاستعمال خدمة حوسبة سحابية معيَّنة؛

(ب) السياسات القائمة بشأن الخصوصية والسرية والأمن، وخصوصاً فيما يتعلق بمنع الوصول غير المأذون به اإلى البيانات أو منع استعمالها أو تغييرها أو إتلفها أثناء معالجتها أو عبورها أو نقلها باستخدام مرفق الحوسبة السحابية؛

(ج) التدابيرالموجودة لضمان استمرارية تيسُّرالوصول إلى البيانات التعريفية وسجلات التدقيق وسائر السجلات الدالة على وجود تدابير أمنية؛

(د) خطة التعافي من الكوارث والتزامات التبليغ الموجودة في حال وقوع خرق أمني أو تعطُّل للنظام؛

(ه) السياسات القائمة بشأن النقل اإلى السحابة والمساعدة المقدمة عند انتهاء الخدمة، وكذلك قابلية التشغيل التبادلي والقابلية للنقل؛

(و) التدابيرالموجودة للتحقق من مؤهلات المستخدمين والمتعاقدين من الباطن وسائر الأطراف الثالثة التي تشارك في تقديم خدمات الحوسبة السحابية، ولتزويدهم بالتدريب؛

(ز) الإحصاءات الخاصة بالحوادث الأمنية والمعلومات المتعلقة بأداء إجراءات التعافي من الكوارث في الماضي؛

(ح) شهادة من طرف ثالث مستقل بشأن الامتثال للمعايير التقنية؛

(ط) معلومات دالة على انتظام عمليات التدقيق التي تجريها هيئة مستقلة، ونطاق ذلك التدقيق؛

(ي) الاستدامة المالية؛

(ك) بوليصات التأمين؛

(ل) احتمال تضارب المصالح؛

(م) نطاق التعاقد من الباطن وخدمات الحوسبة السحابية المتعددة الطبقات؛

(ن) مدى عزل البيانات عن المحتويات الأخرى في مرفق الحوسبة السحابية؛

(س) الأدوار المتوقعة لكل من الطرفين ومسوؤوليتهما المشتركة فيما يخص التدابير الأمنية.

مخاطر انتهاك الملكية الفكرية

يمكن أن تنشأ مخاطرانتهاك الملكية الفكرية، مثلاً، إذا لم يكن مقدم الخدمات هو مالك أو مطور الموارد التي يقدمها إلى زبائنه، بل يستعملها بمقتضى ترتيب مبرم مع طرف ثالث بشأن ترخيص الممتلكات الفكرية. وقد تنشأ مخاطر انتهاك الملكية الفكرية أيضاً إذا كان الزبون ملزماً، من أجل تنفيذ العقد، بمنح مقدم الخدمات رخصة باستعمال المحتوى الذي يعتزم الزبون وضعه في السحابة. ففي بعض الولايات القضائية، قد يُعتبر تخزين المحتوى على السحابة، حتى لأغراض التخزين الحتياطي، بمثابة استنساخ ويتطلب إذناً مسبقاً من مالك حقوق الملكية الفكرية.

ومن مصلحة كلا الطرفين أن يتكفَّلا قبل إبرام العقد بألا يشكل استعمال خدمات الحوسبة السحابية انتهاكاً لحقوق الملكية الفكرية وسبباً لسحب ترخيص الممتلكات الفكرية الممنوح لأٍّيًّ  منهما، وقد تكون تكاليف انتهاك الملكية الفكرية عالية جدا. وقد يلزم اتخاذ ترتيبات بشأن الحق في الترخيص من الباطن، أو قد يلزم إبرام ترتيبات خاصة بالترخيض المباشر مع الطرف الثالث المرخَّص ذي الصلة يُمنَح بمقتضاها الحق في إدارة التراخيص. وقد يستلزم استعمال البرامجيات المفتوحة لمصدر أو غيرها من المحتويات الحصولَ على موافقة مسبقة من أطراف ثالثة والإفصاح عن الشيفرة المصدرية مع أيَّ تعديلات مُدخَلة على البرامجيات المفتوحة المصدر أو المحتويات الأخرى.

المخاطر التي يتعرض لها أمن البيانات وسلامتها وسريتها وخصوصيتها

يؤدى نقل البيانات بأكملها أو جزء منها إلى السحابة إلى فقدان الزبون السيطرة الحصرية على تلك البيانات وقدرته على اتخاذ التدابير اللازمة لضمان سلامة وسرية البيانات أو التحقق من أنَّ عمليات معالجة البيانات والاحتفاظ بها تجرى على نحو مناسب. وتتوقف درجة فقدان السيطرة على نوع خدمة الحوسبة السحابية.

وقد تتطلب السمات المتأصلة لخدمات الحوسبة السحابية، مثل اتساع نطاق تيسُّر الوصول اإلى الشبكة وتعدد المستعملين وتجميع الموارد، من الطرفين اتخاذ مزيد من الاحتياطات لمنع اعتراض الاتصالت وغير ذلك من أشكال الهجمات السيبرانية، التي قد تؤدي اإلى ضياع الإثباتات المخوَّلة للوصول اإلى خدمات الحوسبة السحابية أو إلى التلاعب بتلك الإثباتات، أو إلى فقدان البيانات أو غير ذلك من الانتهاكات الأمنية. ويكتسي العزل المناسب للموارد وفرز البيانات واتباع إجراءات أمنية متينة أهميةً خاصة في بيئة مشتركة مثل الحوسبة السحابية.

وستكون التدابير الأمنية مسؤولية مشتركة بين الطرفين في بيئة الحوسبة السحابية بصرف النظر عن نوع خدمات الحوسبة السحابية المستعملة. ويتيح تقييم المخاطر السابق للتعاقد فرصة جيدة للطرفين لإزالة أي غموض في تحديد أدوارهما ومسؤولياتهما فيما يتعلق بأمن البيانات وسلامتها وسريتها وخصوصيتها. ومن شأن البنود التعاقدية أن تؤدى دوراً مهمًّا في تجسيد اتفاق الطرفين بشأن توزيع المخاطر والمسؤوليات المتعلقة بتلك الجوانب وغيرها من جوانب تقديم خدمات الحوسبة السحابية. ولن تكون لتلك البنود غَلَبة على أحكام القانون الإلزامية. إقرأ المزيد

اختبارات الاختراق، وعمليات التدقيق، والزيارات الموقعية

يمكن أن تتخذ في المرحلة السابقة للتعاقد خطوات للتحقق من كفاية عزل الموارد وفرز البيانات، ومن إجراءات تحديد الهوية وغير ذلك من التدابير الأمنية. وينبغي أن ترمي هذه الخطوات إلى استبانة الاحتياطات الإضافية الممكنة التي قد يلزم أن يتخذها الطرفان لمنع حدوث خروقات أمنية وغير ذلك من الأعطال لدى تقديم خدمات الحوسبة السحابية إلى الزبون.

وقد تتطلب القوانين واللوائح عمليات تدقيق واختبارات اختراق وتفقداً ماديًّا لمراكز البيانات المشاركة في تقديم خدمات الحوسبة السحابية، وخصوصاً من أجل التيقن من أن مكانها يتمثل لاشتراطات توطين البيانات. وسوف يلزم أن يتفق الطرفان على شروط القيام بتلك الأنشطة، بما في ذلك توقيتها وتوزيع تكاليفها والتعويض عما قد تسببه من أضرار.

مخاطر الارتهان

قد يكون تفادي مخاطر الأرتهان، التي تنشأ غالبا من انعدام قابلية التشغيل التبادلى و القابلية للنقل، أو الحد من تلك المخاطر واحداً من اهم الاعتبارات لدى الطرفين. وقد ينشأ ارتفاع مخاطر الأرتهان عن العقود الطويلة الأمد وعن العقود القصيرة والمتوسطة الأمد القابلة للتجديد التلقائي.

وترتفع مخاطر الأرتهان فيما يتعلق بالتطبيقات والبيانات بصفة خاصة في سياق البرامجية كخدمة (SaaS) والمنصة كخدمة (PaaS). فقد تكون البيانات موجودة في انساق خاصة بنظام سحابي ما ولا يمكن استعمالها في نظم أخرى. وإلى جانب ذلك، قد تستعمل في تنظيم البيانات تطبيقةٌ أو نظام خاضع لحقوق امتلاكية، مما يتطلب تعديل أحكام الترخيص لكي يتسنى تشغيل تلك التطبيقة أو ذلك النظام في شبكة مختلفة. وقد يلزم إعادة كتابة برامج من أجل التفاعل مع واجهات برمجة التطبيقات (API) لتأخذ في الاعتبار واجهات برمجة التطبيقات الخاصة بالنظام الجديد. كما قد تؤدي الحاجة إلى تدريب المستعملين النهائيين إلى ارتفاع تكاليف الانتقال إلى نظام جديد.

وفي سياق المنصة كخدمة (PaaS) ، يمكن أن يكون هناك أيضاً إرتهان يتعلق بنظام زمن التشغيل، لأن أنظمة زمن التشغيل (أي البرامجيات المصممة لدعم تنفيذ برامج حاسوبية مكتوبة بلغة برمجة معينة) كثيراً ما تكون شديدة التخصص (على سبيل المثال، فيما يتعلق بجوانب مثل تخصيص الذاكرة أو تحريرها ، وإزالة الأخطاء الحاسوبية، وما إلى ذلك). ويتباين الارتهان في صياق المرفق كخدمة (IaaS) تبعاً لنوع خدمات المرافق المستهلكة. وكما هو الحال في سياق المنصة كخدمة، يمكن لبعض الخدمات والمرافق أن تؤدي أيضاً إلى إرتهان خاص بالتطبيقة إذا كانت هذه الخدمة تعتمد على سمات سياساتية معينة (مثل ضوابط الدخول). ويمكن لبعض خدمات المرافق أن تؤدي أيضاً إلى إرتهان خاص بالبيانات إذا جرى نقل مزيد من البيانات لتخزينها في السحابة.

ويمكن في المرحلة السابقة للتعاقد إجراء اختبارات للتحقق من إمكانية تصدير البيانات و المحتويات الأخرى إلى نظام آخر وجعلها قابلة للاستعمال فيه. وقد يلزم المزامنة بين منصة السحابة والمنصات الداخلية ونسخ البيانات الموجودة في موضع آخر. وقد يكون التعامل مع أكثر من طرف واحد واختيار توليفة من مختلف انواع خدمات الحوسبة السحابية و نماذج نشرها (أي الاستعانة بمصادر متعددة) جزءاً مهمًّا من استراتيجية تخفيف مخاطر الارتهان ، رغم ما قد يرتبط بذلك من تكاليف وآثار أخرى. ويمكن للبنود التعاقدية أن تساعد أيضاً على تخفيف مخاطر الارتهان. اقرأ المزيد

المخاطر المتعلقة باستمرارية الأعمال

قد يساور الطرفين قلق بشأن المخاطر المتعلقة باستمرارية الأعمال، لا من حيث توقُّع انتهاء العقد في الموعد المقرر فحسب، بل ومن حيث احتمال تعليقه من جانب واحد أو إنهائه في وقت أبكر من قِبل أحد الطرفين، بما في ذلك احتمال توقف أحد الطرفين عن مزاولة أعماله. وقد يقضي القانون بوضع استراتيجية مناسبة يخطط لها مسبقا لضمان استمرارية الأعمال، وخصوصاً من أجل تفادي ما يترتب على انهاء خدمات الحوسبة السحابية أو تعليقها من أثر سلبي على المستعملين النهائيين. ويمكن للبنود التعاقدية أن تساعد أيضاً على تخفيف المخاطر المتعلقة باستمرارية الأعمال. اقرأ المزيد

استراتيجيات الخروج

قد يتطلب نجاح استراتيجيات الخروج من الطرفين توضيح ما يلي منذ البداية: (أ) ماهية المحتوى الذي سيكون خاضعاً للخروج (مثلاً، هل سينحصر في البيانات التي أدخلها الزبون في السحابة، أم سيشمل أيضاً البيانات المستمدة من الخدمات السحابية)؛ (ب) التعديلات التي قد يلزم إدخالها على تراخيص الممتلكات الفكرية لكي يتسنى استعمال تلك المحتويات في نظام آخر؛ (ج) مراقبة مفاتيح فك التشفير وضبط إمكانية الوصول إليها؛ (د) المدة الزمنية اللازمة لإنجاز عملية الخروج. و عادة ما تجسد البنود التعاقدية المتعلقة بنهاية الخدمة اتفاق الطرفين بشأن تلك المسائل. اقرأ المزيد

جيم- مسائل أخرى سابقة للتعاقد

الإفصاح عن المعلومات

قد يُلزِم القانون المطبق طرفي العقد بأن يزود كل منهما الآخر بالمعلومات التي تتيح لهما أن يتخذا خيارا مستنيرا بشأن إبرام العقد. ومن شأن عدم إبلاغ الطرف الآخر، أو ابلاغه على نحو غير واضح، بأي معلومات لازمة لجعل موضوع الالتزام محددا او قابلا للتحديد قبل إبرام العقد أن يجعل العقد، أو جزءاً منه، لاغياً وباطلاً، او أن يعطي للطرف المغبون حقا في المطالبة بتعويض.

وفي بعض الولايات القضائية، قد تعتبر المعلومات السابقة للتعاقد جزءاً من صميم العقد. ويتعين على الطرفين في حالات كهذه أن يكفلا تدوين تلك المعلومات على نحو المناسب و أن يتحاشيا أي تضارب بين تلك المعلومات والعقد نفسه. كما يتعين على الطرفين أن يعالجا الشواغل المتعلقة بما يترتب على الإفصاح عن المعلومات قبل التعاقد من تأثير على المرونة و الابتكار في مرحلة تنفيذ العقد.

السرية

قد تُعتبر بعض المعلومات المفصح عنها في مرحلة ما قبل التعاقد معلومات سرية، ولا سيما تلك المتعلقة بالأمن و تدابير تحديد الهوية والتوثيق والمتعاقدين من الباطن ومكان مراكز البيانات و نوعها (الذي يمكن أن يبين بدوره نوع البيانات المخزنة فيها ومدى تيسر وصول السلطات الحكومية أو السلطات الأجنبية إليها). ويمكن أن يتفق الطرفان على أن تُعتبر بعض المعلومات التي يفصح عنها في المرحلة السابقة للتعاقد معلومات سرية. وقد يشترط أيضاً على الأطراف الثالثة المشاركة في تدابير توخي الحرص الواجب السابقة للتعاقد (مثل المدققين) أن يقدموا تعهدات كتابية بشأن مراعاة السرية أو أن يبرموا اتفاقات بشأن عدم الإفصاح.

النقل اإلى السحابة

قبل النقل إلى السحابه، سوف يتوقع من الزبون عادة أن يصنف البيانات المراد نقلها إلى السحابه ويشفرها تبعاً لدرجة حساسيتها وأهميتها، و أن يبلغ مقدم الخدمات عن درجة الحماية اللازمة لكل نوع من البيانات. وقد يتوقع أيضاً من الزبون أن يزود مقدم الخدمات بسائر المعلومات الضرورية لتقديم الخدمات (مثل الجدول الزمني لاحتفاظ الزبون بالبيانات والتصرف فيها ، و آليات إدارة المعلومات المتعلقة بهويات المستعملين وتيسير الوصول إليها، و الإجراءات المتعلقة بتيسير الوصول إلى مفاتيح التشفير إذا كان هذا ضروريا).

وإلى جانب نقل البيانات و المحتويات الأخرى إلى سحابة مقدم الخدمات، قد ينطوي النقل إلى السحابه على عمليات تركيب وتشكيل للأنساق وتشفير واختبار وتدريب لموظفي الزبون وسائر المستعملين النهائيين. وقد تشكل هذه الجوانب جزءا من العقد المبرم بين الزبون و مقدم الخدمات او موضوعا لاتفاق منفصل بين الزبون ومقدم الخدمات او أطراف ثالثة، مثل شركاء خدمات الحوسبة السحابية. وقد تنشأ عن ذلك تكاليف إضافية. و عادة ما تتفق الأطراف المشاركة في النقل على أدورها ومسؤولياتها أثناء عملية النقل و أحكام انخراطها في العملية والنَسق الذي ستنقل به البيانات أو المحتويات الأخرى إلى السحابه وتوقيف ذلك النقل، وعلى إجراءات خاصة بالقبول من أجل التيقن من أن النقل قد نفذ حسب الاتفاق، وعلى سائر تفاصيل خطة النقل.