一、云计算及其背景

　　“云计算”的概念由谷歌的董事长兼首席执行官埃里克·施密特（Eric Schmidt）于2006年世界搜索引擎大会上提出并被舆论熟知。美国国家标准与技术研究院（NIST）将“云计算”定义为是一种便捷的、可按需使用、可配置计算资源的模式。网络、服务器、存储、应用和服务器都属于计算资源，它们能通过最少的管理工作和与服务商最少的交流被快速使用。云计算的提出和发展，打破了传统的数据存储和数据处理模式，带来巨大的经济效益。近年来，各国或区域将个人信息保护纳入立法重点，例如欧盟的《一般数据保护规范（GDPR）》，美国的《加州消费者隐私法案》，我国的《个人信息安全规范》等规范性文件，通过立法规范的形式明确数据控制者、数据处理者等多方法律责任，在法治框架下对个人信息进行保护。2月26日，据彭博社报道，美国正在推进大约1年前颁布的“云法案”（《澄清数据在海外的合法使用法》），[1]对存储在服务器上的数据进行管理，再次引发了舆论对云端数据管理的关注。

　　在国内尚未对云端数据的管理及其各方主体责任划分进行统一立法规制的环境下，云服务供应商等主体认识、了解并控制自身数据合规法律风险，成为云计算服务提供过程中关键的一环。本文将从云服务供应商的视角出发，分析其在云计算服务合同中可能面临的潜在风险并就其提出相应的对策。

二、云计算服务合同的类型

　　云计算服务合同的双方法律主体为云计算服务供应商和云用户，双方就云计算服务合同达成合意，云用户为节约在IT技术、数据存储上的研发投入，将用户数据转由供应商提供的大型数据中心进行存储和处理，由供应商通过互联网对云用户提供产品或服务的技术支持。对云计算市场进行细分，可将云计算服务分为以下三种类型：

　　（1）    基础设施即服务（IaaS），最基础的云计算服务层级，由供应商通过互联网为云用户提供存储容量和数据处理等计算机基础设施服务。

　　（2）    平台即服务（PaaS），将软件研发的平台作为一种服务，以SaaS的模式向用户提交，用户只需控制上层的应用程序部署与应用代管，不需要管理与控制网络、服务器、操作系统或存储等云基础设施。

　　（3）    软件即服务（SaaS），用户无需购买软件，而是通过Web浏览器或者互联网远程访问并使用特定的软件，来进行企业的经营管理。

　　根据云计算服务提供内容的不同，可将云计算服务合同划分为基础设施即服务合同、平台即服务合同和软件即服务合同。这三者在云计算服务提供形式上有所差别，但皆是以虚拟化技术为核心支撑，用户的信息数据由供应商的数据中心进行存储，涉及服务供应商、云用户及其终端消费者之间的法律关系。因此，IaaS、PaaS、SaaS服务供应商皆应对服务合同中关于数据安全、隐私保护、责任限制、合同变更及争议解决等方面的条款设计予以重视。

三、合同条款设计要点

　　（一）明晰供应商托管法律地位

　　以当前云计算市场上占比最大的SaaS模式为例进行分析，传统软件须在购买者计算机上进行安装，购买者自身提供数据信息的存储设备。而SaaS模式下，该软件安装于由SaaS提供者建立并维护和运营的数据中心，而SaaS购买者是通过互联网登录和使用相应的软件功能。同时，SaaS模式下的数据中心，由云计算服务供应者的技术人员进行运营和维护，其硬件平台、运营人员甚至场所都完全处于供应商的控制之下。因此，强势用户出于加强云服务供应商的数据管理责任或者风险分摊的考量，会通过服务合同条款设计以增加供应商的数据安全责任。例如，有的用户要求服务合同中将云计算服务提供者列为“共同数据控制者”，或者在服务合同关于云存储数据的使用中，为供应商设计宽松的自由裁量权，允许供应商单方面拒绝提供服务、关闭账户或者存储内容。

　　对数据控制者，GDPR定义为“能单独或联合决定个人数据处理目的和处理方式的自然人、法人、公共机构、行政机关或其他非法人组织”；我国《个人信息安全规范》则认为是有权决定个人信息处理目的、方式等的组织或个人，即是否对数据处理目的、方式具有决定权是判断相关主体是否处于“控制者”地位的核心。权责一致原则是个人信息保护体系的首要原则，即要求相关主体开展个人信息处理活动过程中，对个人信息主体合法权益造成的损害承担责任。大量涉及个人信息的数据集中存储，“数据控制者”的定位可能对云服务供应商带来巨大的数据管理压力和责任风险。

　　为避免潜在争议及风险，在数据处理条款、数据备份和存储条款中，云服务供应商应确定其在数据处理中的从属地位，或者由用户指示或安排对数据进行存储、处理的数据托管法律地位，并在合同具体条款，如数据的访问条件、访问标准条款中有所体现。同时，通过条款设计增加用户的披露义务，要求用户向其终端客户充分展示、告知关于数据处理第三方的名称、目的、权限、访问条件、访问标准等。

　　（二）客户数据来源合法性及其保护

　　云计算环境下，用户的数据被存储在云服务供应商的数据中心，数据安全管理风险也随之转移到云端。其中大量用户数据涉及终端客户（第三方）的个人信息，而目前我国个人信息保护立法体系中尚未就数据控制者与第三方在发生个人信息数据泄露时的权责划分进行明确规定。秉着“法不禁止即自由”、“私法自治”原则，云计算服务合同就此风险达成的合意将成为风险发生时责任承担的重要依据。在我们服务客户过程中发现就数据进行云端存储最受关注的问题为：（1）数据来源的合法性；（2）数据完整性和可用性；（3）数据访问权限。

　　（1）数据来源的合法性

　　当前实践中，通常情况下云服务供应商并不直接与终端客户产生联系，其个人信息来源的合法性建立在用户取得终端客户完整授权的基础上。依据《个人信息安全规范》“5.3 收集个人信息时的授权同意”第（b）项要求，间接获取个人信息时，“应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认”。因此，在服务合同中，云服务供应商应明确提出用户承诺对其上传用户数据的行为已经获得用户充分必要的授权、同意和许可，由用户在其与终端客户之间的用户协议中充分披露第三方，并确定客户对第三方的同意授权。另需要注意的是，用户利用云服务供应商所提供服务进行经营或非经营活动需要取得国家有关部门许可或批准的，还应要求用户对其已获得的许可或批准的合法性、有效性进行承诺。

　　（2）数据的完整性和可用性

　　在数据完整性和可用性方面，云服务供应商为减轻自身责任，可在条款设计中要求用户承诺其存储于该云端的数据完整性，并在合同条款中表明“维护客户数据的一致性和完整性的最终责任在于用户自己”。[2]还有一些供应商会在合同条款中设计“最大努力”条款作为免责声明，例如亚马逊在服务合同条款中声明“将会尽最大的努力来保护数据安全”，阿里云在服务合同条款中“承诺不断提升服务质量及服务水平”，来实现对超出技术水平的数据安全保护进行免责。

　　（3）数据访问权责限制

　　在当前的个人信息保护体系下，个人信息控制者对个人信息保护承担着较高的安全管理责任。为了减少数据云端存储过程中的个人信息的数据管理责任风险，云服务供应商可以在服务合同中通过约定限制其处理范围和严格的处理条件来明确其在数据处理中的从属地位。例如，在云服务合同中增加关于处理终端客户个人信息的特定条款。常见的有，明确供应商在何种情况下可以基于何原因访问用户账户的内容、访问范围。以阿里云的服务合同为例，阿里云在其服务合同中设计了数据访问条款“为了向您提供数据风控服务……因此您一旦开通服务即意味着您授权阿里云对您开通服务应用的用户的访问行为数据进行收集及分析计算”，明确了阿里云对数据处理目的和访问权力由用户决定和授予，没有数据处理的决定权。

　　（三）违约责任限制的设计

　　云计算中供应商提供云服务具有明显的同质性特征，一旦发生对某一用户违约承担损害赔偿责任，其他同类型用户也可能会基于相同案由请求损害赔偿，若合同中没有相关排除和限制条款，供应商将面临着巨大的赔偿金额。为了实现风险控制，在云计算服务合同中供应商设计加入一些排除或限制特定损害责任的条款，如不可抗力造成的损失责任，间接损失责任，或者对某些损失的赔偿进行数额限制。例如，在服务合同中列明，当云服务供应商出现故障时，不对任何间接性、后果性、惩戒性、偶然性、特殊性的损害，由于其服务不能正常运行而给用户造成的相关利润损失承担责任。

　　（四）用户退出计划及数据迁移条件

　　云服务供应商技术的发展和产品变更时，用户可能会需要安排其员工重新进行培训，或者需要对内部系统进行调试，进而增加运营成本。用户服务合同提供服务的变更是否继续被接受的变量较大，若在每次进行技术升级或产品创新时，供应商皆须与每个用户进行重新磋商再次达成合意，显然不符合市场经济的高效性要求。在服务合同中通过合理的用户退出机制，方可平衡用户数据的完整性和安全性与企业运营效率之间的利益。在服务终止条款设计中，云服务供应商可考虑列入服务发生变更前和一个合理通知时间和通知方式，并明确数据处理方式和此期间供应商对用户数据处理的权限范围。例如，阿里云在其服务合同中约定“本服务条款的任何内容发生变动，阿里云应通过提前30天在www.aliyun.com 的适当版面公告向您提示修改内容。如您不同意阿里云对本服务条款所做的修改，您有权停止使用阿里云的服务，此等情况下，阿里云应与您进行服务费结算（如有），并且您应将业务数据迁出。如您继续使用阿里云服务，则视为您接受阿里云对本服务条款相关条款所做的修改。”，该条款设计，有效解决用户拒绝合同变更的退出机制安排及其在退出期间的数据处理和费用结算问题，同时很大程度上避免了服务供应商对数据的暂留和迁出处理因缺少用户的授权而导致侵权的风险。

　　（五）争议解决风险条款设计要点

　　云计算服务过程涉及供应商所在第、服务器所在地、分包商所在地等多个司法管辖区，数据跨境传输的还可能涉及法律适用冲突的问题。在服务合同的争议解决条款中，对管辖法院和适用法律达成合意，可以避免因不同管辖法院对相关事件法律适用态度的不同，或者对适用法律不熟悉而带来的败诉风险。同时，服务供应商可以根据不同的服务类型、法律适用情况等因素选择不同的争端解决方式，例如，Drop box选择仲裁方式解决争议；阿里云选择向杭州市西湖区人民法院提起诉讼的方式；腾讯云则选择深圳市南山区人民法院进行诉讼。

四、小结

　　云计算技术的兴起与应用，改变了互联网市场结构模式，用云服务供应商对服务器的集中采购解放中小企业用户高额的服务器等硬件设施的投入，进而促进了数字经济的发展。随着对数据安全立法的完善，对数据的云端存储提出了新的合规要求，在关于用户与云服务供应商之间权责划分尚未有明确法律规范之时，云服务供应商通过云计算服务合同的条款设计进行风险防范是最主要的途径。

　　【参考文献】

　　[1]新浪科技: 《美国云计算法案规定治外法权 引起欧盟强烈反弹》。

　　[2]谢琳，慕壁阳：《云计算服务合同的法律风险防范》，载《中国发明与专利》2018年第6期。

　　作者 | 吴丹君律师 陈枫律师助理

　　来源 | 微信公众号“大数据法律研究”