去年，一家知名的全球食品生產(chǎn)與配送公司打算將他們的人力資源管理程序交給一家軟件即服務(wù)(SaaS)提供商運營。但是當(dāng)這家食品公司的律師審查這份擬議合同時，他們發(fā)現(xiàn)這份合同在法律方面存在著一些嚴(yán)重隱患。

首先，這家SaaS提供商在美國、歐洲和加拿大都有業(yè)務(wù)。這家食品公司的律師，外包方面的專家Rebecca Eisner回憶稱：“歐洲和加拿大是兩個不同的司法管轄區(qū)，他們對個人信息的使用有著嚴(yán)格的規(guī)定。由于是人力資源系統(tǒng)，因此其中涉及大量的個人信息。”

這家服務(wù)提供商希望能夠靈活地將公司的信息轉(zhuǎn)移至全球其它地方的數(shù)據(jù)中心上，這導(dǎo)致公司必須遵守這些國家有關(guān)數(shù)據(jù)流入或流經(jīng)的法規(guī)。

由于這家食品公司對SaaS應(yīng)用十分著迷，因此并沒有意識到其中的法律風(fēng)險。經(jīng)過兩個月的談判，雙方簽訂了一份合同。

Mayer Brown律師事務(wù)所芝加哥辦公室的合作伙伴Eisner稱：“這家SaaS服務(wù)提供商并不愿意承認他們?nèi)狈@方面的豐富經(jīng)驗。他們知道我們的職責(zé)是干什么的。”Eisner稱：“最終，他們明白，如果想讓這家食品公司成為他們的客戶，以及今后得到全球其他地方的客戶，他們需要提供這類最低限度的保護。因此他們最終同意要求。”

如果你使用云計算或是打算使用云計算，你不應(yīng)當(dāng)忽視以下五個方面的法律風(fēng)險。

1. 隱私

《美國健康保險流通和責(zé)任法案》(HIPAA) 規(guī)定將個人健康信息透露給第三方公司應(yīng)達成“業(yè)務(wù)關(guān)系協(xié)議”。這些合同規(guī)定第三方如何處理這類數(shù)據(jù)。舊金山Sideman & Bancroft律師事務(wù)所律師Polly Dinkel稱：“許多人在使用云計算時，并沒有考慮這一規(guī)定。他們并不認為他們是在向第三方透露信息，但是事實是他們透露了。”

與此相同的是，《格雷姆-里奇-比利雷法案》規(guī)定金融機構(gòu)要與共享其客戶個人信息的第三方簽署協(xié)議，以確保第三方能夠安全的存儲這些數(shù)據(jù)。Dinkel稱：“必須要以合同的形式履行和維持這類安全措施。”

她指出，如果云計算協(xié)議中未能實現(xiàn)這些要求，金融機構(gòu)的執(zhí)行官們應(yīng)當(dāng)親自對此承擔(dān)責(zé)任。

Mayer Brown律師事務(wù)所合作伙伴Dan Masur稱，棘手的部分是要求清楚地知道所有云服務(wù)提供商的數(shù)據(jù)中心和次承包商的所在地。他稱，《薩班斯—奧克斯利法案》規(guī)定數(shù)據(jù)的原始擁有者需知道在云計算環(huán)境中數(shù)據(jù)在何處，以及在何處保持對其的控制。

正如Masur所說的那樣“你可以讓數(shù)據(jù)遷移至全球任何地方，但這不僅僅是提供商的事，而是整個次提供商與次承包商網(wǎng)絡(luò)和平臺的事。在任何時候，它們的準(zhǔn)確位置在哪里?它們經(jīng)過了多少國家，需遵守什么樣的相關(guān)法律呢?即使你與提供商簽訂了合同，你是否真的能夠確認提供商向下推行這些條款，讓整個次承包商網(wǎng)絡(luò)都遵守這些合同條款。”

Masur稱，客戶需要堅持確認這些次承包商，以及讓合同條款適用于他們。好消息是，一些大型云服務(wù)提供商僅提供位于美國境內(nèi)的公共云，并且保證合同的相關(guān)條款適用于次承包商。

在美國急診醫(yī)學(xué)實踐管理公司Schumacher Group內(nèi)，大約80%至90%的IT程序被分別托管給了12家不同的云服務(wù)提供商。

該公司首席信息官Douglas Menefee稱：“我們選擇的服務(wù)提供商必須遵從HIPAA規(guī)定和有關(guān)要求。”他還要求云服務(wù)提供商簽署一份業(yè)務(wù)關(guān)系協(xié)議，協(xié)議規(guī)定提供商的雇員只可在必要時才能查看與他們工作有關(guān)的信息，

2. 跨司法管轄區(qū)

市場研究機構(gòu)Gartner的云服務(wù)全球IT委員會抱怨“服務(wù)提供商沒有很好的解釋他們將數(shù)據(jù)放在了哪個司法管轄區(qū)內(nèi)，接受服務(wù)的客戶必須要遵守哪些法律規(guī)定。”云服務(wù)全球IT委員會由眾多試圖規(guī)范云服務(wù)的首席信息官組成。

該委員會在聲明中稱：“云用戶有權(quán)知道提供商運營活動所在的司法管轄區(qū)內(nèi)的法律規(guī)定。否則，如果云服務(wù)提供商將客戶的數(shù)據(jù)存儲或轉(zhuǎn)移至國外，那么用戶將在不知情的情況下要被迫遵守一些法律規(guī)定。”

比如，歐盟有著全球最嚴(yán)格的隱私法規(guī)，在云計算中遵守這些法規(guī)將會更為復(fù)雜。

除非歐盟認為數(shù)據(jù)的接收國擁有“充足的保護措施”，否則歐盟禁止這些數(shù)據(jù)轉(zhuǎn)移出歐盟。Dinkel稱，一般情況下，很少有國家能夠達到歐盟的要求。她稱：“你必須考慮你的服務(wù)器是否在歐盟國家，服務(wù)器中是否存儲涉及歐盟國家人員的數(shù)據(jù)，以及你是否正在將數(shù)據(jù)從一個服務(wù)器遷移至另一個服務(wù)器。有的服務(wù)提供商設(shè)置了專門用于存儲歐盟數(shù)據(jù)的獨立云，以應(yīng)對這一問題。”

歐洲管理人員目前正在審查云計算，以搞清楚這一新技術(shù)在多大程度上適合當(dāng)前使用、收集、存儲和轉(zhuǎn)移個人信息的管理框架。Dinkel稱，云計算用戶希望跳出這些額外的束縛。例如，他們可能不得不獲得一個特殊許可，向歐洲數(shù)據(jù)保護部門提交報告，詳細闡述數(shù)據(jù)的使用和存儲計劃。

云計算用戶還應(yīng)當(dāng)知道，提供商和他們的服務(wù)器所在地可決定在發(fā)生問題后在哪里打官司。Dinkel稱：“你或許會發(fā)現(xiàn)在哪個國家打官司取決于你的服務(wù)提供商的所在地。”

Schumacher集團的云合同要求數(shù)據(jù)必須存儲在美國境內(nèi)的數(shù)據(jù)中心上。Menefee稱：“這對于將我們的數(shù)據(jù)存儲在海外的提供商來說沒有什么意義。”

3. 搜查令

Dinkel稱，公共云的一個令人擔(dān)心的特點是不同客戶的數(shù)據(jù)可能會存儲在同一個服務(wù)器內(nèi)。她解釋稱：“如果提供商得到了有關(guān)其中一個客戶的搜查令，而碰巧其他客戶的數(shù)據(jù)也在同一臺服務(wù)器上，那么所有的數(shù)據(jù)都會被查封，即使不是搜查目標(biāo)的公司也無法訪問他們的數(shù)據(jù)。”

數(shù)據(jù)的相互混合在2009年導(dǎo)致了一個嚴(yán)重的問題。當(dāng)時FBI搜查了位于德克薩斯的兩個數(shù)據(jù)中心，以調(diào)查某一數(shù)據(jù)中心用戶。FBI特工查封了大約220臺服務(wù)器，以及數(shù)量眾多的路由器、交換機、服務(wù)器機架和電源。新聞媒體報道稱，這一查封行動導(dǎo)致該數(shù)據(jù)中心損失了數(shù)百萬美元的營收。此外，還導(dǎo)致數(shù)據(jù)中心的許多客戶業(yè)務(wù)中斷，甚至面臨破產(chǎn)的危險。

你是如何規(guī)避這類風(fēng)險的呢?私有云當(dāng)然可以解決數(shù)據(jù)混合問題。但是如果無法選擇私有云，你應(yīng)當(dāng)就客戶數(shù)據(jù)如何分區(qū)存儲問題從云服務(wù)提供商那里得到保證，以確保搜查令或查封行動不會影響你的數(shù)據(jù)。

4. 電子數(shù)據(jù)取證

被傳喚的數(shù)據(jù)擁有者有義務(wù)保留所有涉及訴訟的信息，也有義務(wù)為取證收集數(shù)據(jù)。如果數(shù)據(jù)在你的“保管、控制或持有下”，保留數(shù)據(jù)的要求將適用。對于那些擁有數(shù)據(jù)的云用戶，Dinkel稱：“這一點已經(jīng)非常明確，如果在云上，還需要考慮這些數(shù)據(jù)在你的保管、控制或持有下。”如果服務(wù)商在取證期限內(nèi)沒有保留這些數(shù)據(jù)或是無法提供這些數(shù)據(jù)，那么云用戶將因此受到處罰。

重要的是，對方當(dāng)事人可以直接去云服務(wù)提供商那里調(diào)取相關(guān)記錄。Dinkel稱：“在這一點上，數(shù)據(jù)擁有者失去了對形勢的控制權(quán)。”

更麻煩的是，不同的云服務(wù)提供商有著不同的存儲程序，如果數(shù)據(jù)沒有正確映射，恢復(fù)這些數(shù)據(jù)十分困難，并且費用昂貴。

當(dāng)電子取證請求書被送到你的手中，你必須能夠及時提供相關(guān)文件。如果無法及時提供，那么你將面臨巨額罰金(在一起案例中，罰金數(shù)額為每天5萬美元)。重要的是，由于案件遞交到法庭時已過去數(shù)年時間，因此公司可能不得不回溯三至五年前的相關(guān)數(shù)據(jù)。

大型云服務(wù)提供商意識到他們必須要對電子取證請求書做出快速回應(yīng)，因此為了能夠快速追蹤和恢復(fù)數(shù)據(jù)，他們會維持附屬于記錄的最初元數(shù)據(jù)

律師表示，云服務(wù)合同應(yīng)當(dāng)要求服務(wù)提供商維護元數(shù)據(jù)，以使其能夠被容易恢復(fù)，同時要求提供商應(yīng)在請求書的截止日期前提供電子文檔。

5. 數(shù)據(jù)安全

在云計算環(huán)境中保護數(shù)據(jù)安全的方法有很多種，如加密。但是將公司的記錄存儲在一處的做法存在著安全風(fēng)險。因為這為黑客提供了一份信息大餐。一些云服務(wù)提供商已經(jīng)開始著手解決這一隱患。

比如，谷歌應(yīng)用的安全模式是將存儲的數(shù)據(jù)拆分成比特級，然后再分別存儲在不同的數(shù)據(jù)中心。作為谷歌應(yīng)用用戶的Menefee稱：“我們發(fā)現(xiàn)這非常有效。如果數(shù)據(jù)泄露了，黑客也僅能得到一部分組件，這只能算得上是龐大拼圖中的一片而已。”

另一個問題是：誰應(yīng)當(dāng)為云計算的安全違規(guī)行為買單?Dinkel稱：“你希望服務(wù)提供商為此買單——因為可能是他們那邊的失誤導(dǎo)致數(shù)據(jù)泄露的。”

在許多國家，如果云服務(wù)提供商發(fā)生數(shù)據(jù)泄露，那么在公共云中存儲客戶數(shù)據(jù)的機構(gòu)有責(zé)任通知他們的客戶。她稱，“除非合同中明確注明應(yīng)當(dāng)及時通知，否則如果發(fā)生了數(shù)據(jù)泄露事件，你可能無法及時知道。”

Menefee將與這些涉及安全的條款列入到了Schumacher集團所有的云服務(wù)合同。他稱：“如果發(fā)生了數(shù)據(jù)泄露事件，那么應(yīng)當(dāng)對此負責(zé)的是他們，而不是我們。”

風(fēng)險一直在發(fā)生著變化。當(dāng)合同做好更新的準(zhǔn)備以確保能夠解決新問題時，咨詢法律顧問非常重要。比如，Menefee準(zhǔn)備在未來的合同中增加退出條款，以便在服務(wù)提供商的所有權(quán)發(fā)生變更時保護Schumacher集團。

Menefee 稱：“我們在過去六個月里經(jīng)歷了一個‘頓悟時刻’。我認為云服務(wù)市場內(nèi)部將會出現(xiàn)大規(guī)模整合。我正在尋求能夠退出合同的能力，以防服務(wù)提供商所有權(quán)發(fā)生變更，以及提供商在變革中無法滿足服務(wù)級協(xié)議。對于我來說，這是我們標(biāo)準(zhǔn)化管理中的一部分。”

原文鏈接：http://www.cioage.com/art/201105/92291.htm