选择公有云服务的五大法律风险

　　去年，一家知名的全球食品生产与配送公司打算将他们的人力资源管理程序交给一家软件即服务(SaaS)提供商运营。但是当这家食品公司的律师审查这份拟议合同时，他们发现这份合同在法律方面存在着一些严重隐患。

　　首先，这家SaaS提供商在美国、欧洲和加拿大都有业务。这家食品公司的律师，外包方面的专家Rebecca Eisner回忆称：“欧洲和加拿大是两个不同的司法管辖区，他们对个人信息的使用有着严格的规定。由于是人力资源系统，因此其中涉及大量的个人信息。”

　　这家服务提供商希望能够灵活地将公司的信息转移至全球其它地方的数据中心上，这导致公司必须遵守这些国家有关数据流入或流经的法规。

　　由于这家食品公司对SaaS应用十分着迷，因此并没有意识到其中的法律风险。经过两个月的谈判，双方签订了一份合同。

　　Mayer Brown律师事务所芝加哥办公室的合作伙伴Eisner称：“这家SaaS服务提供商并不愿意承认他们缺乏这方面的丰富经验。他们知道我们的职责是干什么的。”Eisner称：“最终，他们明白，如果想让这家食品公司成为他们的客户，以及今后得到全球其他地方的客户，他们需要提供这类最低限度的保护。因此他们最终同意要求。”

　　如果你使用云计算或是打算使用云计算，你不应当忽视以下五个方面的法律风险。

　　1. 隐私

　　《美国健康保险流通和责任法案》(HIPAA) 规定将个人健康信息透露给第三方公司应达成“业务关系协议”。这些合同规定第三方如何处理这类数据。旧金山Sideman & Bancroft律师事务所律师Polly Dinkel称：“许多人在使用云计算时，并没有考虑这一规定。他们并不认为他们是在向第三方透露信息，但是事实是他们透露了。”

　　与此相同的是，《格雷姆-里奇-比利雷法案》规定金融机构要与共享其客户个人信息的第三方签署协议，以确保第三方能够安全的存储这些数据。Dinkel称：“必须要以合同的形式履行和维持这类安全措施。”

　　她指出，如果云计算协议中未能实现这些要求，金融机构的执行官们应当亲自对此承担责任。

　　Mayer Brown律师事务所合作伙伴Dan Masur称，棘手的部分是要求清楚地知道所有云服务提供商的数据中心和次承包商的所在地。他称，《萨班斯—奥克斯利法案》规定数据的原始拥有者需知道在云计算环境中数据在何处，以及在何处保持对其的控制。

　　正如Masur所说的那样“你可以让数据迁移至全球任何地方，但这不仅仅是提供商的事，而是整个次提供商与次承包商网络和平台的事。在任何时候，它们的准确位置在哪里?它们经过了多少国家，需遵守什么样的相关法律呢?即使你与提供商签订了合同，你是否真的能够确认提供商向下推行这些条款，让整个次承包商网络都遵守这些合同条款。”

　　Masur称，客户需要坚持确认这些次承包商，以及让合同条款适用于他们。好消息是，一些大型云服务提供商仅提供位于美国境内的公共云，并且保证合同的相关条款适用于次承包商。

　　在美国急诊医学实践管理公司Schumacher Group内，大约80%至90%的IT程序被分别托管给了12家不同的云服务提供商。

　　该公司首席信息官Douglas Menefee称：“我们选择的服务提供商必须遵从HIPAA规定和有关要求。”他还要求云服务提供商签署一份业务关系协议，协议规定提供商的雇员只可在必要时才能查看与他们工作有关的信息。

　　2. 跨司法管辖区

　　市场研究机构Gartner的云服务全球IT委员会抱怨“服务提供商没有很好的解释他们将数据放在了哪个司法管辖区内，接受服务的客户必须要遵守哪些法律规定。”云服务全球IT委员会由众多试图规范云服务的首席信息官组成。

　　该委员会在声明中称：“云用户有权知道提供商运营活动所在的司法管辖区内的法律规定。否则，如果云服务提供商将客户的数据存储或转移至国外，那么用户将在不知情的情况下要被迫遵守一些法律规定。”

　　比如，欧盟有着全球最严格的隐私法规，在云计算中遵守这些法规将会更为复杂。

　　除非欧盟认为数据的接收国拥有“充足的保护措施”，否则欧盟禁止这些数据转移出欧盟。Dinkel称，一般情况下，很少有国家能够达到欧盟的要求。她称：“你必须考虑你的服务器是否在欧盟国家，服务器中是否存储涉及欧盟国家人员的数据，以及你是否正在将数据从一个服务器迁移至另一个服务器。有的服务提供商设置了专门用于存储欧盟数据的独立云，以应对这一问题。”

　　欧洲管理人员目前正在审查云计算，以搞清楚这一新技术在多大程度上适合当前使用、收集、存储和转移个人信息的管理框架。Dinkel称，云计算用户希望跳出这些额外的束缚。例如，他们可能不得不获得一个特殊许可，向欧洲数据保护部门提交报告，详细阐述数据的使用和存储计划。

　　云计算用户还应当知道，提供商和他们的服务器所在地可决定在发生问题后在哪里打官司。Dinkel称：“你或许会发现在哪个国家打官司取决于你的服务提供商的所在地。”

　　Schumacher集团的云合同要求数据必须存储在美国境内的数据中心上。Menefee称：“这对于将我们的数据存储在海外的提供商来说没有什么意义。”