По сообщению новостного портала ZDNet.co.uk, комиссар по делам потребителей Меглена Кунева (Meglena Kuneva) и комиссар по вопросам информационного общества и СМИ Вивиан Рединг (Viviane Reding) предложили Еврокомиссии расширить сферу применения законов о защите прав потребителей. В частности, обязать поставщиков ПО нести ответственность за недостатки программного продукта и ущерб, нанесённый потребителю в результате его использования (сейчас такая обязанность есть только у производителей материальных товаров).

Предисловие

Прежде, чем перейти к сути вопроса, обратим внимание, в каком контексте были опубликованы высказывания комиссаров.

5 мая Европейская комиссия открыла сайт eYouGuide, онлайновое руководство по защите цифровых прав граждан Евросоюза. Именно в пресс-релизе, посвящённом этому событию, а также на самом сайте размещена информация, которую впоследствии процитировал автор новости на ZDNet.co.uk.

Одновременно Меглена Кунева и Вивиан Рединг опубликовали программу действий в области защиты «цифровых прав» пользователей «Digital Agenda for Consumer Rights Tomorrow», в которую вошли 8 пунктов:

1. борьба со спамом;
2. создание единого европейского лицензионного пространства (чтобы упростить покупку товаров через Интернет на территории Евросоюза);
3. информирование пользователей об их правах при скачивании аудио- и видеоматериалов, находящихся под защитой законодательства об авторских правах;
4. распространение принципов законодательства по защите прав потребителей на лицензионные договоры, в том числе на ПО;
5. обеспечение прозрачности политики в области обращения с личной информацией пользователей и защитой их права на неприкосновенность личной жизни на публичных сайтах;
6. доработка существующих законов в области доступности электронных услуг для инвалидов;
7. популяризация онлайновых платежей;
8. сотрудничество с компаниями и ассоциациями пользователей в области создания Европейской системы доверительных марок для сайтов розничной торговли (European system of trustmarks for retail websites).

Нетрудно догадаться, что наибольшее внимание представителей индустрии ИКТ привлёк именно 4-й пункт программы.

Точка зрения законодателей

Итак, изменения в законодательство Евросоюза, предложенные комиссарами, представляют собой лишь часть плана по устранению пробелов, выявленных в области защиты прав потребителей.

По мнению комиссаров, при покупке лицензионного ПО у потребителя должны быть те же основные права, что и при покупке материальных товаров, например, право на получение товара надлежащего качества.

Комиссар Меглена Кунева считает, что повышение ответственности поставщиков ИТ-услуг за качество их продукции расширит потребительский выбор и положительно скажется на поведении покупателей, которые будут чувствовать себя спокойнее и увереннее при выборе товаров, находясь под защитой единого законодательства.

Точка зрения поставщиков ПО

Несмотря на кардинально различающиеся подходы к ведению бизнеса, поставщики свободного и проприетарного ПО проявили завидное единодушие в критике одного из положений программы действий европейских комиссаров.

По словам директора по государственной политике Альянса производителей коммерческого программного обеспечения (Business Software Alliance, BSA), Франциско Мингоранце (Francisco Mingorance), цифровой контент — нематериальный товар, а значит, на него не должны распространяться те законы, которые регламентируют ответственность, к примеру, производителей бытовой техники. В отличие от производителя материального товара, автор цифрового контента не может достаточно точно прогнозировать возможные пути использования продукта и последствия этого использования.

По мнению директора Альянса, корректная или некорректная работа программного обеспечения зависит от множества факторов, на которые поставщик повлиять не может, например, от окружения, в котором запущено ПО, от своевременного обновления, от возможности вносить изменения в программный продукт, от того, заражён компьютер вирусами или нет, и так далее.

В случае принятия закона, срок гарантии на программные продукты будет продлён до двух лет в соответствии с действующей директивой ЕС по гарантийным обязательствам производителей материальных товаров (EU Sales and Guarantees Directive). По мнению директора Альянса, это приведёт не к расширению, а к ограничению потребительского выбора, потому что минимальный срок действия лицензионного соглашения будет тоже продлён до двух лет, настолько же поставщикам придётся продлевать срок действия услуги по поддержке ПО, а значит, и ограничивать выпуск новых продуктов. «Всё равно что сдавать дом в аренду на один летний месяц, чтобы потом съёмщик потребовал исключительное право на продление аренды ещё на 23 месяца», провёл аналогию Франциско Мингоранце.

Кроме того, представитель Альянса считает, что под действие законопроекта, предложенного еврокомиссарами, попадает всё программное обеспечение, включая бета-версии, проприетарное и свободное ПО, а инициатива в целом отрицательно скажется на совместимости программных решений разных поставщиков, потому что компании могут ограничить доступ сторонних разработчиков к исходным текстам, чтобы избежать ответственности за возможные неполадки.

Директор по развитию бизнеса компании Alfresco Мэтт Эсэй (Matt Asay) полагает, что неверен сам подход законодателей к вопросу ответственности поставщиков ИТ-услуг. В частности, Мэтт Эсэй обращает внимание на высказывание комиссара Меглены Куневой о том, что «Интернет предлагает потребителям широчайший выбор товаров, а наша задача укрепить их доверие к поставщикам». Но, по мнению директора компании Alfresco, если бы пользователи действительно не доверяли разработчикам, никто бы не пользовался бета-версиями таких популярных сервисов, как Gmail или Google News.

По утверждению Мэтта Эсэя, он не против самой идеи ответственности компаний, но ему ещё ни разу не попадались поставщики проприетарного или свободного ПО, которые бы не считали себя ответственными за качество своих продуктов, то есть гарантия качества существует не как юридическая норма, а как правило хорошего тона, разумная стратегия ведения бизнеса. Поэтому он считает действия еврокомиссаров в большей степени политической акцией, цель которой показать, что они не зря получают зарплату, а не реальной попыткой улучшить состояние рынка ПО.

С другой стороны, директор компании Alfresco приводит мнение американского криптографа, писателя и специалиста по компьютерной безопасности Брюса Шнайера (Bruce Schneier), который ещё в июле 2008 года достаточно ясно озвучил свою позицию относительно шансов привлечения к ответственности за качество кода продавцов и разработчиков свободного ПО. Суть его позиции сводится к тому, что юридическая ответственность возникает только там, где стороны заключают договор купли-продажи, то есть привлечь к ответственности можно только продавцов ПО с открытым кодом, а вот некоммерческим проектам по разработке свободного ПО волноваться не о чем.

Отсюда Мэтт Эсэй делает неожиданный вывод: законопроект Еврокомиссии не коснётся движения свободного ПО, и оно станет «тихой гаванью» для большого количества компаний, которые будут выпускать основную продукцию на условиях свободных лицензий, а взимать плату и нести ответственность только за проприетарные дополнительные модули. Правда, это может привести к меньшей защищённости поставщиков и дурно сказаться на идеологии движения свободного ПО, разбавленного участниками, использующими его как инструмент для уклонения от ответственности.

Однако следует отметить, что под действие законопроекта попадут лицензионные договоры, а не договоры купли-продажи, поэтому рассуждения директора компании Alfresco не совсем понятны: свободное ПО распространяется на условиях свободных лицензий, поэтому договорные отношения между разработчиком и пользователем всё же присутствуют — в рамках авторско-правового законодательства.

Специалист по компьютерной безопасности компании Voltage Security Лютер Мартин (Luther Martin) чётко сформулировал возможные негативные последствия европейской инициативы, с которыми в той или иной форме согласны многие противники законопроекта.

Он считает, что в соответствии с теоремой Коуза (концепция, согласно которой проблемы побочных эффектов могут быть решены путем негласных соглашений между заинтересованными сторонами) существующая практика распространения программного обеспечения с отказом от ответственности выгодна как покупателям, так и поставщикам, потому что у первых есть доступ к сравнительно дешёвому ПО, в стоимость которого не заложены возможные издержки на выплаты в связи с причинённым ущербом, а вторые могут свободнее вкладывать деньги в разработку новых программных продуктов.

С введением новых правил, по мнению Лютера Мартина, изменится только одно — цена ПО значительно вырастет за счёт тех самых возможных выплат, то есть оно станет менее доступным. Что касается повышения качества ПО, то специалист по компьютерной безопасности считает, что это не окажет на рынок существенного положительного влияния, потому что вся история развития программного обеспечения свидетельствует о согласии потребителей идти на риск, связанный с низкой ценой продукта.

Ещё в начале 80-х в США были разработаны критерии оценки защищённости компьютерных систем (Trusted Computer System Evaluation Criteria, TCSEC или Оранжевая книга). В Европе такие критерии (ITSEC) был опубликованы в 1991 году Европейской комиссией, в состав которой входили представители Франции, Германии, Нидерландов и Великобритании. Впоследствии эти критерии легли в основу современных Общие критерии оценки безопасности информационных технологий (Common Criteria).

На основании указанных критериев программному обеспечению присваивается определённый уровень безопасности, то есть на самом высоком уровне располагается самое безопасное и потому дорогое ПО. Так вот, опыт свидетельствует, что выбор в его пользу делают разве что государственные структуры, деятельность которых не связана с получением прибыли. А бизнес выбирал и выбирает менее надёжные, зато более дешёвые решения. Фактически предприниматели идут на осознанный риск, но такова специфика их деятельности.

Утверждения о том, что потребители выиграют от повышения ответственности поставщиков за качество ИТ услуг, по мнению Лютера Мартина, несостоятельны по двум причинам. Во-первых, программы не станут дешевле или качественнее, вместо этого на рынке останутся только надёжные и дорогие решения, которые существуют и сейчас, но это приведёт к сокращению потребительского выбора. И, во-вторых, потребители, физические и юридические лица, уже сделали свой выбор, они уже показали, что им нужно — компромисс между надёжностью и ценой, а не предельные значения.

Точка зрения сторонников ответственности поставщиков ПО за качество кода

Рассуждения Лютера Мартина очень похожи на высказывания другого специалиста по компьютерной безопасности — уже упомянутого здесь Брюса Шнайера. Но в отличие от сотрудника компании Voltage Security, он трактует причины и последствия существующей практики распространения программного обеспечения с отказом от ответственности (в широком смысле, а не только в отношении условий лицензии) совсем иначе.

Если комиссары Еврокомиссии ставят во главу угла защиту прав потребителей, то Брюс Шнайер рассматривает необходимость введения юридической ответственности поставщиков ПО за качество кода, прежде всего, с точки зрения решения проблемы компьютерной безопасности. По его мнению, это единственный способ исправления ситуации, связанной с повышением цены ошибок, допущенных на этапе разработки программ, по мере всё большего проникновения программного обеспечения во все сферы жизни общества. Безусловно, любые действия законодателей в этом направлении столкнутся с жёсткой критикой и даже противодействием со стороны представителей индустрии, однако растущие риски, связанные с использованием некачественного ПО, в конечном счёте, перевесят, и вопрос лишь в том, насколько быстро начнут действовать новые правила.

По мнению Брюса Шнайера, решение проблемы компьютерной безопасности и защиты от некачественного кода лежит не в области технологии, а в области экономики. Совершенствование антивирусного ПО и выпуск обновлений — только снижают риск заражения компьютера или возникновения системного сбоя, они борются со следствием, но не устраняют причину. Пока компании ищут компромисс между стоимостью разработки и безопасностью, пока им выгоднее продавать некачественное ПО, ситуация не изменится, и покупатели будут дальше платить за ошибки продавцов деньгами, временем и общим снижением производительности.

Брюс Шнайер предлагает трёхэтапную программу выхода из кризиса:

1. Введение юридической ответственности за качество кода. В результате у поставщиков появится серьёзная мотивация к пересмотру политики в области безопасности выпускаемого ПО.
2. Разрешение на «передачу ответственности». По мнению автора, это произойдёт само собой, потому что это сфера профессиональной деятельности страховых компаний, которые превращают переменные издержки в постоянные расходы. Когда новый рынок страховых услуг окрепнет, размеры взносов войдут в прямую зависимость от уровня безопасности ПО — чем выше этот уровень, тем ниже страховой взнос.
3. Создание механизмов снижения рисков. Сначала страховые компании введут стандарты оценки безопасности ПО уже на этапе его разработки, но составление страхового полиса для каждой конкретной компании процесс трудоёмкий, поэтому следующим шагом будет передача этой функции третьим фирмам (аутсорсинг), которые будут выполнять стандартные застрахованные процедуры обеспечения безопасности.

Конечно, поставщик не должен в одиночку нести ответственность за некачественное ПО, если перед попаданием к потребителю оно прошло через целую цепочку посредников, однако и расходы на возмещение ущерба не должны полностью ложиться на покупателя. Несмотря на очевидные сложности введения юридической ответственности за качество кода: отсутствие нормативной базы, судебных прецедентов и так далее — это необходимый шаг на пути к повышению безопасности программного обеспечения, считает Брюс Шнайер.

Другие попытки введения законодательной ответственности поставщиков

В 2006 году комитет по науке и технике при Палате лордов британского парламента приступил к рассмотрению проблемы Интернет безопасности. К обсуждению ряда вопросов, например сущности и масштаба угроз безопасности частных лиц, степени понимания проблемы обществом, возможных действий по повышению Интернет-безопасности и других, были приглашены представители индустрии ИКТ и эксперты в области информационных технологий.

В 2007 году комитет представил правительству свои рекомендации в виде доклада «Личная Интернет-безопасность» (Personal Internet Security, PDF), в котором предложил пять шагов по улучшению ситуации, среди которых было и совершенствование стандартов качества программного и аппаратного обеспечения путём введения юридической ответственности за ущерб, нанесённый из-за уязвимостей безопасности. Интересный факт: в докладе упоминается высказывание комиссара Вивиан Рединг, согласно которому Еврокомиссия будет следить за развитием событий в области Интернет безопасности, но даст представителям индустрии ИКТ несколько лет на попытки самостоятельного решения проблемы, если же по прошествии этого времени кардинальных изменений не произойдёт, законодатели будут вынуждены вмешаться в ситуацию (стр. 41 PDF). Судя по предложенному еврокомиссарами законопроекту, это время пришло.

Однако ответ (PDF) Британского правительства оказался более чем прохладным и обтекаемым. Большинство предложений были отвергнуты, лишь некоторые были приняты к рассмотрению. Тем не менее комитет не оставляет попыток обратить более пристальное внимание правительства на проблемы сетевой безопасности. В частности, комитет выпустил дополнение (PDF) к докладу, в котором вновь обратился к правительству. Кроме того, Палата лордов не оставляет попыток оспорить решение по докладу.

А совсем недавно в США состоялось заседание Американского института права (American Law Institute, ALI), на котором была принята новая версия рекомендаций по толкованию законов и нормативных актов, регулирующих взаимоотношения в сфере распространения и использования программного обеспечения. Рекомендации не имеют юридической силы, но обладают серьёзным влиянием на правовое сообщество: прокуроров, адвокатов и судей, которые часто руководствуются ими в своей практике.

Видимо, именно поэтому они вызвали небывалую реакцию со стороны индустрии ИКТ, два оппозиционных представителя которой, корпорация Microsoft и Linux Foundation, отправили совместное письмо (PDF) с критикой в адрес института. Обе организации оказались взволнованы трактовкой закона о программном обеспечении, в соответствии с которой покупателям предоставляется подразумеваемая гарантия (implied warranty). В этом случае производитель несёт ответственность за бракованный товар или за нанесённый потребителю ущерб в результате использования товара, даже если нет определенного документа, устанавливающего такую ответственность. Microsoft и Linux Foundation предложили Институту отложить голосование по рекомендациям, чтобы ещё раз обсудить положения, которые их не устроили, однако голосование всё же состоялось и теперь осталось только опубликовать документ. По словам одного из составителей рекомендаций, профессора Флоридского технологический института Сэма Кейнера (Cem Kaner), беспокойство организаций беспочвенно, так как, во-первых, новая трактовка не распространяется на ПО с открытым кодом, учитывая особенности модели его распространения, и, во-вторых, предложение о предоставлении потребителям информации об известных производителю на момент продажи дефектах товара обсуждается уже очень давно.

Напомним также, что в США решался вопрос о том, могут ли условия свободных лицензий — и лицензии Artistic License в частности — толковаться как условия авторского договора или же они должны восприниматься как обыкновенные договорные положения.

Заключение

Таким образом, доводы противников введения юридической ответственности за качество кода сводятся к следующим:

1. цифровой контент относится к категории нематериальных товаров, а потому на него не должны распространяться законы о правах потребителей материальных товаров;
2. автор цифрового контента не может с высокой точностью предсказать возможные пути использования произведения и последствия этого использования;
3. работа программного обеспечения зависит от множества факторов, на которые поставщик повлиять не может;
4. введение ответственности приведёт к торможению развития индустрии ИКТ, внедрения инноваций, понижению совместимости программных продуктов;
5. существующая практика распространения программного обеспечения с отказом от ответственности выгодна как покупателям, так и поставщикам;
6. с введением новых правил цена на ПО значительно вырастет, потребительский выбор сократится;
7. суды будут завалены делами об ущербе, причинённом в результате неполадок ПО, им будет очень сложно определить меру вины каждого из участников процесса.

Доводы сторонников:

1. при покупке лицензионного ПО у потребителя должны быть те же основные права, что и при покупке материальных товаров;
2. повышение ответственности поставщиков ИТ услуг за качество их продукции расширит потребительский выбор и положительно скажется на поведении покупателей;
3. необходимость введения юридической ответственности поставщиков ПО за качество кода обусловлена повышением цены ошибок, допущенных на этапе разработки программ, по мере всё большего проникновения программного обеспечения во все сферы жизни общества;
4. компании ищут компромисс между стоимостью разработки и безопасностью, им выгоднее продавать некачественное ПО, эту ситуацию нужно менять;
5. потребитель не должен в одиночку нести ответственность за ошибки, допущенные поставщиком;
6. переход к юридической ответственности за качество кода — естественный процесс развития рынка ИКТ;
7. компании не должны вводить потребителя в заблуждение, позиционируя свои программные продукты как безопасные;
8. в случае программного обеспечения с открытым кодом, когда в разработке и тестировании ПО принимают участие много лиц и практически невозможно определить конкретного ответчика, целесообразно ввести некое подобие «Закона доброго самаритянина» (The Good Samaritan Law, закон защищает от судебных преследований тех, кто безвозмездно и из лучших побуждений, оказывает первую помощь, но разрешает наказывать тех, кто по незнанию или из злого умысла, причинил пострадавшему вред).

Полемика вокруг введения юридической ответственности за качество кода продолжается много лет. Текущее положение вещей полностью устраивает поставщиков ПО, поэтому их нежелание что-либо менять понятно. Однако остаётся без ответа вопрос, стоит ли свобода компаний в области разработки всё новых и новых программных продуктов тех рисков, которые берут на себя пользователи, покупая и используя эти продукты. В любом случае, последние законодательные инициативы по обеим сторонам Атлантики никак не назовёшь универсальными решениями наболевшей проблемы.