簡述選擇公有云服務的五大法律風險
2011/05/13
摘要:在你考慮清楚云計算服務協(xié)議在五個方面的法律風險之前,不要輕易簽署協(xié)議。
去年,一家知名的全球食品生產與配送公司打算將他們的人力資源管理程序交給一家軟件即服務(SaaS)提供商運營。但是當這家食品公司的律師審查這份擬議合同時,他們發(fā)現(xiàn)這份合同在法律方面存在著一些嚴重隱患。
首先,這家SaaS提供商在美國、歐洲和加拿大都有業(yè)務。這家食品公司的律師,外包方面的專家Rebecca Eisner回憶稱:“歐洲和加拿大是兩個不同的司法管轄區(qū),他們對個人信息的使用有著嚴格的規(guī)定。由于是人力資源系統(tǒng),因此其中涉及大量的個人信息。”
這家服務提供商希望能夠靈活地將公司的信息轉移至全球其它地方的數(shù)據(jù)中心上,這導致公司必須遵守這些國家有關數(shù)據(jù)流入或流經的法規(guī)。
由于這家食品公司對SaaS應用十分著迷,因此并沒有意識到其中的法律風險。經過兩個月的談判,雙方簽訂了一份合同。
Mayer Brown律師事務所芝加哥辦公室的合作伙伴Eisner稱:“這家SaaS服務提供商并不愿意承認他們缺乏這方面的豐富經驗。他們知道我們的職責是干什么的。”Eisner稱:“最終,他們明白,如果想讓這家食品公司成為他們的客戶,以及今后得到全球其他地方的客戶,他們需要提供這類最低限度的保護。因此他們最終同意要求。”
如果你使用云計算或是打算使用云計算,你不應當忽視以下五個方面的法律風險。
1. 隱私
《美國健康保險流通和責任法案》(HIPAA) 規(guī)定將個人健康信息透露給第三方公司應達成“業(yè)務關系協(xié)議”。這些合同規(guī)定第三方如何處理這類數(shù)據(jù)。舊金山Sideman & Bancroft律師事務所律師Polly Dinkel稱:“許多人在使用云計算時,并沒有考慮這一規(guī)定。他們并不認為他們是在向第三方透露信息,但是事實是他們透露了。”
與此相同的是,《格雷姆-里奇-比利雷法案》規(guī)定金融機構要與共享其客戶個人信息的第三方簽署協(xié)議,以確保第三方能夠安全的存儲這些數(shù)據(jù)。Dinkel稱:“必須要以合同的形式履行和維持這類安全措施。”
她指出,如果云計算協(xié)議中未能實現(xiàn)這些要求,金融機構的執(zhí)行官們應當親自對此承擔責任。
Mayer Brown律師事務所合作伙伴Dan Masur稱,棘手的部分是要求清楚地知道所有云服務提供商的數(shù)據(jù)中心和次承包商的所在地。他稱,《薩班斯—奧克斯利法案》規(guī)定數(shù)據(jù)的原始擁有者需知道在云計算環(huán)境中數(shù)據(jù)在何處,以及在何處保持對其的控制。
正如Masur所說的那樣“你可以讓數(shù)據(jù)遷移至全球任何地方,但這不僅僅是提供商的事,而是整個次提供商與次承包商網絡和平臺的事。在任何時候,它們的準確位置在哪里?它們經過了多少國家,需遵守什么樣的相關法律呢?即使你與提供商簽訂了合同,你是否真的能夠確認提供商向下推行這些條款,讓整個次承包商網絡都遵守這些合同條款。”
Masur稱,客戶需要堅持確認這些次承包商,以及讓合同條款適用于他們。好消息是,一些大型云服務提供商僅提供位于美國境內的公共云,并且保證合同的相關條款適用于次承包商。
在美國急診醫(yī)學實踐管理公司Schumacher Group內,大約80%至90%的IT程序被分別托管給了12家不同的云服務提供商。
該公司首席信息官Douglas Menefee稱:“我們選擇的服務提供商必須遵從HIPAA規(guī)定和有關要求。”他還要求云服務提供商簽署一份業(yè)務關系協(xié)議,協(xié)議規(guī)定提供商的雇員只可在必要時才能查看與他們工作有關的信息,
2. 跨司法管轄區(qū)
市場研究機構Gartner的云服務全球IT委員會抱怨“服務提供商沒有很好的解釋他們將數(shù)據(jù)放在了哪個司法管轄區(qū)內,接受服務的客戶必須要遵守哪些法律規(guī)定。”云服務全球IT委員會由眾多試圖規(guī)范云服務的首席信息官組成。
該委員會在聲明中稱:“云用戶有權知道提供商運營活動所在的司法管轄區(qū)內的法律規(guī)定。否則,如果云服務提供商將客戶的數(shù)據(jù)存儲或轉移至國外,那么用戶將在不知情的情況下要被迫遵守一些法律規(guī)定。”
比如,歐盟有著全球最嚴格的隱私法規(guī),在云計算中遵守這些法規(guī)將會更為復雜。
除非歐盟認為數(shù)據(jù)的接收國擁有“充足的保護措施”,否則歐盟禁止這些數(shù)據(jù)轉移出歐盟。Dinkel稱,一般情況下,很少有國家能夠達到歐盟的要求。她稱:“你必須考慮你的服務器是否在歐盟國家,服務器中是否存儲涉及歐盟國家人員的數(shù)據(jù),以及你是否正在將數(shù)據(jù)從一個服務器遷移至另一個服務器。有的服務提供商設置了專門用于存儲歐盟數(shù)據(jù)的獨立云,以應對這一問題。”
歐洲管理人員目前正在審查云計算,以搞清楚這一新技術在多大程度上適合當前使用、收集、存儲和轉移個人信息的管理框架。Dinkel稱,云計算用戶希望跳出這些額外的束縛。例如,他們可能不得不獲得一個特殊許可,向歐洲數(shù)據(jù)保護部門提交報告,詳細闡述數(shù)據(jù)的使用和存儲計劃。
云計算用戶還應當知道,提供商和他們的服務器所在地可決定在發(fā)生問題后在哪里打官司。Dinkel稱:“你或許會發(fā)現(xiàn)在哪個國家打官司取決于你的服務提供商的所在地。”
Schumacher集團的云合同要求數(shù)據(jù)必須存儲在美國境內的數(shù)據(jù)中心上。Menefee稱:“這對于將我們的數(shù)據(jù)存儲在海外的提供商來說沒有什么意義。”
3. 搜查令
Dinkel稱,公共云的一個令人擔心的特點是不同客戶的數(shù)據(jù)可能會存儲在同一個服務器內。她解釋稱:“如果提供商得到了有關其中一個客戶的搜查令,而碰巧其他客戶的數(shù)據(jù)也在同一臺服務器上,那么所有的數(shù)據(jù)都會被查封,即使不是搜查目標的公司也無法訪問他們的數(shù)據(jù)。”
數(shù)據(jù)的相互混合在2009年導致了一個嚴重的問題。當時FBI搜查了位于德克薩斯的兩個數(shù)據(jù)中心,以調查某一數(shù)據(jù)中心用戶。FBI特工查封了大約220臺服務器,以及數(shù)量眾多的路由器、交換機、服務器機架和電源。新聞媒體報道稱,這一查封行動導致該數(shù)據(jù)中心損失了數(shù)百萬美元的營收。此外,還導致數(shù)據(jù)中心的許多客戶業(yè)務中斷,甚至面臨破產的危險。
你是如何規(guī)避這類風險的呢?私有云當然可以解決數(shù)據(jù)混合問題。但是如果無法選擇私有云,你應當就客戶數(shù)據(jù)如何分區(qū)存儲問題從云服務提供商那里得到保證,以確保搜查令或查封行動不會影響你的數(shù)據(jù)。
4. 電子數(shù)據(jù)取證
被傳喚的數(shù)據(jù)擁有者有義務保留所有涉及訴訟的信息,也有義務為取證收集數(shù)據(jù)。如果數(shù)據(jù)在你的“保管、控制或持有下”,保留數(shù)據(jù)的要求將適用。對于那些擁有數(shù)據(jù)的云用戶,Dinkel稱:“這一點已經非常明確,如果在云上,還需要考慮這些數(shù)據(jù)在你的保管、控制或持有下。”如果服務商在取證期限內沒有保留這些數(shù)據(jù)或是無法提供這些數(shù)據(jù),那么云用戶將因此受到處罰。
重要的是,對方當事人可以直接去云服務提供商那里調取相關記錄。Dinkel稱:“在這一點上,數(shù)據(jù)擁有者失去了對形勢的控制權。”
更麻煩的是,不同的云服務提供商有著不同的存儲程序,如果數(shù)據(jù)沒有正確映射,恢復這些數(shù)據(jù)十分困難,并且費用昂貴。
當電子取證請求書被送到你的手中,你必須能夠及時提供相關文件。如果無法及時提供,那么你將面臨巨額罰金(在一起案例中,罰金數(shù)額為每天5萬美元)。重要的是,由于案件遞交到法庭時已過去數(shù)年時間,因此公司可能不得不回溯三至五年前的相關數(shù)據(jù)。
大型云服務提供商意識到他們必須要對電子取證請求書做出快速回應,因此為了能夠快速追蹤和恢復數(shù)據(jù),他們會維持附屬于記錄的最初元數(shù)據(jù)
律師表示,云服務合同應當要求服務提供商維護元數(shù)據(jù),以使其能夠被容易恢復,同時要求提供商應在請求書的截止日期前提供電子文檔。
5. 數(shù)據(jù)安全
在云計算環(huán)境中保護數(shù)據(jù)安全的方法有很多種,如加密。但是將公司的記錄存儲在一處的做法存在著安全風險。因為這為黑客提供了一份信息大餐。一些云服務提供商已經開始著手解決這一隱患。
比如,谷歌應用的安全模式是將存儲的數(shù)據(jù)拆分成比特級,然后再分別存儲在不同的數(shù)據(jù)中心。作為谷歌應用用戶的Menefee稱:“我們發(fā)現(xiàn)這非常有效。如果數(shù)據(jù)泄露了,黑客也僅能得到一部分組件,這只能算得上是龐大拼圖中的一片而已。”
另一個問題是:誰應當為云計算的安全違規(guī)行為買單?Dinkel稱:“你希望服務提供商為此買單——因為可能是他們那邊的失誤導致數(shù)據(jù)泄露的。”
在許多國家,如果云服務提供商發(fā)生數(shù)據(jù)泄露,那么在公共云中存儲客戶數(shù)據(jù)的機構有責任通知他們的客戶。她稱,“除非合同中明確注明應當及時通知,否則如果發(fā)生了數(shù)據(jù)泄露事件,你可能無法及時知道。”
Menefee將與這些涉及安全的條款列入到了Schumacher集團所有的云服務合同。他稱:“如果發(fā)生了數(shù)據(jù)泄露事件,那么應當對此負責的是他們,而不是我們。”
風險一直在發(fā)生著變化。當合同做好更新的準備以確保能夠解決新問題時,咨詢法律顧問非常重要。比如,Menefee準備在未來的合同中增加退出條款,以便在服務提供商的所有權發(fā)生變更時保護Schumacher集團。
Menefee 稱:“我們在過去六個月里經歷了一個‘頓悟時刻’。我認為云服務市場內部將會出現(xiàn)大規(guī)模整合。我正在尋求能夠退出合同的能力,以防服務提供商所有權發(fā)生變更,以及提供商在變革中無法滿足服務級協(xié)議。對于我來說,這是我們標準化管理中的一部分。”(范范編譯)
相關鏈接
關鍵的云服務合同條款
可通過起草包含有下列條款的合同規(guī)避云計算中的法律風險:
云環(huán)境下的隱私保護法案與法規(guī)
網界網
| VMware新產品為終端設備提供虛擬桌面 2011-05-12 |
| 微軟CIO的大計劃—云計算 2011-05-11 |
| 白皮書:以云端技術優(yōu)化通信方式的三種方法 2011-05-10 |
| 中國電信趙慧玲:為客戶提供豐富多彩的云服務 2011-05-09 |
| IBM云計算中心方興:云計算帶來的創(chuàng)新機遇 2011-05-09 |