Текст книги "Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет"

В Рекомендации Совета министров CM/Rec(2010)13 используется понятие «профилирование», которое позволяет осуществлять адресную рекламу. Обработка запросов пользователей в Интернете позволяет осуществить классификацию пользователей в зависимости от их предпочтений для дальнейшего распространения рекламы. При этом такие запросы могут не содержать персональных данных, однако в совокупности позволяют идентифицировать лицо и его предпочтения для направления адресной рекламы.

В тех случаях, когда личные данные собираются в контексте профилирования, контролер должен представить субъектам данных следующую информацию:

1) что их данные будут использоваться в контексте профилирования;

2) о целях проведения профилирования;

3) о категориях персональных данных;

4) о контролере и при необходимости о ее/его представителе;

5) о наличии надлежащих гарантий.

Также контролер должен предоставить указанным лицам всю информацию, необходимую для гарантий добросовестности при проведении профилирования, такую как:

6) категории лиц или органов, которым могут быть переданы персональные данные, и в каких целях;

7) возможность, когда это целесообразно, для субъекта данных отказать в публикации или отозвать согласие на публикацию и о последствиях отзыва;

8) условия применения права доступа, возражения или поправок, а также о праве подать жалобу в компетентные органы;

9) лица или органы, от которых личные данные собираются или будут собираться;

10) обязательный или факультативный характер ответов на вопросы, которые будут использованы для сбора персональных данных, а также последствия для субъектов данных в случае отказа отвечать на такие вопросы;

11) длительность хранения;

12) предполагаемые последствия присвоения профиля субъекту данных.

Статья 12 Конвенции СЕ № 108 устанавливает следующие требования к трансграничной передаче персональных данных: сторона (страна, подписавшая Конвенцию СЕ № 108) не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой стороны, с единственной целью защиты частной жизни.

Тем не менее каждая сторона вправе отступать от вышеуказанного положения:

1) в той степени, в какой ее внутреннее законодательство включает специальные правила в отношении определенных категорий персональных данных или автоматизированных файлов персональных данных в силу характера этих данных или этих файлов, за исключением случаев, когда правила другой стороны предусматривают такую же защиту;

2) когда передача осуществляется с ее территории на территорию государства, не являющегося стороной настоящей Конвенции, через территорию другой стороны, в целях недопущения такой передачи, которая позволит обойти законодательство страны – участницы Конвенции.

1.3. Великобритания

Наднациональное регулирование Великобритании определяется членством данной страны в Совете Европы и в ЕС, в связи с чем нормы Конвенции СЕ № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» и Директивы ЕС 95/46/ЕС имплементированы в национальное законодательство данной страны.

Кроме того, Великобритания входит в Организацию по экономическому сотрудничеству и развитию и выполняет требования Директивы ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными[44]44
  Основные положения Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными. URL: http://www.uipdp.com/upload/legis-lation/international/directiveoesrl.pdf


[Закрыть].

Среди основных национальных нормативных актов, которые регламентируют вопросы защиты персональных данных в Великобритании, можно назвать следующие:

Акт о защите данных 1998 г. (Data Protection Act 1998)[45]45
  Data Protection Act 1998. URL: http://www.legislation.gov.uk/ukpga/1998/29/ contents


[Закрыть], принятый во исполнение Директивы ЕС 95/46/ЕС;

Акт о свободе информации (Freedom of Information Act 2000)[46]46
  Freedom of Information Act 2000. URL: http://www.legislation.gov.uk/ukpga/ 2000/36/contents


[Закрыть];

Акт о свободах 2012 (The Protection of Freedoms Act 2012, включающий положения об уничтожении, удалении и использовании биометрических данных, а также дополнения к данному акту, касающиеся передачи данных (Amendment) (No. 2) Order 2013)[47]47
  Protection of Freedoms Act 2012. URL: http://www.legislation.gov.uk/ukpga/ 2012/9/contents/enacted


[Закрыть];

Кодекс об уголовных преступлениях (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014)[48]48
  The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014. URL: http://www.legislation.gov.uk/ukdsi/2014/9780111122723/contents


[Закрыть];

Регламент о свободе информации и защите данных (необходимые ограничения и штрафы) (The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004[49]49
  The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004. URL: http://www.legislation.gov.uk/uksi/2004/3244/pdfs/ uksi_20043244_en.pdf


[Закрыть]).

В п. 1 ч. 1 «Акта о защите данных» представлены следующие определения, имеющие значение для настоящего исследования:

а) «данные» означают информацию, которая обрабатывается и записывается автоматически с помощью оборудования, является частью соответствующей системы или доступной записью, в том числе находится в распоряжении государственного органа;

б) «контролер данных», «субъект данных», «обработчик данных»;

в) «персональные данные»;

г) «переработка» (в отношении информации или данных) означает получение, запись или сохранение информации или данных, а также проведение какой-либо операции или набора операций с этими данными или информацией, в том числе при организации, адаптации или изменении информации или данных, в случае поиска, консультации или использования информации или данных, в случаях раскрытия информации или данных путем их передачи, распространения или иным образом, что делает эти данные или информацию доступными, а также комбинирование, блокирование, стирание или уничтожение информации или данных.

Примечательно, что указанный закон распространяется на информацию, которая:

а) должна быть обработана с помощью оборудования, работающего автоматически, либо

б) является частью соответствующей системы.

Независимо от того, предназначается информация для обработки или является частью системы, существует требование закона, по которому информация может быть передана за пределы Европейской экономической зоны только после ее обработки на территории Великобритании.

Персональные данные обрабатываются только в целях, определенных «Актом о защите данных». Закон определяет специальные цели и цели, определенные контролером данных. Так, в соответствии с и. 4 раздела 1 «Акта о защите данных» к специальным целям обработки данных относятся цели, преследуемые журналистами, художественные цели и литературные цели.

Остальные цели специально не регламентированы, однако они связаны с принципами обработки информации, которые должны быть заявлены контролером данных в каждом конкретном случае. Обработка данных возможна, если контролер данных (информации) принимает разумные меры для обеспечения соблюдения требований о безопасности и надежности систем, содержащихся в «Акте о защите данных». Обработка осуществляется на основании письменного договора.

«Акт о свободах» (Freedoms Act 2012) принят в связи с Законом 2008 г. (Great Repeal Bill), и к персональным данным имеет отношение только глава 1 данного «Акта». Глава регулирует вопросы уничтожения, сохранения и использования отпечатков пальцев, обуви и образцов ДНК, профили, принятые в ходе расследования уголовного дела. В соответствии с указанным законом отпечатки пальцев и ДНК-профили, полученные от арестованных лиц, подлежат уничтожению в случае оправдательного приговора.

Защита персональных данных в уголовном процессе осуществляется на основании Уголовного кодекса (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014). При этом Уголовный кодекс имеет территориальные ограничения: глава 2 и правила 19 и 20 распространяются только на Англию и Уэльс; глава 3, Приложение 1 и правила 21 и 22 – только на Шотландию; глава 4, Приложение 2 и правила 23 и 24 – только на Северную Ирландию.

«Акт о защите данных» 1998 г. оперирует следующими терминами:

1) «персональные данные» – это любые данные, относимые к живому человеку, на основании которых он может быть идентифицирован, или иная информация, которая находится в распоряжении контролера данных или может ему поступить для обработки, а также любое выражение мнения об индивидуальных особенностях лица или его личности;

2) «чувствительные данные»[50]50
  В законе используется термин «sensitive personal data», который переводится на русский язык как «чувствительные данные». В части 1 данного закона к sensitive personal data отнесены перечисленные в абзаце категории информации. Дословно в «Акте о защите данных» указано: «In this Act “sensitive personal data” means personal data consisting of information as to…» В целях разграничения «чувствительных данных» и конфиденциальной информации в разделе по Великобритании используется термин «чувствительные данные».


[Закрыть], которые являются разновидностью персональных данных и к которым относится информация:

а) о расовом или этническом происхождении субъекта данных;

б) о политических взглядах;

в) о религиозных убеждениях или иных убеждениях аналогичного характера;

г) о том, является ли человек членом профсоюза;

д) о физическом или психическом здоровье человека или о его состоянии;

е) о его сексуальной жизни;

ж) о совершенном или предполагаемом совершении человеком какого-либо преступления;

з) о любых процедурах, связанных с преступлениями, совершенными или совершаемыми, в том числе о решениях по таким разбирательствам или о приговорах любого суда по такому делу.

Очевидно, что вышеуказанные термины схожи с российскими терминами «персональные данные» и «специальные категории персональных данных».

В настоящий момент в Великобритании рассматриваются поправки к дефиниции «персональные данные»: предлагается расширить определение персональных данных – так, чтобы в него попали IP-адреса и cookie. Предлагается следующее определение: «персональные данные – это данные, с помощью которых физическое лицо может быть идентифицировано прямо или косвенно на основании средств, которые могут быть использованы контролером данных… в том числе применительно к идентификационным номерам, данным о местоположении, онлайн-идентификаторам»[51]51
  Сайт законодательства UK. URL: http://www.legislation.gov.uk/all?title= The%20Data%20Protection%20Act


[Закрыть].

Понятие «персональные данные» в Великобритании имеет абстрактный характер, будучи конкретизированным только в части чувствительных (sensitive) данных.

Основным субъектом обеспечения конфиденциальности персональных данных в Великобритании является контролер данных – лицо, которое (самостоятельно или совместно с другими лицами) определяет цели и средства обработки персональных данных. Вместе с тем если контролер данных привлекает для обработки третье лицо – обработчика данных (любое лицо, не являющееся субъектом персональных данных, которое обрабатывает персональные данные от имени контролера данных), то обработчик данных несет такую же ответственность за обеспечение конфиденциальности персональных данных, как и контролер.

Субъект данных имеет право самостоятельно определять, как, кому и на каких условиях предоставлять данные. Соответственно, нормативно установленных обязанностей по обеспечению конфиденциальности персональных данных у субъекта данных нет.

Департамент правительства Великобритании по делам культуры, СМИ и спорта (DCMS) взял на себя ответственность за формирование политики защиты данных Великобритании[52]52
  DCMS takes on responsibility for UK data protection policy and sponsorship of the ICO. От 18 сентября 2015 г. URL: http://www.out-law.com/en/articles/2015/sep-tember/dcms-takes-on-responsibility-for-uk-data-protection-policy-and-sponsorship-of-the-ico/


[Закрыть].

В Великобритании установлена серьезная административная и уголовная ответственность за указанные нарушения.

Совершение данных нарушений наказывается в Великобритании штрафом до 500 тысяч фунтов. Также предусматриваются административные санкции за несвоевременное устранение нарушений и повторное нарушение, а при преднамеренном характере нарушений, которые привели к серьезным последствиям, установлена уголовная ответственность в виде лишения свободы. Аналогичный подход применяется и в России[53]53
  Елин B.M., Жарова A.K. О выделении информационных объектов в самостоятельную категорию объекта преступления // Труды Института государства и права Российской академии наук. 2009. № 5. С. 205–229; Елин В.М. Мошенничество в сфере компьютерной информации как новый состав преступления // Бизнес-информатика. 2013. № 2 (24). С. 70–76.


[Закрыть].

Кроме того, существует требование к интернет-провайдерам об уведомлении комиссара по персональным данным без неоправданной задержки, а в некоторых случаях и абонентов о случаях любых инцидентов с их персональными данными. Неуведомление может привести к штрафу в размере 1000 фунтов стерлингов.

В соответствии с законодательством Великобритании данные могут быть обработаны с помощью третьей стороны, если третья сторона предоставит достаточные гарантии относительно технической и организационной безопасности.

Передача данных возможна, если контролер данных принимает разумные меры для обеспечения соблюдения «Акта о защите данных».

Обработка осуществляется на основании письменного договора только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с «Актом о защите данных».

Законом определены следующие требования об условиях собирания и обработки данных контролером[54]54
  Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/


[Закрыть]:

а) контролер информации может обрабатывать данные только в рамках заранее полученного согласия субъекта данных или в процессе выполнения договорных обязательств;

б) обработка данных соответствует обязательствам контролера обработки данных;

в) обработка направлена на защиту жизненно важных интересов субъекта данных;

г) обработка требуется в связи с целями «Акта о защите данных».

Данные могут быть собраны и обработаны правительством Великобритании при выполнении следующих условий:

а) обработка требуется для обеспечения безопасности общества, осуществления правосудия; или

б) имеются законные основания для обработки данных;

в) обработка не нарушает права и свободы субъекта данных или другого законного представителя.

Чувствительные персональные данные могут быть собраны и обработаны в случае выполнения следующих условий:

а) получение явного согласия субъекта данных;

б) обработка необходима для целей осуществления или выполнения каких-либо прав или обязательств, предусмотренных или налагаемых законом на контролера данных;

в) обработка необходима для того, чтобы защитить жизненно важные интересы субъекта персональных данных или другого человека;

г) обработка осуществляется любым судебным органом в его законной деятельности;

д) информация была обнародована самим субъектом персональных данных в результате его деятельности;

е) обработка необходима для целей или в связи с осуществлением судопроизводства, с получением юридической консультации либо защитой законных прав субъекта;

ж) обработка необходима для отправления правосудия или для осуществления функций определенных государственных органов, за некоторыми исключениями;

з) обработка необходима для целей предотвращения мошенничества;

и) обработка необходима для медицинских целей и связана с конкретными лицами.

Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive[55]55
  URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ: L:2006:105:0 054:0063:EN: PDF


[Закрыть]), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.

Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.

Сохраненные данные являются ценной информацией и доказательствами, на основании которых вынесены обвинительные приговоры за уголовные преступления, а также оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные.

Несмотря на это, в настоящее время в Великобритании обсуждается вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию, полученную в результате обработки данных пользователей в соответствии с Директивой по хранению данных. В частности, «Акт о защите данных» позволяет ограниченное хранение и обработку персональных данных. Если следовать «Акту о защите данных», то интернет-провайдеры могут хранить персональные данные только в случаях, определенных данным законом или соглашением с пользователем.

В России требование о сохранении персональных данных, кроме Федерального закона «О персональных данных», регулируется следующими нормативными правовыми актами: Федеральным законом «Об информации, информационных технологиях и о защите информации» (ст. 10.1 «Обязанности организатора распространения информации в сети Интернет»); постановлением Правительства РФ от 31 июля 2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»[56]56
  Официальный интернет-портал правовой информации. URL: www.pravo. gov.ru от 5 августа 2014 г.


[Закрыть], в том числе законодательством о проведении оперативно-розыскных мероприятий.

8 апреля 2014 г. Суд Европейского союза признал Директиву по хранению данных недействительной.

Суд посчитал, что Директива по хранению данных не удовлетворяет принципу соразмерности и должна определять большие гарантии для защиты фундаментальных прав на уважение частной жизни и защиты персональных данных.

В связи с указанными причинами в Великобритании высказывается мнение о том, что провайдеры обязаны прекратить сохранять данные и должны уничтожать все данные, сохраненные в силу ныне недействительных нормативных актов. Если компании будут продолжать сохранять данные, то существует риск, что их собственные клиенты могут подать претензии за нарушение «Акта о защите данных»[57]57
  Directive 2006/24/ЕС of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC. URL: http://www.out-law.com/en/ articles/2012/may/survey-reveals-nearly-half-of-web-users-happy-with-behavioural-advertising-/


[Закрыть].

«Акт о защите данных» 1998 г. предусматривает создание правового института комиссаров персональных данных.

Функции комиссара можно кратко представить следующим образом. Если у комиссара есть основания предполагать, что действия контролера данных противоречат или нарушают какие-либо принципы защиты данных, то комиссар может обратиться с уведомлением к контролеру (это называют принудительным уведомлением) с требованием о соблюдении принципа или принципов защиты данных и сделать одно или оба предписания, в которых:

а) определить временной период, в который должны быть устранены нарушения;

б) указать на необходимость прекращения обработки персональных данных или каких-либо иных данных, указанных в уведомлении.

При принятии решения о направлении уведомления комиссар исследует, причинило ли нарушение ущерб или страдания человеку.

В случае нарушения принципа защиты данных, требующего от контролера данных исправления, блокирования, удаления или уничтожения любых неточных данных, комиссар может потребовать от контролера данных исправить, блокировать, удалить или уничтожить такую информацию о субъекте персональных данных или о третьей стороне.

В случае если данные точно записаны и переданы контролером данных от субъекта данных или от третьей стороны, комиссар может потребовать от контролера данных:

а) исправить, блокировать, удалить или уничтожить все неточные данные и любые другие данные, хранящиеся у контролера, или

б) принять меры, которые указаны в уведомлении для обеспечения соблюдения требований «Акта о защите данных», и, если комиссар посчитает необходимым, он может потребовать также совершения дополнительных действий.

Если предписание требует от контролера данных исправления, блокирования, удаления или уничтожения данных или комиссар убежден, что персональные данные, которые были устранены, заблокированы, стерты или уничтожены, были обработаны в нарушение любого из принципов защиты данных, то комиссар может потребовать от контролера данных определить перечень лиц, которые должны быть уведомлены о совершении соответствующих действий, и указать контролеру на необходимость их уведомления о соответствующих инцидентах.

Предписание должно содержать:

а) заявление о принципе (принципах) защиты данных, который (которые) комиссар считает нарушенным (нарушенными);

б) сведения о правах, подлежащих восстановлению.

Таким образом, в Великобритании принимаются все меры для превентивной защиты персональных данных (путем установления обязанностей контролера данных по обеспечению их защиты), однако в случае нарушений установлены серьезные штрафы, о чем было сказано в и. 1.3.5.

Использование облачных вычислений в Великобритании не регулируется каким-либо специальным нормативно-правовым актом. Между тем данному вопросу уделяется значительное внимание регулирующих органов и организаций: нормы закона толкуются применительно к облачным сервисам, даются рекомендации, описывается специфика. Так, Уполномоченным органом по защите персональных данных (The Information Commissioner’s Office (ICO)) было принято руководство (Guidance on the use of cloud computing) по использованию облачных технологий[58]58
  Guidance on the use of cloud computing. URL: https://ico.org.uk/media/1540/ cloud_computing_guidance_for_organisations.pdf


[Закрыть]. Данное руководство призвано пояснить порядок применения «Акта о защите данных» 1998 г. и направлено на помощь вовлеченным субъектам в полной мере осознать свои права, обязанности и ответственность. Данным Руководством формируется так называемая лучшая практика.

В Руководстве определены следующие понятия.

Облачный поставщик — организация, которая владеет и управляет облачным сервисом.

Облачный клиент {заказчик) – организация, обеспечивающая выполнение цели, для которой облачный сервис создан.

Облачный пользователь — конечный пользователь облачного сервиса.

Модели развертывания — ряд различных моделей, с помощью которых могут быть развернуты облачные вычисления.

Частное облако — инфраструктура, которая предназначена для применения в рамках деятельности определенного юридического лица или индивидуального предпринимателя. Лежащие в основе облака аппаратные средства могут управляться и поддерживаться поставщиком облачных услуг посредством договора аутсорсинга. Доступ к облачному сервису может быть ограничен через локальную или глобальную сеть.

Облачное сообщество — группа облачных клиентов, имеющая доступ к ресурсам из того же облачного сервиса. Обычно облачные клиенты подчиняются конкретным требованиям, таким как необходимость соблюдения правовых норм и обеспечение высокого уровня безопасности, который обеспечивает облачный сервис. Доступ к облачному сервису может быть ограничен в глобальной сети.

Публичное облако — инфраструктура, платформа или программное обеспечение, управляемые поставщиком облачных услуг, которые он делает доступными для широкой публики (облачные клиенты или облачные конечные пользователи). Доступ к облачному сервису осуществляется через Интернет.

Клиент облачных сервисов определяет цели и способ обработки данных облачным провайдером, соответственно, по «Акту о защите данных», именно он является обработчиком данных и несет за свои действия ответственность (по мнению авторов данной книги, функциональные специфики оператора персональных данных (в соответствии с российской терминологией) и контролера данных (в соответствии с терминологией Великобритании) совпадают).

Одним из центральных положений является предоставление обработчику данных возможности в полной мере оценить риски, связанные с обработкой данных в облачной системе, и принять самостоятельное ответственное решение о возможности передачи данных в облачный сервис. При этом те организации, которые согласно «Акту о защите данных» являлись обработчиками данных, остаются таковыми при использовании облачных сервисов.

В «Акте о защите данных» указывается, что данные могут быть собраны и обработаны контролером данных, в случае если соблюдаются следующие условия[59]59
  Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/


[Закрыть]: получено согласие субъекта данных на обработку; контролер информации может обрабатывать данные только в рамках заранее полученного соглашения или в процессе выполнения договорных обязательств; обработка данных соответствует обязательствам контролера данных; обработка направлена на защиту жизненно важных интересов субъекта данных; обработка требуется в связи с целями закона 1998 г.

В облачных вычислениях контролером данных будет являться облачный клиент, который определяет цели и порядок обработки любых личных данных. Как указано в Руководстве, «облачный клиент, скорее всего, будет являться контролером данных и, следовательно, будет нести общую ответственность за соблюдение “Акта о защите данных”».

Точная роль облачного поставщика должна быть рассмотрена в каждом конкретном случае, чтобы оценить, является ли он одновременно и обработчиком личных данных. В Руководстве предлагается определить ответственность лица через те функции, которые он выполняет, на основании следующих критериев: 1) является ли поставщик услуг контролером данных или 2) действует от имени контролера данных.

Дополнительно к ответственности обработчика данных, касающейся сбора, хранения, передачи данных, Кодексом наилучшей практики по обработке персональных данных онлайн[60]60
  Personal information online code of practice on 26 May. URL: 2011 https://ico.org. uk/media/for-organisations/documents/1591/personal_information_online_cop.pdf


[Закрыть] устанавливается, что в целях соблюдения положений закона о защите данных обработчик данных должен принимать в том числе не предусмотренные правовыми актами меры, которые выбираются им самостоятельно в зависимости от ситуации и типа онлайн-сервиса, в том числе облачной системы. Такие обязательства могут включаться в договор.

Руководство также содержит лист проверки, который поможет пользователям облачных сервисов проверить безопасность системы (данный лист создан на основе мнения, опубликованного Рабочей группой по защите данных ЕС).

Еще в ноябре 2010 г. Британский институт стандартов (BSI) опубликовал руководство BIP 0117 «Облачные вычисления. Практическое введение в правовые вопросы» («Cloud Computing. A Practical Introduction to the Legal Issues»)[61]61
  Cloud Computing. A Practical Introduction to the Legal Issues. URL: http:// www.bsigroup.com/en/sectorsandservices/Forms/BIP-0117-Sample-chapter-form/?id= 187489).


[Закрыть]. Документ знакомит (вкратце) с облачными вычислениями, при этом сравнивается развитие этой новой парадигмы вычислений с другими способами приобретения вычислительных ресурсов. В нем суммируются возникающие правовые проблемы, одни из которых характерны для облачных вычислений, а другие имеют более общий характер, но специфически проявляются в отношении «облаков».

В документе рассматриваются правовые вопросы, охватывающие такие области, как безопасность в «облаках», защита персональных данных, уровни обслуживания и контрактные вопросы. Руководство стало полезным ресурсом для тех, кто закупает или предоставляет облачные услуги, определяя практические шаги, направленные на решение правовых вопросов, как в контексте исполнения законодательно-нормативных требований, так и в контексте договорных отношений между клиентами и поставщиками. Рассматриваются также вопросы, возникающие при использовании облачных услуг организациями, работающими в жестко регулируемых отраслях, таких как сфера финансовых услуг.

О применении облачных технологий в госсекторе необходимо отметить следующее. В конце марта 2011 г. администрация Кабинета министров Великобритании (Cabinet Office) опубликовала национальную стратегию[62]62
  В настоящее время эта стратегия является недействующей.


[Закрыть] в области информационно-коммуникационных технологий[63]63
  Government ICT strategy. URL: http://www.cabinetoffice.gov.uk/sites/default/ files/resources/uk-government-government-ict-strategy_0.pdf


[Закрыть], согласно которой было запланировано сократить количество государственных центров обработки данных за счет их укрупнения, а также за счет перехода на облачные вычисления. При этом авторы стратегии надеются, что использование стандартизованной облачной платформы будет стимулировать разработку инновационных решений малыми и средними компаниями.

Также правительство Великобритании развивает программу G-Cloud (Government Cloud) – проект, направленный на внедрение облачного ПО в госсекторе. Программа G-Cloud была запущена в 2010 г., однако ее реализация была временно заморожена из-за финансового кризиса. Проект возобновил работу лишь в конце 2011 г.

Подобные программы с 2011 г. запущены и в Российской Федерации. Так, например, Распоряжением Правительства РФ от 20 июля 2011 г. № 1275-р одобрена «Концепция создания и развития государственной интегрированной информационной системы управления общественными финансами “Электронный бюджет”». Данная Концепция рекомендована органам исполнительной власти субъектов Российской Федерации и органам местного самоуправления при разработке систем управления государственными (муниципальными) финансами. Централизованные подсистемы системы «Электронный бюджет» будут предоставляться в качестве сервисных подсистем для использования субъектами Российской Федерации, муниципальными образованиями или организациями сектора государственного управления на безвозмездной основе, в том числе по модели «программное обеспечение как услуга» (SaaS). Хотя проблемы, возникающие в Великобритании и в России, во многом очень сходны[64]64
  Жарова A.K. Условия оказания услуги по предоставлению доступа к облачным вычислениям // Государство и право. 2012. № 12. С. 86–90.


[Закрыть]. До сегодняшнего дня все еще не выработана единая позиция на классификацию облачных услуг, возможных рисков и представления лучшей практики. Положительной динамикой можно назвать подготовку в 2014 г. Министерством связи законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в части использования облачных вычислений». Законопроект определяет понятие услуги облачных вычислений, специфику организации предоставления облачных услуг органам власти, включая квалификационные требования к поставщикам услуг облачных вычислений, требования к финансовой устойчивости соответствующих поставщиков, а также к защите информации, обрабатываемой такими поставщиками, и порядок тарифного регулирования цен на услуги облачных вычислений. Законопроектом предлагалось внести изменения в Федеральный закон «О персональных данных» в части обеспечения защиты персональных данных при осуществлении их трансграничной передачи.