Trudności z prawnym uporządkowaniem chmury

29 stycznia 2014

Maciej Gawroński

Z punktu widzenia prawa cloud computing nie jest na razie modelem biznesowym w pełni oswojonym. Istnieją wprawdzie regulacje, które się do niego stosują, jednak na ich tle rodzą się także nowe wyzwania prawne. Prawne uporządkowanie cloud computingu jest dodatkowo trudniejsze z tego względu, że zjawisko to nie jest prawnie jednorodne. Podlega ono różnym regulacjom w zależności od tego, czy kierowane jest do konsumenta, biznesu, czy do sektora publicznego, a także od tego, czy infrastruktura chmury jest krajowa, wspólnotowa czy globalna.

O cloud computingu od kilku lat mówi się i pisze sporo. Pojawia się także coraz więcej przypadków użycia cloud computingu na gruncie usług konsumenckich, w biznesie, czy też w sektorze publicznym. Próby prawnego oswojenia cloud computingu podejmowane są przez różne prywatne i publiczne podmioty. Rzecznicy ochrony danych osobowych (w tym nasz GIODO) publikują interpretacje i rekomendacje dotyczące cloud computingu. Także Komisja Europejska podjęła działania w tym kierunku – uczestniczę w jednym z czterech wątków, w których są one prowadzone. Szkoła Główna Handlowa w Warszawie prowadzi od roku akademickiego 2013/14 studia podyplomowe na kierunku „Zastosowanie technologii Cloud Computingu w strategiach biznesowych”, gdzie również próbuję przybliżyć słuchaczom zagadnienia prawne w ramach wykładu "Prawo chmury".

Celem niniejszego artykułu nie jest dokonywanie opisu aspektów biznesowych cloud computingu, dlatego nie sięgam do najszerzej przyjętej definicji cloud computingu zaproponowanej przez NIST[1] ani nie opisuję definicji IaaS, PaaS ani SaaS, zakładając że czytelnicy Computerworld wiedzę tę posiadają lub wygooglują. Szeroko pojęty cloud computing to po prostu świadczenie usług przetwarzania danych za pośrednictwem internetu – z tej perspektywy najbliżej mu do usług hostingu.

Cloud computing jako usługa świadczona drogą elektroniczną

Cloud computing jest z definicji usługą przetwarzania danych, które w tym celu zostały przez użytkownika przysłane przez internet. Z tego względu w każdym przypadku do takiej usługi świadczonej na terytorium Polski będzie stosować się niedługa ustawa o świadczeniu usług drogą elektroniczną[2] ("UŚUDE"), z wyjątkiem sytuacji, kiedy usługodawca będzie miał siedzibę w innym państwie EOG niż Polska. Ustawa ta jest polskim wdrożeniem unijnej tzw. e-Commerce Directive[3] i jako taka posiada zbliżone odpowiedniki we wszystkich państwach Unii Europejskiej.

Identyfikacja i regulamin

UŚUDE wymaga od dostawcy usługi dość szczegółowego przedstawiania się użytkownikom oraz posiadania regulaminu określającego co najmniej rodzaj świadczonych usług, warunki świadczenia tych usług, warunki zawierania i rozwiązywania umowy, tryb reklamacji.  

Wyłączenie odpowiedzialności oraz "zdjęcie" bezprawnych danych

UŚUDE określa też, pod jakimi warunkami dostawca usługi nie odpowiada za treść danych, które są przez niego przetwarzane na rzecz odbiorcy usługi. Warunkiem braku odpowiedzialności jest, aby dostawca usługi nie wiedział o bezprawności danych, a w razie powzięcia urzędowej lub "wiarygodnej" wiadomości niezwłocznie zablokował dostęp do takich danych. Zasady tej tzw. procedury "notice and takedown" rodzą znane praktyczne komplikacje, na które starano się znaleźć lekarstwo podczas prac w Ministerstwie Spraw Wewnętrznych i Administracji nad założeniami do zmian do UŚUDE jeszcze pod kierownictwem dra Wojciecha Wiewiórowskiego – obecnego Głównego Inspektora Ochrony Danych Osobowych.

Ochrona danych osobowych – podstawowe pole regulacji cloud computingu

Głównym polem prawnym, na którym toczą się dyskusje o dopuszczalności i wymaganiach względem cloud computingu, są unijne i polskie regulacje ochrony danych osobowych.

Lokalizacja danych czy lokalizacja centrów przetwarzania danych

W poprzednich latach niekiedy poddawano nawet w wątpliwość dopuszczalność wykorzystywania modelu cloud computing do przetwarzania danych osobowych, twierdząc, że powierzający dane powinien wiedzieć w każdej chwili, gdzie konkretnie się one znajdują. Tymczasem w klasycznej infrastrukturze chmurowej trudno określić położenie konkretnych bitów informacji w danym czasie, gdyż są one przerzucane i multiplikowane pomiędzy elementami infrastruktury chmurowej w sposób trudny do przewidzenia przez człowieka – wynikający z algorytmów efektywnościowych. Obecnie, gdy Komisja Europejska wyraziła swój chmurowy entuzjazm w dokumencie z 27 września 2012 Unleasing the Potential of Cloud Computing in Europe[4], oczekiwania co do identyfikacji położenia danych przerodziły się w oczekiwania co do wiedzy o położeniu infrastruktury chmurowej, a w szczególności co do wiedzy o krajach, w których położona jest ta infrastruktura (czytaj: porządkach prawnych oraz organach stosowania prawa i agendach rządowych w tych krajach).

Które prawo ochrony danych stosuje się do chmury?

Dostawca chmury przetwarza dane powierzone mu przez użytkownika. Często – szczególnie w relacjach B2B – dostawca chmury działa po prostu na zlecenie użytkownika. W takiej sytuacji, zgodnie z unijnymi i polskimi zasadami ochrony danych osobowych stosuje się prawo ochrony danych korzystającego z chmury a nie prawo dostawcy chmury, gdy obaj pochodzą z różnych państw. Dodatkowo jedynie dostawca chmury, oprócz obowiązku zastosowania wymagań co do ochrony danych wynikających z prawa swojego klienta, nie jest zwolniony z zastosowania wymagań bezpieczeństwa kraju swojego położenia.

W takiej relacji użytkownik ma prawo nadzorować (audytować) sposób przetwarzania danych przez dostawcę chmury. Takie podejście rodzi opór dostawców chmury i problemy z zastosowaniem w relacji "one to many", istniejącej w cloud computingu. Rozwiązania szuka się w upoważnieniu wspólnie uzgodnionych zewnętrznych audytorów do weryfikacji zgodności działania dostawcy chmury z celami użytkownika i umową z nim. Dzięki temu podejściu ilość procesów audytu i monitoringu mogłaby zostać zredukowana do rozsądnej liczby oraz wykonywane byłyby one przez wyspecjalizowane jednostki – zwykle o większych kompetencjach niż wewnętrzne zasoby klientów chmury. Nadto dostawca chmury nie powinien korzystać z powierzonych danych osobowych w celach własnych. Oznacza to, że chmura biznesowa adresowana do klientów z różnych państw UE powinna spełniać wymogi ochrony danych osobowych wszystkich tych państw. Jest to oczywiście spore wyzwanie formalne i organizacyjne.

Cloud dla konsumentów

Sytuacja komplikuje się, gdy oferta chmurowa (zwykle SaaS) kierowana jest do konsumentów. W takiej sytuacji prawo zwykle uznaje, że to dostawca chmury samodzielnie kontroluje dane powierzane mu przez osoby fizyczne, a zatem przetwarzanie tych danych w chmurze podlegać będzie prawu ochrony danych dostawcy chmury (w zakresie danych niezbędnych do realizacji umowy). Równocześnie jednak dostawca chmury powinien zapewnić konsumentom prawne warunki nie gorsze niż wynikające z ich domowego prawa, jeśli tylko "kieruje" swoją usługę do konsumentów z określonego państwa. Tu pojawia się naturalne pytanie, czy posiadając wersję angielską swojego serwisu chmurowego, kierujemy usługi do Wielkiej Brytanii, USA czy do całego świata. W "normalnych" e-usługach zwykle nie wystarczyłoby to do uznania, że adresujemy swoją usługę poza granice własnego kraju. Natura cloud computingu kusi jednak, by patrzeć na to inaczej…

Wielość regulacji konsumenckich

W samej Polsce jest sporo ustaw, które regulują prawo konsumenckie, a sam rejestr klauzul niedozwolonych ma obecnie już ponad 5200 pozycji. Stąd trudno jest zapewnić pełną zgodność, tym bardziej, że w praktyce chodzi tu jak zwykle o zgodność z poglądami sędziów, którzy dopiero sobie będą wyrabiać opinię w razie sporu. Praktyczne podejście do tego zagadnienia wymaga nieco finezji, nie jest przy tym możliwe spełnienie zwykłych oczekiwań managera, że prawo lub prawnik jednoznacznie mu powie, jak zrobić, żeby było dobrze.

Cloud jako outsourcing

Wiele sektorów posiada pewne regulacje dotyczące outsourcingu. W szczególności regulacje takie posiada sektor finansowy, zaczątki są w sektorze służby zdrowia, szczególne wymagania istnieją w sektorze publicznym. Oferując usługę cloud computingu do takiego sektora, należy znać jego regulacje i rozumieć płynące z nich uwarunkowania. Moje doświadczenie nauczyło mnie, że większość regulacji outsourcingowych koncentruje się na poufności (tajemnica zawodowa) i ciągłości działania w powiązaniu z pozostałymi cechami bezpieczeństwa informacji (dostępność, integralność, rozliczalność). W sektorze finansowym mogą dochodzić do tego restrykcje co do ograniczeń odpowiedzialności, zaś w sektorze publicznym pojawia się certyfikacja ludzi i sprzętu w związku z dostępem do informacji niejawnych.

Rewelacje Snowdena – szok i niedowierzanie?

Z perspektywy laika lub też kolegów z zachodniej Europy informacja o tym, że Stany Zjednoczone filtrują wszelkie dane przetwarzane przez gigantów pochodzących z USA, mogą być szokujące. Dla osób z bloku wschodniego nie powinno być to szokiem, gdyż przyzwyczajeni byliśmy do tego, że możemy być szpiegowani wszędzie – moja mama do dziś powtarza mi "To nie jest sprawa na telefon". W literaturze cloud computingu ryzyko czy zagadnienie potencjalnego dostępu służb czy organów wymiaru sprawiedliwości innych państw do informacji przetwarzanych w infrastrukturze na ich terenie czy przez dostawców chmury pod ich kontrolą jest od lat zdiagnozowane. Problem sprowadza się jak zwykle do zaufania i oceny ryzyka – czy i któremu krajowi ufamy, że nie będzie zainteresowany handlowym wykorzystaniem naszych informacji, do których może uzyskać dostęp, i do jakiego stopnia jesteśmy przekonani o wyjątkowości naszych informacji.

Wyzwania prawne dotyczące cloud computingu

W mojej ocenie (pomijając wspomnianego Snowdena) głównym wyzwaniem regulacji cloud computingu jest zmierzenie się z tym, że model cloud computingu daje szansę na uzyskanie dużej wartości za niską cenę. Jak w tej sytuacji pogodzić wysoką stawkę w razie utraty ciągłości działania przez dostawcę chmury lub, co najgorsze, w razie utraty danych z tym, że dostawca chmury ma w założeniu pobierać za swoje usług niskie wynagrodzenie? Czy w tej sytuacji można oczekiwać, że zrekompensuje nam pełnię ewentualnych strat? A co, jeśli na rynku jest jeden dostawca, z którego korzystają wszyscy konkurenci na danym rynku? Czy ewentualna nieograniczona odpowiedzialność nie będzie rodzić ryzyka systemowego? A co, jeśli rynek cloud computingu pójdzie w kierunku rynku telekomunikacyjnego, w ramach którego odpowiedzialność telekomów jest ograniczona, wybór klientów również ograniczony, a wszyscy konkurują obecnie nie jakością, ale ceną? W chłodnej ocenie dla cloud computingu nie ma alternatywy obecnie. Ci, którzy będą się ociągać za długo, zapłacą nadmiernymi kosztami własnej działalności. Pytanie, czy gdy już wszyscy przeniosą się do chmury, nie stanie się ona obciążeniem?

Prace Komisji Europejskiej nad umowami cloud computingowymi

W ramach wątku prac grupy ekspertów Komisji Europejskiej ds. umów cloud computingowych dyskutujemy rozwiązania dla różnych zidentyfikowanych możliwych naruszeń równowagi kontraktowej pomiędzy dostawcą chmury a użytkownikiem – konsumentem lub małym przedsiębiorca. Wyniki naszych prac planowane są na maj 2014. W składzie grupy ekspertów znaleźli się dr Paweł Litwiński, Aleksander Czarnowski z firmy Avet w imieniu EuroCloud Polska oraz ja. Wszyscy trzej jesteśmy aktywnymi uczestnikami dyskusji. Jest zbyt wcześnie, by przewidywać, jak owocne będą nasze prace, jednak zgodziliśmy się, że prawie wszyscy, którzy aktywnie uczestniczyli w pierwszym posiedzeniu zespołu ekspertów (w tym przedstawiciele Komisji) wykazywali się pragmatycznym podejściem i rozsądkiem.

[1] www.csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

[2] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną Dz.U.2002.144.1204 z późn. zm.

[3] Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym)

[4] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:EN:PDF.

Artykuł ukazał się w piśmie "Computerworld" 27/2013