簡述選擇公有云服務(wù)的五大法律風(fēng)險
2011/05/13
摘要:在你考慮清楚云計算服務(wù)協(xié)議在五個方面的法律風(fēng)險之前,不要輕易簽署協(xié)議��。
去年���,一家知名的全球食品生產(chǎn)與配送公司打算將他們的人力資源管理程序交給一家軟件即服務(wù)(SaaS)提供商運(yùn)營。但是當(dāng)這家食品公司的律師審查這份擬議合同時����,他們發(fā)現(xiàn)這份合同在法律方面存在著一些嚴(yán)重隱患。
首先�,這家SaaS提供商在美國、歐洲和加拿大都有業(yè)務(wù)����。這家食品公司的律師,外包方面的專家Rebecca Eisner回憶稱:“歐洲和加拿大是兩個不同的司法管轄區(qū)����,他們對個人信息的使用有著嚴(yán)格的規(guī)定。由于是人力資源系統(tǒng)�,因此其中涉及大量的個人信息��!
這家服務(wù)提供商希望能夠靈活地將公司的信息轉(zhuǎn)移至全球其它地方的數(shù)據(jù)中心上��,這導(dǎo)致公司必須遵守這些國家有關(guān)數(shù)據(jù)流入或流經(jīng)的法規(guī)。
由于這家食品公司對SaaS應(yīng)用十分著迷����,因此并沒有意識到其中的法律風(fēng)險。經(jīng)過兩個月的談判����,雙方簽訂了一份合同。
Mayer Brown律師事務(wù)所芝加哥辦公室的合作伙伴Eisner稱:“這家SaaS服務(wù)提供商并不愿意承認(rèn)他們?nèi)狈@方面的豐富經(jīng)驗��。他們知道我們的職責(zé)是干什么的��������!盓isner稱:“最終���,他們明白,如果想讓這家食品公司成為他們的客戶���,以及今后得到全球其他地方的客戶����,他們需要提供這類最低限度的保護(hù)。因此他們最終同意要求�。”
如果你使用云計算或是打算使用云計算�,你不應(yīng)當(dāng)忽視以下五個方面的法律風(fēng)險。
1. 隱私
《美國健康保險流通和責(zé)任法案》(HIPAA) 規(guī)定將個人健康信息透露給第三方公司應(yīng)達(dá)成“業(yè)務(wù)關(guān)系協(xié)議”����。這些合同規(guī)定第三方如何處理這類數(shù)據(jù)���。舊金山Sideman & Bancroft律師事務(wù)所律師Polly Dinkel稱:“許多人在使用云計算時����,并沒有考慮這一規(guī)定�。他們并不認(rèn)為他們是在向第三方透露信息,但是事實是他們透露了�。”
與此相同的是��,《格雷姆-里奇-比利雷法案》規(guī)定金融機(jī)構(gòu)要與共享其客戶個人信息的第三方簽署協(xié)議�����,以確保第三方能夠安全的存儲這些數(shù)據(jù)��。Dinkel稱:“必須要以合同的形式履行和維持這類安全措施�!
她指出,如果云計算協(xié)議中未能實現(xiàn)這些要求�����,金融機(jī)構(gòu)的執(zhí)行官們應(yīng)當(dāng)親自對此承擔(dān)責(zé)任�。
Mayer Brown律師事務(wù)所合作伙伴Dan Masur稱,棘手的部分是要求清楚地知道所有云服務(wù)提供商的數(shù)據(jù)中心和次承包商的所在地�。他稱,《薩班斯—奧克斯利法案》規(guī)定數(shù)據(jù)的原始擁有者需知道在云計算環(huán)境中數(shù)據(jù)在何處�����,以及在何處保持對其的控制����。
正如Masur所說的那樣“你可以讓數(shù)據(jù)遷移至全球任何地方,但這不僅僅是提供商的事�,而是整個次提供商與次承包商網(wǎng)絡(luò)和平臺的事。在任何時候�,它們的準(zhǔn)確位置在哪里?它們經(jīng)過了多少國家,需遵守什么樣的相關(guān)法律呢?即使你與提供商簽訂了合同�,你是否真的能夠確認(rèn)提供商向下推行這些條款,讓整個次承包商網(wǎng)絡(luò)都遵守這些合同條款����!
Masur稱,客戶需要堅持確認(rèn)這些次承包商��,以及讓合同條款適用于他們����。好消息是,一些大型云服務(wù)提供商僅提供位于美國境內(nèi)的公共云��,并且保證合同的相關(guān)條款適用于次承包商���。
在美國急診醫(yī)學(xué)實踐管理公司Schumacher Group內(nèi),大約80%至90%的IT程序被分別托管給了12家不同的云服務(wù)提供商�����。
該公司首席信息官Douglas Menefee稱:“我們選擇的服務(wù)提供商必須遵從HIPAA規(guī)定和有關(guān)要求������!彼要求云服務(wù)提供商簽署一份業(yè)務(wù)關(guān)系協(xié)議,協(xié)議規(guī)定提供商的雇員只可在必要時才能查看與他們工作有關(guān)的信息�,
2. 跨司法管轄區(qū)
市場研究機(jī)構(gòu)Gartner的云服務(wù)全球IT委員會抱怨“服務(wù)提供商沒有很好的解釋他們將數(shù)據(jù)放在了哪個司法管轄區(qū)內(nèi)����,接受服務(wù)的客戶必須要遵守哪些法律規(guī)定�������!痹品⻊(wù)全球IT委員會由眾多試圖規(guī)范云服務(wù)的首席信息官組成���。
該委員會在聲明中稱:“云用戶有權(quán)知道提供商運(yùn)營活動所在的司法管轄區(qū)內(nèi)的法律規(guī)定��。否則�,如果云服務(wù)提供商將客戶的數(shù)據(jù)存儲或轉(zhuǎn)移至國外�,那么用戶將在不知情的情況下要被迫遵守一些法律規(guī)定��!
比如���,歐盟有著全球最嚴(yán)格的隱私法規(guī)�,在云計算中遵守這些法規(guī)將會更為復(fù)雜�。
除非歐盟認(rèn)為數(shù)據(jù)的接收國擁有“充足的保護(hù)措施”,否則歐盟禁止這些數(shù)據(jù)轉(zhuǎn)移出歐盟。Dinkel稱����,一般情況下,很少有國家能夠達(dá)到歐盟的要求����。她稱:“你必須考慮你的服務(wù)器是否在歐盟國家,服務(wù)器中是否存儲涉及歐盟國家人員的數(shù)據(jù)���,以及你是否正在將數(shù)據(jù)從一個服務(wù)器遷移至另一個服務(wù)器��。有的服務(wù)提供商設(shè)置了專門用于存儲歐盟數(shù)據(jù)的獨(dú)立云�����,以應(yīng)對這一問題��!
歐洲管理人員目前正在審查云計算�����,以搞清楚這一新技術(shù)在多大程度上適合當(dāng)前使用��、收集、存儲和轉(zhuǎn)移個人信息的管理框架�。Dinkel稱,云計算用戶希望跳出這些額外的束縛�。例如,他們可能不得不獲得一個特殊許可��,向歐洲數(shù)據(jù)保護(hù)部門提交報告�,詳細(xì)闡述數(shù)據(jù)的使用和存儲計劃。
云計算用戶還應(yīng)當(dāng)知道���,提供商和他們的服務(wù)器所在地可決定在發(fā)生問題后在哪里打官司�����。Dinkel稱:“你或許會發(fā)現(xiàn)在哪個國家打官司取決于你的服務(wù)提供商的所在地���!
Schumacher集團(tuán)的云合同要求數(shù)據(jù)必須存儲在美國境內(nèi)的數(shù)據(jù)中心上���。Menefee稱:“這對于將我們的數(shù)據(jù)存儲在海外的提供商來說沒有什么意義����!
3. 搜查令
Dinkel稱�����,公共云的一個令人擔(dān)心的特點(diǎn)是不同客戶的數(shù)據(jù)可能會存儲在同一個服務(wù)器內(nèi)����。她解釋稱:“如果提供商得到了有關(guān)其中一個客戶的搜查令,而碰巧其他客戶的數(shù)據(jù)也在同一臺服務(wù)器上�����,那么所有的數(shù)據(jù)都會被查封���,即使不是搜查目標(biāo)的公司也無法訪問他們的數(shù)據(jù)���。”
數(shù)據(jù)的相互混合在2009年導(dǎo)致了一個嚴(yán)重的問題���。當(dāng)時FBI搜查了位于德克薩斯的兩個數(shù)據(jù)中心���,以調(diào)查某一數(shù)據(jù)中心用戶����。FBI特工查封了大約220臺服務(wù)器,以及數(shù)量眾多的路由器、交換機(jī)�、服務(wù)器機(jī)架和電源。新聞媒體報道稱��,這一查封行動導(dǎo)致該數(shù)據(jù)中心損失了數(shù)百萬美元的營收��。此外����,還導(dǎo)致數(shù)據(jù)中心的許多客戶業(yè)務(wù)中斷,甚至面臨破產(chǎn)的危險���。
你是如何規(guī)避這類風(fēng)險的呢?私有云當(dāng)然可以解決數(shù)據(jù)混合問題��。但是如果無法選擇私有云�����,你應(yīng)當(dāng)就客戶數(shù)據(jù)如何分區(qū)存儲問題從云服務(wù)提供商那里得到保證���,以確保搜查令或查封行動不會影響你的數(shù)據(jù)。
4. 電子數(shù)據(jù)取證
被傳喚的數(shù)據(jù)擁有者有義務(wù)保留所有涉及訴訟的信息���,也有義務(wù)為取證收集數(shù)據(jù)�。如果數(shù)據(jù)在你的“保管、控制或持有下”��,保留數(shù)據(jù)的要求將適用�。對于那些擁有數(shù)據(jù)的云用戶,Dinkel稱:“這一點(diǎn)已經(jīng)非常明確�����,如果在云上����,還需要考慮這些數(shù)據(jù)在你的保管、控制或持有下�������!比绻⻊(wù)商在取證期限內(nèi)沒有保留這些數(shù)據(jù)或是無法提供這些數(shù)據(jù)��,那么云用戶將因此受到處罰���。
重要的是����,對方當(dāng)事人可以直接去云服務(wù)提供商那里調(diào)取相關(guān)記錄���。Dinkel稱:“在這一點(diǎn)上���,數(shù)據(jù)擁有者失去了對形勢的控制權(quán)����!
更麻煩的是,不同的云服務(wù)提供商有著不同的存儲程序��,如果數(shù)據(jù)沒有正確映射����,恢復(fù)這些數(shù)據(jù)十分困難,并且費(fèi)用昂貴�����。
當(dāng)電子取證請求書被送到你的手中����,你必須能夠及時提供相關(guān)文件。如果無法及時提供���,那么你將面臨巨額罰金(在一起案例中���,罰金數(shù)額為每天5萬美元)���。重要的是,由于案件遞交到法庭時已過去數(shù)年時間����,因此公司可能不得不回溯三至五年前的相關(guān)數(shù)據(jù)。
大型云服務(wù)提供商意識到他們必須要對電子取證請求書做出快速回應(yīng)���,因此為了能夠快速追蹤和恢復(fù)數(shù)據(jù)�,他們會維持附屬于記錄的最初元數(shù)據(jù)
律師表示�,云服務(wù)合同應(yīng)當(dāng)要求服務(wù)提供商維護(hù)元數(shù)據(jù),以使其能夠被容易恢復(fù)�����,同時要求提供商應(yīng)在請求書的截止日期前提供電子文檔�����。
5. 數(shù)據(jù)安全
在云計算環(huán)境中保護(hù)數(shù)據(jù)安全的方法有很多種,如加密�。但是將公司的記錄存儲在一處的做法存在著安全風(fēng)險。因為這為黑客提供了一份信息大餐����。一些云服務(wù)提供商已經(jīng)開始著手解決這一隱患��。
比如����,谷歌應(yīng)用的安全模式是將存儲的數(shù)據(jù)拆分成比特級,然后再分別存儲在不同的數(shù)據(jù)中心��。作為谷歌應(yīng)用用戶的Menefee稱:“我們發(fā)現(xiàn)這非常有效��。如果數(shù)據(jù)泄露了��,黑客也僅能得到一部分組件�,這只能算得上是龐大拼圖中的一片而已�����!
另一個問題是:誰應(yīng)當(dāng)為云計算的安全違規(guī)行為買單?Dinkel稱:“你希望服務(wù)提供商為此買單——因為可能是他們那邊的失誤導(dǎo)致數(shù)據(jù)泄露的�����。”
在許多國家�,如果云服務(wù)提供商發(fā)生數(shù)據(jù)泄露,那么在公共云中存儲客戶數(shù)據(jù)的機(jī)構(gòu)有責(zé)任通知他們的客戶����。她稱,“除非合同中明確注明應(yīng)當(dāng)及時通知�,否則如果發(fā)生了數(shù)據(jù)泄露事件,你可能無法及時知道����。”
Menefee將與這些涉及安全的條款列入到了Schumacher集團(tuán)所有的云服務(wù)合同��。他稱:“如果發(fā)生了數(shù)據(jù)泄露事件�,那么應(yīng)當(dāng)對此負(fù)責(zé)的是他們,而不是我們������!
風(fēng)險一直在發(fā)生著變化。當(dāng)合同做好更新的準(zhǔn)備以確保能夠解決新問題時��,咨詢法律顧問非常重要。比如����,Menefee準(zhǔn)備在未來的合同中增加退出條款,以便在服務(wù)提供商的所有權(quán)發(fā)生變更時保護(hù)Schumacher集團(tuán)����。
Menefee 稱:“我們在過去六個月里經(jīng)歷了一個‘頓悟時刻’���。我認(rèn)為云服務(wù)市場內(nèi)部將會出現(xiàn)大規(guī)模整合�。我正在尋求能夠退出合同的能力��,以防服務(wù)提供商所有權(quán)發(fā)生變更��,以及提供商在變革中無法滿足服務(wù)級協(xié)議��。對于我來說�,這是我們標(biāo)準(zhǔn)化管理中的一部分�����!(范范編譯)
相關(guān)鏈接
關(guān)鍵的云服務(wù)合同條款
可通過起草包含有下列條款的合同規(guī)避云計算中的法律風(fēng)險:
- 要求服務(wù)提供商在收到了關(guān)于信息的搜查令或傳票時告知你�����。
- 明確安全控制措施,以及這些數(shù)據(jù)將存儲在哪個國家���。
- 明確服務(wù)提供商對電子數(shù)據(jù)取證請求的反應(yīng)速度��,確保信息能夠被很容易的恢復(fù)�����。
- 要求服務(wù)提供商在雇傭新的次承包商或?qū)?shù)據(jù)轉(zhuǎn)移至新的司法管轄區(qū)時告知你���。
- 提供一個退出條款,以在協(xié)議無法履行或服務(wù)提供商停止服務(wù)時保護(hù)自己的權(quán)益����。條款應(yīng)當(dāng)確保你能夠在規(guī)定的時間內(nèi)以規(guī)定的形式取回你的數(shù)據(jù)。
云環(huán)境下的隱私保護(hù)法案與法規(guī)
- 歐盟委員會正在修訂1995年版《歐盟個人資料保護(hù)指令》
- 墨西哥實施了一個內(nèi)容更為廣泛的聯(lián)邦隱私法��,該法將影響到眾多總部位于美國的大型公司在該國的經(jīng)營活動���。
- 在美國���,如果信息由第三方持有(如云服務(wù)提供商)而不是由最初收集這些數(shù)據(jù)的公司持有�,那么傳喚或強(qiáng)迫公布信息將更為容易��。
- 在某些情況下��,《愛國者法案》允許美國政府無需告知數(shù)據(jù)收集方即可獲取由云服務(wù)提供商持有的個人信息或是受調(diào)查的東西�。
網(wǎng)界網(wǎng)
相關(guān)閱讀: