قوانین و مقررات ناظر بر رایانش ابری

مقدمه

گسترش بسیار زیاد و روز افزون اطلاعاتی که نیاز به ذخیره شدن دارند و محدودیت فضاهایی که کاربر می تواند اطلاعات خود را در آن ذخیره نماید باعث احساس نیاز به ایجاد فضاهایی شده که به کاربر تصور داشتن فضای نامحدود را بدهد و ضمنا فضای زیادی را در سیستم او اشغال نکند. بنابراین با توجه به اهمیت فضای ذخیره اطلاعات و لزوم سرعت بخشی به روابط، سیستم های ابری برای رفع این نیازها و تسهیل امور به وجود آمده اند. در تعریفی کوتاه دیتاسنترهای سخت‌افزاری و نرم‌افزارهای تأمین‌کننده‌ی سرویس پردازشی[1] را «رایانش ابری» می‌نامند. رایانش ابری ارائه خدمات رایانشی (ذخیره سازی،ایجاد نرم افزار،استفاده از نرم افزارها) از طریق اینترنت یا ابر است که تاثیر شگرفی در توسعه زیرساخت های ارتباطی دارد. در سال‌های اخیر استقبال از این فناوری در بازار نرم‌افزارهای سازمانی افزایش یافته و عرضه‌کنندگان، علاوه بر روش‌های معمول، راهکارهای خود را بر بستر این فناوری نیز ارائه کرده‌اند. با رواج هر چه بیشتر این نوع رایانش نیاز به تنظیم مقررات به طور اختصاصی در این زمینه وجود دارد. بنابراین شناخت ویژگی‌های خاص این نوع پردازش و همچنین شناخت جوانب و چالش‌های آن به مقررات‌گذاری و تنظیم روابط کمک شایانی خواهد کرد. در این گزارش بعد از توضیح اختصاری در مورد رایانش ابری و چیستی آن، به بررسی قراردادهای سطح سرویس در رایانش ابری[2] خواهیم پرداخت سپس این موضوع را مورد توجه قرار خواهیم داد که در ایران در حوزه مقررات‌گذاری و تنظیم روابط رایانش ابری چه اقداماتی در حال انجام است یا در آینده انجام خواهد شد.

انواع رایانش ابری

انواع مختلف ابرهایی که رایانش در آن صورت می گیرد عبارتند از:

• ابرهای عمومی: مدلی است که در آن یک ارائه دهنده مستقل خدمات ابری، زیرساخت‌های پردازشی خود را در اختیار متقاضیان مختلفی می‌گذارد. در این مدل در آن واحد اشخاص متعددی از خدمات ابری ارائه شده بهره می‌برند. به این ویژگی استفاده‌کنندگان متعدد چند مستأجری نیز گفته می‌شود.
• ابر خصوصی: مدلی است که تمام سخت‌افزار و زیرساخت‌های مورد نیاز پردازش مجزا و به طور خصوصی در اختیار شرکت ارائه‌دهنده خدمات و برای استفاده داخلی است. این سخت‌افزارها از طریق شبکه به هم متصل‌اند ولی دسترسی از خارج، توسط دیواره‌های امنیتی[3] محدود می‌شود.
• ابر ترکیبی: مدلی ترکیبی است که حاصل ارتباط دادن زیرساخت های ابر عمومی و خصوصی می‌باشد. بخشی از سرویس های ارائه شده توسط ابر عمومی و بخشی دیگر توسط سرویس خصوصی است.

مدل های ارائه خدمات در رایانش‌ ابری نیز به شرح زیر می باشند :

• زیر ساخت به عنوان خدمت[4]

پایه‌ای‌ترین خدمات زیرساخت مانند تهیه‌ی سرور، پردازنده، فضای ذخیره‌سازی و دیگر منابع بر حسب نیاز در این مدل ارائه می‌شود. در حال حاضر غالب خدماتی که تحت فناوری رایانش ابری در داخل کشور ارائه می‌شود از این نوع است.از مثال‌های تجاری می‌توان Joynet را نام برد که محصول اصلی آن سرویس‌دهنده‌های مجازی‌ است و یک زیرساخت با دسترس‌پذیری بالا بر حسب تقاضا فراهم می‌کند.

• بستر به عنوان خدمت[5]

این خدمات شامل نرم‌افزار و سرویس‌هایی است که به کاربران اجازه می‌دهد با استفاده از ابزارهای عرضه شده توسط ارائه‌دهنده، برنامه‌های کاربردی و نرم‌افزار ایجاد کنند. این خدمات می‌تواند شامل ویژگی‌های از پیش طراحی شده‌ای باشد که مشترکین به عضویت آن در بیایند و از آن‌ها استفاده کنند.Google App Engine مثال خوبی در این زمینه است که می‌تواند بنای قدرتمندی برای استقرار برنامه‌های کاربردی فراهم کنند.

• نرم‌افزار به عنوان خدمت[6]

خدمات این گروه تنوع زیادی دارند؛ چرا که بیشتر خدمات ارائه شده از یک برنامه کاربردی می‌تواند تحت عنوان خدمات نرم‌افزاری در اختیار کاربر قرار گیرد. در این روش کاربر با یک حساب کاربری و به صورت برخط می‌تواند از نرم‌افزار استفاده کند. همچنین به‌روزرسانی و نگهداری این نرم‌افزارها به عهده ارائه دهنده خدمت است. بهترین مثال‌های شناخته‌شده برای محصولات ارائه نرم‌افزار به صورت خدمت، Salesforce.com و برنامه‌های کاربردی شناخته شده گوگل نظیر Gmail، Google Docs است.

محوریت این مدل رایانش ابری به طور کلی، سرویس‌دهی به کاربر بر اساس تقاضا است؛ بدون آن که کاربر نیازی به تجهیزات خاصی برای پردازش داشته یا حتی از محل انجام این پردازش آگاه باشد. یکی از مهم ترین و چالشی ترین ویژگی های پردازش داده ها در فضای ابری، امکان وقوع پردازش خارج از مرزهای جغرافیایی است. به طور مثال ممکن است فردی در کشور هند از سیستم ابری آمازون استفاده کند و اطلاعات او در پایگاه داده ها (دیتاسنتر) آمازون واقع در ایالات متحده پردازش شود. بنابراین محل داده پردازی از لحاظ حقوقی اهمیت بسیار زیادی خواهد داشت چرا که سؤالات زیادی از جمله قانون حاکم بر پردازش داده ها یا تشخیص دادگاه صالح به رسیدگی در صورت وقوع اختلاف، متعاقب آن مطرح خواهد شد. بنابراین مسئله صلاحیت که تا حدی مسئله ای سیاسی و مربوط به خط مشی بین المللی دولت ها است؛ مورد توجه قرار خواهد گرفت.

موافقت‌نامه سطح خدمات در رایانش ابری

موافقت‌نامه سطح خدمات، یک قرارداد دو جانبه بین خدمت دهنده و خدمت گیرنده بر اساس توافق و به منظور تضمین شاخص‌های کیفیت خدمات توافق شده است. در این قرارداد باید کیفیت سطح خدمات، معیارهای تخطی از سطح خدمات و ضمانتهای اجرایی آن تعیین شود.[1]مطابق مصوبه شماره۹۰ کمیسیون تنظیم مقررات و ارتباطات در قراردادهای رایانش ابری به غیر از قرارداد معمول ارائه خدمت باید یک قرارداد سطح خدمات نیز تدوین گردد. تدوین و به‌کارگیری یک توافق‌نامه سطح خدمات، زمانی مؤثر و کارا خواهد بود که هم مبتنی بر اصول و قواعد فنی و عملیاتی بوده و هم از لحاظ حقوق قراردادی دقیق تنظیم شده باشد.

اولین بخش این ساختار قراردادی عبارت است از «ضوابط و شروط» یا «ضوابط ارائه خدمات» یا عباراتی مانند این. در این بخش شرایط خاتمه خدمت، حمایت قانونی از ارائه‌دهندگان ابری در برابر محتوایی که توسط کاربر یا خدمت‌گیرنده بارگذاری و تولید می‌شود و قواعد مربوط به کپی رایت می‌آید. به طور کلی، این بخش قراردادها، تعهدات کاربران ابری را شرح می‌دهد و جنبه حمایت از مصرف‌کننده آن بیشتر است.

بخش بعدی، مربوط می‌شود به ارائه خدمت خاص با سطح مشخص به ازای هر خدمت و در هر قرارداد به طور اختصاصی تعریف می‌شود. برای مثال، دوره‌های زمانی ارائه خدمت یا قطع احتمالی آن با معیار زمانی قابل اندازه‌گیری همچون دقیقه، ساعت، هفته تعیین می‌شود.در شرح قرارداد یا پیوست‌های مشخصاً مرتبط با سطح خدمات باید به مضامینی همچون شرح دقیق و فنی خدمت، زمان‌های مجاز بروز وقفه‌های از پیش تعریف‌شده، مهلت مجاز پاسخگویی و رسیدگی به هر دسته از رخدادها، زمان‌های بحرانی خدمات و سایر مؤلفه‌های تعیین‌کننده نیازمندی خدمات پرداخته شود؛ اما شاید سطح پایداری خدمات و درجه اطمینان به خدمت ارائه‌شده، از اهمیت بیشتری برخوردار باشند.

مقصود از سطح پایداری خدمات غالباً مفهومی است از جنس شاخص زمان؛ که با بیان میزان درصدی که سرویس از کل زمان تعهد شده پایدار و با دوام بوده، تعیین می‌شود. برای مثال زمانی که خدمتی شبانه‌روزی – یا ۷X24 – با SLA معادل ۹۹ درصد تعهد می‌شود، بدان معنا است که در طول یک ماه این سرویس تنها به میزان یک درصد از ۷۲۰ ساعت ماهانه – یا هفت ساعت و ۱۲ دقیقه – مجاز است که برقرار نباشد.

در تدوین اسناد توافق‌نامه سطح خدمات، به‌صورت توأمان به مفاهیم (دسترس‌پذیری)Availability و Reliability(پایداری) توجه معتنابهی مبذول می‌شود. بسیار بدیهی است میزان شدت و دشواری شرایط مندرج در SLA به‌ویژه درصد پایداری خدمات، ارتباط مستقیمی با قیمت خدمات دارد اما این رابطه از تابعی خطی تبعیت نمی‌کند. قیمت و پایداری تا حدی از هر خدمتی به‌صورت توأمان رشد می‌کنند اما از حدودی خاص به بالا، شاید به ازای درصدی ناچیز و اعشاری از رشد سطح خدمات، یک سرویس‌دهنده مجبور به تقبل هزینه‌ای چند برابری باشد؛ چراکه منابع و زیرساخت‌های فراهم‌آوری آن سطح عالی از خدمات و چالش مدیریت مخاطراتش برای ارائه‌دهنده خدمت، توأم با هزینه‌هایی گزاف، چندباره و عموماً تصاعدی خواهد بود. بعد از توافق بر حدود خاصی از سطح مقبولیت خدمت ، لازم است هم قیمت این سطح و هم ضمانت اجراهای ناشی از عدم تحقق آن تعیین شود. همواره باید در نظر داشت خدمت‌گیرنده با تعیین جریمه نمی‌خواهد برای خود در این دادوستد درآمدی کسب کند؛ بلکه با تعیین چنین اهرمی در قرارداد، این هدف را دنبال می‌کند که به‌گونه‌ای الزام‌آور، خدمت‌دهنده را به افزایش سطح خدمات و نهایتاً کیفیت سرویس رهنمون سازد؛ هدفی که بعضاً می‌تواند به ‌موازات، با تعیین مشوق‌هایی در زمان ایفای تعهد ورای سطح کیفیت موردتوافق نیز محقق شود.[2]

مواردی وجود دارد که حتما باید در قراردادهای سطح خدمات ابری ذکر شود. دسته اول تمام شروط قراردادی را در بر می‌گیرد که به حذف پیشینه‌ فعالیت کاربر در فضای ابری مربوط می‌شود. حذف و از بین بردن به عنوان بخشی از رویه‌ی نگهداری و جابه‌جایی تلقی شده و به کاربر اطمینان می‌دهد که پس از خاتمه قرارداد هیچ نسخه‌ای در اختیار ارائه‌دهنده خدمات باقی نخواهند ماند. همچنین باید امکان و طریق دسترسی کاربر به پیشینه فعالیتش در هر زمان که بخواهد مشخص شود. در این بند کلماتی باید استفاده شود كه به کاربر اطمینان بدهد، با خاتمه قرارداد پیشینه فعالیتهای او نیز از بین خواهد رفت و هیچ‌گونه نسخه‌ای از آن نزد خدمات دهنده ابری باقی نخواهد ماند. در صورت نیاز و درخواست کاربر باید شیوه از بین رفتن اطلاعات نیز برای او شرح داده شود.

از سویی دیگر در قرارداد سطح خدمات باید برای کاربر مشخص شود که پیشینه فعالیتش در صورت از بین رفتن چگونه قابل بازیابی است.

در قراردادهای سطح خدمات ابری باید از عباراتی استفاده شود که به کاربر اطمینان بدهد خدمت ابری بدون اخطار قبلی قطع نخواهد شد. در صورتی که ارائه خدمت توسط ارائه‌کننده ابری ممکن نباشد کاربر قبل از این‌که دسترسی‌اش متوقف شود باید زمان کافی داشته باشد که پیشینه فعالیت‌هایش را بازیابی یا ذخیره کند. همچنین درباره زمان قطع خدمات هم باید توضیح ارائه شود.

در هنگام وقوع موقعیت‌های فورس ماژور كه در اتصال سرورها به اینترنت اخلال وارد می‌شود، به کاربر باید اطمینان داده شود كه بازیابی سریع ممکن خواهد بود.گستره چگونگی بازیابی اطلاعات توسط ارائه‌دهنده خدمت بهتر است توضیح‌ داده شود.

در بندهای مربوط به امنیت کلی به زبان ساده سطح امنیت ارائه شده باید برای کاربران و پیشینه فعالیت‌ آن‌ها تعریف شود.

برای جمع‌بندی این بخش می‌توان گفت دقت و ذکر جزئیات در مورد بخش فنی و سطح ارائه خدمات امری ضروری است. همچنین باید توجه شود عبارات و کلمات استفاده شده نیز دقیقا اهداف و توانایی‌هایی ارائه‌دهنده و انتظارات و حقوق‌ کاربر را در برمی‌گیرد.

مقررات‌گذاری رایانش ابری در ایران

در ایران برای پاسخ به چالش های حقوقی رایانش ابری مقررات مختلفی قابل اعمال است، از جمله : قوانین انتشار و دسترسی آزاد به اطلاعات مصوب ۱۳۸۸ و تجارت الکترونیکی مصوب ۱۳۸۲ و همچنین برخی از مصوبات سازمان تنظیم مقررات و ارتباطات رادیویی.

در زمینه تنظیم مقررات در رایانش ابری و محدود نکردن آن به صرف مقررات حفاظت از حریم خصوصی نیز چه در ایران و چه در سطح آسیا و جهان گام هایی برداشته شده است. در سطح ایران تلاش هایی در حال اجراست.به طور مثال در مقدمه فراخوان جذب مشاور خارجی جهت تنظیم مقررات كلان داده‌ها و رايانش ابري که توسط سازمان فناوری اطلاعات منتشر شده چنین آمده است: «برای توسعه خدمات کلان داده‌ها و رایانش ابری در سطح ملی نیاز به تعیین و تعریف قانونی بازیگران اصلی و حدود و دامنه وظایف آن ها و نحوه نظارت بر فعالیت آن ها می باشد. لذا شناخت و تعیین ضوابط و مقررات لازم، در قالب لایحه های قانون گذاری، مصوبه های فنی و حقوقی از ضرورت های ملی می باشد.» در ادامه این سند که بیانگر دغدغه نهادهای مقررات گذار در ایران است به تبیین ضرورت یا عدم ضرورت وضع قوانین و مقررات جدید به تفکیک ابعاد حقوقی اصلی اشاره شده است. با این حال نفس انتشار این سند برای جذب مشاوران خارجی تا حدی بر این امر صحه می گذارد که نیاز به مقررات گذاری در این زمینه ها وجود دارد. در واقع این سؤال مطرح است كه روابط میان کاربر و ارائه‌کننده خدمات ابری با قرارداد قابل تنظیم است یا لازم است اصول و مقررات کلی نیز در این خصوص تصویب شود همچنین در این رابطه باید به سؤالاتی مانند حفظ حریم خصوصی و امنیت داده، حقوق مالکیت داده، مسئولیت مدنی و کیفری و حقوق رقابت و مصرف‌کننده در حوزه ارائه خدمات ابری پاسخ داده شود.

به نظر نمی‌رسد راه حل قراردادی بتواند خلأ وجود مقررات خاص در این زمینه را مرتفع نماید. حتی قوانین خاص مانند قانون انتشار و دسترسی و همچنین تجارت الکترونیکی نیز نمی تواند بسیاری از نیازهای حقوقی در حوزه کلان داده ها را رفع کند.

نتیجه‌گیری

تنظیم روابط حقوقی در حوزه رایانش ابری با قراردادهای معروف به موافقت‌نامه سطح خدمت، و قوانین مربوط به داده‌ها صورت می‌گیرد. این قراردادها از لحاظ فنی و حقوقی باید به طور کامل با دقت تنظیم و پرداخته شوند و دقت به هر دو جنبه آن لازم و اجباری است.

شاید برخی معتقد باشند که رایانش ابری به عنوان یکی از شاخه‌های کلان داده نیاز به مقررات‌گذاری ندارد و مقررات فعلی[1]برای حل چالش‌های حقوقی آن کافی است. گرچه رویکرد وزارت ارتباطات و فناوری اطلاعات طور دیگری بوده و اشتیاق خود را به مقررات گذاری در این زمینه نشان داده است.از آن‌جا كه یکی از ویژگی‌های ماهوی این فناوری امکان پردازش در خارج از مرزهاست بنابراین جنبه‌های حقوق عمومی نیز دارد. بنابراین رایانش ابری و به طور کلی کلان داده‌ها هم از لحاظ جهانی و هم از لحاظ داخلی نیازمند قانونگذاری هستند. این کار نقش نظارتی دولت‌ها و نقش بازیگران این عرصه و حقوق آن ها را مشخص می کند و قدرت پیشگیری و پیش بینی به دولت می دهد.چرا که انتقال و ذخیره اطلاعات روز به روز بیشتر از قبل به سمت ذخیره در فضاهای ابری پیش می رود و داشتن قانون مشخص و مدون با ضمانت اجراهای دقیق به تمامی ذی نفعان کمک می‌کند که سریعتر به اهداف خود برسند و موقعیت خود را تشخیص دهند. با این حال اصل آزادی قراردادی ایجاب می‌کند تا آن‌جا كه امکان دارد تنظیم روابط به قراردادهای خصوصی واگذار شود و دخالت مراجع دولتی و قانونگذاری فقط در مواردی كه ضرورت آن احساس می‌شود صورت بگیرد. البته لازم به ذکر است که این قانون‌گذاری نیازمند پشتوانه علمی و چارچوب‌های آن از قبل باید توسط سیاست‌گذاران مشخص شده باشد.

[1] application service provider (ASP)

[2] Service Level Agreement (SLA)

[3] Firewall

[4] Infrastructure as a service(IaaS)

[5] Platform as a service(PaaS)

[6] Software as a service(SaaS)

منابع و مآخذ

1. ico.org.uk

2. http://peivast.com/service-and-trace/%D8%B3%D8%B1%DA%AF%D8%B1%D8%AF%D8%A7%D9%86%DB%8C-%D9%85%DB%8C%D8%A7%D9%86-%D8%AD%D9%82-%D9%88-%D8%AA%DA%A9%D9%84%DB%8C%D9%81/

۳.آئین دادرسی کیفری مصوب ۱۳۹۲ با اصلاحات ۱۳۹۴

۴.قانون انتشار دسترسی آزاد به اطلاعات مصوب ۱۳۸۸

۵.قانون تجارت الکترونیکی مصوب ۱۳۸۲

۶. مصوبه شماره۹۰ کمیسیون تنظیم مقررات و ارتباطات