选择公有云服务的五大法律风险

作者：范范 编译

欢迎访问e展厅 展厅 3 CIO信息化管理展厅 电子商务/企业门户, IT运维管理, 制造执行系统MES, 流程管理BPR/BPM, SOA/SaaS/云计算, ... 去年，一家知名的全球食品生产与配送公司打算将他们的人力资源管理程序交给一家软件即服务(SaaS)提供商运营。但是当这家食品公司的律师审查这份拟议合同时，他们发现这份合同在法律方面存在着一些严重隐患。 首先，这家SaaS提供商在美国、欧洲和加拿大都有业务。这家食品公司的律师，外包方面的专家Rebecca Eisner回忆称：“欧洲和加拿大是两个不同的司法管辖区，他们对个人信息的使用有着严格的规定。由于是人力资源系统，因此其中涉及大量的个人信息。” 这家服务提供商希望能够灵活地将公司的信息转移至全球其它地方的数据中心上，这导致公司必须遵守这些国家有关数据流入或流经的法规。 由于这家食品公司对SaaS应用十分着迷，因此并没有意识到其中的法律风险。经过两个月的谈判，双方签订了一份合同。 Mayer Brown律师事务所芝加哥办公室的合作伙伴Eisner称：“这家SaaS服务提供商并不愿意承认他们缺乏这方面的丰富经验。他们知道我们的职责是干什么的。”Eisner称：“最终，他们明白，如果想让这家食品公司成为他们的客户，以及今后得到全球其他地方的客户，他们需要提供这类最低限度的保护。因此他们最终同意要求。” 如果你使用云计算或是打算使用云计算，你不应当忽视以下五个方面的法律风险。 1. 隐私 《美国健康保险流通和责任法案》(HIPAA) 规定将个人健康信息透露给第三方公司应达成“业务关系协议”。这些合同规定第三方如何处理这类数据。旧金山Sideman & Bancroft律师事务所律师Polly Dinkel称：“许多人在使用云计算时，并没有考虑这一规定。他们并不认为他们是在向第三方透露信息，但是事实是他们透露了。” 与此相同的是，《格雷姆-里奇-比利雷法案》规定金融机构要与共享其客户个人信息的第三方签署协议，以确保第三方能够安全的存储这些数据。Dinkel称：“必须要以合同的形式履行和维持这类安全措施。” 她指出，如果云计算协议中未能实现这些要求，金融机构的执行官们应当亲自对此承担责任。 Mayer Brown律师事务所合作伙伴Dan Masur称，棘手的部分是要求清楚地知道所有云服务提供商的数据中心和次承包商的所在地。他称，《萨班斯—奥克斯利法案》规定数据的原始拥有者需知道在云计算环境中数据在何处，以及在何处保持对其的控制。 正如Masur所说的那样“你可以让数据迁移至全球任何地方，但这不仅仅是提供商的事，而是整个次提供商与次承包商网络和平台的事。在任何时候，它们的准确位置在哪里?它们经过了多少国家，需遵守什么样的相关法律呢?即使你与提供商签订了合同，你是否真的能够确认提供商向下推行这些条款，让整个次承包商网络都遵守这些合同条款。” Masur称，客户需要坚持确认这些次承包商，以及让合同条款适用于他们。好消息是，一些大型云服务提供商仅提供位于美国境内的公共云，并且保证合同的相关条款适用于次承包商。 在美国急诊医学实践管理公司Schumacher Group内，大约80%至90%的IT程序被分别托管给了12家不同的云服务提供商。 该公司首席信息官Douglas Menefee称：“我们选择的服务提供商必须遵从HIPAA规定和有关要求。”他还要求云服务提供商签署一份业务关系协议，协议规定提供商的雇员只可在必要时才能查看与他们工作有关的信息。 2. 跨司法管辖区 市场研究机构Gartner的云服务全球IT委员会抱怨“服务提供商没有很好的解释他们将数据放在了哪个司法管辖区内，接受服务的客户必须要遵守哪些法律规定。”云服务全球IT委员会由众多试图规范云服务的首席信息官组成。 该委员会在声明中称：“云用户有权知道提供商运营活动所在的司法管辖区内的法律规定。否则，如果云服务提供商将客户的数据存储或转移至国外，那么用户将在不知情的情况下要被迫遵守一些法律规定。” 比如，欧盟有着全球最严格的隐私法规，在云计算中遵守这些法规将会更为复杂。 除非欧盟认为数据的接收国拥有“充足的保护措施”，否则欧盟禁止这些数据转移出欧盟。Dinkel称，一般情况下，很少有国家能够达到欧盟的要求。她称：“你必须考虑你的服务器是否在欧盟国家，服务器中是否存储涉及欧盟国家人员的数据，以及你是否正在将数据从一个服务器迁移至另一个服务器。有的服务提供商设置了专门用于存储欧盟数据的独立云，以应对这一问题。” 欧洲管理人员目前正在审查云计算，以搞清楚这一新技术在多大程度上适合当前使用、收集、存储和转移个人信息的管理框架。Dinkel称，云计算用户希望跳出这些额外的束缚。例如，他们可能不得不获得一个特殊许可，向欧洲数据保护部门提交报告，详细阐述数据的使用和存储计划。 云计算用户还应当知道，提供商和他们的服务器所在地可决定在发生问题后在哪里打官司。Dinkel称：“你或许会发现在哪个国家打官司取决于你的服务提供商的所在地。” Schumacher集团的云合同要求数据必须存储在美国境内的数据中心上。Menefee称：“这对于将我们的数据存储在海外的提供商来说没有什么意义。” 3. 搜查令 Dinkel称，公共云的一个令人担心的特点是不同客户的数据可能会存储在同一个服务器内。她解释称：“如果提供商得到了有关其中一个客户的搜查令，而碰巧其他客户的数据也在同一台服务器上，那么所有的数据都会被查封，即使不是搜查目标的公司也无法访问他们的数据。” 数据的相互混合在2009年导致了一个严重的问题。当时FBI搜查了位于德克萨斯的两个数据中心，以调查某一数据中心用户。FBI特工查封了大约220台服务器，以及数量众多的路由器、交换机、服务器机架和电源。新闻媒体报道称，这一查封行动导致该数据中心损失了数百万美元的营收。此外，还导致数据中心的许多客户业务中断，甚至面临破产的危险。 你是如何规避这类风险的呢?私有云当然可以解决数据混合问题。但是如果无法选择私有云，你应当就客户数据如何分区存储问题从云服务提供商那里得到保证，以确保搜查令或查封行动不会影响你的数据。 4. 电子数据取证 被传唤的数据拥有者有义务保留所有涉及诉讼的信息，也有义务为取证收集数据。如果数据在你的“保管、控制或持有下”，保留数据的要求将适用。对于那些拥有数据的云用户，Dinkel称：“这一点已经非常明确，如果在云上，还需要考虑这些数据在你的保管、控制或持有下。”如果服务商在取证期限内没有保留这些数据或是无法提供这些数据，那么云用户将因此受到处罚。 重要的是，对方当事人可以直接去云服务提供商那里调取相关记录。Dinkel称：“在这一点上，数据拥有者失去了对形势的控制权。” 更麻烦的是，不同的云服务提供商有着不同的存储程序，如果数据没有正确映射，恢复这些数据十分困难，并且费用昂贵。 当电子取证请求书被送到你的手中，你必须能够及时提供相关文件。如果无法及时提供，那么你将面临巨额罚金(在一起案例中，罚金数额为每天5万美元)。重要的是，由于案件递交到法庭时已过去数年时间，因此公司可能不得不回溯三至五年前的相关数据。 大型云服务提供商意识到他们必须要对电子取证请求书做出快速回应，因此为了能够快速追踪和恢复数据，他们会维持附属于记录的最初元数据 律师表示，云服务合同应当要求服务提供商维护元数据，以使其能够被容易恢复，同时要求提供商应在请求书的截止日期前提供电子文档。 5. 数据安全 在云计算环境中保护数据安全的方法有很多种，如加密。但是将公司的记录存储在一处的做法存在着安全风险。因为这为黑客提供了一份信息大餐。一些云服务提供商已经开始着手解决这一隐患。 比如，谷歌应用的安全模式是将存储的数据拆分成比特级，然后再分别存储在不同的数据中心。作为谷歌应用用户的Menefee称：“我们发现这非常有效。如果数据泄露了，黑客也仅能得到一部分组件，这只能算得上是庞大拼图中的一片而已。” 另一个问题是：谁应当为云计算的安全违规行为买单?Dinkel称：“你希望服务提供商为此买单——因为可能是他们那边的失误导致数据泄露的。” 在许多国家，如果云服务提供商发生数据泄露，那么在公共云中存储客户数据的机构有责任通知他们的客户。她称，“除非合同中明确注明应当及时通知，否则如果发生了数据泄露事件，你可能无法及时知道。” Menefee将与这些涉及安全的条款列入到了Schumacher集团所有的云服务合同。他称：“如果发生了数据泄露事件，那么应当对此负责的是他们，而不是我们。” 风险一直在发生着变化。当合同做好更新的准备以确保能够解决新问题时，咨询法律顾问非常重要。比如，Menefee准备在未来的合同中增加退出条款，以便在服务提供商的所有权发生变更时保护Schumacher集团。 Menefee 称：“我们在过去六个月里经历了一个‘顿悟时刻’。我认为云服务市场内部将会出现大规模整合。我正在寻求能够退出合同的能力，以防服务提供商所有权发生变更，以及提供商在变革中无法满足服务级协议。对于我来说，这是我们标准化管理中的一部分。”(end)

文章内容仅供参考 (投稿) (7/9/2011)