Договоры о SaaS: облачные технологии и реальные риски

| статьи | печать

SaaS расшифровывается как Software as a Service, то есть программное обеспечение как услуга. Это модель распространения программного обеспечения (ПО), при которой оно находится на сервере разработчика или провайдера, а пользователь получает к нему удаленный доступ (например, с помощью интернета). Услуга заключается в том, что разработчик или провайдер предоставляет свой сервер, на котором работает программа, поддержку сервера и ПО. А пользователи экономят на инфраструктуре и снижают нагрузку на своих ИТ-специалистов. Однако названные договоры несут определенные риски для клиентов. Последние выступают в основном в роли читателей договора, не влияющих на его положения. Но способы снижения рисков все-таки есть.

С договорами о SaaS связано много смежных понятий: облачные технологии, облачная лицензия. Облачные технологии — это широкая концепция, предполагающая сетевой доступ к неким общим ресурсам (серверам, базам данных, программам и т.д.). С развитием облачных технологий связано появление:

  • облачных приложений, предназначенных для конечных пользователей и работающих в «облаке» (SaaS);
  • облачных платформ, ориентированных на разработчиков и дающих им уже готовые инструменты разработки (PaaS — Platform as a Service);
  • облачных инфраструктур, ориентированных на владельцев ИТ-систем и дающих фундамент (в виде серверного парка) для строительства платформ и приложений (IaaS — Infrastructure as a Service).

Единого и однозначного определения понятия облачной лицензии пока нет.

Чаще под ней понимают лицензию на ПО, которое устанавливается не на локальный компьютер, а на удаленный сервер (например, в частном «облаке» — инфраструктуре в рамках самой компании). В таком случае облачная лицензия не очень отличается от обычной.

Иногда пользователи, сбитые с толку маркетингом, облачной лицензией считают лицензию на ПО на фиксированный отрезок времени по модели подписки или оплаты только за использование (pay as you go). При этом само приложение устанавливается на локальный компьютер, просто оно работает при условии оплаты определенного периода (например, ежемесячная оплата).

Правовая специфика ­­SaaS

Модель SaaS включает получение ПО и некоторых услуг, связанных с поддержанием его работоспособности. В связи с этим специалисты обычно указывают на два возможных варианта квалификации отношений между провайдером и клиентом с точки зрения гражданского законодательства:

  • предоставление прав на объекты интеллектуальной собственности, что предполагает заключение лицензионного договора на предоставление права использования ПО;
  • услуга, ­заключающаяся в пре­доставлении доступа к оп­ределенному ПО с оказанием сопроводительных услуг в целях поддержания и реализации функционала данного ПО.

Большинство склоняется именно к первому варианту. В его пользу говорит еще и то, что доходы от лицензионного договора не облагаются НДС (подп. 26 п. 2 ст. 149 НК РФ), что интересно провайдеру, но не интересно корпоративному клиенту.

По нашему мнению, выбор между лицензией и договором услуг необязателен. Логичнее рассматривать договор о SaaS как смешанный (п. 3 ст. 421 ГК РФ), в основе которого — лицензионный договор с элементами договора возмездного оказания услуг.

На практике квалификация договора важна, чтобы понимать, какая часть доходов и как облагается налогами, какие обязательные гражданско-правовые нормы применяются к отношениям — у этих двух видов договоров разные условия изменения, прекращения и т.д.

Влиять на условия договора трудно, но можно

Договор о SaaS в абсолютном большинстве случаев является договором присоединения, что лишает пользователя возможности предлагать изменения в него. Возможно, провайдер будет готов на определенные исключения, но, скорее, только для крупных корпоративных клиентов, в которых он заинтересован.

У обычного пользователя немного вариантов действий:

  • не соглашаться с условиями и не заключать договор, а именно не пользоваться программой и услугами, не оплачивать услуги и т.д. — так как такие действия могут считаться заключением договора (п. 2 ст. 434 и п. 5 ст. 1286 ГК РФ);
  • внимательно прочитать до­говор и согласиться со всем;
  • заключить договор и попробовать оспорить его условия в суде (п. 2 ст. 428 ГК РФ). Требовать изменения договора можно, если он лишает сторону обычных прав по подобным договорам, исключает или ограничивает ответственность провайдера либо содержит другие явно обременительные условия. Возможность пойти в суд по этому поводу для корпоративных клиентов ограничена.

Кроме того, сами условия договора могут меняться в одностороннем порядке. Например, через корректировку до­кумен­тов провайдера, на которые ссылается договор (например, правила оказания услуг). Поэтому для контроля рисков нужно иметь четкое представление о механизме изменений. Для этого необходимо ознакомиться с той частью договора, в которой прописано, что именно провайдер может изменить по своей инициативе, в какие сроки вступают в силу изменения, как пользователь может узнать о них заранее.

Гарантии от провайдера

Пользователям нужно обратить особое внимание на то, какие гарантии провайдер дает по вопросам работоспособнос­ти ПО на его серверах и какие действия он предпринимает для этого. Например, периодическое резервное копирование, архивное хранение данных, возможность восстановления указанной информации в случае потери.

В интересах провайдера максимально ограничить свою ответственность и переложить все риски и последствия на клиента. Такая возможность предлагается ст. 400 и 1290 ГК РФ.

Например, могут быть исключены ответственность за соответствие ПО целям использования, ущерб в результате утери и/или разглашения данных, задержки, перебои и ошибки в работе ПО и т.п. Для этого, может использоваться пунк­т о том, что программы предоставляются на условии «как есть» (as is).

Но такое ограничение работает не всегда, например, если потребитель — обычный гражданин (см. п. 2 ст. 400 ГК РФ).

Ответственность за использование «пиратского» софта

За использование нелицензионного ПО пользователь несет ответственность от гражданской до уголовной. В рамках модели SaaS, по которой провайдер предоставляет доступ к своему софту, потребителю непросто нарушить правила пользования.

Более рискованна ситуация, когда провайдер дает онлайн-доступ не к своей программе, а к программе сторонних разработчиков. У ничего не подозревающего пользователя, заключившего договор с недоб­росовестным посредником, возникает риск нарушения авторских прав и возникновения соответствующей ответственности.

В этом случае избежать ответственности можно, только доказав отсутствие своей вины. Риск ответственности будет ниже, если лицензионный договор с пользователем будет содержать заверения (гарантии) провайдера о том, что софт предоставляется легально. Если потребитель не сможет продемонстрировать должную степень осмотрительности, ему придется возместить убытки правообладателю (информационное письмо Президиума ВАС РФ от 13.12.2007 № 122). Если же пользователь допустил нарушение при ведении предпринимательской деятельнос­ти, простого отсутствия вины не достаточно — нужен форс-мажор (п. 3 ст. 1250 ГК РФ).

И даже если пользователь освобождается от ответственности, он должен прекратить нарушение интеллектуальных прав — перестать пользоваться ПО (п. 5 ст. 1250 ГК РФ).

Чтобы снизить риски в отношении модели SaaS, использующей софт сторонних разработчиков, нужно проверить, имеются ли права на софт у провайдера и вправе ли он передавать его третьим лицам. Особенно это имеет значение, когда приобретается дорогое ПО или оно глубоко интегрируется в бизнес-процессы компании.

В случае когда корпоративный клиент делает крупный заказ и имеет возможность обсуждать лицензионные до­кумен­ты, он может обсуждать предоставление провайдером заверений (ст. 431.2 ГК РФ в новой редакции, вступающей в действие с 1 июня) о наличии у него необходимых прав на программы, а также возмещение потерь, возникших в случае неоговоренного прекращения у пользователя возможности использовать ПО (ст. 406.1 обновленного ГК РФ).

Конфиденциальность

Провайдер приложения зачас­тую получает доступ к важной информации (списки клиентов, банковская информация, секреты производства и т.п.). Многие данные — это коммерческая тайна. А для ее защиты нужно соблюсти требования Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (в частнос­ти, ст. 10).

С технической точки зрения не все эти требования провайдером полностью выполняются. Поэтому есть риск того, что могут возникнуть вопросы с охраноспособностью переданной тайны в рамках SaaS.

Для пользователя важно, чтобы в договоре было четко определено, что является конфиденциальной информацией, а что нет, какие меры по охране конфиденциальной информации примет провайдер и какова его ответственность за несоблюдение конфиденциальности. Желательно, чтобы в ПО была возможность указания в реквизитах передавае­мых данных того, что информация конфиденциальна (это требование технически отстающего от реальности п. 5 ст. 10 Федерального закона от 29.07.2004 № 98-ФЗ). Важно также определить судьбу данных после прекращения договора: лучше, чтобы они были удалены со всех серверов, и чтобы провайдер направил клиенту специальное сообщение об этом.

Работа SaaS должна также вписываться в рамки Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных». Провайдерам, преж­де чем использовать облачные сервисы для обработки персональных данных, необходимо получить соответствующее согласие от всех субъектов такой информации.

К сведению

В отношениях SaaS одна из сторон предоставляет свой сервер, его поддержку и ПО для пользователя в большинстве случаев через интернет. Такое лицо (выражаясь языком закона) оказывает услуги по предоставлению вычислительной мощнос­ти для обработки информации пользователя в информационной сис­теме, постоянно подключенной к интернету, предоставляет услуги по обслуживанию такой вычислительной техники, оказывает услуги по поддержке стабильности работы серверов и программного обеспечения, а также их модернизации. Таким образом, сторонами в договоре являются клиент и провайдер услуг.