Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год): Ответственность

Часть вторая. Разработка договора

ОТВЕТСТВЕННОСТЬ

Установленные законом ограничения на свободу договора

Хотя в большинстве правовых систем, как правило, признается право договаривающихся сторон распределять риски и ответственность и ограничивать или исключать ответственность на основании договорных положений, в отношении этого права обычно действуют различные ограничения и условия. Так, например, важным фактором при распределении рисков и ответственности в связи с обработкой персональных данных является та роль, которую каждая из сторон берет на себя в отношении персональных данных, размещенных в облаке. Во многих юрисдикционных системах законодательство о защите данных возлагает больше ответственности на контролера данных, чем на обработчиков персональных данных. Несмотря на договорные положения, правовой режим, распространяющийся на данную сторону в соответствии с применимым законодательством, как правило, определяется исходя из фактического обращения с такими данными. Субъекты данных, понесшие потери в результате незаконной обработки персональных данных или иных действий, не совместимых с внутренними нормативными актами о защите данных, могут иметь право требовать возмещение непосредственно от контролера данных.

Кроме того, во многих юрисдикционных системах полное освобождение от ответственности за собственный проступок либо является недопустимым, либо регламентируется. Вряд ли можно полностью
исключить ответственность в случае причинения личного вреда (включая болезнь и смерть) и за грубую небрежность, умышленное причинение вреда, дефекты, нарушение основных обязательств, имеющих
принципиальное значение для договора, или за неисполнение применимых нормативных требований. Некоторые виды ограничительных оговорок, такие как отказ поставщика от требований об ответственности за инциденты, связанные с нарушением безопасности, в тех случаях, когда обеспечение безопасности выходило за рамки контроля или возможностей клиента, могут быть сочтены «неправомерными» и, соответственно, недействительными. Условия договоров присоединения, которые обычно не являются предметом переговоров, а заранее устанавливаются одной из сторон, могут стать объектом особенно пристального внимания. Кроме того, в соответствии с законодательством неограниченная ответственность может также возникать в случае определенных видов дефектов (например, неисправности аппаратных средств или дефекты в программном обеспечении).

Способность публичных учреждений брать на себя определенные обязательства может быть ограничена законодательством, или же публичным учреждениям необходимо получить на это предварительное разрешение компетентного государственного органа. Им также может быть запрещено соглашаться на исключение или ограничение ответственности поставщика в целом или за действия или бездействие, предусмотренные законом.

С другой стороны, применимое законодательство может предусматривать освобождение от ответственности, если определенные критерии соблюдаются стороной, которая в противном случае сталкивалась бы с риском возникновения ответственности. Например, в соответствии с предусмотренной в некоторых юрисдикционных системах процедурой «увидел и закрыл» (см. выше) поставщик будет освобождаться от ответственности за размещение в своей облачной инфраструктуре противоправного контента, если он сразу же удалил такой контент, как только ему стало об этом известно.

В некоторых юрисдикционных системах согласованные сторонами положения об исключении и ограничении ответственности, для того чтобы быть исполнимыми, должны быть включены в текст договора. Применимое законодательство может предусматривать форму или другие требования в отношении действительности и исполнимости таких положений.

Другие соображения, касающиеся разработки положений об ответственности

При согласовании вопросов, касающихся распределения рисков и ответственности, будут учитываться сумма вознаграждения — если таковое взимается — за предоставляемые услуги облачных вычислений и
риски, связанные с предоставлением таких услуг. Хотя обычно стороны стремятся исключить или ограничить ответственность в отношении факторов, которые они не могут контролировать или могут контролировать только в ограниченной степени (например, поведение конечных пользователей, действие или бездействие субподрядчиков), степень контроля не всегда является решающим соображением. Сторона может быть готова принять на себя риски и ответственность за элементы, которые она не контролирует, с тем чтобы, например, занять особое положение на рынке. При этом, однако, существует вероятность того, что удельный вес рисков и ответственности такой стороны будет постепенно увеличиваться по сравнению с элементами, которые она контролирует.

Например, в контексте ОкУ, когда используется стандартное офисное программное обеспечение, поставщик, скорее всего, будет нести ответственность практически за все ресурсы, предоставленные клиенту, и ответственность поставщика будет возникать в каждом случае непредоставления или неудовлетворительного функционирования таких ресурсов. Однако даже в этом случае клиент все же будет нести ответственность по отдельным компонентам услуг, например по шифрованию или созданию резервных копий данных, находящихся под его контролем. Неспособность обеспечить создание надлежащих резервных копиймо жет привести к потере права предъявлять поставщику какие-то требования в случае утраты данных. С другой стороны, в контексте ИкУ и ПкУ поставщик может нести ответственность только за предоставленную инфраструктуру или платформы (например, ресурсы аппаратных средств, операционную систему или промежуточное ПО), в то время как клиент будет нести ответственность за все принадлежащие ему компоненты, например за прикладные программы, используемые благодаря предоставленной инфраструктуре или платформам, и находящиеся в них данные.

Стандартные условия поставщика

Стандартные условия поставщика могут исключать любую ответственность по договору и устанавливать, что положения об ответственности не подлежат обсуждению. В то же время поставщик может выразить готовность взять на себя ответственность, включая неограниченную ответственность, за нарушения в сфере контроля поставщика (например, нарушения по лицензиям на использование ИС, предоставленным поставщику клиентом), но не за нарушения, которые могут произойти вне сферы контроля поставщика (например, связанные с непредвиденными обстоятельствами или утечкой конфиденциальных данных).

В стандартных условиях поставщика обычно исключается ответственность за косвенный ущерб или сопутствующие убытки (например, упущенные коммерческие возможности из-за отсутствия услуг облачных вычислений). Когда ответственность принимается в целом либо в отношении конкретных указанных случаев, стандартные условия поставщика часто ограничивают размеры подлежащего возмещению ущерба (по каждому инциденту, серии инцидентов или за определенный период времени). Кроме того, поставщики часто устанавливают общий максимальный предел ответственности по договору, который может зависеть от размера ожидаемых поступлений по данному договору, оборота поставщика или страхового покрытия.

В стандартных условиях поставщика ответственность за несоблюдение ППИ обычно возлагается на клиента.

Возможные варианты стандартных условий

Некоторые события (например, нарушение защиты персональных данных и нарушение прав ИС) могут либо привести к потенциальному росту ответственности перед третьими сторонами, либо послужить осно
ванием для применения установленных законом штрафных санкций. Принято устанавливать по согласованию более жесткий режим ответственности (неограниченная ответственность или более высокая компенсация), если такие нарушения происходят по вине или халатности другой стороны.

Договор или законодательство могут ограничивать или исключать ответственность сторон за действия третьих сторон, которые они не могут контролировать (например, ответственность клиента за действия
конечных пользователей или ответственность поставщика за действия клиента или его конечных пользователей).

Страхование ответственности

В договоре могут предусматриваться обязательства по страхованию как для обеих сторон, так и для каждой стороны, особенно применительно к квалификационным требованиям для страховой компании и
минимальным размерам страхового покрытия. Договор может также обязывать стороны направлять уведомления об изменениях в условиях страхования или предоставлять друг другу копии действующих страховых полисов.

Tермины в Глоссарии, относящиеся к данному разделу

Персональные данные: чувствительные и нечувствительные данные, которые могут быть использованы для идентификации физического лица, к которому эти данные относятся. В некоторых юрисдикционных системах определение персональных данных может охватывать любые данные или информацию, прямо или косвенно связанные с идентифицированным или идентифицируемым лицом или относящиеся к этому лицу (см. субъект данных).

Обработка персональных данных: сбор, запись, систематизация, хранение, адаптация или преобразование, поиск, считывание, использование, раскрытие при передаче, распространение или иное предоставление в распоряжение, выравнивание или комбинирование, блокирование, стирание или уничтожение персональных данных.

Контролер данных: лицо, определяющее цели и средства обработки персональных данных.

Обработчик данных: лицо, которое осуществляет обработку данных от имени контролера данных.

Субъект данных: физическое лицо, которое может быть идентифицировано, прямо или косвенно, с помощью данных, в том числе путем ссылки на такие идентификаторы, как имя, идентификационный номер, местонахождение и любые факторы, характерные для физической, генетической, умственной, экономической, культурной или социальной идентичности этого лица. В ряде юрисдикционных систем субъекты данных пользуются, согласно нормативно-правовым актам о защите или неприкосновенности данных, определенными правами в отношении данных, которые помогают их идентифицировать. Эти нормативно-правовые акты могут способствовать включению в соглашение об уровне обслуживания (СУО) конкретных параметров производительности, касающихся защиты данных, например, что услуги, предоставляемые по договору, сертифицируются по крайней мере один раз в год независимым аудито-
ром, исходя из стандарта защиты/неприкосновенности данных, указан-ного в договоре. (См. также права субъекта данных и персональные данные).

Инцидент, связанный с нарушением безопасности: событие, которое свидетельствует о том, что системе или данным был причинен ущерб или что действующие меры по их защите не увенчались успехом. Инцидент, связанный с нарушением безопасности, нарушает нормальную работу. Примерами таких инцидентов являются попытки из несанкционированных источников получить доступ к системам или данным, незапланированный сбой в предоставлении услуг или отказ в обслуживании, несанкционированная обработка или хранение данных и несанкционированные изменения в инфраструктуре системы.

Инфраструктура как услуга (ИкУ): категория услуг облачных вычислений, посредством которых клиент может получить и использовать ресурсы по обработке, хранению и сетевой передаче данных. Клиент не осуществляет управление базовыми физическими или виртуальными ресурсами и не контролирует их, однако обладает контролем над операционными системами, хранением данных и применяемыми приложениями, использующими физические или виртуальные ресурсы. Клиент также в ограниченной степени может обладать контролем над определенными компонентами сети (например, межсетевым экраном интернет-хоста).

Платформа как услуга (ПкУ): категория услуг облачных вычислений, благодаря которой клиент может развернуть, организовать и применять в облаке созданные или приобретенные им прикладные программы с использованием одного или более существующих языков программирования и видов среды выполнения, поддерживаемых поставщиком.

Программное обеспечение как услуга (ОкУ): категория услуг облачных вычислений, благодаря которой клиент может использовать в облаке прикладные программы поставщика.

Политика приемлемого использования (ППИ): часть договора об облачных вычислениях между поставщиком и клиентом, в которой регламентируется использование клиентом и его конечными пользователями услуг облачных вычислений, предусмотренных в договоре.

•    На главную страницу
•    К преддоговорным аспектам
•    К другим договорным аспектам
•    К другим терминам в Глоссарии