簡述選擇公有云服務(wù)的五大法律風(fēng)險(xiǎn)
2011/05/13
摘要:在你考慮清楚云計(jì)算服務(wù)協(xié)議在五個(gè)方面的法律風(fēng)險(xiǎn)之前,不要輕易簽署協(xié)議。
去年�����,一家知名的全球食品生產(chǎn)與配送公司打算將他們的人力資源管理程序交給一家軟件即服務(wù)(SaaS)提供商運(yùn)營��。但是當(dāng)這家食品公司的律師審查這份擬議合同時(shí)�����,他們發(fā)現(xiàn)這份合同在法律方面存在著一些嚴(yán)重隱患��。
首先���,這家SaaS提供商在美國、歐洲和加拿大都有業(yè)務(wù)�����。這家食品公司的律師���,外包方面的專家Rebecca Eisner回憶稱:“歐洲和加拿大是兩個(gè)不同的司法管轄區(qū)����,他們對個(gè)人信息的使用有著嚴(yán)格的規(guī)定�。由于是人力資源系統(tǒng),因此其中涉及大量的個(gè)人信息����。”
這家服務(wù)提供商希望能夠靈活地將公司的信息轉(zhuǎn)移至全球其它地方的數(shù)據(jù)中心上���,這導(dǎo)致公司必須遵守這些國家有關(guān)數(shù)據(jù)流入或流經(jīng)的法規(guī)���。
由于這家食品公司對SaaS應(yīng)用十分著迷��,因此并沒有意識(shí)到其中的法律風(fēng)險(xiǎn)���。經(jīng)過兩個(gè)月的談判,雙方簽訂了一份合同�����。
Mayer Brown律師事務(wù)所芝加哥辦公室的合作伙伴Eisner稱:“這家SaaS服務(wù)提供商并不愿意承認(rèn)他們?nèi)狈@方面的豐富經(jīng)驗(yàn)�����。他們知道我們的職責(zé)是干什么的������!盓isner稱:“最終,他們明白���,如果想讓這家食品公司成為他們的客戶����,以及今后得到全球其他地方的客戶,他們需要提供這類最低限度的保護(hù)����。因此他們最終同意要求�������!
如果你使用云計(jì)算或是打算使用云計(jì)算����,你不應(yīng)當(dāng)忽視以下五個(gè)方面的法律風(fēng)險(xiǎn)。
1. 隱私
《美國健康保險(xiǎn)流通和責(zé)任法案》(HIPAA) 規(guī)定將個(gè)人健康信息透露給第三方公司應(yīng)達(dá)成“業(yè)務(wù)關(guān)系協(xié)議”�。這些合同規(guī)定第三方如何處理這類數(shù)據(jù)。舊金山Sideman & Bancroft律師事務(wù)所律師Polly Dinkel稱:“許多人在使用云計(jì)算時(shí)����,并沒有考慮這一規(guī)定。他們并不認(rèn)為他們是在向第三方透露信息�,但是事實(shí)是他們透露了���!
與此相同的是����,《格雷姆-里奇-比利雷法案》規(guī)定金融機(jī)構(gòu)要與共享其客戶個(gè)人信息的第三方簽署協(xié)議,以確保第三方能夠安全的存儲(chǔ)這些數(shù)據(jù)�。Dinkel稱:“必須要以合同的形式履行和維持這類安全措施�����!
她指出��,如果云計(jì)算協(xié)議中未能實(shí)現(xiàn)這些要求���,金融機(jī)構(gòu)的執(zhí)行官們應(yīng)當(dāng)親自對此承擔(dān)責(zé)任��。
Mayer Brown律師事務(wù)所合作伙伴Dan Masur稱��,棘手的部分是要求清楚地知道所有云服務(wù)提供商的數(shù)據(jù)中心和次承包商的所在地�����。他稱���,《薩班斯—奧克斯利法案》規(guī)定數(shù)據(jù)的原始擁有者需知道在云計(jì)算環(huán)境中數(shù)據(jù)在何處,以及在何處保持對其的控制。
正如Masur所說的那樣“你可以讓數(shù)據(jù)遷移至全球任何地方���,但這不僅僅是提供商的事�,而是整個(gè)次提供商與次承包商網(wǎng)絡(luò)和平臺(tái)的事��。在任何時(shí)候��,它們的準(zhǔn)確位置在哪里?它們經(jīng)過了多少國家����,需遵守什么樣的相關(guān)法律呢?即使你與提供商簽訂了合同����,你是否真的能夠確認(rèn)提供商向下推行這些條款,讓整個(gè)次承包商網(wǎng)絡(luò)都遵守這些合同條款�������!
Masur稱�,客戶需要堅(jiān)持確認(rèn)這些次承包商,以及讓合同條款適用于他們�����。好消息是,一些大型云服務(wù)提供商僅提供位于美國境內(nèi)的公共云����,并且保證合同的相關(guān)條款適用于次承包商。
在美國急診醫(yī)學(xué)實(shí)踐管理公司Schumacher Group內(nèi)�����,大約80%至90%的IT程序被分別托管給了12家不同的云服務(wù)提供商�����。
該公司首席信息官Douglas Menefee稱:“我們選擇的服務(wù)提供商必須遵從HIPAA規(guī)定和有關(guān)要求�������!彼要求云服務(wù)提供商簽署一份業(yè)務(wù)關(guān)系協(xié)議�����,協(xié)議規(guī)定提供商的雇員只可在必要時(shí)才能查看與他們工作有關(guān)的信息��,
2. 跨司法管轄區(qū)
市場研究機(jī)構(gòu)Gartner的云服務(wù)全球IT委員會(huì)抱怨“服務(wù)提供商沒有很好的解釋他們將數(shù)據(jù)放在了哪個(gè)司法管轄區(qū)內(nèi),接受服務(wù)的客戶必須要遵守哪些法律規(guī)定��������!痹品⻊(wù)全球IT委員會(huì)由眾多試圖規(guī)范云服務(wù)的首席信息官組成���。
該委員會(huì)在聲明中稱:“云用戶有權(quán)知道提供商運(yùn)營活動(dòng)所在的司法管轄區(qū)內(nèi)的法律規(guī)定。否則����,如果云服務(wù)提供商將客戶的數(shù)據(jù)存儲(chǔ)或轉(zhuǎn)移至國外,那么用戶將在不知情的情況下要被迫遵守一些法律規(guī)定��������!
比如,歐盟有著全球最嚴(yán)格的隱私法規(guī)����,在云計(jì)算中遵守這些法規(guī)將會(huì)更為復(fù)雜����。
除非歐盟認(rèn)為數(shù)據(jù)的接收國擁有“充足的保護(hù)措施”�,否則歐盟禁止這些數(shù)據(jù)轉(zhuǎn)移出歐盟。Dinkel稱����,一般情況下,很少有國家能夠達(dá)到歐盟的要求�����。她稱:“你必須考慮你的服務(wù)器是否在歐盟國家�����,服務(wù)器中是否存儲(chǔ)涉及歐盟國家人員的數(shù)據(jù)����,以及你是否正在將數(shù)據(jù)從一個(gè)服務(wù)器遷移至另一個(gè)服務(wù)器。有的服務(wù)提供商設(shè)置了專門用于存儲(chǔ)歐盟數(shù)據(jù)的獨(dú)立云�,以應(yīng)對這一問題�!
歐洲管理人員目前正在審查云計(jì)算,以搞清楚這一新技術(shù)在多大程度上適合當(dāng)前使用����、收集����、存儲(chǔ)和轉(zhuǎn)移個(gè)人信息的管理框架�����。Dinkel稱�,云計(jì)算用戶希望跳出這些額外的束縛。例如��,他們可能不得不獲得一個(gè)特殊許可�,向歐洲數(shù)據(jù)保護(hù)部門提交報(bào)告,詳細(xì)闡述數(shù)據(jù)的使用和存儲(chǔ)計(jì)劃�。
云計(jì)算用戶還應(yīng)當(dāng)知道,提供商和他們的服務(wù)器所在地可決定在發(fā)生問題后在哪里打官司�����。Dinkel稱:“你或許會(huì)發(fā)現(xiàn)在哪個(gè)國家打官司取決于你的服務(wù)提供商的所在地���!
Schumacher集團(tuán)的云合同要求數(shù)據(jù)必須存儲(chǔ)在美國境內(nèi)的數(shù)據(jù)中心上�。Menefee稱:“這對于將我們的數(shù)據(jù)存儲(chǔ)在海外的提供商來說沒有什么意義���!
3. 搜查令
Dinkel稱��,公共云的一個(gè)令人擔(dān)心的特點(diǎn)是不同客戶的數(shù)據(jù)可能會(huì)存儲(chǔ)在同一個(gè)服務(wù)器內(nèi)�����。她解釋稱:“如果提供商得到了有關(guān)其中一個(gè)客戶的搜查令�,而碰巧其他客戶的數(shù)據(jù)也在同一臺(tái)服務(wù)器上,那么所有的數(shù)據(jù)都會(huì)被查封����,即使不是搜查目標(biāo)的公司也無法訪問他們的數(shù)據(jù)�!
數(shù)據(jù)的相互混合在2009年導(dǎo)致了一個(gè)嚴(yán)重的問題。當(dāng)時(shí)FBI搜查了位于德克薩斯的兩個(gè)數(shù)據(jù)中心���,以調(diào)查某一數(shù)據(jù)中心用戶���。FBI特工查封了大約220臺(tái)服務(wù)器,以及數(shù)量眾多的路由器��、交換機(jī)����、服務(wù)器機(jī)架和電源�。新聞媒體報(bào)道稱����,這一查封行動(dòng)導(dǎo)致該數(shù)據(jù)中心損失了數(shù)百萬美元的營收。此外�����,還導(dǎo)致數(shù)據(jù)中心的許多客戶業(yè)務(wù)中斷����,甚至面臨破產(chǎn)的危險(xiǎn)。
你是如何規(guī)避這類風(fēng)險(xiǎn)的呢?私有云當(dāng)然可以解決數(shù)據(jù)混合問題�����。但是如果無法選擇私有云����,你應(yīng)當(dāng)就客戶數(shù)據(jù)如何分區(qū)存儲(chǔ)問題從云服務(wù)提供商那里得到保證,以確保搜查令或查封行動(dòng)不會(huì)影響你的數(shù)據(jù)��。
4. 電子數(shù)據(jù)取證
被傳喚的數(shù)據(jù)擁有者有義務(wù)保留所有涉及訴訟的信息�����,也有義務(wù)為取證收集數(shù)據(jù)���。如果數(shù)據(jù)在你的“保管���、控制或持有下”,保留數(shù)據(jù)的要求將適用���。對于那些擁有數(shù)據(jù)的云用戶����,Dinkel稱:“這一點(diǎn)已經(jīng)非常明確�����,如果在云上���,還需要考慮這些數(shù)據(jù)在你的保管�、控制或持有下���������!比绻⻊(wù)商在取證期限內(nèi)沒有保留這些數(shù)據(jù)或是無法提供這些數(shù)據(jù)����,那么云用戶將因此受到處罰����。
重要的是,對方當(dāng)事人可以直接去云服務(wù)提供商那里調(diào)取相關(guān)記錄����。Dinkel稱:“在這一點(diǎn)上,數(shù)據(jù)擁有者失去了對形勢的控制權(quán)����。”
更麻煩的是�����,不同的云服務(wù)提供商有著不同的存儲(chǔ)程序�,如果數(shù)據(jù)沒有正確映射,恢復(fù)這些數(shù)據(jù)十分困難,并且費(fèi)用昂貴�����。
當(dāng)電子取證請求書被送到你的手中�����,你必須能夠及時(shí)提供相關(guān)文件����。如果無法及時(shí)提供����,那么你將面臨巨額罰金(在一起案例中,罰金數(shù)額為每天5萬美元)�����。重要的是��,由于案件遞交到法庭時(shí)已過去數(shù)年時(shí)間�����,因此公司可能不得不回溯三至五年前的相關(guān)數(shù)據(jù)。
大型云服務(wù)提供商意識(shí)到他們必須要對電子取證請求書做出快速回應(yīng)���,因此為了能夠快速追蹤和恢復(fù)數(shù)據(jù)�,他們會(huì)維持附屬于記錄的最初元數(shù)據(jù)
律師表示��,云服務(wù)合同應(yīng)當(dāng)要求服務(wù)提供商維護(hù)元數(shù)據(jù)�,以使其能夠被容易恢復(fù),同時(shí)要求提供商應(yīng)在請求書的截止日期前提供電子文檔�。
5. 數(shù)據(jù)安全
在云計(jì)算環(huán)境中保護(hù)數(shù)據(jù)安全的方法有很多種,如加密��。但是將公司的記錄存儲(chǔ)在一處的做法存在著安全風(fēng)險(xiǎn)�����。因?yàn)檫@為黑客提供了一份信息大餐�。一些云服務(wù)提供商已經(jīng)開始著手解決這一隱患。
比如�,谷歌應(yīng)用的安全模式是將存儲(chǔ)的數(shù)據(jù)拆分成比特級(jí),然后再分別存儲(chǔ)在不同的數(shù)據(jù)中心�����。作為谷歌應(yīng)用用戶的Menefee稱:“我們發(fā)現(xiàn)這非常有效��。如果數(shù)據(jù)泄露了,黑客也僅能得到一部分組件����,這只能算得上是龐大拼圖中的一片而已��!
另一個(gè)問題是:誰應(yīng)當(dāng)為云計(jì)算的安全違規(guī)行為買單?Dinkel稱:“你希望服務(wù)提供商為此買單——因?yàn)榭赡苁撬麄兡沁叺氖д`導(dǎo)致數(shù)據(jù)泄露的���。”
在許多國家�����,如果云服務(wù)提供商發(fā)生數(shù)據(jù)泄露�����,那么在公共云中存儲(chǔ)客戶數(shù)據(jù)的機(jī)構(gòu)有責(zé)任通知他們的客戶�����。她稱���,“除非合同中明確注明應(yīng)當(dāng)及時(shí)通知��,否則如果發(fā)生了數(shù)據(jù)泄露事件��,你可能無法及時(shí)知道����������!
Menefee將與這些涉及安全的條款列入到了Schumacher集團(tuán)所有的云服務(wù)合同�����。他稱:“如果發(fā)生了數(shù)據(jù)泄露事件�����,那么應(yīng)當(dāng)對此負(fù)責(zé)的是他們���,而不是我們�����!
風(fēng)險(xiǎn)一直在發(fā)生著變化����。當(dāng)合同做好更新的準(zhǔn)備以確保能夠解決新問題時(shí)���,咨詢法律顧問非常重要����。比如���,Menefee準(zhǔn)備在未來的合同中增加退出條款,以便在服務(wù)提供商的所有權(quán)發(fā)生變更時(shí)保護(hù)Schumacher集團(tuán)�。
Menefee 稱:“我們在過去六個(gè)月里經(jīng)歷了一個(gè)‘頓悟時(shí)刻’。我認(rèn)為云服務(wù)市場內(nèi)部將會(huì)出現(xiàn)大規(guī)模整合���。我正在尋求能夠退出合同的能力�����,以防服務(wù)提供商所有權(quán)發(fā)生變更���,以及提供商在變革中無法滿足服務(wù)級(jí)協(xié)議。對于我來說��,這是我們標(biāo)準(zhǔn)化管理中的一部分���!(范范編譯)
相關(guān)鏈接
關(guān)鍵的云服務(wù)合同條款
可通過起草包含有下列條款的合同規(guī)避云計(jì)算中的法律風(fēng)險(xiǎn):
- 要求服務(wù)提供商在收到了關(guān)于信息的搜查令或傳票時(shí)告知你�。
- 明確安全控制措施��,以及這些數(shù)據(jù)將存儲(chǔ)在哪個(gè)國家�����。
- 明確服務(wù)提供商對電子數(shù)據(jù)取證請求的反應(yīng)速度�����,確保信息能夠被很容易的恢復(fù)���。
- 要求服務(wù)提供商在雇傭新的次承包商或?qū)?shù)據(jù)轉(zhuǎn)移至新的司法管轄區(qū)時(shí)告知你���。
- 提供一個(gè)退出條款,以在協(xié)議無法履行或服務(wù)提供商停止服務(wù)時(shí)保護(hù)自己的權(quán)益���。條款應(yīng)當(dāng)確保你能夠在規(guī)定的時(shí)間內(nèi)以規(guī)定的形式取回你的數(shù)據(jù)�����。
云環(huán)境下的隱私保護(hù)法案與法規(guī)
- 歐盟委員會(huì)正在修訂1995年版《歐盟個(gè)人資料保護(hù)指令》
- 墨西哥實(shí)施了一個(gè)內(nèi)容更為廣泛的聯(lián)邦隱私法���,該法將影響到眾多總部位于美國的大型公司在該國的經(jīng)營活動(dòng)�����。
- 在美國�,如果信息由第三方持有(如云服務(wù)提供商)而不是由最初收集這些數(shù)據(jù)的公司持有���,那么傳喚或強(qiáng)迫公布信息將更為容易���。
- 在某些情況下,《愛國者法案》允許美國政府無需告知數(shù)據(jù)收集方即可獲取由云服務(wù)提供商持有的個(gè)人信息或是受調(diào)查的東西�。
網(wǎng)界網(wǎng)
相關(guān)閱讀: