管理云合同風(fēng)險(xiǎn)的九大技巧
在購(gòu)買云計(jì)算服務(wù)時(shí),有九種使用的方法可以用來管理你的業(yè)務(wù)以及法律風(fēng)險(xiǎn),確保你能成功的采納這種新興的計(jì)算模式。
這些建議由法律專家、盛智律師事務(wù)所合伙人Riaz Karamali在舊金山云博覽會(huì)上提供。
Karamali先生的第一個(gè)建議是,如果點(diǎn)擊條款不能充分滿足你的需求,寫個(gè)原始云合同給“你的商業(yè)現(xiàn)實(shí)中的因素,法規(guī)遵循需求及期望”是確保你的獨(dú)特需求被滿足的最好方法。
雖然云服務(wù)供應(yīng)商通常提供一刀切的條款,要確保用盡一切方法來減輕你的風(fēng)險(xiǎn)。
以下的清單是九條使用建議,能夠幫助你做到這些。
1.性能
服務(wù)水平協(xié)議通常包括正常運(yùn)行時(shí)間、服務(wù)可用性,甚至交付的準(zhǔn)確性和品質(zhì)。緊急情況、日常維護(hù)和不可抗力事件如老天的行為是例外。補(bǔ)救措施通常包括服務(wù)信用。但是根據(jù)服務(wù)或數(shù)據(jù)損失及其對(duì)你業(yè)務(wù)的影響,實(shí)際損失可能是更好的選擇。請(qǐng)求根源分析可以幫助確定和防止未來的違反。而終止權(quán)需要包括在最后補(bǔ)救之內(nèi)。
2.數(shù)據(jù)安全
條款應(yīng)該考慮外部攻擊,惡意內(nèi)部人士和人為錯(cuò)誤。有時(shí)候一個(gè)來自心懷不滿的雇員的破壞可能比一個(gè)外部攻擊更惡劣,這需要被考慮在內(nèi)。
3.數(shù)據(jù)隱私
你應(yīng)該考慮數(shù)據(jù)的性質(zhì)以及它在哪里被收集、存儲(chǔ)和處理,相對(duì)于你的特定需求和合規(guī)需求。了解那條法律法規(guī)管制你的數(shù)據(jù)隱私、供應(yīng)商的義務(wù)是什么,也同樣重要。法律控制數(shù)據(jù)隱私的例子包括:
在美國(guó):電子通信隱私法(ECPA),健康信息隱私(HIPAA)和高科技法案,金融服務(wù)現(xiàn)代化法案,F(xiàn)TC法案,狀態(tài)數(shù)據(jù)違反通知法。
在歐盟:歐盟數(shù)據(jù)保護(hù)條例
4.不可抗力和災(zāi)難計(jì)劃
不可抗力是指“在事件當(dāng)事人控制之外,如自然災(zāi)害或戰(zhàn)爭(zhēng),導(dǎo)致一方不能履行合同規(guī)定的義務(wù)”。不可抗力事件可被作為不履行義務(wù)的借口,因此在你的云合同中應(yīng)該被仔細(xì)定義和處理這樣的條款。每個(gè)云服務(wù)供應(yīng)商都應(yīng)該有一個(gè)災(zāi)難恢復(fù)計(jì)劃,一旦發(fā)生可預(yù)見的不可抗力事件,作為臨時(shí)應(yīng)急計(jì)劃。但是很少有任何“保證”。
5.互操作性
在為同一服務(wù)向多個(gè)云供應(yīng)商采購(gòu)時(shí),確保你的供應(yīng)商將能夠一起工作。別忘了覆蓋終止數(shù)據(jù)傳輸。在沒有統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)的情況下,云端之間的數(shù)據(jù)傳輸可以算勞動(dòng)密集型。確保可靠和即使訪問你的數(shù)據(jù)并闡明你和你的供應(yīng)商的責(zé)任是最重要的。
6.責(zé)任與賠償
責(zé)任上的限制會(huì)處理責(zé)任的類型和量,協(xié)商例外。責(zé)任補(bǔ)救必須被具體化,且應(yīng)要求廠商為客戶的利益支付適當(dāng)?shù)谋kU(xiǎn)。
7.審計(jì)權(quán)利
合同條款應(yīng)該包括審計(jì)評(píng)估計(jì)費(fèi)程序,安全系統(tǒng)和在云服務(wù)協(xié)議終生的法律遵從性。供應(yīng)商通常提供SSAE16審計(jì)標(biāo)準(zhǔn)下的服務(wù)組織控制(SOC)的2報(bào)告。SOC 2報(bào)告評(píng)估服務(wù)供應(yīng)商對(duì)系統(tǒng)安全性、可用性、處理完整性、機(jī)密性和隱私性的控制。這是一個(gè)好的開始,但是往往為允許客戶或其代表進(jìn)行檢查的額外審計(jì)權(quán)利所做的協(xié)商相當(dāng)重要。
8.長(zhǎng)期問題
當(dāng)選擇一個(gè)云服務(wù)供應(yīng)商時(shí),考慮其穩(wěn)定性、收購(gòu)的可能性、服務(wù)終止和任何其他轉(zhuǎn)型將影響或結(jié)束你的服務(wù)關(guān)系。
9.知識(shí)產(chǎn)權(quán)歸屬
在軟件即服務(wù)(SaaS)模型中,知識(shí)產(chǎn)權(quán)的所有權(quán)是明確的,供應(yīng)商擁有應(yīng)用程序,你擁有你的數(shù)據(jù)但是在其他的云服務(wù)類型中,應(yīng)用程序的定制以及你作為用戶在解決方案中建立的其他貢獻(xiàn)都必須計(jì)算在內(nèi)。
Karamali先生總結(jié)說,一個(gè)客戶消除所有風(fēng)險(xiǎn)或者在談判中贏得所有點(diǎn)幾乎是不可能的。在所有既定法律點(diǎn)上,客戶需要理解并評(píng)估可能的風(fēng)險(xiǎn),然后做出一個(gè)務(wù)實(shí)的商業(yè)決策。
