Hur gränslöst är Molnet? En introduktion till cloud computing och internationell handel

Hur gränslöst är Molnet? En introduktion till cloud computing och internationell handel

Kommerskollegium är den myndighet i Sverige som ansvarar för frågor som rör utrikeshandel och handelspolitik. Vår främsta uppgift är att främja frihandel och klara spelregler för den internationella handeln. Vi arbetar också för en effektiv inre marknad och ett öppet, starkt multilateralt handelssystem med fortsatta handelspolitiska liberaliseringar. I vårt uppdrag strävar vi efter goda handelsmöjligheter på tre nivåer: på EU:s inre marknad, mellan EU och omvärlden samt globalt, framförallt inom ramen för världshandelsorganisationen WTO. Som expertmyndighet förser vi regeringen med besluts- och förhandlingsunderlag inom handelsområdet. Det handlar såväl om löpande underlag för aktuella handelsförhandlingar som långsiktiga strukturella analyser. Våra utredningar och rapporter syftar till att öka kunskapen om handelns betydelse för samhällsekonomin och för en global hållbar utveckling. Kommerskollegium har också verksamhet som riktar sig mot företag. Exempelvis finns på kollegiet SOLVIT-center som hjälper företag och privatpersoner som stöter på handelshinder på EU:s inre marknad. Kansliet för Sveriges råd för handelsprocedurer, SWEPRO, finns också under vårt paraply. I vår roll som handelsmyndighet ingår dessutom att ge stöd till utvecklingsländer genom handelsrelaterat utvecklingssamarbete. På kollegiet finns också kontaktpunkten Open Trade Gate Sweden som bistår exportörer från utvecklingsländerna i deras handel med Sverige och EU. www.kommers.se Kommerskollegium, Juni 2012 första tryckningen. ISBN: 978-91-86575-39-7

Innehållsförteckning 1. Vad är molntjänster och Molnet?... 3 2. Molnets egenskaper... 4 3. Användandet och utvecklingen av molntjänster... 5 4. Race to the clouds... 7 Molnsatsningar i EU... 8 och i andra länder... 8 Viktigt med stödjande regelverk... 9 5. Hinder för internationell handel med molntjänster... 10 Osäkerhet kring gällande rättssystem... 10 Säkerhet i Molnet... 10 Dataskydds- och sekretesslagstiftning... 11 Internetcensur... 12 Immaterialrättsliga frågor... 13 Traditionella handelshinder... 14 Avsaknad av harmoniserade standarder för molntjänster... 14 Andra områden som kan utgöra hinder för handel med molntjänster... 15 6. Vägen mot en global molnmarknad... 16 Harmonisering av riktlinjer och standarder för dataskydd och säkerhet... 16 Internationella regelverk som relaterar till handel och molntjänster... 17 Internationella standarder för Molnet... 19 Ytterligare exempel på åtgärder som kan underlätta för handel... 20 7. Avslutande diskussion... 21 Noter... 23 Referenser... 24 1

2 Under de senaste decennierna har den digitala utvecklingen revolutionerat sättet på vilket vi kommunicerar, handlar och gör affärer. I allt snabbare takt förflyttas data över internet och efterfrågan på information oavsett tid och plats ökar hela tiden i takt med att utbudet och teknologin flyttar fram gränserna för vad som är möjligt. Ett begrepp som under de senaste åren har dykt upp på alla IT-tidningars förstasidor är cloud computing. Begreppet saknar direkt motsvarighet på svenska, men kan översättas till molnbaserade datortjänster, molntjänster eller Molnet. I denna skrift ges en kort introduktion till handelsaspekter på Molnet. Några områden som kan utgöra potentiella hinder för den internationella handeln med molntjänster identifieras och diskuteras.

1. Vad är molntjänster och Molnet? Begreppet cloud computing eller Molnet används på lite olika sätt och det råder inte någon enhetlig syn på hur det bör definieras. Mycket generellt uttryckt kan Molnet sägas vara ett sätt att tillhandahålla ITfunktioner såsom informationslagring, processorkraft och dataprogram som tjänster över internet, genom användandet av externa (och ofta avlägsna) servrar. Detta innebär att i stället för att lagra information och program på en hem- eller företagsdator lagras de på externa servrar som nås via internet. På detta sätt kan användaren hålla nere kostnader för både hård- och mjukvara. Var själva informationen och programmen lagras är oftast okänt för användaren och lagringsplatsen behöver inte heller vara statisk. Det kan därför uppfattas som att informationen finns någonstans i molnet. Några av de vanligaste privata molntjänsterna är e-postprogram, som t ex hotmail och gmail där både information och funktioner kan lagras och nås oavsett var du befinner dig, givet att det finns internetuppkoppling. Andra privata molntjänster som har blivit allt vanligare är sociala nätverk (t ex Facebook, Twitter), mobilapplikationer, lagringsutrymme (t.ex. Dropbox), musik- och fotoprogram (Spotify, Flickr) på nätet m.m. Själva begreppet Molnet kommer från internets begynnelse då man ofta ritade nätverket som ett moln. Idag har begreppet Molnet utvecklats till att vara en bredare benämning på de servrar, applikationer, data och tjänster som finns runt om i hela världen och som användare får tillgång till via internet. Koncept som påminner om molntjänster har prövats tidigare men då under andra namn som grid computing, utility computing och Application Services Providers (ASP). Utvecklingen av molntjänster har drivits och möjliggjorts av flera tekniska framsteg, såsom höghastighetsbredband och program med öppna källkoder. Molnet är i sig inte någon ny teknik utan ett sätt att använda sig av en allt mer avancerad teknik. Även om det inte råder någon samsyn kring definitionen av datormolnet, så används ofta en definition som det amerikanska standardiseringsorganet NIST:s (National Institute of Standards and Technology) har tagit fram: Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction Denna definition har fått kritik för att vara både för teknisk och otillräcklig. Eftersom Molnet idag omfattar en mängd olika typer av tjänster som kan levereras på ett antal olika sätt blir konceptet allt mer skiktat och komplext. 3

2. Molnets egenskaper Molnet kan sägas vara skalbart, eller elastiskt, vilket innebär att det går att anpassa inköp av molnutrymme efter behov. Ofta beskrivs molntjänster som computing as a utility dvs. som datorkraft som en nyttighet, vilket kan jämföras med andra nyttigheter så som elektricitet eller vatten. På samma sätt som vi betalar för den elektricitet vi förbrukar går det att ha en betalningsmodell där vi endast betalar för det molnutrymme vi för tillfället behöver. Detta gör att lagringsresurser och datakapacitet kan användas mer effektivt. Vidare är molntjänster i allmänhet betydligt snabbare att implementera och billigare än andra traditionella applikationer och datamodeller. I synnerhet kan detta vara en stor fördel för mindre företag som inte har resurser för de fasta initiala kostnader det ofta innebär att köpa in mjukoch hårdvara, som exempelvis redovisningsprogram eller dator med stor lagringskapacitet. I NIST:s beskrivning av molntjänster delas begreppet även upp i tre olika kategorier, eller tjänstemodeller: Software as a service (Saas) tillhandahåller färdiga eller konfigurerbara applikationer och program som tjänster över internet (hotmail, g-mail, Facebook etc.). Denna typ av molntjänst är den absolut vanligaste och riktar sig ofta direkt till slutanvändaren. Platform as a service (Paas) ger kunderna tillgång till en utvecklingsmiljö eller plattform i Molnet där användaren installerar sina egna applikationer (google app engine, microsoft azure). Denna typ av tjänst riktar sig till program- och applikationsutvecklare. Infrastructure as a Service (Iaas) innebär ITinfrastrukturella tjänster i nätet som t.ex. lagring, nätverk och servrar där konsumenter kan sprida och köra mjukvaror som kan inkludera operativsystem och applikationer. Användare av denna tjänst är bland annat nätverksarkitekter som kan bygga både plattformar och applikationer på infrastrukturen. Förutom dessa tre kategorier har det dykt upp en rad andra möjliga typer av as-a-service (-aas)- kategorier. Vanligt förekommande aas-kategorier är bl.a.: Applications-as-a-Service, Backup-as-a- Service, Desktop-as-a-Service och Business-Processes-as-a-Service. Vidare delar NIST upp molntjänster i fyra olika typer av moln: privata, publika, hybrida och gemensamhetsmoln (community cloud). I ett privat moln levereras molntjänsten på en infrastruktur som endast tillhör en kund (organisation eller företag) och hanteras av kunden själv eller av leverantören. Infrastrukturen kan finnas antingen på en delad server (ofta där ett visst utrymme är dedikerat till den enskilda kunden) eller på en privat server. Att ett moln är publikt innebär att molntjänsten ägs och hanteras av en leverantör som säljer resurser till flera kunder på samma infrastruktur. Hybridmolnet är en blandning av publikt och privat. Den fjärde molntypen, gemensamhetsmoln, innebär att infrastrukturen tillhandahålls för en specifik konsumentgrupp från organisationer med gemensamma intressen och behov. 4

3. Användandet och utvecklingen av molntjänster Alla som har tillgång till internet kan använda molntjänster. Dessutom kan molntjänster användas för både kommersiella och icke-kommersiella syften. Det är kanske i första hand det privata användandet av Molnet som de flesta tänker på, dvs. det privata användande av e-postprogram, lagringsprogram, sociala nätverk etc. Men utvecklingen av molntjänster för företagsmarknaden ökar i allt snabbare takt, då företag söker sätt att minska sina kostnader. Bland annat blir det allt vanligare att företag för att dra ner på kostnader för IT och administration, väljer att flytta program och data till externa servrar som förvaltas av en tredje part. Detta kan röra sig om allt från office- och tidredovisningsprogram, reseräkningar, kundregister, etc. Det är inte heller ovanligt att företag väljer att lägga ut sin kundtjänst på sociala nätverkssidor. Ett ytterligare steg i denna utveckling, som i ännu större utsträckning påverkar företags affärssystem, är då företag väljer att lägger ut hela företagsprocesser i Molnet (Business-Processes-as-a-Service dvs. BPaaS). Eftersom detta i allmänhet innebär att det läggs ut mer företagskänslig och företagscentral information i Molnet är detta ett steg som många företag ännu inte är villiga att ta. Enligt uppskattningar av det globala IT-analysföretaget Gartner är det inom tillverkningsindustrin och den finansiella tjänstesektorn som molntjänster används i allra störst utsträckning, följt av kommunikations- och högteknologisektorn samt offentlig verksamhet (Rennee and Reisman, 2012). I stort sett all kommunikation och alla transaktioner som sker över internet skulle på något sätt kunna använda sig av Molnet. Exempelvis är det många e-handelsföretag som använder sig av en s.k. hosted kundvagn, dvs en typ av webbapplikation, som kan klassificeras som en molntjänst. Denna tjänst innebär att mjukvaran för den virtuella kundvagnen inte laddas ner utan tillhandahålls till e-handelsföretaget av en molnleverantör och betalas på månads- eller årsbasis. Framför allt för små och medelstora företag kan molntjänster vara en stor fördel, då höga initiala IT-kostnader kan utgöra en tröskel för etablering. I dagsläget finns emellertid inget som tyder på att mindre företag har en större användningsgrad av molntjänster än stora företag. Även myndigheter, kommuner och andra offentliga instanser använder sig av molntjänster i allt högre utsträckning. Eftersom den offentliga sektorn är en stor användare av informationsteknik finns det potentiellt stora skattepengar att spara in på detta område. Exempelvis har det blivit vanligt att svenska kommuner använder sig av molntjänster i offentlig upphandling. Eftersom molntjänster kan nås på avstånd och vid behov, kan Molnet överkomma platsbundenheten, vilket innebär att länder även enklare skulle kunna t ex upphandla tjänster internationellt. Offentliga myndigheters användande av molntjänster kan sätta frågor om dataintegritet och skydd av personuppgifter på sin spets. Företag och myndigheter i utvecklingsländer har potentiellt mycket att vinna på molntjänster. Den ökade användningen av mobiltelefoner i utvecklingsländer har redan haft en väsentlig inverkan på den ekonomiska utvecklingen. Med molntjänster kan ytterligare utvecklingskliv tas då småföretagare 5

och privatpersoner kan få tillgång till både datorkapacitet och den senaste spetskompetensen direkt i mobilen (eller genom andra enheter). Förutsättningen är givetvis att det finns tillgång till elektricitet och nätverksuppkoppling. Ett annat exempel på område där Molnet kan vara av stor betydelse är inom forskarvärlden. Molnet kan ge enskilda forskare den lagringskapacitet och datorkraft som krävs för att utföra omfattande datasimuleringar och analyser. Eftersom man genom Molnet kan få direkt tillgång till andras forskningsresultat kan internationellt forskningssamarbete underlättas och tillgång till basforskning breddas. I synnerhet för forskare i utvecklingsländer kan tillgång till Molnet vara av avgörande betydelse för deltagande i olika internationella och nationella forskningsprojekt. Bland många organisationer finns det generellt ett visst motstånd till att gå över till molntjänster. Ofta har företag gjort stora investeringar i IT-system och plattformar, vilket skapar en inlåsningseffekt. Detta motstånd hos befintliga företag kan vara en konkurrensfördel för nya företag som direkt kan köpa in molntjänster (pay as you go) och slippa de höga initiala kostnaderna. Uppskattningar av Gartner visar att så mycket som 80 % av alla nystartade bolag i USA inte har en egen IT-avdelning eller IT-ansvarig utan i stället enbart använder sig av molntjänster. Förutom denna inlåsningsmekanism finns det även en viss oro över Molnets tillförlitlighet och säkerhet som hindrar företag att lägga ut funktioner och information i Molnet. Därför är det vanligt att övergången till molntjänster sker successivt och att företag börjar med att lägga ut mindre känsliga tjänster i Molnet. Marknaden har dessutom utvecklats för att möta dessa olika behov. Företag kan idag skräddarsy sin användning av molntjänster och välja vad de lägger i privat respektive publikt moln och olika varianter på detta. På samma sätt som utvecklingen inom tillverkningsindustrin har lett till en global uppdelning av produktionskedjan i flera steg, så kallade globala värdekedjor, 1 så har utvecklingen av molntjänster bidragit till att produktionen av IT-baserade tjänster på ett enklare sätt kan delas upp i mindre arbetsmoment som kan utföras i olika delar av världen. På detta sätt kan företag ägna sig åt det de är bäst på och ingå som en del i en längre produktionskedja. Exempelvis kan företag som tidigare har ansvarat för hela IT-system (inkl utveckling, drift etc.) lägga ut driftdelen till ett molnföretag och fokusera på att tillhandahålla IT-plattformer till andra molnföretag som i sin tur har nischat in sig på att utveckla mobilapplikationer till privatkunder. Till skillnad från utvecklingen i tillverkningsindustrin så underlättas utvecklingen av globala värdekedjor i Molnet av att vara mindre geografiskt bundna. Det finns inga direkta omställningskostnader för att flytta en viss del av produktionen av en molntjänst till ett annat land. Med rätt förutsättningar kan företag fokusera på de områden där de har konkurrensfördelar och tjänsterna kan tillhandahållas mer effektivt. 6

4. Race to the clouds Molnsektorn har trots de senaste årens ekonomiska och finansiella kriser ökat. Som med all ny teknik finns det ett stort intresse för företag, men även för stater, att ligga i framkant och på så sätt kunna få konkurrensfördelar på den internationella marknaden. Det är även i staters och kommuners intresse att attrahera stora internationella molnleverantörer då detta kan innebära omfattande ekonomiska investeringar för ett enskilt land och region. I flera länder världen över sker nu satsningar på att utveckla molntjänster och utforma speciella strategier för hur man kan bli konkurrenskraftig på området. Det görs även stora satsningar på att bygga ut höghastighetsbredband för att öka tillgängligheten samt mer generella satsningar på IT-området, såsom på forskning och utveckling. Generellt har de länder som har en stark och utvecklad IT-sektor ett försprång på området och många av de stora IT-företagen går att finna i exempelvis USA, EU och Japan. Men även i snabbt växande ekonomier som Kina och Indien växer molnsektorn hastigt. De stora IT-bolagen är i allmänhet etablerade på flera håll i världen och har ofta servrar på flera olika kontinenter. Detta görs både för att tillgodose vissa företags behov av närhet till marknaden (för att ha kortare ledtider), politiska skäl (server måste ligga i visst land) eller av strategiska skäl (låga kostnader, tillförlitliga elnät etc.). Eftersom dessa serverhallar ofta medför stora ekonomiska satsningar finns det intresse för länder att locka till sig dessa. 7

Molnsatsningar i EU EU-kommissionen har inom ramen för EU:s Digitala Agenda påbörjat en process för att ta fram en strategi för molntjänster. Strategin ska omfatta ekonomiska, rättsliga och institutionella aspekter, med särskild fokus på förvaltning och forskning. I ett första steg har man vänt sig till företag och användare av molntjänster för att ta del av deras erfarenheter på området i centrala frågor som exempelvis dataskydd, ansvarsfrågor i gränsöverskridande situationer, rättsliga och tekniska barriärer samt standardisering. Kommissionen väntas presentera ett förslag till strategi under 2012. Med tanke på EU-marknadens omfattning finns det stora potentiella ekonomiska vinster på detta område. Enligt en brittisk undersökning från 2011 skulle de makroekonomiska vinsterna från molntjänster i EU bl a kunna leda till 2,4 miljoner nya jobb och vinster upp till 1000 miljarder USD under de kommande 5 åren (CEBR, 2011). Det sker även nationella satsningar i olika europeiska länder. I exempelvis Frankrike har sektorn backats upp av ett statligt investeringsprogram som bl.a. omfattar stöd till en rad olika projekt och nätverksskapande på molnområdet. I dagsläget finns det inte någon specifik strategi för molntjänster i Sverige. Däremot finns en mer generell satsning på informationsteknik genom en digital agenda för Sverige, dessutom arbetar bl.a. statliga Invest Sweden med att locka stora molninvesterare till Sverige. Det sociala nätverksföretaget Facebook lägger sin första europeiska serverhall i Luleå, vilket blir det största centrat av sitt slag i Europa. Hela anläggningen förväntas vara klar 2014. Eftersom serverhallar alstrar en stor mängd energi och därmed måste placeras i svala miljöer, har miljöaspekter av Molnet uppmärksammats allt mer. Sverige har med sitt kalla klimat och djupa berggrunder goda förutsättningar för att inhysa servrar både på ett både kostnadseffektivt och miljöeffektivt sätt. I Sverige finns även en hög utbildningsnivå med etablerat kunnande inom IT och telekomindustri, en välfungerande infrastruktur, hög säkerhet i eldistributionen, samt politisk stabilitet. och i andra länder USA är idag den största marknaden för molntjänster i världen och utvecklingen ligger generellt sett före EU, i synnerhet vad gäller det privata användandet. Exempelvis sker fyra gånger så många lagliga nedladdningar av musik, via molnbaserade applikationer och program, i USA som i EU på grund av bristen på lagligt utbud i Europa och på grund av att EU till viss del består av 27 olika marknader i 8

stället för en. USA satsar även i större utsträckning på forskning och utveckling vad gäller informations- och kommunikationsteknologi (IKT). Den amerikanska staten har även tagit fram en strategi för att använda sig av molntjänster i den federala statsinfrastrukturen. Enligt deras egna beräkningar skulle detta kunna leda till besparingar på 75 % av dagens utgifter, från 80 miljarder USD till 20 miljarder USD (Kundra, 2011). Japan är en av de ledande aktörerna på molnområdet. Den japanska molnmarknaden förväntas växa exponentiellt under de kommande tre åren och Gartner förutsäger att molnanvändandet i Japan kommer att representera 12 % av de globala molntjänstintäkterna (Gartner, 2010) Landet har även gjort stora satsningar på att bygga ut höghastighetsbredband med målet att förse samtliga hushåll med bredband inom de kommande tre åren (BSA, 2012). Kina är det land som har störst antal internetanvändare och stora satsningar görs idag på att utveckla molnsektorn. Enligt en undersökning baserad på intervjuer med IT-chefer i Kina så svarade 20 % att de redan använder sig av molntjänster och 46 % indikerade att de antingen utvärderar molnlösningar för sina företag eller att de redan håller på med pilotprojekt för molnlösningar (Forrester, 2011). Kinas marknad för molntjänster beräknas ha nått 14,8 miljarder USD under 2012 (APAC Insights, 2012). För att locka utländska investerare och öka marknadsandelar för molnteknologi, har det inrättats speciella molndistrikt (International Offshore Cloud Computing Special Management District). Dessa molndistrikt läggs i anknytning till special economic zones (SEZ) och innebär att användare kan får tillgång till internet utanför den traditionella kinesiska censuren. På så sätt kan utländska datacentra för molntjänster förläggas i dessa distrikt utan att påverkas av den omfattande internetcensur som annars råder inom landet. I Indien som har världens näst största mjukvaruindustri efter USA och är ett viktigt centrum för outsourcing av IT-tjänster växer nu även marknaden för molntjänster, i synnerhet i teknologicentra som Bangalore och Delhi. Enligt en uppskattning av EMC växer den indiska marknaden för molntjänster med 60 % per år och storleken på marknaden förväntas gå från dagens 400 miljoner USD till 4,5 miljarder USD år 2015 (EMC 2011). Viktigt med stödjande regelverk För att ett land ska skapa gynnsamma förutsättningar för molntjänster räcker det emellertid inte med ekonomiska investeringar. Det måste även finnas regelverk som stödjer utvecklingen. Den internationella IT-gruppen BSA (Business Software Alliance) 2 presenterade i februari 2012 en rapport om framtiden för en global molnmarknad. I rapporten undersöks den rättsliga miljön som påverkar den globala integrationen av datorbaserade molntjänster i 24 länder utifrån sju relevanta områden: 1) sekretess, 2) säkerhet 3) internetrelaterad brottslighet 4) immaterialrätt, 5) dataportabilitet (dvs. möjligheten att flytta data och identiteter mellan olika system) och harmonisering av internationella lagar, 6) stöd till frihandel och 7) nödvändig IT-infrastruktur. Inte oväntat hamnar de mer utvecklade länderna högt upp i denna ranking, med Japan som nummer ett, medan länder som Kina och Brasilien befinner sig i den nedre delen av skalan. Studien understryker betydelsen av internationella lösningar för att kunna utnyttja den potential som Molnet erbjuder och vikten av att minska de hinder som kan uppstå när molntjänster handlas över nationsgränserna. 9

5. Hinder för internationell handel med molntjänster Molnet och molntjänster har potential att utveckla och fördjupa den internationella handeln. Framför allt kan handeln med tjänster, såsom IT-support, administration, kundtjänst etc. utvecklas och fördjupas med hjälp av Molnet. Även om dessa tjänster delvis har kunnat tillhandahållas på distans eller genom utländska etableringar, så innebär Molnet att dessa tjänster kan levereras över nationsgränser, både enklare och billigare. Det som skiljer molntjänster från övriga internetbaserade tjänster är det som tidigare lyfts fram: information och program lagras på externa och ofta odefinierbara servrar och stora mängder information passerar fram och tillbaka över nationsgränser. Centrala hinder för molntjänster blir därför ofta de regler och lagar som finns i olika länder för hur information får hanteras och lagras, exempelvis sekretesslagstiftningar, datasäkerhetslagar, personuppgiftslagar, men även licensregler och kopieringsregler. Dessa regler finns till av legitima skäl och behöver inte på nationell nivå utgöra något hinder för användandet av molntjänster. Men även om nationell lagstiftning skulle vara gynnsamt utformad för en inhemsk marknad är det inte tillräckligt för en välfungerande internationell marknad med molntjänster. Internationella skillnader i lagstiftning på olika områden samt osäkerhet kring vilken lagstiftning som gäller är vanliga hinder för den gränsöverskridande handeln. Osäkerhet kring gällande rättssystem Eftersom molnleverantörer vill använda sin kapacitet så optimalt som möjligt förflyttas ofta data mellan olika servrar, beroende på var det finns lagringsutrymme. I de fall molntjänster används för bearbetning av data är det även vanligt att informationen flyttas mellan servrar. Detta innebär att även om det finns en överenskommelse med kunden var informationen ska lagras, kan den vid bearbetning överföras till ett annat ställe (dvs. även ett annat land eller världsdel) och sedan återföras och lagras på överenskommen plats. Resultatet blir att en kund utan att vara medveten om det kan vara exponerad mot andra länders rättsystem, oavsett om lagringsplats är angiven i avtalet. Denna typ av tekniska aspekter på hur Molnet fungerar har således avgörande betydelse för de rättsliga aspekterna. Det kan även uppstå situationer där information som lagras i ett visst land tvingas tillgängliggöras för det landets myndigheter, såsom polis- eller underrättelsemyndigheter (Cloud Sweden 2010). Eftersom det ofta inte är entydigt vilket lands rättsystem som gäller kan två rättsystem hamna i konflikt med varandra. Det finns i dagsläget inga internationella överenskommelser som reglerar detta. Säkerhet i Molnet Troligtvis är den vanligaste oron för de flesta användare av molntjänster frågan om säkerhet i Molnet. Detta kan omfatta allt från att servrar ska vara pålitliga (dvs inte drabbas av driftstörningar eller kollapser) till datasäkerhet, dvs. att känslig information inte hamnar i fel händer. För en privatperson kan datasäkerhet handla om personuppgifter och annan information som lagras i nätet (t ex äganderätten till information och bilder 10

på fotohemsidor och sociala nätverk). För företag kan det handla både om företagskänslig information och personuppgifter (kundregister etc.). I synnerhet kan offentliga myndigheter och institutioner som använder sig av Molnet ha stora mängder data om privatpersoner som kan vara sekretessbelagda och i behov av att skyddas. För stater är frågan om suveränitet över nationell data, data sovereignity, central. Detta begrepp är bredare än exempelvis sekretess eftersom det handlar om själva äganderätten till information. När offentlig data och system lagras eller bearbetas i en server i ett annat land kan det uppstå avgörande frågeställningar, såsom potentiella konsekvenser av att informationen hamnar under ett annat lands regelverk och rättsväsende. I allmänhet är offentliga organisationer och myndigheter under mycket strikta förpliktelser att se till att offentliga ITsystem liksom offentlig information och uppgifter är skyddade. Dataskydds- och sekretesslagstiftning För att skydda den enskilda individen har de flesta länder någon typ av dataskydds- och sekretesslagstiftning. I en sådan lagstiftning är det vanligt att det förekommer geografisk begränsning för lagring och bearbetning av personuppgifter. Något som inte heller är helt ovanligt är att det finns krav på registrering av dataöverföringar och av registeransvariga, vilket bl.a. förekommer i vissa EU-länder. Denna typ av begränsningar och krav kan utgöra ett hinder för handeln med molntjänster. I många fall har enskilda länders lagstiftning på området utgått från internationella principer för dataskydd, såsom OECD:s eller APEC:s riktlinjer. Dock saknas substantiella dataskyddslagar i några stora ekonomier, som exempelvis Kina, Indonesien och Singapore (BSA, 2012). Men även i USA saknas en sektorsövergripande obligatorisk reglering på området, istället regleras insamling och användning av personuppgifter i sektorer som kan anses vara speciellt känsliga, såsom hälso- och sjuksektorn och den finansiella sektorn (Berry and Reisman, 2012). I EU:s dataskyddsdirektiv från 1995 regleras bland annat hur personuppgifter får samlas in, hanteras, hur länge de får sparas och vilka rättigheter som gäller för tillgång till uppgifterna. För att personuppgifter ska få flyttas till ett tredje land (dvs. länder utanför EU/EES) måste det mottagande landet ha lagar som motsvarar avsändande EU-landets egna lagar för hantering av personuppgifter. 11

Ansvaret för att kontrollera detta ligger på det enskilda EU-landet, men för att underlätta för medlemsländerna har EU-kommissionen godkänt följande länder: Argentina, Kanada, Schweiz, de brittiska kanalöarna Guernsey, Jersey och Isle of Man samt företag i USA som följer principen om Safe Harbour. Safe Harbour är en certifieringsprocess framtagen av EU och USA som innebär att amerikanska företag kan ansöka om certifikat som garanterar att personuppgifter hanteras på ett sätt som uppfyller EU:s dataskyddsdirektiv. Att som företag förlita sig på Safe Harbour - principen är emellertid inte helt oproblematiskt då den kan strida mot den amerikanska antiterroristlagen, the Patriot Act. Denna lag tillkom efter terrorattackerna i september 2001 och innebär att amerikanska myndigheter vid misstanke om brott har rätt att beslagta information, oavsett var den är lagrad och utan fullmakt. Detta betyder att om utländska företag lagrar data i USA eller hos ett bolag i utlandet som har någon form av kontakt med USA ( minimum contact ), så har amerikanska myndigheter, enligt amerikansk lag, rätt att beslagta denna. Patriot act strider därmed inte bara mot Safe Harbour - principen utan mot de flesta länders nationella lagar om dataskydd och integritet. Eftersom EU:s lagstiftning är ett direktiv har detta implementerats och anpassats till nationell lagstiftning i de olika EU-länderna. I Sverige har direktivet implementerats som personuppgiftslagen, PUL. Nyligen har EU-kommissionen lagt ett förslag på uppdaterat regelverk på området som bl.a. syftar till att göra regelverket inom EU mer enhetligt och att förenkla dataöverföring över nationsgränserna. Förslaget har dock från vissa hålla ifrågasatts, bl.a. har det fått kritik för att begränsa möjligheterna för dataöverföring utanför EU:s gränser. Det nya förslaget bygger bl.a. på en förordning för dataskydd vilket innebär att den efter att ha godkänts och förhandlats i medlemsländerna, kommer implementeras direkt i varje medlemsland. När EU:s nya dataskyddsförordning träder i kraft kommer PUL att upphöra att gälla i Sverige. 3 Att utforma ändamålsenliga dataskyddslagar är en av de största utmaningarna för beslutsfattare för att underlätta för den gränsöverskridande molnhandeln. Internetcensur Ett antal länder har implementerat internetfilter eller censurregleringar som kan fungera som hinder för molntjänster och den digitala ekonomins expansion. Detta görs till viss del för att stävja kriminalitet och spridning av illegalt material, men det är inte ovanligt att även mer politiskt material censureras. Flera länder blockerar exempelvis regelbundet vissa hemsidor som uttrycker politiska åsikter som inte överensstämmer med regeringens linje. Ett exempel på detta är Kinas omfattande filter för censurering av internet, ofta kallad the great wall of China som den kinesiska ledningen själva hänvisar till som the golden shield. Detta system begränsar tillgång till innehåll på nätet under en mycket omfattande och komplex juridisk och teknisk regim som bl.a. innebär att tillgång till utländska hemsidor och molntjänster godtyckligt blockeras och censureras. Exempelvis är det vanligt att 12

utländska molntjänster såsom sociala medier, bloggar och sökmotorer blockeras. Politisk censur av internet är vanligt förekommande även i andra diktaturer. Men även demokratier kan använda sig av någon typ av politisk censur. I exempelvis Frankrike och Tyskland blockeras sidor med nazistiska budskap och i Sydkorea blockeras hemsidor som sympatiserar med Nordkorea. Immaterialrättsliga frågor Ett annat juridiskt område som ofta hamnar i fokus då lagstiftning och internet diskuteras är immaterialrätt, dvs. frågor som kan vara kopplade till exempelvis upphovsrätt, patent, skydd av företagshemligheter och varumärkesskydd. 4 Flera av de företag som tillhandahåller molntjänster är i likhet med andra höginnovativa företag mycket beroende av olika typer av immaterialrättsliga skydd. Exempel på detta är de företag som bygger sina tjänster på patenterade tekniska lösningar eller starka varumärken. Med tanke på Molnets gränsöverskridande natur finns det intresse av att detta skydd gäller även internationellt. Även ett företag som använder sig av molntjänster kan vara beroende av att rättigheter till tjänsten garanteras i alla de länder där företaget bedriver sin verksamhet. Samtidigt kan ett starkt immaterialrättsligt skydd utgöra ett hinder för andra företag som levererar molntjänster. Företag som agerar mellanhänder för förmedling av t ex film och musik på nätet skulle kunna gynnas av lägre skyddsnivåer. Exempel på detta är de företag vars företagsidé bygger på att tillgängliggöra upphovsskyddat material genom licensrättigheter på internet (t ex. Spotify, Voddler). För denna typ av företag kan exempelvis nationella licenssystem vara problematiska. Ofta upplevs den europeiska marknaden som ett hinder då varje enskilt land har sina licenser och sina regelverk. Resultat kan då bli att ett företag i stället väljer att vända sig till exempelvis USA som är en stor och 13

mer homogen marknad. För de företag som väl tagit sig in på en marknad med krångliga regelverk kan det emellertid finnas ett intresse att bevara status quo som i dessa fall blir till en konkurrensfördel. Det finns även andra upphovsrättsliga problem som kan uppstå när information och data lagras i Molnet. Ett exempel är frågan om att göra kopior av upphovsrättsskyddat material i Molnet och vilka regler som då gäller. Om du exempelvis äger ett mjukvaruprogram eller musikfil så är det i allmänhet inte ett ägande per se utan i stället en licens till en enstaka filkopia. I många länder är det enligt lag möjligt för privatpersoner att göra kopior av musikoch filmfiler för enskilt bruk, samt till en nära krets. Vad detta innebär när filer sparas i Molnet kan vara svårtolkat, och det råder ofta oklarheter kring vilken spridning som är tillåten, dvs. på vilket sätt material får spridas och till hur många. Det är vidare ofta oklart vilket ansvar mellanhänder, vilket inte sällan är leverantörer av molntjänster, har i förmedlingen av upphovsrättsskyddat material. Eftersom upphovsrättsskyddat material är skyddat i vissa länder men inte i andra kan det leda till geografisk begränsning och osäkerhet kring licensrättigheter, både för företag och privatkunder. Denna typ av molnrelaterade problem är kanske inte främst gränsöverskridande hinder, men krångliga och otydliga nationella regler kan innebära att det blir ännu svårare att etablera sig på nya marknader. Traditionella handelshinder Liksom den traditionella varuhandeln kan även fysiska varor som beställs via en molntjänst, eller som behövs för att använda en molntjänst, möta flera handelshinder vid gränsen, såsom tullar, krångliga handelsprocedurer eller krav på ursprungsintyg. Det kan även finnas krav på att specifika tekniska regler och standarder uppfylls. Däremot är tullar för mjukvaror och applikationer på internet mycket sällsynta. Vidare kan molntjänster, liksom andra tjänster, möta olika typer av nationella regleringar och krav. Exempel på detta kan vara lagar som diskriminerar utländska IT-företag eller ger inhemska leverantörer förmånsbehandling i upphandlingsförfarandet. Det kan vidare finnas krav på lokal etablering för att få leverera tjänster och varor över nätet eller för att etablera toppdomän. Även om det inte finns uttalade juridiska krav för etablering kan existerande regler i vissa fall medföra att ett företag måste etablera sig i ett land. Lokaliseringskrav är problematiskt för molnleverantörer, eftersom det geografiska oberoendet är en central aspekt för Molnet som leveransmodell. Detta krav på lokal etablering är särskilt vanligt i den finansiella och den offentliga sektorn (Berry och Reisman, 2012). Avsaknad av harmoniserade standarder för molntjänster Med tanke på att Molnet och molntjänster är relativt nya koncept och det i dagsläget saknas internationellt vedertagna definitioner, kan det uppstå begreppsförvirring och göra det svårt för företag och konsumenter att veta vad de köper. Uppkomsten av nationella och regionala definitioner kan leda till att den internationella handeln med molntjänster försvåras. Även på andra molnrelaterade områden saknas det internationella standarder. För att exempelvis kunna dra nytta av kostnadseffektiva förbättringar och nya innovativa tjänster och produkter måste det vara enkelt för molnkunder att byta leverantör. I dagsläget använder sig molnleverantörer av olika gränssnitt för att hantera information, vilket gör att det kan vara svårt att flytta data mellan olika moln- 14

leverantörer. Det kan även vara svårt att integrera information från olika molntjänster. Detta går till viss del att åtgärda genom tekniska lösningar, men skapar en extra kostnad och belastning för kunden. Andra områden som kan utgöra hinder för handel med molntjänster Momsbeskattning i Molnet I Molnet kan det ofta vara otydligt var en transaktion äger rum och därmed även vilket skatteregelverk som gäller. När exempelvis ett dataspel köps och laddas ned från en sida på internet, som kan ligga på en server var som helst i världen, uppstår osäkerhet kring i vilket land köpet ska momsbeskattas. I vissa fall kan detta leda till dubbelbeskattning. Ett exempel på när detta skedde var den uppmärksammade applikationen Stardoll, som säljer digitala klippdockor, pålades att betala svensk moms på sin försäljning även när moms redan betalats i annat EU-land. Företaget överklagade skatteverkets beslut och regeringen gav till slut Stardoll rätt. I dagsläget saknas det gemensamma regler för hur denna typ av problem ska hanteras, men ny EU-lagstiftning på detta område kommer att införas 2015. Konsumenträttsrelaterade hinder Skillnader i konsumentlagstiftning i olika länder skulle också kunna utgöra ett hinder för handel med molntjänster över gränserna. Detta är ett problem både inom och utanför EU. Frågor som rör ångerrätt, tvistelösning och information till konsumenter är problem som ofta nämns som hinder för internationell e-handel. Betalning och e-signatur Det är inte ovanligt att svårigheter uppstår vid betalning eller beställning av varor och tjänster över internet. Eftersom detta är ett område som omfattas av nationella säkerhetskrav kan det uppstå problem när köp sker över gränserna. Problemen kan vara kopplade både till regelverk och till nationella eller regionala standarder. Exempel på detta kan vara att det finns olika tekniska säkerhetslösningar för e-signatur, olika nationella krav på e-faktura eller pappersfaktura etc. Även om det har hänt mycket för att underlätta för den digitala inre marknaden i EU är idag mindre än en av tio e-handelstransaktioner gränsöverskridande och ofta upplevs det vara lättare att genomföra en gränsöverskridande transaktion med ett amerikanskt företag än med ett från ett annat EUland. Tekniska och juridiska skäl, som att utländska kreditkort inte godtas, medför att så många som 60 % av försöken till gränsöverskridande internethandel misslyckas (Europeiska Kommissionen, 2010). Roaming och appmarknaden Ett annat område som kan vara ett problem för den gränsöverskridande handeln med molntjänster är höga kostnader för roaming. Denna kostnad uppstår då en mobiltelefon används utanför den egna operatörens nät, dvs. när du ringer eller surfar på mobilen i utlandet. Avtal om roamingavgifter sluts mellan mobiloperatörer och ofta blir den slutliga kostnaden för kunden mycket hög. Detta är ett generellt problem för all internetåtkomst i utlandet via mobiltelefoner. I synnerhet begränsar de höga avgifterna användandet av molnbaserade mobilapplikationer, så kallade appar. 15

6. Vägen mot en global molnmarknad Många av de rättsliga problem som aktualiseras av Molnet, såsom skydd av personuppgifter och upphovsrätt, är desamma som stater har tampats med på internetområdet åtminstone de senaste två decennierna. Eftersom molntekniken och molnapplikationer utvecklas i snabb takt måste lagar och regler vara flexibla, anpassningsbara och ändamålsenligt utformade samtidigt som de inte hindrar utvecklingen. Det är även viktigt att lagar på området inte utformas prematurt, dvs. innan det finns tillräckligt med erfarenhet om hur tekniken kommer att användas och var de främsta vinsterna kan uppstå. För att öka rättssäkerheten och tryggheten i Molnet är det önskvärt att de rättsliga systemen erbjuder en effektiv mekanism för att lagen efterföljs. Det finns idag inget samlat internationellt ramverk för att hantera frågor som relaterar till Molnet. I stället hanteras olika aspekter av Molnet i olika organisationer och sammanhang. Vid World Economic Forum 2011 uttrycktes från flera håll ett stort behov av att skapa ett internationellt ramverk för molntjänster, men den centrala frågan om hanteringen av datasuveränitet tycks vara svår att lösa. Förslaget om instiftandet av ett nytt globalt organ för att bevaka utvecklingen av molntjänster möttes därför av stor oro för att det skulle leda till ickeändamålsenlig reglering. Harmonisering av riktlinjer och standarder för dataskydd och säkerhet Det har gjorts flera internationella försök att enas om mer harmoniserade regler på dataskydds- området. Organisationen för ekonomiskt samarbete och utveckling, OECD, tog för drygt 30 år sedan fram ett antal riktlinjer för data- och sekretesskydd som antogs av samtliga medlemmar. Riktlinjerna är frivilliga och icke-bindande och omfattar åtta grundläggande principer om privat dataskydd i den offentliga och privata sektorn. Riktlinjerna syftar till att skydda individens rätt till sekretess och dataskydd utan att i allt för stor utsträckning begränsa de gränsöverskridande dataflöden. OECD håller nu på att se över dessa riktlinjer för eventuell uppdatering. Även organisationen för ekonomiskt samarbete i Asien-Stillahavsregionen, APEC, har tagit fram riktlinjer för sekretesshantering, The APEC Privacy Framework. APEC:s ramverk består av nio principer för hantering av personuppgifter, såsom begränsningar i insamling av personuppgifter, användarbegränsning av persondata etc. Liksom OECD:s riktlinjer är tillämpning av APEC:s ramverk frivilligt, exempelvis har Kina indikerat att de inte har någon avsikt att tillämpa ramverket. Till skillnad från OECD:s riktlinjer, som har fokus på individers rättigheter och det statliga ansvaret, så fokuserar APEC:s ramverk mer på företags och organisationers ansvar i ansamling och förvaring av personuppgifter (Berry and Reisman, 2012). Ett annat initiativ till att underlätta för gränsöverskridande informationsflöden presenterades av EU och USA under våren 2012. Överenskommelsen inkluderar 10 handelsrelaterade principer som stödjer expansion av informations- och kommunikationsteknologi, varav en specifikt handlar om att underlätta för företag att föra information över nationsgränser. 16

Inom det internationella standardiseringsorganet ISO pågår även en process att utveckla gemensamma standarder för datasäkerhet och sekretess i Molnet. Denna process hanteras i två olika underkommittéer. Den ena underkommittén (ISO/IEC 27017), för vilken Cloud Security Alliance (CSA) har en central roll, hanterar säkerhet i Molnet. Den andra kommittén (ISO/IEC 27018), fokuserar på skydd av personuppgifter och sekretess. Det existerande lapptäcket av nationella och regionala dataskyddsregelverk skapar osäkerhet kring vad som gäller i en global miljö. För att individer och företag ska kunna känna sig trygga på den globala marknaden för molntjänster är det önskvärt att sträva efter att harmonisera dessa regelverk och skapa globalt accepterade standarder. Internationella regelverk som relaterar till handel och molntjänster Världshandelsorganisationen, WTO, är den centrala institutionen för det multilaterala handelssystemet och består idag av 153 länder. Organisationen bildades 1994 och bygger på ett par grundläggande principer: 1) mest gynnade landet principen (MGN) vilket innebär att de rättigheter som ges av ett medlemsland till ett annat ska automatiskt ges även till övriga medlemsländer; och 2) icke-diskriminering och nationell behandling, vilket innebär att utländska varor och tjänster ska mötas av minst lika förmånlig behandling som inhemska varor och tjänster. Det finns i WTO:s avtal en möjlighet att göra vissa undantag från denna princip om det kan anses att åtgärderna är nödvändiga för allmän ordning och moral eller för nationell säkerhet. Vidare ska åtgärderna för att uppnå dessa mål vara så lite handelsstörande som möjligt. Om ett land bryter mot de åtagande det har gjort i WTO kan ett annat medlemsland anmäla landet till WTO:s tvistlösningsorgan. WTO:s tjänsteavtal, GATS I WTO:s avtal för tjänstehandel (GATS) regleras och förhandlas vilka regler som får gälla för internationell tjänstehandel inom olika sektorer och för olika sätt att leverera tjänster. 5 När länder ansluter sig till WTO gör de vissa nationella åtaganden för att förbinda sig att ge marknadstillträde till andra länder. Än så länge har inga medlemsländer gjort några åtaganden som är specifika för molntjänster, men molntjänster kan beröras genom allmänna åtaganden för internettjänster (data och datarelaterade tjänster) samt för tjänster som kan levereras med hjälp av Molnet. Även WTO-åtaganden på området för telekommunikation kan vara av betydelse för 17

molntjänster. Eftersom molntjänster levereras över telekommunikationsnätverk kan regleringar av dessa nätverk vara av betydelse. Vidare har vissa länder gjort åtaganden för en speciell typ av telekommunikation, onlineinformation och/eller databehandling som i viss utsträckning även berör molntjänster (Berry and Reisman, 2012). Som nämndes i föregående kapitel är det inte ovanligt att utländska leverantörer av molntjänster diskrimineras i länder såsom Kina, genom t.ex. censur eller blockering av utländska hemsidor och applikationer. Dessa åtgärder kan därmed bryta mot WTO:s avtal (Hindley och Hosuk, 2009). Även om de kinesiska myndigheterna hänvisar till de undantag som är tillåtna enligt WTO-regelverket för att upprätthålla allmän ordning och nationell säkerhet, så har Kina möjligheten att genomföra mer selektiv censur för att uppnå sina mål, vilket skulle vara betydligt mindre handelsstörande. Möjligheten att ingå tvist med Kina på detta område är kanske snarare en teoretisk än en realistisk sådan eftersom ett utländskt företag som utsatts för censur först måste övertala sin regering att anmäla Kina i WTO:s tvistlösningsorgan. Vidare är det osannolikt att en sådan tvist skulle leda till minskad censur, även om tvistedomstolen skulle ge det exporterande landet rätt. Kina har dessutom, liksom övriga WTOmedlemmar, en möjlighet att dra tillbaka åtagande i WTO. Detta har tidigare gjorts av USA till följd av att de förlorade en WTO-tvist om deras förbud av nätspel (Hindley och Hosuk, 2012). Tvisten i sig samt ett eventuellt tillbakadragande av åtaganden i WTO skulle emellertid rikta fokus på Kinas omfattande censur samt handelsaspekterna av denna. Frågan om handeln med molntjänster diskuteras i WTO främst inom ramen för arbetsprogrammet för e-handel under Rådet för tjänstehandel. Arbetsprogrammet upprättades 1998 i syfte att undersöka alla handelsrelaterade frågor som uppstår vid e-handel. I den ministerdeklaration som låg till grund för programmet fastslogs även att det skulle införas ett moratorium för tullar på elektroniska överföringar, vilket har haft en stor betydelse för den digitala globala handeln. Detta moratorium har förnyats vid de efterföljande ministermötena, senast i december 2011. Inom ramen för arbetsprogrammet har också frågan om molntjänster lyfts. Ett förslag att utvidga ramverket för e-handel samt föra en dialog om molntjänster har presenterats av USA i detta sammanhang under hösten 2011. Vidare har även de 10 principer om expansion av IKT som USA och EU kommit överens om presenterats i detta forum som ett underlag för fortsatta diskussioner inom WTO. Med tanke på att molntjänster omfattar en mängd olika typer av tjänster kan dessa hamna inom olika sektorer i GATS. En genomgående liberaliserad tjänstehandel för relevanta sektorer är därför önskvärd, men i synnerhet för centrala sektorer såsom data- och datarelaterade tjänster, distribution, telekommunikation och audiovisuella tjänster. Den internationella handeln med mjukvara levererad på fysiska enheter, såsom CD-rom och DVD-skivor, har hittills präglats av en liberal handelspolitik. Detta har gynnat världsekonomin och den tekniska utvecklingen. Det vore därför även gynnsamt om mjukvara som levereras i Molnet även fortsättningsvis får fullt marknadstillträde och icke-diskriminerande behandling. För att bevara ett fortsatt liberalt förhållningssätt till handeln med moln- och andra IT-tjänster kan det vara eftersträvansvärt att befästa detta genom internationella överenskommelser på området. Frihandelsavtal Det har hittills varit ovanligt att gränsöverskridande dataflöden hanteras inom ramen för de bilaterala och regionala frihandelsavtal (FTAs) som idag sluts 18