Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год): Условия обслуживания
Часть вторая. Разработка договора
B. УКАЗАНИЕ ДОГОВАРИВАЮЩИХСЯ СТОРОН
Правильное указание договаривающихся сторон может непосредственно повлиять на процесс составления и исполнимость договора. В применимом законодательстве конкретно указывается информация, необходимая для подтверждения правосубъектности коммерческого предприятия и его способности заключать договор. Законодательство может предусматривать необходимость предоставления дополнительной информации для конкретных целей, например, идентификационного номера для целей налогообложения или доверенности для подтверждения полномочий физического лица подписывать документы и принимать обязательства от имени юридического лица.
C. ОПРЕДЕЛЕНИЕ СФЕРЫ ДЕЙСТВИЯ И ПРЕДМЕТА ДОГОВОРА
Предметы договоров об облачных вычислениях существенно различаются по типу и сложности в зависимости от характера услуг облачных вычислений. В течение срока действия отдельного договора его предмет может меняться: одни услуги облачных вычислений могут быть отменены, а другие услуги добавлены. Предметом договора может быть предоставление базовых, вспомогательных и факультативных услуг.
Описание предмета договора обычно включает описание определенной категории услуг облачных вычислений (ОкУ, ПкУ, ИкУ или их сочетание), их модели развертывания (публичная, коллективная, частная или гибридная) и их технических, качественных и эксплуатационных характеристик, а также любых применимых технических стандартов. Для определения предмета договора может потребоваться несколько документов, образующих договор. (Читать далее по этой теме.)
Соглашение об уровне обслуживания
В соглашении об уровне обслуживания (СУО) указываются параметры производительности, исходя из которых оценивается предоставление услуг облачных вычислений, степень выполнения договорных
обязательств и возможные нарушения договора поставщиком. В разработке параметров производительности обычно участвуют специалисты по информационным технологиям.
Количественные параметры производительности обычно касаются емкости (оговоренная емкость хранилища данных или оговоренный объем памяти, выделяемый для задействованной программы), времени простоя или отключения, времени ожидания, надежности хранения данных, времени работоспособности, вспомогательных услуг (например, в обычные часы работы клиента или круглосуточно семь дней в неделю) и планов управления и восстановления в случае инцидентов и аварий. Последние могут включать максимальное время устранения инцидента, максимальное время первой реакции, целевые точки восстановления и целевое время восстановления.
Качественные параметры производительности могут относиться к удалению данных, требованиям в отношении локализации данных, возможности переноса данных, безопасности и защите/неприкосновенности данных. Некоторые аспекты обслуживания могут оцениваться как по качественным, так и по количественным параметрам. Например, эластичность и масштабируемость могут определяться с учетом как максимального объема имеющихся ресурсов в течение оговоренного минимального срока, так и качества и безопасности мер, которые, возможно, потребуется адаптировать к различной степени чувствительности хранящихся данных клиента. Шифрование может быть выражено как определенные значения битов в состоянии покоя, при транзите и при использовании. В дополнение к такому количественному параметру или вместо него шифрование может быть определено с помощью качественного параметра (например, поставщик должен обеспечить шифрование данных клиента при их передаче по общедоступной сети и всякий раз, когда они находятся в состоянии покоя в используемых поставщиком центрах обработки данных).
Могут быть согласованы различные обязательства (т.е. обязательства, связанные с результатом или использованием всех имеющихся средств) с учетом, в частности, условий оплаты и возможного предоставления стандартных коммерческих решений для групп абонентов. Каждый вид обязательств будет иметь свои последствия, в том числе в плане бремени доказывания в случае возникновения спора.
Оценка производительности
Стороны могут включить в договор методологию и процедуры оценки с указанием, в частности, базового периода для оценки услуг (ежедневно, еженедельно, ежемесячно), механизмов отчетности о предоставлении услуг (периодичность и форма таких отчетов), функций и обязанностей сторон и используемых оценочных показателей (например, оценочных показателей в точке предоставления или в точке потребления услуг). Стороны могут договориться о проведении независимой оценки производительности и порядке распределения связанных с этим расходов.
Клиент, как правило, заинтересован в оценке услуг в период пиковой нагрузки, т.е. когда спрос на услуги является наибольшим. Клиент обычно может провести оценку или проверить результаты оценки, проведенной поставщиком или третьими сторонами, только по тем показателям, которые касаются производительности в точке потребления, а не по тем, которые характеризуют производительность системы в точке предоставления услуг. Клиент может оценить производительность системы в точке предоставления услуг на основе отчетов, предоставляемых поставщиком или третьими сторонами. Поставщик может согласиться предоставлять клиенту отчет о производительности по требованию, либо периодически (ежедневно, еженедельно, ежемесячно и т.д.), либо после конкретного инцидента. В качестве альтернативы он может согласиться предоставить клиенту право знакомиться с отчетами поставщика, касающимися оценки уровня обслуживания. Некоторые поставщики предоставляют клиенту возможность отслеживать данные о производительности в режиме реального времени.
Договор может обязывать каждую из сторон или обе стороны вести учет предоставления и потребления услуг в течение определенного времени. Такая информация может оказаться полезной при согласовании
любых поправок к договору или в случае возникновения спора.
Политика приемлемого использования
Политика приемлемого использования (ППИ) определяет условия использования клиентом и его конечными пользователями услуг облачных вычислений, охватываемых договором. Она призвана обеспечить защиту поставщика от ответственности, вытекающей из действий его клиентов или конечных пользователей клиентов. Ожидается, что любой потенциальный клиент согласится с такой политикой и что она станет частью договора с поставщиком. В подавляющем большинстве случаев стандартная ППИ запрещает определенный набор видов деятельности, которые рассматриваются поставщиком как ненадлежащее или незаконное использование услуг облачных вычислений. ППИ может ограничивать не только виды контента, которые могут быть размещены в облаке, но также и право клиента предоставлять третьим сторонам доступ к данным и другому контенту, размещенному в облаке (например, гражданам определенных стран или лицам, включенным в санкционные списки). Стороны могут договориться отменить некоторые запреты в целях удовлетворения конкретных коммерческих потребностей клиента в той мере, в какой такая отмена будет допускаться законом.
Стандартные условия поставщика обычно содержат требование о том, чтобы конечные пользователи клиента также выполняли условия ППИ, и обязывают клиента прилагать все усилия или коммерчески разумные усилия для обеспечения выполнения этих условий. Некоторые поставщики могут потребовать от клиентов принятия решительных мер по предупреждению любого несанкционированного или ненадлежащего использования третьими сторонами услуг облачных вычислений, предоставляемых в соответствии с договором. Стороны могут достичь договоренности относительно ограниченных обязательств, например о том, что клиент будет сообщать условия ППИ известным конечным пользователям, не будет разрешать или сознательно допускать несанкционированное или ненадлежащее использование услуг, а также будет уведомлять поставщика о всех случаях такого использования, о которых ему станет известно.
В некоторых юрисдикционных системах закон может налагать на поставщика обязанности в отношении контента, размещенного в его инфраструктуре облачных вычислений, например обязанность сообщать официальным органам о незаконных материалах. Эти обязанности не могут быть переданы клиенту или конечным пользователям ППИ или каким-либо иным образом. Они могут влиять на конфиденциальность и иметь другие последствия и наряду с другими показателями будут учитываться при выборе подходящего поставщика. (Читать далее по этой теме).
Политика по обеспечению безопасности
Безопасность системы, включая безопасность данных клиента, предполагает солидарную ответственность сторон. В договоре необходимо будет указать взаимные функции и обязанности сторон в отношении мер безопасности, отражающие обязательства, которые могут быть предусмотрены императивными нормами для каждой стороны или для обеих сторон.
Обычно поставщики применяют собственные правила обеспечения безопасности. В некоторых случаях, за исключением стандартных коммерческих решений для групп абонентов, можно договориться, что
поставщик будет применять правила обеспечения безопасности, принятые клиентом. В договоре могут быть предусмотрены конкретные меры безопасности (например, требования в отношении санации или удаления данных с поврежденных носителей, хранение отдельных пакетов данных в различных местах, хранение данных клиента на определенных серверах, выделенных исключительно данному клиенту). Тем не менее чрезмерное раскрытие в договоре информации, касающейся безопасности, может быть сопряжено с определенными рисками.
Некоторые меры безопасности не предполагают участия другой стороны, а обеспечиваются исключительно в рамках повседневной деятельности соответствующей стороны, например в ходе проводимых поставщиком инспекций аппаратных средств, на которых хранятся данные и с помощью которых предоставляются услуги, а также за счетэффективных мер по обеспечению контролируемого доступа к такому оборудованию. В других случаях предоставление одной стороне возможности выполнять свои соответствующие обязанности или оценивать и контролировать качество принимаемых мер безопасности может предполагать участие другой стороны. Клиент, например, будет обязан обновлять перечни реквизитов пользователей и их права доступа и своевременно информировать поставщика об изменениях для обеспечения надлежащих механизмов идентификации и управления доступом. Клиент будет также обязан сообщить поставщику, какой уровень безопасности следует обеспечить в отношении каждой категорий данных.
Некоторые угрозы для безопасности могут находиться вне сферы действия договора между клиентом и поставщиком и, возможно, потребуют согласования условий договора об облачных вычислениях с усло-
виями других договоров поставщика и клиента (например, договоров с поставщиками услуг Интернета).
Целостность данных
В стандартных договорах поставщиков может содержаться общая оговорка о том, что ответственность за сохранение целостности данных клиента в конечном счете несет сам клиент.
Некоторые поставщики могут выразить готовность принять на себя обязательства по обеспечению целостности данных (например, путем регулярного создания резервных копий), возможно за дополнительную плату. Независимо от условий договора с поставщиком клиент, возможно, пожелает рассмотреть вопрос о необходимости обеспечения доступа по крайней мере к одной пригодной для использования копии своих данных вне сферы контроля, доступа или влияния поставщика и его субподрядчиков и без их участия.
Положение о конфиденциальности
Готовность поставщика принять обязательства по обеспечению конфиденциальности данных клиента зависит от характера услуг, предоставляемых клиенту в соответствии с договором, в частности от того, будет ли поставщику необходимо иметь некодированный доступ к данным для предоставления таких услуг. Одни поставщики могут быть не в состоянии предложить какое-то положение о конфиденциальности и нераскрытии данных и могут прямо отказаться от какой-либо ответственности за обеспечение конфиденциальности данных клиента. Другие поставщики могут согласиться взять на себя ответственность за обеспечение конфиденциальности только тех данных, которые были раскрыты клиентом в ходе переговоров по договору, но не данных, обрабатываемых в процессе предоставления услуг. Некоторых предлагаемых поставщиками стандартных положений о конфиденциальности может оказаться недостаточно для обеспечения соблюдения применимого законодательства.
В отсутствие договорных обязательств и предусмотренных законом обязательств поставщика обеспечивать конфиденциальность клиент может нести полную ответственность за сохранение конфиденциальности данных (например, посредством шифрования). Если невозможно согласовать общее положение о конфиденциальности, применимое ко всем данным клиента, размещенным в облаке, стороны могут договориться относительно обязательств по обеспечению конфиденциальности некоторых категорий чувствительных данных (с отдельным режимом ответственности за нарушение конфиденциальности таких данных). Особую обеспокоенность клиент может испытывать в отношении коммерческой тайны, производственных секретов и информации, конфиденциальность которой необходимо обеспечивать в соответствии с законодательством или обязательствами перед третьими сторонами. Стороны могут договориться о предоставлении доступа к таким данным ограниченному числу сотрудников и потребовать от каждого из них принятия индивидуальных обязательств по обеспечению конфиденциальности данных, особенно от тех сотрудников, функции которых сопряжены с повышенными рисками (например, системных администраторов, инспекторов и лиц, отвечающих за выявление вторжений в систему и принятие мер реагирования на инциденты). В таких случаях клиент обычно сообщает поставщику, какая информация является конфиденциальной, какой уровень защиты необходим, какое законодательство или договорные требования являются применимыми и какие изменения вносятся в такую информацию, включая любые изменения в применимом законодательстве.
В одних случаях для исполнения договора может потребоваться раскрытие данных клиента. В других случаях раскрытие информации может предусматриваться законом, например в рамках обязательства
предоставлять информацию компетентным государственным органам (см. ниже). Поэтому необходимо будет предусмотреть соответствующие исключения из положений о конфиденциальности.
В свою очередь поставщик, возможно, пожелает обязать клиента не раскрывать информацию в отношении мер безопасности поставщика и другие данные, касающиеся услуг, предоставляемых клиенту в соответствии с договором или законодательством.
Политика в области защиты/обеспечения неприкосновенности данных или соглашение об обработке данных
Персональные данные пользуются особой защитой в соответствии с законодательством многих юрисдикционных систем. Применимое к обработке персональных данных законодательство может отличаться от законов, применимых к договорам. Оно будет иметь преимущественную силу по отношению к любым договорным положениям, не соответствующим такому законодательству.
Договор может содержать положение о защите или обеспечении неприкосновенности данных, соглашение об обработке данных или аналогичное соглашение, хотя отдельные поставщики могут согласиться только выполнять общее обязательство соблюдать применимое законодательство о защите данных. В некоторых юрисдикционных системах выполнения такого общего обязательства может оказаться недостаточно: в договоре необходимо будет указать как минимум предмет, продолжительность, характер и цель обработки персональных данных, тип персональных данных и категории субъектов данных, а также обязательства и права контролера данных и обработчика данных. Если согласовать положение о защите данных в договоре невозможно, клиент, возможно, пожелает по меньшей мере ознакомиться со стандартными условиями, с тем чтобы определить, обеспечивают ли эти положения клиенту достаточные гарантии правомерной обработки персональных данных, а также надлежащие средства правовой защиты для возмещения ущерба.
Клиент, вероятно, будет выступать в роли контролера данных и возьмет на себя ответственность за соблюдение законодательства о защите данных в отношении персональных данных, собранных и обрабатываемых в облаке. Стороны могут согласовать договорные положения, направленные на обеспечение соблюдения применимых положений о защите данных, включая выполнение просьб, касающихся прав субъектов данных. На случай невыполнения этих положений стороны могли бы также согласовать отдельные средства правовой защиты, включая возможность одностороннего прекращения действия договора и возмещение нанесенного ущерба.
Стандартные договоры поставщиков обычно предусматривают, что поставщик не берет на себя никаких функций контролера данных. Поставщик скорее будет выступать только в качестве обработчика
данных в процессе обработки данных клиента согласно инструкциям клиента исключительно с целью предоставления услуг облачных вычислений. Тем не менее в некоторых юрисдикционных системах
поставщика можно рассматривать в качестве контролера данных, независимо от договорных положений, в тех случаях, когда он продолжает обработку данных в собственных целях или по указанию официальных органов, и в связи с такой дальнейшей обработкой персональных данных поставщик может нести полную ответственность за обеспечение защиты персональных данных (см. ниже).
Обязательства, возникающие в результате нарушения защиты данных и других инцидентов, связанных с нарушением безопасности
В соответствии с законодательством или договором или в силу того и другого стороны могут быть обязаны незамедлительно направлять друг другу уведомления об инцидентах, связанных с нарушением безопасности, имеющих отношение к договору, или о любых подозрениях на этот счет, о которых им становится известно. Такое обязательство может дополнять требование направлять общее уведомление об инцидентах, связанных с нарушением безопасности, которое может быть предусмотрено законодательством в целях информирования всех заинтересованных сторон, включая субъектов данных, страховщиков и официальные органы, для предупреждения или минимизации последствий инцидентов, связанных с нарушением безопасности.
Законодательство может содержать конкретные требования в отношении уведомления об инциденте, связанном с нарушением безопасности, включая сроки направления уведомления, и определять лиц,
отвечающих за их соблюдение. С учетом таких императивных положений стороны могут указать в договоре сроки направления уведомления (например, через день после того, как сторона узнает об инциденте или угрозе), форму и содержание уведомления об инциденте, связанном с нарушением безопасности. Последнее обычно включает обстоятельства и причину инцидента, тип затронутых данных, шаги, которые необходимо предпринять для урегулирования инцидента, время, когда планируется урегулировать инцидент, и любой план действий в чрезвычайных обстоятельствах, который будет использоваться во время урегулирования инцидента. Может быть также включена информация о предотвращенных нарушениях, атаках на конкретные цели (в расчете на одного клиента-пользователя, конкретную прикладную программу, конкретную физическую машину), тенденциях и статистики. Любые требования в отношении уведомлений должны, как правило, учитывать недопустимость раскрытия любой чувствительной информации, которое может нанести ущерб системам, операциям или сети затронутой стороны.
Законодательство или договор могут обязывать поставщика, клиента или обе стороны, в том числе с привлечением третьей стороны, принимать после инцидента, связанного с нарушением безопасности, меры (так называемые «меры, принимаемые после инцидента»), включая изоляцию или карантин затронутых зон, проведение анализа коренных причин и подготовку отчета по результатам анализа инцидента. Такой отчет может быть подготовлен затронутой стороной или затронутой стороной совместно с другой стороной или независимой третьей стороной. Меры, принимаемые после инцидента, могут варьироваться в зависимости от категорий данных, хранящихся в облаке, и других факторов.
В случае серьезного инцидента, связанного с нарушением безопасности, повлекшего, например, утрату данных, действие договора может быть прекращено.
Требования в отношении локализации данных
Стандартные условия поставщика могут прямо предусматривать резервирование за поставщиком права хранить данные клиента в любой стране, в которой поставщик или его субподрядчики осуществляют свою деятельность. Такая практика скорее всего будет применяться даже в отсутствие прямо закрепленного в договоре права, поскольку предоставление услуг облачных вычислений подразумевает, что, как правило, они будут предоставляться более чем из одной точки (например, создание резервных копий данных и защита от вирусов могут осуществляться дистанционно, а поддержка может предоставляться по глобальной схеме «следуй за солнцем»). Такая практика может не отвечать требованиям в отношении локализации данных, применимым к одной или обеим сторонам. (Читать далее по этой теме).
В договор могут быть включены гарантии, обеспечивающие соблюдение требований в отношении локализации данных, например запрещение перемещать данные и другой контент за пределы определенного места или требование о получении предварительного согласия другой стороны на такое перемещение. Например, для обеспечения хранения данных клиента (включая любые копии, метаданные и их резервные копии) исключительно в центрах данных, которые физически находятся в пределах юрисдикционных систем, указанных в договоре, и принадлежат предприятиям, учрежденным в этих юрисдикционных системах, и управляются ими, в СУО можно включить специальный качественный параметр производительности. В качестве альтернативы в таком параметре можно, например, указать, что данные никогда не должны перемещаться за пределы конкретной страны или региона, но могут дублироваться в определенной третьей стране или где-либо еще, но никогда в какой-то конкретной стране.