云计算合同中的法律关键和安全风险

有些云计算服务把一个用户使用许可证授权给云计算供应商。该许可证的应用范围较校例如，可能限制使用某项功能或应用程序，并禁止任何修改。因此，用户可能只被允许使用通用的、标准化的功能，并被禁止进行使服务更简便、效率更高的二次开发。该服务可授权访问数据库，并严格限制用户使用数据库中的数据从事任何活动。

因此，对于云计算用户来说，了解彼此知识产权授权许可证确切范围是非常重要的。在平衡服务合同的利弊时，授予或收到许可证的范围可能是一个至关重要的因素。

对数据使用或数据重用的限制。客户应限制云计算供应商访问和使用客户的数据，除非确实是出于提供服务所需。该要求源于相关适用法律条文，例如健康保险携带责任法案(HIPAA)、金融服务业现代化法案(GLBA)或其他国外数据保护法律，此点是非常重要的。云计算供应商应当定位为一台主机或一个平台，它不应出于自身利益考虑而使用客户的数据，除非获得特别的授权。

同时数据所在的地理位置也是应当予以考虑的问题。相关各方应对数据的地理位置达成一致，因为其位置很可能将决定这些数据所适用的法律。例如，如果云计算服务提供商将个人数据转至位于阿根廷、比利时或加拿大的服务器，该数据将适用于所在国家的法律。而这些国家的数据保护法律包括了将个人数据转移出该国的具体规定。

根据技术律师米尔顿·彼得森近日在SNW(Storage Networking World)大会发言上介绍，那些与云服务供应商合作的企业非常有必要了解SaaS合同中到底涵盖了哪些内容，有怎样的相关风险是没有在合同中明确说明的，万一出现分歧，是否会带来昂贵的诉讼费用，或不利于成功的合作伙伴关系的建立。

彼得森说，云服务供应商的合同中最为关键条款是：“卖方责任”。而对于诸如那些 “我们会尽力”;“我们的目标(our goals)”;“目标(targets)”/“目标(objectives)”的描述，用户应该标红，并引起高度重视，因为这些对于供应商责任的描述都相当的模棱两可，并未提供具体的保证，会给供应商某些法律漏洞的空子可钻。

相对于大型外包交易来说，在云计算服务合同也越来越趋向于更商品化的今天，一旦涉及，就需要双方都坐下来花费很多天的时间来谈判。

彼得森说，“在过去，客户方面在洽谈时会积极的要求采取很多的保护措施。而在现在，在一定程度上，你必须仔细斟酌供应商所提供的合同条款的内容。”

需要咨询服务供应商的问题

用户应了解云服务提供商的实施过程——贵公司的数据将如何被整合到他们的云基础设施。要考虑的事情包括是否涉及到大量的将您的数据转换成他们的格式的工;抑或是他们只是在合同签订之初采用最新的数据。他们会对您企业的数据进行加密吗?如果没有的话，这是否违反了数据被存储所在地区的州或国家的相关法律规定?

彼得森说，现如今，全美大多数州都已经有了相关的法律。所以，如果你有时间来检查供应商的技术工作原理，那是最好不过的了。

云服务合同中一个相关重要的细微之处是，当合同到期时，您的企业要如何从服务供应商的云中转移数据，无论是迁移回私有数据中心还是迁移到某家新的云服务供应商。

如果你企业的数据不再是您的公司本身使用的格式，你要确保其是某种行业标准的格式，这样你才可以很容易的转换或使用。

彼得森说：“请务必确保当您需要收回您企业的数据进行备份时，你不会被要挟需要收取高昂的费用。此外，从供应商那里寻求一些合作和援助，以帮助您收回数据备份。确保有一个外围的协议，明确规定他们哪些数据可以毁坏，而哪些不可以。”

特别重要的是要明确知道供应商是否会在一定时间之后对数据进行销毁，尤其是某些数据可能会被客户用于诉讼，需要被放置在一个合法的保持状态。

控制风险

因为你已然将企业数据的控制权全权交给了您的供应商，所以定义基本的通信过程是相当重要的。确保当您的供应商对他们的基础设施作出某些改变，可能会影响您的数据时，会有一些明确定义的流程提前通知您。确保您企业内部一定行政级别的员工务必要与您的供应商之间周期性的进行结构性的会议碰面，这样就可以阻止任何意外事件的发生。

此外，彼得森说，请确保当您和您的供应商就某个问题必须诉诸法律解决之前，有一个正式的争端升级或解决过程。在这种情况下，缺乏细节真的会对供应商有利，他补充说。

彼得森说，“寻找诸如‘卖方应及时按照行业标准提供专业态度的服务’，这样的短语”。关于问题的回应和解决方案也应在合同中敲定，以便确保当某些问题出现后，服务供应商承诺在指定的时间内响应。每一个问题都可能需要更多或更少的时间来解决，这会使得问题的解决方案变得更加困难，但是，更重要的是供应商必须在进行任何更新时都在第一时间通知您。

能够监控服务水平和应用程序的正常运行时间也是了解服务供应商性能的关键。某些供应商为他们的客户提供自动监测和报告，而不是按照客户的要求提供报告。而且，如果您的网站由于SaaS停运出现故障，确保你知道服务供应商将如何偿还你的任何业务损失。这部分的损失报销必须以正式的合同文本的形式规定好。但与此同时，不要指望其会覆盖你的整个网站的停机时间所造成的损失。“你可能几乎总能一眼看到直接损失，却往往忽略了间接损失。”彼得森说。

更重要的是，如果有一个持续的问题，确保合同中有明确的规定允许您的企业摆脱困境进行处理并回收数据。通常情况下，早期终止合同会有一些早期终止费用，企业应该知道这笔费用是多少。彼得森说：“对于长期或经常出现的故障问题，你需要有终止合同的权利。真正的补救办法是能够摆脱困境进行处理或者寻求其他的服务供应商。”